Dolead & RGPD

Résumé

En résumé, la RGPD a forcé les organisations à être plus réfléchies dans leur approche de la collecte et du traitement des données personnelles, ce que nous accueillons et adoptons pleinement. Depuis le début, nos offres Dolead Campaign Manager et plus récemment notre offre Dolead Performance sont fondées sur un contrat à titre gratuit avec les utilisateurs.

D’autre part, nous avons nommé un délégué à la protection des données (DPO) pour guider le notre programme de mise en conformité et veiller à ce que Dolead se conforme à ses obligations en vertu du RGPD.

Notre DPO aidera les équipes de Dolead à travers le processus d'évaluation de l'impact sur la confidentialité des données (tel que requis par l'article 35 de la RGPD) pour reconnaître et minimiser les risques de protection des données.

Le principe de Privacy by Design fait partie intégrante de notre processus d'ingénierie produit.

Enfin, dans le cadre de notre programme de protection de la vie privée, tous nos employés ont reçu une formation sur ce sujet et continueront de recevoir cette formation chaque année, en plus d'une formation en sécurité spécifique à certains employés.

Nous avons également élaboré une procédure de vérification de notre politique de protection des données personnelles afin de nous améliorer continuellement.

Introduction

Le 25 mai 2018, le Règlement Général sur la Protection des Données («RGPD») entrera en vigueur. Il s’agit du règlement le plus important en matière de protection des données personnelles depuis plus de vingt ans ; le RGPD remplace la directive européenne sur la protection des données de 1995 et vise à renforcer les droits individuels des citoyens européens. Le RGPD a un champ d’application très large. Il est susceptible de s’appliquer à tout traitement de données à caractère personnel d’un résident de l’Union Européenne, quel que soit le lieu du traitement. Le non-respect du RGPD pourra entraîner de lourdes amendes qui peuvent atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Dolead est très attaché à la protection des données de ses clients et utilisateurs et met tout en œuvre pour se conformer aux nouvelles exigences. Nous avons mis en place un plan de mise en conformité avec le RGPD afin de respecter les nouvelles obligations et de permettre à nos clients d'utiliser les outils et services de Dolead en conformité avec le RGPD. Vous trouverez ci-dessous un résumé de la politique de Dolead en matière de protection des données personnelles.

Quel est notre statut ?

Lorsque vous faites appel à nos services, nous sommes responsables de traitement avec vous des données des utilisateurs et prospects que nous recueillons. En effet, le RGPD définit le responsable de traitement comme la personne « qui, seul(e) ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». En tant que notre client, vous déterminez la finalité de la collecte. En revanche, nous déterminons librement les moyens de cette collecte puisque nous vous mettons à disposition notre service et notre know-how en matière de marketing digital. Nous sommes, par conséquent, coresponsables de traitement et assumons à ce titre la même responsabilité que vous envers les utilisateurs et prospects. Cette responsabilité est, d’ailleurs, un gage de qualité pour les utilisateurs et prospects.

Dolead se plie scrupuleusement aux instructions du client quant à la finalité du traitement des données collectées.

Nous sommes, par ailleurs, responsable de traitement pour les données personnelles que nous collectons sur nos clients.

Les fondements de nos traitements

Tout d'abord, en tant que co-traitant, nous nous assurons que nous avons une base légale pour le traitement des données personnelles que nous mettons en œuvre. En ce qui concerne nos utilisateurs et prospects ce fondement est quasiment toujours le contrat. En effet, lorsqu’un utilisateur remplit une interface de mise en relation avec un professionnel, nous lui fournissons un service quand bien même ce service est gratuit. Parfois, nous pouvons être amenés à collecter des données supplémentaires qui doivent alors être volontairement renseignées par l’utilisateur ou le prospect. Dans ce dernier cas le fondement du traitement sera le consentement. Nous nous assurons toujours de l’existence d’un consentement express en soumettant à l’utilisateur ou au prospect une case à cocher pour valider sa demande. Nous vous rappelons qu’en tant que notre client vous êtes responsable de traitement et il vous revient de déterminer la finalité de la collecte et les données à collecter. Le principe de minimalisation que vous devez également respecter, vous impose de ne collecter que les données strictement nécessaires pour votre finalité. Il est de votre responsabilité de déterminer soigneusement les données à collecter par nous et d’utiliser ces données exclusivement pour la finalité déterminée.

Assistance aux clients et droits des personnes concernées

Le RGPD accorde de larges droits aux individus en ce qui concerne leurs informations personnelles. Aujourd’hui comme hier les individus concernés par la collecte (ci-après appelés « data subject ») disposent d’un droit d’accès à leurs données personnelles ainsi que d’un droit de rectification des données inexactes ou incomplètes. Dans certains cas les data subjects disposent d’un droit d’effacement (droit à l’oubli) et d’un droit d’opposition au traitement. Un droit nouveau est la limitation du traitement, applicable dans certaines hypothèses, et le droit à la portabilité des données.

Ces droits impliquent pour les responsables de traitement une organisation interne plus performante et une gestion des données personnelles plus fine afin de pouvoir répondre à bref délai à ces demandes.

Dolead a, en sa qualité de cotraitant, développé des outils qui répondent à ces demandes et qui seront utiles à nos clients pour être eux-mêmes conformes au RGPD. En effet, en tant que co-responsables de traitement les data subjects peuvent exercer leurs droits envers chacun d’entre nous et nous devons être capables de nous coordonner et de répondre rapidement aux demandes.

Nous avons développé des outils de suppression et d'exportation des données des utilisateurs finaux. Lorsque nous avons commencé à réfléchir au RGPD, il était important pour nous de créer des outils d’exportation et de suppression des données suffisamment sophistiqués pour fournir une réponse précise à nos clients aux utilisateurs et prospects plutôt que de fournir un outil générique unique. Notre équipe d'ingénierie a construit un outil capable d'exporter ou de supprimer des données d'événement pour un form_id spécifique ou de supprimer des propriétés spécifiques. Cet outil peut gérer n'importe quel type de requête. Dolead sera en mesure de récupérer ou de supprimer une propriété spécifique pour un utilisateur unique ou toutes les données pour un formulaire spécifique.

Les demandes de suppression et d'exportation d'événements seront traitées par notre équipe de support via un formulaire email à votre chargé de compte. Vous recevrez bientôt des informations supplémentaires relatives à la manière dont il faut nous soumettre une demande d’accès aux droits. Nous allons également ouvrir une API de suppression externe prête à être utilisée par le client d'ici la fin du mois de mai.

En matière de suppression des données plusieurs situations peuvent surgir :

  • Une demande de suppression vous parvient directement ; dans ce cas, soit vous êtes en capacité technique de supprimer les données conservées par Dolead dans l’interface que nous mettons à votre disposition, soit vous nous transférez la demande et nous procédons à la suppression ;
  • Une demande de suppression nous parvient ; nous allons vous transférer cette demande sans délais et, lorsque la demande est fondée, procéder immédiatement à la suppression des données.

Durée de conservation

Nous avons fait un travail particulier sur la durée de conservation des données des utilisateurs et prospects que nous collectons. Le RGPD nous impose de ne conserver les données que pour une période nécessaire aux fins de la collecte. Comme la mise en relation avec un professionnel est un contrat à exécution instantanée, nous nous sommes calés sur la période de prescription et supprimons les données au bout de 5 ans après la collecte. Cela permet d’éviter tout litige. Au bout de 3 ans après la collecte nous archivons les données.

Si vous avez des questions, vous pouvez toujours contacter help@dolead.com.

La sécurité organisationnelle et technique chez Dolead

Nous avons mis à plat notre organisation interne afin de nous assurer que l’accès par nos salariés aux données personnelles de nos clients, de nos utilisateurs et prospects est limitée au stricte nécessaire. Pour ce faire, nous avons vérifié nos systèmes et mis à jour les autorisations d'accès.

Au sein de Dolead, les droits d'accès sont fondés sur la fonction et le rôle au travail. Nous utilisons les concepts de « moindre privilège » et « nécessaire de savoir » pour faire correspondre les privilèges d'accès aux responsabilités définies. De plus, les employés de Dolead doivent se conformer à nos politiques sur la gestion sécurisée des données.

Seules les personnes que nous avons désignés comme «Need to Know» peuvent accéder aux données traitées par Dolead.

Nous avons, par ailleurs, amélioré notre système d’événements. Nous sommes en mesure de savoir qui accède quand à quelles données et qui a manipulé ou modifié les données. Nos salariés sont informés de cette traçabilité.

Nos salariés doivent signer un accord de confidentialité et seront formés sur la protection des données personnelles.

Nous analysons les vulnérabilités logicielles et disposons d'une plate-forme de gestion des informations et des événements de sécurité, qui assure une surveillance et nous alerte 24h / 24 et 7j / 7 en cas de brèches ou de problèmes techniques.

Dolead informera les clients, utilisateurs et prospects sans retard en cas de destruction, de perte, de modification, de divulgation ou d'accès aux données personnelles accidentelles, non autorisées ou illégales. Nous assisterons nos clients dans leurs obligations au titre des articles 32-36 du RGPD.

Mise à jour de notre documentation

Pour nous mettre en conformité avec le RGPD, nous avons modifié nos Conditions d'utilisation, avons élaboré une charte pour la protection des données personnelles et avons mis à jour notre charte sur les cookies.  

Les sous-traitants et Dolead

En tant que co-responsable de traitement Dolead a recours à des sous-traitants.

Dolead utilise, par exemple, Amazon Web Service («AWS») comme sous-traitant de stockage dans le nuage et n'héberge pas de données sur ses clients dans ses locaux. AWS est un fournisseur leader dans le  cloud et détient les meilleures certifications de sécurité de l'industrie, telles que SOC2 et ISO27001.

Tous nos sous-traitants sont choisis avec soin en collaboration avec nos supports techniques et juridiques.

Nous avons mis en place une procédure d'évaluation des risques des sous-traitants et veillons à ce qu’ils soient en conformité avec le RGPD.

Certains sous-traitants peuvent être localisés en dehors de l’Union européenne. Dans ce cas nous nous assurons qu’ils respectent un fondement valable pour le transfert des données personnelles en dehors de l’UE. En règle générale, nous travaillons majoritairement avec des sociétés extra-européennes qui ont adhéré au « Privacy Shield ».

Précisons que les serveurs propres de Dolead se trouvent en Europe.

Vous trouverez une liste de nos sous-traitants ici.  

Contactez nous

Si vous souhaitez obtenir plus d'informations ou poser des questions complémentaires, veuillez nous contacter à l'adresse legal@dolead.com.