Protection des données personnelles. Comprendre le RGPD.

En tant que PDG d’iovox, je sais que le nouveau règlement général sur la protection des données (« RGPD ») est un sujet d’intérêt et de préoccupation majeure qui peut être mal compris dans certaines industries. Il ne fait aucun doute que vous en avez entendu parler, tout comme la protection des données qui a fait la une des actualités récemment grâce à Facebook, nous avons estimé qu’une description claire de ces nouvelles règles pourrait vous être utile. Même si peux vous assurer qu’iovox a été, et sera toujours, un fervent défenseur de la confidentialité des données, nous voulions vous expliquer comment iovox se conforme aux normes du RGPD. Nous espérons que vous trouverez cet article utile et qu’il vous permettra une meilleure compréhension du RGPD et sa portée.

Avant de nous plonger dans le vaste monde de la protection des données, nous pensons qu’il est important que vous compreniez notre activité, ce que nous faisons et comment nous générons des revenus.

Chez iovox, nous utilisons les données téléphoniques pour aider nos clients à prendre de meilleures décisions pour leur entreprise et s’organiser pour être plus productifs. Nous gagnons de l’argent grâce aux services que nous vendons à nos clients. Il est important de noter que nous n’avons jamais vendu les données de nos clients et ne le ferons jamais. Même si vous utilisez la version gratuite de notre service, nous ne vendrons jamais vos données ni ne les utiliserons à des fins marketings visant à vous exposer à la publicité de tierces parties.

Nous vous encourageons à lire également nos deux derniers articles, (le premier écrit par notre directeur technique, Mark Carbonaro et le second par moi-même) traitant de la confidentialité des données et de la façon dont nous abordons la sauvegarde et la sécurité.

Nous avons toujours considéré les données de nos clients comme des biens leur appartenant. C’est à vous de décider avec qui vous les partagez et comment vous les utilisez.

Parlons maintenant des nouvelles lois sur la protection des données qui seront promulguées le 25 mai 2018 et de ce qu’iovox a mis en place afin de s’y conformer. La réglementation est complexe et rendue encore plus difficile avec l’incertitude du Brexit, cependant, nous avons une vaste expertise en termes de conformité à des réglementations complexes et nous nous engageons à rendre le RGPD compréhensible pour nos clients.

En résumé, le RGPD s’assure que vos données vous appartiennent. Toute donnée qui pourrait être utilisée pour vous identifier en tant qu’individu doit être identifiée et gérée avec le plus grand soin par la société qui la détient pour vous. Ce n’est pas un problème pour nous, c’est la façon dont nous avons toujours travaillé.

Contexte du règlement général sur la protection des données (RGPD) Le RGPD est une nouvelle loi conçue pour donner aux individus basés dans l’Union européenne (« UE ») le contrôle de leurs données personnelles. Bien que la loi trouve son origine dans l’UE, les implications s’étendent au-delà de ses frontières et ont un impact sur les entreprises du monde entier concernant le lieu et la manière dont les données à caractère personnel des résidents de l’UE sont conservées. Les règlements créent également de nouveaux droits pour les personnes basées dans l’UE en ce qui concerne la manière dont leurs données sont traitées, entre autres.

Qu’entend-on par « données personnelles » ? Si cela n’est pas déjà le cas, vous entendrez l’expression Données Personnelles (« DP ») assez souvent. La DP est le fondement du RGPD et représente « toute information relative à une personne physique identifiée ou identifiable (« personne physique identifiée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement ». En bref, la DP représente tout élément d’information qui peut être utilisé pour vous identifier en tant qu’individu.

En pratique, il existe une variété d’éléments de données qui, seuls ou combinés, peuvent être utilisés pour déterminer l’identité d’une personne. Ces éléments comprennent les « identificateurs directs » et les « identificateurs indirects » comme votre nom, votre adresse électronique, votre numéro de téléphone, votre numéro de permis de conduire, votre numéro de passeport, votre date de naissance, votre sexe, etc. Ces données sont appelées DP et, dans le cadre du RGPD, ces données vous appartiennent et vous obtenez de nouveaux droits que vous n’aviez pas auparavant. Avant de parler de ces droits, il est important de comprendre quelques définitions plus importantes.

Processeurs de données et contrôleurs de données Au fur et à mesure que vous en apprendrez davantage sur le RGPD, vous entendrez aussi les termes « contrôleur de données » et « processeur de données », qui sont mentionnés assez souvent vu que ce sont des termes importants. Voici une définition simple de ce qu’ils signifient ainsi que leur impact sur la manière dont iovox interagit avec vous en tant que votre fournisseur de services.

Un responsable du traitement des données est la personne ou l’entreprise qui décide de ce qui est fait avec les données. Ils contrôlent efficacement les données, les transmettant à un sous-traitant pour qu’il les utilise aux fins prévues par le responsable du traitement. Dans le cas d’iovox, la personne ou l’entreprise qui enregistre les appels dans notre plateforme d’analyse ou notre application mobile est un contrôleur de données. Le seul moment où iovox est un contrôleur de données, c’est lorsque nous vous vendons nos services.

Un responsable du traitement des données est le destinataire des données saisies dans ses systèmes par le responsable du traitement des données. Ils font ce que le responsable du traitement leur a demandé de faire. Avec iovox, lorsque vous faites des appels via notre plateforme ou prenez des notes dans notre application sur un appel que vous venez de terminer ou mettez ces mêmes notes dans le système CRM de votre entreprise, nous devenons un processeur de données de vos informations et nous agissons selon vos instructions en fonction des services pour lesquels vous vous êtes inscrit.

Droits et obligations en vertu du RGPD Maintenant que nous avons établi nos rôles respectifs en ce qui concerne les services iovox (vous êtes le contrôleur, nous sommes le processeur, sauf dans le cas d’actions marketing), parlons des nouveaux droits des individus basés dans l’UE.

Dans le cadre du RGPD, les personnes dans l’UE ont le droit, dans certaines circonstances, d’être informées, d’accéder, de rectifier et de déplacer la DP qui les concerne. En d’autres termes, le droit d’être informé permet aux personnes de demander aux responsables du traitement quelles informations ils détiennent les concernant, pourquoi ils les détiennent, depuis combien de temps, ce qu’ils en font, ce qu’ils ont l’intention d’en faire et s’ils les transfèrent à l’extérieur de l’UE.

Si vous découvrez qu’une entreprise possède des renseignements inexacts à votre sujet, vous avez le droit de contacter l’entreprise pour lui demander d’apporter immédiatement les corrections nécessaires. Vous pouvez également demander une copie numérique de toutes les données vous concernant et les entreprises sont tenues de fournir cette information dans le mois suivant la réception de la demande (voir « comment demander mes informations à une entreprise ? » ci-dessous). Les droits de portabilité sont conçus pour vous permettre de transférer vos données d’un contrôleur à un autre.

Mais ce n’est pas tout ! Vous avez enfin le droit de vous opposer et de limiter le traitement de vos données personnelles, ainsi que le droit de les faire effacer (droit à « l’oubli »). Cela signifie que vous pouvez vous opposer à certaines utilisations de vos données (par exemple, si une entreprise vend vos informations à des annonceurs dans le cadre de leurs conditions générales). Le droit à l’oubli vous donne la possibilité de demander à une entreprise de supprimer toutes vos DP à condition qu’il n’y ait aucune « raison impérieuse » pour que le responsable du traitement des données continue à stocker ou à traiter ces données aux fins prévues à l’origine.

Comment puis-je demander mes informations à une entreprise ? Le RGPD fait référence à ce qu’on appelle une demande d’accès aux données personnelles (« DADP ») qui est un avis officiel que vous, en tant qu’individu, lancez auprès d’un contrôleur de données. Une fois qu’une DADP est soumise, l’entreprise a trente jours pour répondre à la demande. Bien que ces rapports soient généralement gratuits, les entreprises peuvent exiger certains frais pour les demandes non fondées ou excessives.

Quelles sont les exigences du RGPD pour iovox ? Dans le cas limité de notre rôle de contrôleur de données lors d’actions marketing, entre autres choses, le RGPD exige qu’iovox :

  • Soit transparent : nous devons être en mesure de vous expliquer quel DP nous recueillons, pourquoi nous le faisons, quel est le but visé et, si partagé avec d’autres tiers, la raison du partage. Ces éléments sont couverts dans nos conditions générales d’utilisation et notre politique de confidentialité.
  • Soit clair et simple : il s’agit d’une obligation pour nous de rendre nos descriptions et nos politiques faciles à comprendre afin qu’il y ait peu ou pas de confusion.
  • Explique la conservation des données : nous avons l’obligation de vous informer de la durée de conservation des données dans nos systèmes. Ceci est également couvert dans nos conditions générales d’utilisation.
  • Facilite le consentement : nous devons prendre des mesures supplémentaires pour nous assurer que lorsque vous nous donnez votre consentement (ou choisissez de révoquer votre consentement en fonction de vos droits), il est facile de le faire.

Pour réitérer, chez iovox, nous avons toujours mis l’accent sur vos droits à la confidentialité et à la protection des données. Comme nous ne comptons pas sur vos données pour des revenus publicitaires, cela nous facilite un peu les choses puisque nous n’avons aucune raison de recueillir ou de traiter des renseignements personnels au-delà de ce qui est nécessaire pour que nos services fonctionnent pour nos clients. En termes de RGPD, il s’agit de la « finalité » de notre utilisation de vos données.

Si nous vous avons commercialisé nos services et que vous avez choisi de recevoir des informations de notre part, nous aurons un registre de ces interactions. Conformément au RGPD, vous aurez la possibilité d’être retiré de toute activité marketing spécifique, comme nous le faisons aujourd’hui en conformité avec d’autres règlementations concernant les actions marketing par courriel et par téléphone en Amérique et ailleurs.

Si vous êtes également client, nous aurons besoin de conserver vos informations commerciales à des fins de facturation et de support technique. Celles-ci seraient admissibles en vertu des dispositions relatives à la « finalité » prévue du RGPD.

En ce qui concerne nos offres de services de base, il y a deux domaines dans lesquels la DP d’un client serait impliquée. Premièrement, pour notre service traditionnel de suivi des appels entrants, où nous utilisons les données téléphoniques générées sur notre réseau pour aider nos clients à prendre des décisions sur la performance de leur entreprise. Deuxièmement, pour nos services gratuits, comme notre application mobile, nous enregistrons les appels téléphoniques et toutes les notes ou commentaires de nos clients dans un système qui permet de récupérer ces données à une date ultérieure ou de les intégrer dans un système CRM tiers.

En tant que groupe de sociétés, nous nous conformons également aux exigences de transfert de données de RGPD par le biais d’accords de transfert de données intragroupe entre notre société mère et nos filiales. Ces accords comprennent les clauses types qui ont été approuvées par l’UE pour les transferts de données en dehors de l’UE.

Encore une fois, pour rappel, nous n’avons jamais vendu de données clients et nous ne le ferons jamais.

La société iovox dispose-t-elle d’un délégué à la protection des données (« DPD ») ? En vertu de ces nouvelles règles, iovox n’est pas tenu d’avoir un DPD, cependant, avec notre équipe interne et nos conseillers juridiques, nous avons analysé en profondeur les exigences du RGPD et avons mis en place une équipe interne dédiée pour nous assurer que nous continuons à respecter les normes de protection de la vie privée que nous avons prises depuis que Belinda et moi-même avons commencé notre société en 2007.

Quelle est la prochaine étape ? Nous espérons que cet aperçu vous a été utile. Pour ceux d’entre vous qui souhaitent approfondir le sujet du RGPD, nous vous encourageons à consulter ce document source auprès de la Commission nationale de l’informatique et des libertés (« CNIL »).

–Ryan Gallagher, Co-fondateur et PDG d’ iovox