Présentation

L'Union européenne a franchi un cap décisif dans la protection du droit fondamental à la confidentialité de tous ses résidents avec le Règlement général sur la protection des données (RGPD), dont l'entrée en vigueur est prévue le 25 mai 2018. Pour résumer, les résidents de l'UE disposeront d'un plus grand droit de regard sur le type, le motif, le lieu et le moment d'utilisation, de traitement et de suppression de leurs données. Cette règle précise comment les lois relatives aux données personnelles des ressortissants de l'UE s'appliquent, y compris au-delà des frontières de l'UE. Toute organisation qui manipule les données personnelles des résidents de l'UE, quels que soient les modes et lieux de traitement, a l'obligation de protéger ces données. Zoho a pleinement conscience du rôle qui lui incombe, consistant à fournir les outils et processus appropriés pour aider ses utilisateurs et clients à remplir leurs obligations eu égard au RGPD.

L'engagement de Zoho

Zoho a toujours eu à cœur de respecter le droit à la protection et à la confidentialité des données de ses utilisateurs. Nous n'avons jamais compté sur la publicité comme une source de revenus. Nous n'avons jamais envoyé de publicités à nos utilisateurs, et ne le ferons jamais. Même les versions gratuites de nos produits sont exemptes de publicités. Cela signifie qu'il nous est inutile de collecter et traiter les informations personnelles des utilisateurs au-delà de ce qui est strictement nécessaire au bon fonctionnement de nos produits.

Au fil des années, nous avons démontré notre engagement envers la protection et la confidentialité des données en respectant les normes de conformité du secteur ISO 27001 et SOC 2 Type 2. Nous avons déjà mis en place des accords solides en matière de traitement des données, et nous les révisons actuellement afin de répondre aux exigences du RGPD. Zoho Corporation participe et a certifié sa conformité au cadre « EU-U.S. Privacy Shield Framework » (bouclier de protection des données UE-États-Unis) régissant les transferts de données aux États-Unis. Nous reconnaissons que le RGPD nous aidera à atteindre les normes les plus strictes en matière de protection des données clients.

Comment Zoho se prépare-t-il au RGPD ?

Avec plus de 130 applications cloud et sur site utilisées par plus de 30 millions d'utilisateurs répartis dans 190 pays, Zoho (au même titre que ses divisions commerciales ManageEngine et WebNMS) s'organise pour être en totale conformité avec le RGPD sur l'ensemble de ses applications au moment de l'entrée en vigueur de ce règlement. En sa qualité de gestionnaire de données, Zoho a conscience de devoir aider ses clients à se préparer pour le jour J. Nous avons attentivement examiné les exigences du RGPD et mis en place une équipe interne dédiée à leur respect au sein de notre organisation. Nos initiatives en cours incluent les suivantes :

  • Identification des données personnelles : chacune de nos 130 applications assume un niveau spécifique de collecte, d'utilisation, de stockage et de destruction des données personnelles. La définition de la portée de toutes ces applications en matière de données personnelles et le référencement des différentes sources de données contribueront pour beaucoup à établir une feuille de route pour la mise en conformité au cours des jours précédant la mise en œuvre.
  • Apport de visibilité et de transparence : l'aspect le plus important du RGPD est la manière dont les données recueillies sont utilisées. En sa qualité de gestionnaire de données, le rôle principal de Zoho consiste à fournir à ses clients (les contrôleurs de données) l'accès nécessaire pour gérer et protéger efficacement leurs données utilisateurs. Zoho explore des voies d'amélioration de ses produits n'entraînant aucune perte de performances et offrant une plus grande transparence à ses clients.
  • Amélioration de l'intégrité et de la sécurité des données : la confidentialité et la sécurité des données constituent les deux facettes d'une même réalité. Alors que nos clients renforcent leurs mesures de protection des données, Zoho souhaite leur venir en aide. Nous sommes en train de rationaliser les processus associés à nos applications cloud en mettant en œuvre des procédures et des stratégies informatiques offrant une sécurité de bout en bout.
  • Portabilité et transférabilité des données : le RGPD donne aux utilisateurs finaux le droit de recevoir toutes les données fournies et traitées par le contrôleur ou de les transférer à un autre contrôleur, sous réserve de faisabilité technique. Compte tenu de ce nouveau droit, Zoho s'efforce de renforcer ses capacités d'exportation de données de façon à permettre également l'exportation au niveau individuel.

Quelles sont les implications pour nos clients ?

Nous avons conscience que le respect des exigences du RGPD exigera beaucoup de temps et d'efforts. De plus, en vertu de notre partenariat, nous voulons vous aider à rendre votre processus aussi fluide que possible, afin de vous libérer des questions de conformité et de vous permettre de vous concentrer davantage sur vos activités. Certaines de nos améliorations de produits vont vous simplifier la vie :

  • Contrôles d'accès
  • Chiffrement, anonymisation ou suppression des données utilisateurs
  • Réalisation d'audits ou d'évaluations de données à l'aide de journaux de traitement des données
  • Création de dispositions relatives aux droits des personnes concernées
  • Renforcement de la sécurité des données utilisateurs

Comment préparer l'arrivée du RGPD ?

Si vous venez tout juste de démarrer la mise en conformité au RGPD au sein de votre organisation, voici une courte liste d'activités à garder à l'esprit.

  • Créer une équipe dédiée à la protection des données supervisant les activités liées au RGPD et menant des initiatives de sensibilisation
  • Examiner les processus de sécurité et de protection de la confidentialité en place et, le cas échéant, réviser vos contrats avec les tiers et les clients en vue de satisfaire aux exigences du RGPD
  • Identifier les données personnelles/renseignements collectés permettant d'identifier une personne
  • Examiner les processus de traitement, de stockage, de rétention et de suppression de ces informations
  • Évaluer les tiers avec lesquels vous échangez des données
  • Établir des procédures de réponse aux personnes concernées souhaitant faire valoir leurs droits
  • Établir et mener des évaluations des répercussions sur la vie privée
  • Créer des processus associés aux activités de notification en cas de violation de données
  • La sensibilisation continue des salariés est cruciale pour garantir le maintien de la conformité au RGPD

Pour plus d'informations sur le respect du RGPD dans les applications Zoho/ManageEngine/WebNMS :

Nous contacter

En savoir plus sur le RGPD

Qu'est-ce que le RGPD ?

  • Le Règlement général sur la protection des données (RGPD) de l'UE transforme radicalement les lois relatives à la protection et à la confidentialité des données. L'UE a pris conscience que contrairement à la technologie, qui a considérablement évolué au cours de ces dernières décennies, les lois sur la protection de la vie privée sont restées inchangées. En 2016, les organismes de réglementation de l'UE ont décidé de réviser la Directive 95/46/CE sur la protection des données personnelles pour la remettre au goût du jour. Cette loi crée une liste complète de réglementations qui régissent le traitement des données personnelles des résidents de l'UE.

À qui ce règlement s'applique-t-il ?

  • Le RGPD s'applique à toute organisation manipulant les données personnelles de résidents de l'UE. Cette loi impose de nouvelles obligations aux gestionnaires de données tout en définissant précisément la responsabilité des contrôleurs de données.

Quel est le champ d'application géographique du RGPD ?

  • Cette loi ne connaît pas de limite territoriale. Le pays dans lequel votre organisation est implantée n'a aucune importance : si vous traitez les données personnelles de ressortissants de l'UE, vous êtes soumis à la juridiction de cette loi.

Quelles sont les sanctions applicables en cas de non-conformité ?

  • Toute infraction au RGPD entraîne une amende maximale équivalente à 4 % du chiffre d'affaires mondial de l'entreprise contrevenante ou à 20 millions d'euros (le montant le plus élevé étant retenu).

Quelles sont les principales parties prenantes ?

  • Personne concernée : personne physique résidant dans l'UE visée par les données.
  • Contrôleur de données : détermine le motif et les moyens de traitement des données.
  • Gestionnaire de données : traite les données à la demande du contrôleur.
  • Autorités de surveillance : autorités publiques chargées de contrôler l'application du règlement.

Que sont les données personnelles ou renseignements permettant d'identifier une personne ?

  • Toute information concernant une personne physique identifiée ou identifiable. Les identifiants se déclinent en deux types : les identifiants directs (par exemple, le nom, l'adresse e-mail, le numéro de téléphone, etc.) et les identifiants indirects (par exemple, la date de naissance, le sexe, etc.).

Quels sont les principaux changements par rapport à la réglementation précédente ?

  • Nouveaux droits et amélioration des droits existants des personnes concernées : cette loi accorde aux individus une autorité complète sur leurs données personnelles. Les droits énoncés dans le nouveau règlement incluent les suivants :
    • Consentement explicite : les personnes concernées doivent être informées au sujet du type de traitement de leurs données personnelles. Les organisations doivent permettre aux personnes concernées de retirer leur consentement avec autant de facilité qu'elles l'ont accordé.
    • Droit d'accès : à tout moment, la personne concernée peut demander au contrôleur quelles sont les données personnelles stockées ou conservées à son sujet.
    • Droit à l'oubli : la personne concernée peut demander au contrôleur de supprimer de ses systèmes les informations personnelles à son sujet.
    • Portabilité des données : le contrôleur doit être en mesure de fournir aux personnes concernées une copie de leurs données personnelles dans un format qu'un ordinateur peut lire. Si possible, il doit être en mesure de transférer les données à un autre contrôleur.
  • Obligations des gestionnaires : le RGPD a également renforcé les responsabilités et les obligations des gestionnaires de données. Les gestionnaires doivent pouvoir justifier de leur conformité au RGPD et suivre les instructions du contrôleur de données.
  • Responsable de la protection des données : les organisations peuvent devoir désigner un membre du personnel ou un fournisseur de services externe chargé de superviser la conformité au RGPD et les pratiques générales de gestion de la confidentialité et de protection des données.
  • Évaluations des répercussions sur la vie privée : les organisations doivent réaliser des évaluations des répercussions sur la vie privée de leur traitement des données à grande échelle afin de déceler les risques et d'identifier des mesures permettant de les réduire.
  • Notification de violation : les contrôleurs doivent avertir les parties prenantes (l'autorité de surveillance et, le cas échéant, les personnes concernées) dans les 72 heures suivant la constatation d'une violation.

Le RGPD exige-t-il que les données personnelles des ressortissants de l'UE demeurent sur le territoire de l'UE ?

  • Non, le RGPD n'exige pas que les données personnelles des ressortissants de l'UE demeurent sur son territoire, ni n'impose de nouvelles restrictions au transfert des données personnelles en dehors de l'UE. Notre addenda relatif au traitement des données, qui répertorie les clauses types de la Commission européenne, continuera d'aider nos clients à faciliter le transfert de données personnelles de ressortissants de l'UE en dehors de l'UE.

Ressources