RGPD : notre implication, nos engagements

Le Règlement 2016/679 du 27 avril 2016 sur la protection des données personnelles des résidents de l’Union européenne entre en vigueur le 25 mai 2018 (RGPD : Règlement Général sur la Protection des Données à caractère personnel).

Son objet est de renforcer les droits des résidents de l’Union Européenne sur leurs données personnelles, dont le traitement par certains acteurs du web s’est parfois révélé opaque et/ou abusif, ce qui a entrainé une méfiance généralisée.

Le RGPD fixe ainsi un ensemble de nouvelles obligations pour les entreprises qui traitent des données personnelles des résidents de l’UE.

C’est donc un enjeu majeur pour tous nos clients – commerçants et enseignes – mais aussi pour ZEROSIX qui se prépare activement depuis plusieurs mois à la mise en œuvre des mesures organisationnelles, juridiques et numériques de conformité au RGPD.

Concrètement, comment se prépare ZEROSIX ?

ZEROSIX a fait le choix d’être accompagné par des professionnels spécialisés et a également décidé la nomination d’un Délégué à la Protection des Données (DPD) pour garantir la pérennité et l’efficacité des mesures de protection et de gouvernance mises en place.

Tous les collaborateurs de ZEROSIX sont impliqués dans le développement de pratiques simples et efficaces, intégrées à tous ses services et tous ses processus afin de garantir le respect des obligations issues du RGPD.

Quels sont les engagements prioritaires de ZEROSIX ?

Dans son programme de mise en conformité, ZEROSIX privilégie trois axes majeurs :

  • La prise en compte de la vie privée dans tout le processus de conception et dans le suivi des services élaborés et mis en œuvre (« Privacy by design »)

  • La formalisation d’une politique vie privée interne, notamment un « Recueil des bonnes pratiques des données personnelles »

  • Lecontrôle de ses sous-traitants et fournisseurs tiers quant au respect des obligations de sécurité et de confidentialité des données.

Comment ZEROSIX va accompagner ses clients, commerçants indépendants et enseignes, dans leur propre mise en conformité au RGPD ?

ZEROSIX agit en qualité de sous-traitant, au sens du RGPD, pour les données personnelles de ses clients commerçants qui sont traitées par ses outils et applications.

À ce titre, et sur le périmètre des données personnelles confiées à ZEROSIX, ZEROSIX propose d’accompagner ses clients, en leur qualité de responsable des traitements, dans la mise en œuvre de leur propre conformité aux obligations issues du RGPD, à savoir notamment :

  • La protection des données personnelles dès la conception des outils, systèmes, produits ou services (Privacy by design)

  • La mise en œuvre d’un inventaire des traitements des données

  • L’évaluation du niveau de sécurité des données et, le cas échéant, la mise en place des mesures adéquates en cas de risque avéré

  • L’anticipation et la prévision en interne d’une procédure simple et efficace en cas de détection d’une faille de sécurité

  • La sensibilisation des collaborateurs et partenaires au respect des droits des personnes

Par ailleurs, ZEROSIX informera régulièrement ses clients sur l’évolution de la réglementation et de sa politique vie privée.

1) La protection des données dès la conception

Le principe de protection des données personnelles, au cœur du RGPD, impose la mise en place de mesures proactives et préventives dès la conception des projets, produits ou procédures traitant de ces données, et qui consistent à :

  • Assurer une protection implicite et automatique de la vie privée

  • Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques

  • Assurer une sécurité optimale des données de bout en bout durant toute la durée de leur conservation

  • Assurer la visibilité et la transparence

  • Respecter la vie privée des utilisateurs

Cela se traduit par des mesures très concrètes :

  • L’utilisateur ne doit pas avoir à cocher une case, ou toute autre action de ce type, pour la protection de ses données personnelles qui doit être prévue par défaut. En conséquence, toute collecte et traitement des données personnelles d’un utilisateur doit faire l’objet de son consentement explicite

  • L’utilisateur doit être parfaitement informé des modalités et finalités de traitement de ses données

  • Seules les données strictement nécessaires aux finalités prévues doivent être collectées, à l’exclusion de toute autre ;

  • L’utilisateur doit être en mesure de vérifier, modifier, supprimer et obtenir la portabilité de ses données à tout moment auprès du responsable des traitements

  • Les données ne peuvent être conservées que pour la durée nécessaire aux finalités de leurs traitements.

Toutes ces mesures sont en cours d’intégration dans les processus de ZEROSIX, afin de mettre à la disposition de ses clients des services parfaitement conformes au RGPD. Cela se traduira de manière visible par la mise à jour desinterfaces et formulaires des applications ZEROSIX (Tableau de bord, espace fidélité en ligne, etc.)

Par ailleurs, ZEROSIX communiquera régulièrement à ses clients les bonnes pratiques à suivre concernant la collecte et la conservation des consentements de leur clientèle, ainsi que les différentes mentions informatives obligatoires pour les services fournis par ZEROSIX.

ZEROSIX pourra également proposer de sensibiliser ou de former les collaborateurs de ses clients aux enjeux du RGPD.

2) L’inventaire des traitements des données et la tenue d’un registre d’activités de traitement

Avec le RPGD, chaque donnée personnelle traitée doit être recensée et tracée, ce qui suppose de tenir en interne un registre des traitements contenant les informations suivantes :

  • les nom et coordonnées de chaque responsable de traitement et sous-traitant

  • les finalités des traitements

  • la description des catégories des personnes concernées et des données personnelles

  • les catégories de destinataires auxquels les données personnelles sont communiquées

  • les transferts éventuels de données hors UE (s’ils existent)

  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

  • une description générale des mesures de sécurité techniques et organisationnelles

A ces fins, ZEROSIX mettra à disposition de ses clients, en téléchargement dans la rubrique « Tableau de Bord » :

  • Un registre des traitements de données

  • La cartographie des traitements sous-traités à ZEROSIX

  • La description des mesures de sécurité techniques et organisationnelles mises en œuvre

3) La sécurité des données

Au sens du RGPD, il y a atteinte à la sécurité des données lorsqu’il y a destruction, perte, altération, divulgation ou accès non autorisé aux données personnelles. Le RGPD impose donc au responsable du traitement (comme au sous-traitant) de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques encourus par les individus dont les données sont collectées et traitées telles que :

  • La pseudonymisation, le chiffrement des données

  • Des moyens de garantir la confidentialité, l’intégrité, la disponibilité des systèmes et des services de traitement

  • Des moyens de rétablir la disponibilité et l’accès aux données dans des délais appropriés en cas d’incidents physiques ou techniques

  • La mise en place d’une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer cette sécurité.

A ces fins, ZEROSIX mettra à disposition de ses clients :

  • Une politique d’authentification renforcée pour accéder à ses applications, notamment pour les mots de passe

  • La description des mesures techniques adoptées pour renforcer les sauvegardes des données

  • La description plus générale de toutes les mesures de sécurité techniques et organisationnelles mises en œuvre

4) La notification des failles de sécurité

En tant que responsable des traitements, les clients de ZEROSIX doivent notifier les failles de sécurité dans les 72h à la CNIL et à la personne physique concernée si elles sont susceptibles d’engendrer un risque élevé pour ses droits et libertés

En tant que sous-traitant, ZEROSIX informera ses clients si un tel évènement arrivait dans son périmètre de traitement, et les informera alors de la marche à suivre.

5) Le renforcement de la protection des données chez les partenaires

En tant que responsable de traitement, les clients de ZEROSIX doivent vérifier les clauses des contrats de leurs prestataires précisant la nature et la durée des traitements effectués pour leur compte, ainsi que les clauses des contrats leur assurant une garantie par défaut du plus haut niveau de sécurité et de confidentialité des données personnelles traitées pour leur compte.

Pour le Délégué à la Protection des Données de ZEROSIX : “Le choix des prestataires est clé pour les entreprises dans le cadre de leur mise en conformité au RGPD, d’autant plus concernant la gestion de leur programme de fidélité, compte-tenu de la diversité des traitements et de la quantité de données à caractère personnel qui sont traitées. L’éditeur du logiciel de programme de fidélité doit être en mesure de garantir que tous les acteurs intervenant dans la chaîne de traitement sont conformes au RGPD”.