Réglementations en matière de protection des données à caractère personnel

Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :

• Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
• Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogée le 25 mai 2018 par le Règlement (UE) 2016/679.
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
• Charte des droits fondamentaux de l’Union européenne (2012/C 326/02).
• Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

TEEPTRAK s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD).

Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité. D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer.

Le Data Protection Officer (DPO): un acteur au service quotidien de la protection des données

François Coulloudon est le DPO de TEEPTRAK.

Le DPO dispose des ressources nécessaires pour exercer son rôle. Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre TEEPTRAK en matière de protection des données à caractère personnel.

En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de protection et traitement des données personnelles. Il est également l’interlocuteur de l’ensemble des clients et utilisateurs souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.

L’adresse à utiliser pour entrer en contact avec lui dans le cadre des données à caractère personnel est : gdpr@teeptrak.com

Le RGPD

Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018. Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales. À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.
Si vous êtes une structure traitant des données à caractère personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour TEEPTRAK qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.

Définitions

Comprendre les enjeux réels et précis d’un règlement européen n’est pas toujours chose aisée, surtout lorsqu’il comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. C’est pourtant essentiel afin d’éviter tout risque pouvant résulter d’une interprétation trop large ou imprécise des obligations réglementaires incombant à votre structure. La bonne compréhension des quelques termes définis ci-dessous est donc essentielle :

• Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
• Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
• Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
• Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

TEEPTRAK en qualité de sous-traitant

C’est certainement en cette qualité que vos attentes envers TEEPTRAK sont les plus importantes. TEEPTRAK est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.

C’est typiquement le cas lorsque vous utilisez les services de TEEPTRAK et stockez des données à caractère personnel sur une infrastructure TEEPTRAK. Dans la limite de ses contraintes techniques, TEEPTRAK ne pourra traiter les données stockées que selon vos instructions, et ce pour votre compte.

Données des utilisateurs sur nos infrastructures

Dans le cadre de l’utilisation de nos plateformes Internet (en partculier www.teeptrak.net), il est possible que des données personnelles soient stockées (noms, emails d’envoi des rapports, opérateurs d’équipements suivis). Il est possible en tout temps de contacter le DPO de TEEPTRAK pour connaître la nature des informations enregistrées. Nous nous engageons à accompagner le responsable de traitement (ie. l’entreprise utilisatrice) à la bonne gestion des données à caractère personnel.

Les engagements de TEEPTRAK en qualité de sous-traitant

En qualité de sous-traitant, TEEPTRAK s’engage notamment à mettre en œuvre les actions suivantes :

• Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : TEEPTRAK ne traitera jamais vos informations à d’autres fins (marketing, etc.).
• Ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas une infrastructure dans une zone géographique hors UE (par exemple nos infrastructures Chine).
• Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe TEEPTRAK.
• A mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
• Vous notifier dans les meilleurs délais en cas de violation de données.

FAQ : Qui est propriétaire des données à caractère personnel utilisées et stockées par le client dans le cadre des services ?

Les données hébergées par le client dans le cadre des services de TEEPTRAK restent la propriété du client.

TEEPTRAK n’y accède que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques et ne les utilise jamais sauf pour, de manière complètement anonyme, calculer l’impact sur la performance de ses systèmes dans la durée.

TEEPTRAK s’interdit toute revente desdites données, de même que toute utilisation à des fins personnelles (telles des activités de datamining, de profilage ou de marketing direct).

TEEPTRAK en qualité de responsable de traitement

TEEPTRAK est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.

C’est typiquement le cas quand TEEPTRAK collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsque TEEPTRAK traite les données à caractère personnel de ses propres salariés.

Dans cette hypothèse, « vos » données, celles que vous stockez sur les infrastructures TEEPTRAK (telle que teeptrak.net), ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur TEEPTRAK dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi TEEPTRAK tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.

• Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : TEEPTRAK ne traitera jamais vos informations à d’autres fins (marketing, etc.).
• Ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas une infrastructure dans une zone géographique hors UE (par exemple nos infrastructures Chine).
• Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe TEEPTRAK.
• A mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
• Vous notifier dans les meilleurs délais en cas de violation de données.

Sécurité des données

Dans le cadre de ses prestations, TEEPTRAK met en œuvre un ensemble de techniques et procédures pour garantir la sécurité des données.
Voici quelques informations concernant certains éléments mis en place :

• Chiffrement des données : Toutes les données transmises de la tablette utilisent un certificat SSL 256 bits de GeoTrust par protocole HTTPS
• Le traffic non-sécurisé (HTTP) est automatiquement redirigé vers le protocole encrypté (HTTPS)
• Chaque tablette connectée au système est identifiée par UDID (Unique Device IDentifier) et doit avoir été autorisée pour communiquer avec nos infrastructures.
• Chaque tablette possède en plus un jeton (Token) de sécurité dédié
• Les mots de passe sont encryptés en utilisant la méthode « Salt »
• Les données sont conservées maximum une semaine sur les tablettes avant d’être effacées (et donc uniquement disponibles sur la plateforme)
• Toutes les données sont sauvegardées en permanence sur une seconde infrastructure dédiée et physiquement isolée
• Nos systèmes sont protégés contre les attaques les plus classiques: SQL injection, Cross Site Scripting (XSS), Cross-Site Request Forgery, Header injection et plus.
• Chacune des briques matérielles peuvent perdre en connectivité sans qu’aucune information ne soit perdue. Tout se resynchronise lorsque les canaux de communication sont de nouveau opérationnels. Seul un défaut module Bluetooth engendre une perte d’information.

Nos infrastructure Europe utilisent exclusivement des serveurs dédiés chez OVH. Nous connaissons la localisation physique des données que nos clients nous confient. Plus d’information : https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml.

Adresses de notre fournisseur
• Siège: 2 rue Kellermann, 59100 Roubaix, France.
• Datacenter de nos serveurs Europe: GRA-1, Route de la Ferme Masson, 59820 Gravelines, France

Pour toute demande d’accès et/ou de rectification de données à caractère personnelle, vous pouvez contacter le DPO de TEEPTRAK, François Coulloudon, à l’adresse suivante : gdpr@teeptrak.com