Introduction
Nous suivons les 6 étapes du dossier spécial de la CNIL (Commission Nationale Informatique & Libertés). A savoir :
- Désigner un pilote
- Cartographier les traitements de données personnelles
- Prioriser les actions
- Gérer les risques
- Organiser les processus internes
- Documenter la conformité
Vous souhaitez contacter la personne en charge de la RGPD ?
Un programme de gestion de la conformité en matière de protection des données a été élaboré depuis quelques semaines. A cet effet, un délégué à la protection des données a été nommé. Pour le contacter : rgpd@weadvocacy.com
Quelles sont les données personnelles utilisées par we advocacy (cartographie) ?
Pour fonctionner, we advocacy a besoin des données personnelles suivantes :
- Les données d’annuaire :
- L’email (obligatoire)
- Le prénom (optionnel)
- Le nom (optionnel)
- La titre ou la fonction du collaborateur dans l’entreprise (optionnel)
- Le numéro de téléphone fixe du travail du collaborateur (optionnel)
- Le numéro de téléphone portable du travail du collaborateur (optionnel)
- L’adresse ou les adresses des sites de l’entreprise (optionnel)
- Les groupes de l’entreprise auxquels l’utilisateur appartient (optionnel)
Les données d’annuaire sont :
- Soit reprises du profil G SUITE si l’entreprise est sur G Suite et mises à jour quotidiennement dans we advocacy
- Soit du profil Office 365 si l’entreprise est sur Office 365 et mises à jour quotidiennement dans we advocacy
- Soit importées depuis un fichier csv dans les autres cas et mises à jour de manière manuelle par l’administrateur de l’application we advocacy.
Les données d’utilisation pour la communication externe (signatures et bannières)
- Le(s) modèle(s) de signature(s) courant(s) assigné(s) à l’utilisateur
- le(s) campagne(s) de bannières assignée(s) à l’utilisateur
- Les données de reporting sur chacune des campagnes : nombre de vues, nombre de clics et taux de clics
- Dans certains cas (messageries sous Gmail), l’entreprise a également la possibilité de mettre en place un tracking des clics sur les bannières qui vont être relayées par ses collaborateurs. Dans ce cas de figure, des données supplémentaires sont stockées : Emails des destinataires qui ont cliqué sur la bannière et l’email de l’expéditeur qui a envoyé le mail contenant la bannière.
Les données d’utilisation pour la communication interne
- Le(s) campagne(s) de notifications assignée(s) à l’utilisateur
- Les données de reporting sur chacune des campagnes :
- L’utilisateur a-t-il vu la campagne ? (optionnel)
- L’utilisateur a-t-il cliqué sur la campagne ? (optionnel)
- L’utilisateur a-t-il aimé la vidéo (optionnel)
Où sont stockées les données
L’infrastructure sur laquelle est we advocacy est hébergée dans les centres de données de Google.
L’emplacement des centres de données dépend de l’emplacement des clients.
- Les clients européens sont sur les datacenters de la plaque européenne. Les données sont donc stockées en Europe.
- Les clients américains sont sur la plaque américaine. Les données sont donc stockées aux Etats-Unis.
Quelles sont les durées de conservation des données ?
Les données collectées ne sont conservées que le temps d’utilisation du service.
- Toutes les données d’un utilisateur sont supprimées lorsque ce dernier est supprimé de la solution we advocacy
- L’ensemble des données sont supprimées automatiquement lorsque l’application est désinstallée du domaine (fermeture du compte)
Comment we advocacy s’est mis en conformité avec la RGPD ?
Conformément à la réglementation RGPD, chaque utilisateur a la possibilité de :
- Modifier ses données personnelles et professionnelles via l’application we advocacy
- Faire la demande d’export de ses données personnelles en nous contactant par email à l’adresse contact@weadvocacy.com
Nous avons également prévu différents modules de purge pour vous permettre de supprimer toutes les données liées à un ou plusieurs utilisateurs.
Enfin, nous avons mis en place un cadre « sécurité » :
- Sensibilisation de nos équipes aux enjeux de la protection des données et de la sécurité.
- Engagement de confidentialité de nos collaborateurs et prestataires
- Conformité de nos infrastructures Google Cloud aux exigences RGPD, (Sécurité des infrastructures et Sécurité Google Cloud Platform)
- a. Chiffrement de nos bases de données : nous utilisons l’encryption Google.
- b. Anonymisation des données non nécessaires aux traitements
- c. Gestion accrues des accès (revues systématiques et périodiques)
- d. Surveillance et détection de failles éventuelles
- e. Suppression des données personnelles en respect des réglementations européennes
- f. Développement sécurisé prenant en compte les bonnes pratiques de sécurité et la
- protection des données personnelles (données de test anonymisées ou fictives)
- g. Mise en place de process avec nos clients de remontées d’alerte ou d’incidents
Quels ont été les engagements pris par we advocacy ?
Nous traitons uniquement les données qui nous sont confiées pour des finalités précises et dans le but d’assurer le service pour lequel nos clients ont souscrit
- Nous agissons sur instruction de nos clients
- Nous garantissons la confidentialité et l’intégrité des données
- Nos prestataires et sous traitants sont tenus de respecter les obligations et les instructions de nos clients
- Nous collaborons avec nos clients afin qu’ils puissent répondre à ces obligations notamment en terme d’exercice des droits des personnes concernées ou de réalisation d’analyse d’impact
- Nous assurons la sécurité des données confiées
- Nous nous engageons à mettre en oeuvre la réversibilité des données confiées
- Nous formalisons et mettons à disposition de nos clients toute la documentation nécessaire à la démonstration du respect de nos obligations
- Nous garantissons que les niveaux et droits d’accès accordés à nos employés dépendent de leur poste et de leur rôle. Nos employés ont accès aux informations et uniquement à celles qui sont indispensables à l’exercice de leur fonction.
Quels sont vos engagements en tant que client de l’application we advocacy ?
En tant que client, vous êtes responsable du contrôle des données personnelles de vos salariés que vous fournissez à we advocacy dans le cadre de l’utilisation de nos services. Vos responsables du contrôle des données doivent bien entendu définir les finalités des données personnelles et leurs modes de traitement.
Vous êtes également chargés de mettre en place des mesures techniques et organisationnelles adéquates pour garantir et prouver que les données sont traitées conformément au RGPD. Ces obligations touchent aux principes de légalité, d’équité, de transparence, de restriction des finalités, de minimisation et d’exactitude des données ainsi que de respect des droits des personnes concernées à l’ égard de leurs données.
En tant que client, vous êtes le responsable de traitement des données personnelles de vos salariés, fournies à we advocacy dans le cadre de l’utilisation de nos services. We advocacy n’est que sous-traitant de ces données personnelles. Il vous appartient de respecter l’ensemble des obligations vous incombant au titre de la protection des données personnelles de vos salariés, et notamment de les informer du traitement des données personnelles par l’application.