Qu'est-ce que le RGPD ?

Le RGPD est une loi sur la confidentialité et la protection des données à l'échelle de l'UE qui donne aux individus plus de contrôle sur leurs données personnelles. Il s'applique lorsqu'une personne traite les données personnelles des résidents de l'Union européenne, quel que soit l'endroit où se trouve la personne ou l'entité effectuant le traitement.

Le RGPD s'applique à toute entreprise mondiale, et pas uniquement aux entreprises basées dans l'UE et aux résidents de l'UE. Les données de nos clients ont la même importance, quel que soit l'endroit où ils se situent. Ainsi, nous prévoyons de mettre en œuvre des contrôles RGPD comme norme de base pour toutes nos opérations et dans le monde entier.

Le RGPD devient exécutoire le 25 mai 2018.

Qu'est-ce que les données personnelles ?

Les données personnelles se composent de tout ce qui peut permettre d'identifier une personne.

Le RGPD inclut un vaste éventail d'informations qui peuvent être utilisées seules ou en combinaison avec d'autres éléments d'information pour identifier une personne. Les données personnelles s'étendent au-delà du nom ou de l'adresse e-mail d'une personne. En voici des exemples : informations financières, opinions politiques, données génétiques, données biométriques, adresses IP, adresse physique, orientation sexuelle et origine ethnique.

Comment Zoho se prépare-t-il au RGPD ?

En vue du RGPD, Zoho a mis en place certaines mesures afin de se conformer au nouveau règlement.

  • Nous avons sensibilisé les membres de notre organisation grâce à de fréquentes discussions dans nos canaux internes et formé les employés pour qu'ils gèrent les données de manière appropriée. Ils comprennent maintenant l'importance de la sécurité de l'information et les normes rigoureuses définies par le RGPD.
  • Nous avons évalué individuellement tous les produits Zoho par rapport aux exigences du RGPD et mis en œuvre de nouvelles fonctionnalités qui vous donneront davantage de contrôle sur vos données et vous aideront à respecter le RGPD.

     

    Découvrez ce que certains de nos produits ont mis en œuvre pour se préparer au RGPD.

    Zoho CampaignsZoho CRMZoho Forms
    Zoho MailZoho SalesIQZoho Cliq
    Zoho PageSenseZoho SocialZoho Motivator
    Zoho ProjectsZoho WriterZoho Desk
    Zoho AssistZoho RecruitZoho People
    Zoho CreatorZoho ReportsZoho Flow
    Zoho Vault  
  • Nous avons assemblé un inventaire de données personnelles qui comprend tous les rôles que Zoho assume (responsable du traitement et gestionnaire de données, par exemple). Ceci inclut plusieurs catégories de données à caractère personnel traitées par notre organisation et nous a aidés à déterminer quel département accède à quelles données et dans quel but.
  • Nous sommes en train d'évaluer nos sous-traitants (fournisseurs de services tiers, partenaires) et de rationaliser le processus de contrat avec eux, afin de nous assurer qu'ils répondent aux besoins urgents de la situation actuelle en matière de sécurité et de confidentialité.
  • Nous avons nommé des champions internes de la confidentialité pour l'ensemble de nos équipes. Nous sommes sur le point de nommer un délégué à la protection des données (DPO). Cela devrait se faire très prochainement.
  • Nous sommes constamment en voie d'obtenir des certifications de sécurité supplémentaires et des labels de confidentialité des données. Nous documentons également nos processus et nos procédures, jusque dans les moindres détails de nos actions.
  • Nos équipes d'application ont adopté le concept de la confidentialité dès la conception et travaillent pour vous offrir davantage de contrôle sur les données que vous stockez dans nos systèmes. Ces dispositions peuvent varier en fonction des caractéristiques du produit et du domaine. Nos équipes travaillent sur ces fonctionnalités et améliorations, qui seront déployées en plusieurs phases.
  • Nous avons modifié notre avenant relatif au traitement des données (basées sur les clauses contractuelles types) pour respecter les exigences de traitement des données du RGPD. Sur demande, nous vous communiquerons l'avenant relatif au traitement des données révisé pour vous permettre d'être en conformité avec les obligations du RGPD. Veuillez envoyer un e-mail à gdpr-compliance@zohocorp.com pour demander une copie de l'avenant relatif au traitement des données.
  • Nous avons effectué des évaluations de l'impact de la protection des données (DPIA). En fonction des résultats, nous mettons en place des contrôles appropriés sur le traitement et la gestion des données.
  • Nous avons effectué des vérifications internes de nos produits, de nos processus, de nos opérations et de notre gestion. Ces conclusions ont été communiquées à nos équipes, qui travaillent à résoudre les éventuels problèmes qui subsistent.
  • En fonction des DPIA et des vérifications internes, nous avons amélioré nos méthodes et processus de sécurité des données. Cela inclut le chiffrement des données au repos, basé sur le degré de sensibilité et la probabilité des risques. Nous développons également nos propres outils pour améliorer la gouvernance et la découverte des données.
  • Nous nettoyons nos bases de données afin de nous assurer que nous disposons seulement des informations les plus récentes et les plus précises. Ce processus de nettoyage comprend la suppression des comptes résiliés et dormants conformément à nos conditions d'utilisation.
  • Le cas échéant, des notifications de violation seront rédigées conformément à notre politique interne d'intervention en cas d'incident de confidentialité. Les clients seront avisés de l'existence d'une violation dans un délai de 72 heures suivant la constatation par Zoho. Pour les incidents généraux, nous informerons les utilisateurs par le biais de nos blogs, forums et médias sociaux. Pour les incidents spécifiques à un utilisateur ou à une organisation, nous informerons la partie concernée par e-mail (via son adresse e-mail principale).
  • Nous avons révisé notre politique de confidentialité afin d'intégrer les exigences des lois en matière de confidentialité applicables en fonction de notre inventaire de données, de nos flux de données et de nos pratiques de traitement de données.

Rejoignez la session de questions-réponses sur forum en direct et obtenez des réponses à vos questions sur la politique de confidentialité de Zoho mise à jour conformément au RGPD. Faites la demande dès aujourd'hui !

Questions fréquemment posées :

1. Qu'est-ce que le RGPD ?

  • Le Règlement général sur la protection des données (RGPD) de l'UE transforme radicalement les lois sur la protection de données et la confidentialité. L'UE a pris conscience que contrairement à la technologie, qui a considérablement évolué au cours de ces dernières décennies, les lois sur la confidentialité n'ont pas changé. En 2016, les organismes de réglementation de l'UE ont décidé de réviser la Directive 95/46/CE sur la protection des données personnelles pour l'adapter au contexte actuel. Cette loi crée une liste complète de réglementations qui régissent le traitement des données personnelles des résidents de l'UE.

2. À qui ce règlement s'applique-t-il ?

  • Le RGPD s'applique à toute organisation manipulant les données personnelles de résidents de l'UE. Cette loi impose de nouvelles obligations aux gestionnaires de données tout en définissant précisément la responsabilité du responsable du traitement.

3. Quel est le champ d'application géographique du RGPD ?

  • Cette loi ne connaît pas de limite territoriale. Le pays dans lequel votre organisation est implantée n'a aucune importance : si vous traitez les données personnelles de ressortissants de l'UE, vous êtes soumis à la juridiction de la loi.

4. Quelles sont les sanctions applicables en cas de non-conformité ?

  • Toute infraction au RGPD entraîne une amende pouvant atteindre 4 % du chiffre d'affaires mondial de l'entreprise contrevenante ou 20 millions d'euros (le montant le plus élevé étant retenu).

5. Quelles sont les principales parties prenantes ?

  • Personne concernée : personne physique résidant dans l'UE visée par les données.
  • Responsable du traitement : détermine le motif et les moyens de traitement des données.
  • Gestionnaire de données : traite les données à la demande du responsable du traitement.
  • Autorités de surveillance : autorités publiques chargées de contrôler l'application du règlement

6. Que sont les données personnelles ou renseignements permettant d'identifier une personne ?

  • Toute information concernant une personne physique identifiée ou identifiable. Les identifiants se déclinent en deux types : les identifiants directs (par exemple, le nom, l'adresse e-mail, le numéro de téléphone, etc.) et les identifiants indirects (par exemple, la date de naissance, le sexe, etc.).

7. Quels sont les principaux changements par rapport à la réglementation précédente ?

  • Nouveaux droits et amélioration des droits existants des personnes concernées : cette loi accorde aux individus une autorité complète sur leurs données personnelles. Voici certains des droits mis en évidence dans le règlement :
  • Consentement explicite : les personnes concernées doivent être informées au sujet des données qui seront traitées. Les organisations doivent permettre aux personnes concernées de retirer leur consentement avec autant de facilité qu'elles l'ont accordé.
  • Droit d'accès : à tout moment, la personne concernée peut demander au responsable du traitement quelles sont les données personnelles stockées ou conservées à son sujet.
  • Droit à l'oubli : la personne concernée peut demander au responsable du traitement de supprimer de ses systèmes les informations personnelles à son sujet.
  • Obligations des gestionnaires : le RGPD a également renforcé les responsabilités et les obligations des gestionnaires de données. Les gestionnaires doivent pouvoir justifier de leur conformité au RGPD et suivre les instructions du responsable du traitement.
  • Délégué à la protection des données- Les organisations peuvent devoir désigner un membre du personnel ou un fournisseur de services externe chargé de superviser la conformité au RGPD et les pratiques générales de gestion de la confidentialité et de protection des données.
  • Analyses d'impact sur la vie privée (PIA)- Les organisations doivent réaliser des études d'impact sur la vie privée de leur traitement des données à grande échelle afin de déceler les risques et d'identifier des mesures permettant de les atténuer.
  • Notification de violation- Les responsables du traitement doivent avertir les parties prenantes (l'autorité de surveillance et, le cas échéant, les personnes concernées) dans les 72 heures suivant la constatation de de la violation.
  • Portabilité des données : le responsable du traitement doit être en mesure de fournir aux personnes concernées une copie de leurs données personnelles dans un format lisible par un ordinateur. Si possible, elles doivent pouvoir transférer les données à un autre responsable du traitement.

8. Quelles sont les bases légales que le responsable du traitement peut utiliser pour traiter les données du client ?

  • Le responsable du traitement peut choisir entre six bases de traitement des données. Les voici :
  • Contrat : cela s'applique lorsque vous devez traiter les données personnelles du client afin de vous acquitter de vos obligations contractuelles ou prendre certaines mesures en vous basant sur la demande du client (l'envoi d'un devis ou d'une facture, par exemple).
  • Obligation légale : cela s'applique lorsque vous devez vous conformer à une obligation en vertu de toute loi applicable (en fournissant des informations pour répondre à des demandes valides, dans le cadre d'une enquête menée par une autorité, par exemple). 
  • Intérêts vitaux : cela s'applique aux questions de vie et de mort urgentes, en particulier aux données sur la santé.
  • Tâche publique : cela s'applique aux activités des autorités publiques. 
  • Intérêts légitimes : les intérêts légitimes peuvent comprendre des intérêts commerciaux, tels que le marketing direct, les intérêts individuels ou les avantages sociétaux plus vastes. Le responsable doit documenter et tenir à jour un registre des décisions sur les intérêts légitimes sous la forme d'une évaluation des intérêts légitimes.
  • Consentement : le consentement est également une base légale pour traiter des données. Le consentement de la personne concernée désigne « toute indication donnée librement, spécifique, informée et sans équivoque du souhait de la personne concernée par lequel elle, via une déclaration ou par une action positive claire, signifie son accord pour le traitement des données personnelles qui se rapportent à elle ». 

9. À quoi correspond l'acronyme LIA ?

  • LIA représente l'évaluation des intérêts légitimes (Legitimate Interests Assessment). Elle indique le motif pour lequel une organisation souhaite traiter les données personnelles d'un client. L'organisation doit également effectuer une LIA pour montrer que le traitement est nécessaire.
  • L'évaluation qui détermine si un intérêt légitime existe.
  • L'établissement de la nécessité de traitement.
  • L'exécution du test d'équilibrage.

10. Le RGPD exige-t-il que les données personnelles des ressortissants de l'UE demeurent sur le territoire de l'UE ?

  • Non, le RGPD n'exige pas que les données personnelles des ressortissants de l'UE demeurent sur son territoire, ni n'impose de nouvelles restrictions au transfert des données personnelles en dehors de l'UE. Notre avenant relatif au traitement des données, qui répertorie les clauses types de la Commission européenne, continuera d'aider nos clients à faciliter le transfert de données personnelles de ressortissants de l'UE en dehors de l'UE.

11. Où mes données se trouvent-elles ?

  • Les données des clients zoho.com se trouvent dans nos centres de données aux États-Unis et celles des clients zoho.eu se trouvent dans nos centres de données de l'UE.

12. Où puis-je trouver des ressources supplémentaires sur le RGPD ? 

Ressources :

Notre engagement continu envers votre confidentialité - Sridhar Vembu, PDG de Zoho Corp.

RGPD - L'essentiel

N'hésitez pas à poser des questions et à nous faire part de vos préoccupations à l'adresse privacy@zohocorp.com.

Choisissez la confidentialité. Choisissez Zoho.

En savoir plus sur la préparation de Zoho au RGPD.

  • bsi-assurance
  • Privacy Shield (bouclier de confidentialité UE-États-Unis)
  • TRUSTe
  • SOC

Exclusion de responsabilité : les informations figurant dans ce document ne doivent pas être considérées comme un avis juridique. Nous vous recommandons de consulter un conseiller juridique pour connaître les actions à effectuer pour vous conformer aux exigences du RGPD.