Qu’est-ce que le RGPD ?

Le RGPD est le Règlement Général sur la Protection des Données (GDPR en anglais, pour General Data Protection Regulation). C’est le nouveau texte de référence Européen en matière de protection des données à caractère personnel. C’est, d’une certaine façon, une super loi informatique et liberté. Les organisations (entreprises, organismes publics, associations, etc.) doivent être capables de garantir et de prouver à tout moment que le traitement des données est conforme et sécurisé. La traçabilité des traitements de données est requise pour justifier de la mise en place de bonnes pratiques en ce qui concerne les données personnelles (collecte, stockage, utilisation, partage ou destruction). Le 25 mai 2018, ce règlement remplacera l’actuelle législation (loi informatique et libertés), et apportera de nombreux changements clés.

Quelles sont les données pour lesquelles s’applique le RGPD ?

Il s’applique dès lors que sont traitées de façon systématique ou à grande échelle :

- Des données à caractère personnel : il s’agit de toute donnée permettant d’identifier, directement ou indirectement, une personne (photos de la personne, nom, prénom, adresse postale, identifiant en ligne, adresse e-mail, numéro de téléphone, adresse IP de connexion, numéro de carte de paiement, identifiant IBAN, etc.) ainsi que les données associées ou reliées à cette personne (habitudes de vie ou de consommation, situation familiale, historique de commandes ou de navigation Web, revenus, etc.).

- Des données sensibles : ce sont les données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ainsi que les données génétiques, les données biométriques qui permettent d’identifier une personne physique (empreinte digitale, rétinienne, etc.), les données concernant la santé, la vie ou l’orientation sexuelle, les données relatives à des condamnations pénales ou infractions et le numéro d’identification national unique (NIR pour la France). Ces données doivent faire l’objet d’une vigilance particulière.

Qui est concerné par le RGPD ?

Le responsable du traitement

Il s’agit de l’organisation (entreprise, collectivité, association…) qui possède et traite des données à caractère personnel concernant des citoyens de l’Union Européenne. En général c’est l’entreprise, la collectivité ou l’association qui collecte et traite ces données, soit directement, soit par l’intermédiaire d’un ou plusieurs sous-traitants.

La personne concernée

Il s’agit d’une personne physique identifiable de manière directe ou indirecte, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne. De la cadre de la digitalisation de la relation client, il s’agit de la personne dont les données sont traitées par les processus de digitalisation.

Le sous-traitant (prestataire de services)

Il s’agit de la société qui traite des données à caractère personnel pour le compte du responsable du traitement. Dial Once, l’éditeur des solutions Dial-to-Hub, Click-to-Hub et SMS-to-Hub est le sous-traitant de son client en ce qui concerne le RGPD.

En tant que client de Dial Once, suis-je concerné par le RGPD ?

Oui vous êtes concernés par le RGPD : Les solutions Dial Once collectent et traitent pour votre compte des données personnelles. Les données traitées dépendent des scénarios et interfaces mis en place grâce aux solutions Dial Once. Dans la plupart des cas « simples » de digitalisation basique des appels ou de la relation client, ces données sont minimisées (voire pseudonymisées puisque l’ensemble de ces données ne permet pas d’identifier directement la personne concernées). Dial Once n’a pas besoin des noms, prénoms, ni des adresses email des personnes concernées pour fonctionner. Vous pouvez, bien-sûr, faire des recoupements avec vos propres jeux de données à caractère personnel une fois que les données collectées et traitées par Dial Once vous auront été transmises. De plus, les scenarios et interfaces que vous mettez en œuvre peuvent aussi collecter et traiter des données diverses et variées, dont des identifiants (nom, prénom, numéro de dossier, etc.).

Quels sont mes devoirs et obligations en tant que responsable du traitement ?

- Informer les personnes concernées

Notamment sur votre identité, les finalités des traitements, les catégories de données personnelles traitées, la durée de conservation des données, l’existence de droits, etc. Il faut généralement adapter vos documents contractuels (CGU, CGV, mentions légales, politiques de confidentialité…) et les documents d’information à l’usage des personnes concernées. Des versions de ces documents peuvent être mises à disposition des personnes concernées directement dans les interfaces des solutions Dial Once (il est possible de ne mettre que des informations succinctes si la place est restreinte et de renvoyer à des documents publics, notamment ceux présents sur vos sites web)

- Permettre aux personnes concernées d’exercer leurs droits

Par exemple le droit d’accès (« quelles sont toutes les données que vous avez sur moi ? ») ou le droit d’effacement (« effacez toutes les données que vous avez sur moi »). Certains droits, dont le droit d’effacement, ne s’appliquent pas de façon exhaustive quand d’autres obligations existent (obligation de garder factures, devis et bons de commande pendant 10 ans, etc.)

- Garantir la confidentialité, la disponibilité et la sécurité des données à caractère personnel. - Produire une documentation

Il est demandé de tenir à jour une documentation en ce qui concerne les traitements de données à caractère personnel : Le registre des traitements (vision macroscopique des traitements), la documentation sur les mesures techniques et organisationnelles.

- Éventuellement effectuer une analyse d’impact

Si les données traitées peuvent représenter un risque il est recommandé de mettre en œuvre cette bonne pratique. C’est même obligatoire dans certains cas (données sensibles, traitements à grande échelle, etc.). Cela vous aidera à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au règlement général sur la protection des données (RGPD).

Dois-je demander leur consentement aux personnes concernées avant de digitaliser ma relation client avec elles ?

Cela dépend de la raison pour laquelle vous digitalisez votre relation client avec les personnes concernées. Si cette raison est contractuelle ou précontractuelle (gestion de commandes, bons de commande, devis, factures, bons de livraison, notes d’honoraires, gestion de sinistre, etc.), vous n’avez pas besoin de recueillir le consentement de la personne concernée. Si cette raison est de remplir une obligation de service public (gérer les administrés ou les services d’une collectivité locale, etc.), il n’est pas nécessaire de recueillir le consentement. Vous n’en avez pas non plus besoin lorsque la finalité est de votre intérêt légitime, ce qui est généralement le cas de la gestion et l’optimisation de la relation-client, ou dans le cas de la gestion des contentieux, ou encore en ce qui concerne les données sur la santé si vous êtes un acteur dans le domaine de la santé soumis au secret professionnel. En d’autres termes, dans la plupart des cas réels de digitalisation de votre relation client, vous n’avez pas besoin de recueillir le consentement de la personne concernée pour collecter et traiter des données qui la concernent.

Si les finalités de votre traitement ne sont pas celles énumérées ci-dessus, il convient alors généralement de demander le consentement des personnes concernées avant de collecter leurs données. Si vous avez un doute concernant la situation de votre entreprise, contactez-nous par courriel : dpo@dial-once.com

Ainsi, les raisons (appelées finalités) pour lesquelles vous utilisez une solution Dial Once sont importantes et les personnes concernées doivent en être informées. Ces informations pourront être transmises grâce aux textes explicatifs mis à disposition des personnes concernées lorsqu’elles accèdent aux interfaces Dial Once. Selon les cas il pourra s’agir de mentions légales, de politiques de confidentialité ou de conditions générales d’utilisation.

Par ailleurs, dans la plupart des cas, les personnes concernées doivent pouvoir s’opposer au traitement de leurs données à caractère personnel.

Les solutions Dial Once sont conçues afin que le consentement de la personne concernée puisse être recueilli quand c’est nécessaire ou utile et afin que les personnes concernées puissent immédiatement s’opposer à la digitalisation de la relation client si elles le désirent.

Quels sont les devoirs et obligations de Dial Once en tant que sous-traitant ?

Les sous-traitants ont le devoir et l’obligation de conseiller et d’assister leurs clients responsables de traitement, notamment en ce qui concerne :

- L’exercice des droits des personnes concernées

Les données personnelles collectées et traitées au sein des solutions Dial Once doivent pouvoir être retrouvées, extraites, effacées… Les solutions Dial Once étant conçues en intégrant le principe de minimisation des données collectées et traitées, il sera souvent nécessaire d’obtenir des détails supplémentaires pour identifier les données associées à une personne particulière : adresse IP et horodatage de la connexion, identifiants de téléphone et période d’utilisation associée, etc. Dial Once ne conserve pas les données plus de 12 mois (et parfois moins, selon les spécifications contractuelles), et donc seules les données collectées au cours des 12 derniers mois pourront être retrouvées dans les fichiers de Dial Once. Les clients peuvent garder les données le temps qu’ils désirent (du moment qu’ils en informent les personnes concernées et que c’est justifié au vu des finalités des traitements qu’ils effectuent). Les clients pourront alors effectuer des recoupements ou demander des détails supplémentaires pour identifier les données de digitalisation de la relation client associées à une personne concernée particulière.

A la demande de ses clients, Dial Once peut supprimer immédiatement les données concernant les personnes, du moment que les détails nécessaires à l’identification de ces données lui auront été transmis.

- Garantir la confidentialité, la disponibilité et la sécurité des données à caractère personnel

Les mesures mises en place par Dial Once renforcent ces garanties : Les données sont cryptées à tous les niveaux : lors de leur transmission à l’infrastructure Dial Once et lors de leur stockage. Le personnel de Dial Once n’a aucun moyen d’identifier une personne particulière avec les seules données qui sont nécessaires aux traitements qu’elle effectue pour le compte de ses clients.

- Documenter les traitements de données à caractère personnel.

Une fiche de registre des traitements effectués pour vous par Dial Once pourra vous être fournie, ainsi que d’autres documents utiles à votre devoir de documentation. Si vous désirez connaître la disponibilité de ces documents, contactez-nous par courriel : dpo@dial-once.com.

- Fournir des ressources pour les analyses d’impact de ses clients

Bien que ce ne soit pas requis dans son cas, Dial Once a effectué une analyse d’impact qui illustre la pertinence des mesures techniques et organisationnelle prises dans le cadre de la protection, la disponibilité et la confidentialité des données à caractère personnel traitées au sein des solutions Dial Once. Si vous désirez connaître la disponibilité de cette analyse d’impact, contactez-nous par courriel : dpo@dial-once.com

En quoi utiliser Dial Once est-il utile à ma conformité RGPD ?

En respectant les principes de minimisation des données collectées et traitées et de « confidentialité par défaut », la digitalisation de votre relation client grâce aux solutions Dial Once est un élément de votre conformité au RGPD.

Les mesures techniques et organisationnelles, en particulier le chiffrement des données et leur pseudonymisation sont aussi des facteurs de conformité, notamment aux fins de la réduction des risques qui doivent être pris en compte dans le cadre du RGPD (disponibilité, sécurité et confidentialité).

La conservation des historiques et la traçabilité mis en œuvre au sein des solutions Dial Once sont d’autres facteurs permettant de fournir des preuves de conformité à la demande. Pouvoir prouver sa conformité est en effet un des éléments clés du RGPD. Ainsi, il est beaucoup plus adapté et sécurisé de digitaliser votre relation client avec Dial Once plutôt que de collecter et traiter des données qui ne sont pas strictement nécessaires à l’optimisation de votre relation client.

Dois-je faire une déclaration CNIL ou modifier ma déclaration CNIL ?

Les déclarations CNIL disparaîtront le 25 mai 2018. Si vous digitalisez déjà votre relation client ou si vous collectez et stockez des données à caractère personnel dans le cadre de votre relation client (journaux d’appels par exemple), vous devriez déjà avoir effectué une déclaration à la CNIL. Dans tous les cas, il est recommandé de déclarer vos traitements à la CNIL avant le 25 mai 2018 (ou de modifier vos déclarations existantes), en tenant compte des spécificités du RGPD. Une déclaration CNIL est assez similaire à une fiche de traitement du registre des traitements selon le RGPD. Effectuer dès aujourd’hui une déclaration ou une formalité préalable à la CNIL, en tenant compte des spécificités du RGPD, serait alors un bon indicateur de prise en compte du RGPD, et constituerait une des premières actions de votre mise en conformité. Les traitements susceptibles d’engendrer des risques élevés doivent déjà avoir été déclarés à la CNIL. Si ce n’est pas le cas, il est recommandé de le faire au plus tôt.

Que dois-je faire en ce qui concerne les traitements de Dial Once ?

Information aux personnes concernées

Il faut généralement adapter les documents d’information aux personnes concernées, en y incluant des aspects techniques validant votre conformité (description du service, obligations pour le sous-traitant, mesures de sécurité…). Il faut aussi, généralement, élaborer un registre des traitements dans lequel les traitements effectués au sein des solutions Dial Once apparaîtront. Dial Once pourra fournir une fiche de registre pour ces traitements. Pour connaître la disponibilité de ces fiches, contactez-nous par courriel : dpo@dial-once.com.

Relations contractuelles

Les relations contractuelles qui régissent votre utilisation des solutions Dial Once doivent généralement être adaptées afin de décrire les obligations et responsabilités de chacun en ce qui concerne les données à caractère personnel. Dial Once peut vous proposer des clauses types.