Comment ZEROSIX va accompagner ses clients, commerçants indépendants et enseignes, dans leur propre mise en conformité au RGPD ?
ZEROSIX agit en qualité de sous-traitant, au sens du RGPD, pour les données personnelles de ses clients commerçants qui sont traitées par ses outils et applications.
À ce titre, et sur le périmètre des données personnelles confiées à ZEROSIX, ZEROSIX propose d’accompagner ses clients, en leur qualité de responsable des traitements, dans la mise en œuvre de leur propre conformité aux obligations issues du RGPD, à savoir notamment :
La protection des données personnelles dès la conception des outils, systèmes, produits ou services (Privacy by design)
La mise en œuvre d’un inventaire des traitements des données
L’évaluation du niveau de sécurité des données et, le cas échéant, la mise en place des mesures adéquates en cas de risque avéré
L’anticipation et la prévision en interne d’une procédure simple et efficace en cas de détection d’une faille de sécurité
La sensibilisation des collaborateurs et partenaires au respect des droits des personnes
Par ailleurs, ZEROSIX informera régulièrement ses clients sur l’évolution de la réglementation et de sa politique vie privée.
1) La protection des données dès la conception
Le principe de protection des données personnelles, au cœur du RGPD, impose la mise en place de mesures proactives et préventives dès la conception des projets, produits ou procédures traitant de ces données, et qui consistent à :
Assurer une protection implicite et automatique de la vie privée
Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques
Assurer une sécurité optimale des données de bout en bout durant toute la durée de leur conservation
Assurer la visibilité et la transparence
Respecter la vie privée des utilisateurs
Cela se traduit par des mesures très concrètes :
L’utilisateur ne doit pas avoir à cocher une case, ou toute autre action de ce type, pour la
protection de ses données personnelles qui doit être prévue par défaut. En conséquence, toute
collecte et traitement des données personnelles d’un utilisateur doit faire l’objet de son
consentement explicite
L’utilisateur doit être parfaitement informé des modalités et finalités de traitement de ses données
Seules les données strictement nécessaires aux finalités prévues doivent être collectées, à l’exclusion de toute autre ;
L’utilisateur doit être en mesure de vérifier, modifier, supprimer et obtenir la portabilité de ses données à tout moment auprès du responsable des traitements
Les données ne peuvent être conservées que pour la durée nécessaire aux finalités de leurs traitements.
Toutes ces mesures sont en cours d’intégration dans les processus de ZEROSIX, afin de mettre à la disposition de ses clients des services parfaitement conformes au RGPD. Cela se traduira de manière visible par la mise à jour desinterfaces et formulaires des applications ZEROSIX (Tableau de bord, espace fidélité en ligne, etc.)
Par ailleurs, ZEROSIX communiquera régulièrement à ses clients les bonnes pratiques à suivre concernant la collecte et la conservation des consentements de leur clientèle, ainsi que les différentes mentions informatives obligatoires pour les services fournis par ZEROSIX.
ZEROSIX pourra également proposer de sensibiliser ou de former les collaborateurs de ses clients aux enjeux du RGPD.
2) L’inventaire des traitements des données et la tenue d’un registre d’activités de traitement
Avec le RPGD, chaque donnée personnelle traitée doit être recensée et tracée, ce qui suppose de tenir en interne un registre des traitements contenant les informations suivantes :
les nom et coordonnées de chaque responsable de traitement et sous-traitant
les finalités des traitements
la description des catégories des personnes concernées et des données personnelles
les catégories de destinataires auxquels les données personnelles sont communiquées
les transferts éventuels de données hors UE (s’ils existent)
dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
une description générale des mesures de sécurité techniques et organisationnelles
A ces fins, ZEROSIX mettra à disposition de ses clients, en téléchargement dans la rubrique « Tableau de Bord » :
Un registre des traitements de données
La cartographie des traitements sous-traités à ZEROSIX
La description des mesures de sécurité techniques et organisationnelles mises en œuvre
3) La sécurité des données
Au sens du RGPD, il y a atteinte à la sécurité des données lorsqu’il y a destruction, perte, altération, divulgation ou accès non autorisé aux données personnelles. Le RGPD impose donc au responsable du traitement (comme au sous-traitant) de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques encourus par les individus dont les données sont collectées et traitées telles que :
La pseudonymisation, le chiffrement des données
Des moyens de garantir la confidentialité, l’intégrité, la disponibilité des systèmes et des services de traitement
Des moyens de rétablir la disponibilité et l’accès aux données dans des délais appropriés en cas d’incidents physiques ou techniques
La mise en place d’une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer cette sécurité.
A ces fins, ZEROSIX mettra à disposition de ses clients :
Une politique d’authentification renforcée pour accéder à ses applications, notamment pour les mots de passe
La description des mesures techniques adoptées pour renforcer les sauvegardes des données
La description plus générale de toutes les mesures de sécurité techniques et organisationnelles mises en œuvre
4) La notification des failles de sécurité
En tant que responsable des traitements, les clients de ZEROSIX doivent notifier les failles de sécurité dans les 72h à la CNIL et à la personne physique concernée si elles sont susceptibles d’engendrer un risque élevé pour ses droits et libertés
En tant que sous-traitant, ZEROSIX informera ses clients si un tel évènement arrivait dans son périmètre de traitement, et les informera alors de la marche à suivre.
5) Le renforcement de la protection des données chez les partenaires
En tant que responsable de traitement, les clients de ZEROSIX doivent vérifier les clauses des contrats
de leurs prestataires précisant la nature et la durée des traitements effectués pour leur compte, ainsi
que les clauses des contrats leur assurant une garantie par défaut du plus haut niveau de sécurité et de
confidentialité des données personnelles traitées pour leur compte.
Pour le Délégué à la Protection des Données de ZEROSIX : “Le choix des prestataires est clé pour les
entreprises dans le cadre de leur mise en conformité au RGPD, d’autant plus concernant la gestion de
leur programme de fidélité, compte-tenu de la diversité des traitements et de la quantité de données à
caractère personnel qui sont traitées. L’éditeur du logiciel de programme de fidélité doit être en mesure
de garantir que tous les acteurs intervenant dans la chaîne de traitement sont conformes au RGPD”.