Quels sont les
points de conformité à la RGPD
chez GetQuanty ?
- Data Privacy Officer
DPO : Data Privacy Officer
Xavier PAULIK
Notre DPO est un réel « chef d’orchestre » principalement chargé d’informer et de conseiller notre responsable de traitement et nos sous-traitants, mais aussi nos employés.
Concrètement, il s’informe sur les nouvelles obligations, assiste la direction générale sur les conséquences des traitements, en réalise l’inventaire, concoit des actions de sensibilisation et de pilotage en continu la conformité. Il est impliqué en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, toutes les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées lui ont été donnés.
DPO : Data Privacy Officer
Xavier PAULIK
Notre nouveau data protection officer (DPO) a désormais des pouvoirs élargis. Il exerce un contrôle des règles internes de protection et vérifie leur bonne exécution chez GetQuanty
- Registre des TraitementsLe registre des traitements chez GetQuanty tient à jour la documentation interne complète sur nos traitements de données personnelles pours’assurer que ces traitements respectent bien les nouvelles obligations légales. Ce registre comprend :
- les différents traitements de données personnelles,
- les catégories de données personnelles traitées ;
- les objectifs poursuivis par les opérations de traitements de données ;
- les acteurs (internes ou externes) qui traitent ces données;
- les flux indiquant l’origine et la destination des données.
Qui ?
les acteurs (internes ou externes) qui traitent ces données
- nom et les coordonnées du responsable du traitement
- responsables des services opérationnels traitant les données
- liste des sous-traitants.
Quoi ?
catégories de données personnelles traitées
données susceptibles de soulever des risques en raison de leur sensibilité particulière
Pourquoi ?
catégories de données personnelles traitées
les finalités pour lesquelles nous collectons et traitons ces données
Ou ?
origine et la destination des données
lieu où les données sont hébergées.
pays ou les données sont éventuellement transférées
Jusqu'à quand ?
conservation des données
temps de conservation des données
Comment ?
sécurité des données
liste des mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données
Respect du principe de minimisation
Respect des finalités explicites et légitimes de la prestation GetQuanty
Tous nos traitements respectent des finalités explicites et légitimes, et les volumes de données collectées suivent les mêmes principes. Dans le cadre de la « minimisation » : nous collectons uniquement les données nécessaires au service GetQuanty correspondant au service à rendre à nos clients
- Conformité des prestatairesGetQuanty effectue directement la majorité des activités de traitement des données nécessaires pour fournir les services GetQuanty. Cependant, nous employons également des fournisseurs tiers pour nous aider à offrir ces services. Chacun d'entre eux est soumis à une procédure de sélection rigoureuse pour veiller à ce qu'il dispose de l'expertise technique requise et soit en mesure de fournir le niveau de sécurité et de confidentialité adéquat.
Conformité des prestataires
Nous demandons à nos prestataires d'être conforme à la RGPD
Ce travail de vérification des conformités de nos prestataires est documenté et géré par notre DPO.
Sécurité des Infrastructures
Selon le RGPD, le responsable du contrôle des données et le prestataire du traitement doivent mettre en œuvre les mesures techniques et organisationnelles nécessaires pour garantir un niveau de protection adapté au risque encouru.
GetQuanty s'appuie sur le cloud de Google. Google gère une infrastructure mondiale conçue pour garantir un niveau de sécurité de pointe pendant l'intégralité du cycle de vie du traitement des informations. Cette infrastructure est conçue pour garantir la sécurité et la confidentialité de nos services à tous niveaux : déploiement, stockage des données avec boucliers de confidentialité de l'utilisateur final, communications entre les services et avec les clients par Internet, opérations effectuées par les administrateurs. Les services GetQuanty sont exécutés sur cette infrastructure.
Google a conçu la sécurité de l'infrastructure GetQuanty en couches qui se superposent : sécurité physique des centres de données, protections de nos matériels et logiciels, processus utilisés pour soutenir la sécurité opérationnelle. Cette protection en couches crée une sécurité de base solide pour toutes nos activités. Pour en savoir plus sur notre sécurité et son infrastructure, lisez le livre blanc Google Infrastructure Security Design Overview
Une infrastructure en couche sécurisée
GetQuanty s'appuis sur l'architecture sécurisée de Google Europe
Google garantit une infrastructure mondiale conçue pour garantir un niveau de sécurité de pointe pendant l'intégralité du cycle de vie du traitement des informations.
- Sécurité des données
La sécurité et la protection des données est l'un de nos principaux critères de conception. La sécurité sous-tend notre structure organisationnelle, nos priorités en matière de formation et nos processus d'embauche. Il façonne nos centres de données et la technologie qu'ils abritent. Elle est au cœur de nos opérations quotidiennes et de notre planification en cas de catastrophe, y compris la façon dont nous abordons les menaces.
Chiffrement et Protection HTTPS
Nous utilisons le chiffrement pour protéger les données lors de leur transfert et de leur stockage. Les données transférées vers GetQuanty sont protégées par un protocole HTTPS, activé par défaut pour tous les clients.
Chiffrement et Protection HTTPS Google Suite
Nous utilisons la suite de Google G suite pour stocker nos informations administratives, tels que emails, procédures, notes de synthese, contrats clients. Les services Google Cloud Platform procèdent automatiquement au chiffrement de nos données entreposées.
Chiffrement et Protection Google Cloud
Nous avons fait le choix de choisir la plateforme cloud (la plus) sécurisée du marché : nous avons choisi Google Cloud Platform pour stocker l'ensemble des données de production du service GetQuanty : données administratives de nos clients, remontées des logs analytiques, résolution entrerpises, reconnaissance et generation des leads, scoring comportemental, restitution et tableaux de bords. En tant que pionnier du cloud computing, les services cloud de Google sont conçus pour offrir une meilleure sécurité que de nombreuses solutions traditionnelles internalisées. Nous vous proposons de consulter le white paper de google cloud platform sur la sécurité.
Respect de la charte de conduite
Les niveaux et droits d'accès accordés aux employés GetQuanty dépendent de leur poste et de leur rôle. Les employés ont accès aux niveaux d'informations et uniquement à celles qui sont indispensables à l'exercice de leur fonction, à la hauteur des responsabilités qui leur ont été confiées. Tous nos employés adherent à notre Charte de bonne conduite
Sécurité maximum des données
Nous protégeons et chiffrons tous les échanges et données
Nous utilisons le chiffrement pour protéger les données lors de leur transfert et de leur stockage. nous utilisons les services de Google pour gérer notre infrastructure et notre sécurité. Les niveaux et droits d'accès accordés aux employés GetQuanty dépendent de leur poste.
- La gestion du consentementGetQuanty est une solution de Big Data qui collecte, traite et gère des actions de retargeting. Dans ce cadre, notre prestation collecte des données qui peuvent être AVEC (optin) ou SANS (optout) consentement.
SANS CONSENTEMENT
OPT OUT
La RGPD n'interdit pas de collecter et de traiter des données sans le consentement préalable des internautes. Certains de nos clients préféreront ce mode OPT OUT, en s'appuyant sur le texte de la CNIL de "la prospection commerciale par courrier électronique"
AVEC CONSENTEMENT
OPT IN
Nous conseillons fortement nos clients de gérer la mise en oeuvre de GetQuanty en obtenant le consentement explicite des internautes grâce a une pop up claire. Le consentement devra repose sur une décision « informée » de chaque personne et sur une action positive (un « oui » verbal sans ambiguïté ou une case à cocher non pré-cochée…)
Si vous êtes clients GetQuanty, il existe donc 2 choix :
Scénario OPTOUT : pour mémoire, vous avez le droit d'envoyer des emails à des professionnels B2B. selon la (dérogation de la CNIL voir ci dessus). Dans ce scénario, vous ne changez rien à vos méthodes d'envoi d'emailing comme vous le faisiez jusqu'a maintenant :
- Choisir dans GetQuanty un Persona comportant des décideurs intéressés par vos solutions
- Créez et envoyez votre séquence d'emails dans le REA (Retargeting Email Automation)
- Un décideur ne veut plus recevoir vos communications. Il clique dans un lien "se désabonner"
- GetQuanty gère automatiquement son désabonnement.
Scénario OPTIN : pour mémoire, il vous faut obtenir un consentement clair de votre interlocuteur. Dans ce scénario, vous devez changer votre séquence d'envoi d'emails comme suit :- Choisir dans GetQuanty un Persona comportant des décideurs intéressés par vos solutions
- Créer un premier email de demande d'optin avec un lien clair d'obtention de son consentement
- Un décideur ne veut plus recevoir vos communications. Il clique dans le lien "se désabonner"
- GetQuanty gère automatiquement son désabonnement.
- Créez et envoyez votre séquence d'emails dans le REA (Retargeting Email Automation) pour tous les décideurs désormais OPTIN.
En conclusion :- vous pouvez commencer par un scénario OPTOUT puis OPTIN si votre politique change.
- vous pouvez adopter directement le scénario OPTIN. Ce scénario est généralement recommandé par nos grands clients comme Orange, Engie, SFR
Respect de la gestion du consentement
Du fait du caractère B2B des données , vous avez le choix entre OPTIN et OPTOUT
En suivant les recommandations de l'OPTIN, nos clients sont de fait compliant RGPD. Et ils le sont aussi en utilisant l'OPTOUT car les adresses emails professionnelles sont des données à caractères personnel qui bénéficient de la dérogation de la CNIL. De plus, les données des personnes morales telle que nom d’entreprise et les adresses emails génériques contact@denomination.com ne sont pas assujetties a la RGPD.
Dans tous les cas, il est nécessaire d’informer sur les conditions de traitement des données, respecter le droit d’opposition (lien de désinscription) et s’assurer que la sollicitation soit en rapport avec la profession de la personne démarchée. Expertise et Fiabilité
GetQuanty emploie des professionnels de la sécurité et de la confidentialité, experts en sécurité des informations, des applications et des réseaux. Leur objectif : gérer les systèmes de défense de l'entreprise, développer des processus d'examen de la sécurité, concevoir l'infrastructure de sécurité, et mettre en œuvre les règles de sécurité de GetQuanty.
GetQuanty emploie également un cabinet d'avocat, expert en conformité vis-à-vis des réglementations et spécialiste du B2B qui veille à garantir la conformité de l'entreprise en matière de confidentialité et de sécurité.
Expertise, Fiabilité et Ressources
Expertise relative à la protection des données
Nos équipes interagissent avec les clients, les parties prenantes du secteur et les autorités de contrôle pour concevoir nos services GetQuanty de façon à répondre aux besoins de votre entreprises en matière de conformité.
Engagement Relatif
à la protection des donnéesNos accords sur le traitement des données pour la solution GetQuanty définissent clairement nos engagements envers les clients en matière de confidentialité. Nous les faisons régulièrement évoluer en fonction des commentaires de nos clients et des organismes de régulation.
Plus récemment, nous avons spécifiquement mis à jour nos conditions afin qu'elles reflètent le RGPD. Nous avons publié cette version mise à jour bien avant l'entrée en vigueur du RGPD, afin de faciliter l'évaluation de la conformité et la préparation au RGPD pour nos clients qui utilisent les services GetQuanty .
Nos clients peuvent dès maintenant consulter les nouvelles conditions relatives au traitement des données. Les conditions mises à jour seront appliquées le 25 mai 2018, date d'entrée en vigueur du RGPD.
Engagement relatif a la RGPD
La protection de vos données nous tient à coeur
Toutes les données saisies par un client et ses utilisateurs dans nos systèmes seront traitées conformément aux instructions du client, telles qu'elles sont décrites dans nos accords actuels et mis à jour pour le RGPD sur le traitement des données.
- Confidentialité
Tous les employés GetQuanty sont tenus de signer un accord de confidentialité. Ils doivent également suivre des formations relatives à la confidentialité et à la vie privée, ainsi que la formation Code de conduite. Le code de conduite GetQuanty définit de manière spécifique les responsabilités et du comportement attendu des employés en matière de protection des informations.
Respect de la confidentialité par les employés
Tous nos employés respectent la confidentialité
Tous les employés GetQuanty sont tenus de signer un accord de confidentialité et de respecter le code de bonne conduite
Ce site traite de la thématique de la rgpd en B2B (Business to Business). pour promouvoir et respecter la protection des données personnelles et doivent être mis en conformité avec le règlement. Avez vous désigné un responsable ou un correspondant à la protection des données ? La mise en oeuvre de la rgpd est obligatoire pour être conforme au règlement, spécifiquement si vous traitez des données sensibles. En effet, toutesles entreprises doivent se mettre en conformité avec la réglementation et nommer si nécessaire un data protection officer dpo qui va respecter le cadre juridique européen existant. car on observe un élargissement des pouvoirs de contrôle de la cnil . Avez vous élaborer une politique de protection de la confidentialité ? Connaisseez vous les sanctions des autorités de protection de la vie privée ? Garentissez vous le droit à l information et à la consultation ? Savez vous conduire des analyses d impact sur la protection des données et respecter les règles de protection des données propres à votre site? Pour cela, il faut démontrer un intérêt légitime à traiter ces données et désigner un correspondant à la protection des donnée qui va vérifier la conformité avec le nouveau règlement européen sur la protection des données . Connaissez vous le cadre juridique relatif à la protection des données à caractère personnel ? Chaque internaute doit bénéficier d un droit d accès et de rectification aux informations. Avez vous constituez un registre des traitements informatique et libertés conformément à la loi informatique et libertés RGPD.