Qu'est-ce que le RGDP?
Le RGDP, ou Règlement général sur la protection des données, est une loi complète sur la protection des données promulguée par l'Union européenne (UE) en mai 2018. Son objectif principal est de responsabiliser les individus et de renforcer leur contrôle sur leurs données personnelles dans un monde de plus en plus numérique. Le RGDP s'applique aux organisations, tant à l'intérieur qu'à l'extérieur de l'UE, qui traitent les données personnelles des citoyens de l'UE.
Les principes clés du RGDP sont les suivants :
Le consentement RGDP : Les organisations doivent obtenir un consentement explicite et éclairé avant de collecter et de traiter les données personnelles d'une personne.
Droits sur les données : Le RGDP accorde aux individus divers droits, tels que le droit d'accès, de rectification et de suppression de leurs données, ainsi que le droit à la portabilité des données.
Délégués à la protection des données (DPD) : Certaines organisations sont tenues de nommer des délégués à la protection des données pour superviser les efforts en matière de protection des données.
Sécurité des données : Les organisations doivent mettre en œuvre des mesures de sécurité solides pour protéger les données à caractère personnel contre les violations.
Signalement des violations de données : Le RGDP exige que les violations de données soient signalées en temps utile aux autorités et aux personnes concernées.
Respect de la vie privée dès la conception : Le RGDP encourage les organisations à prendre en compte la protection des données à chaque étape du développement d'un produit ou d'un service.
Champ d'application territorial : Le RGDP s'applique de manière extraterritoriale, ce qui a un impact sur les organisations du monde entier qui traitent les données des citoyens de l'UE.
Qu'est-ce qui a changé?
Le RGDP a constitué un changement important pour les normes mondiales en matière de protection de la vie privée. Il exige des organisations du monde entier qu'elles soient responsables de la protection des données des citoyens européens, quel que soit leur pays ou leur lieu de résidence. Si vous collectez, utilisez, transférez, manipulez, stockez, ou faites quoi que ce soit avec les données des citoyens européens au sein de votre entreprise, vous êtes très probablement soumis aux exigences de conformité du RGDP.
Bien que le règlement et ses exigences de conformité soient robustes, c'est une excellente occasion pour vous d'évaluer les activités actuelles de traitement des données de votre entreprise et de vous assurer que vous protégez les données de vos clients de manière appropriée.
À un niveau élevé, le RGDP exige ce qui suit de la part de votre cabinet comptable :
Audit des données : Identifier et documenter toutes les données personnelles traitées.
Politiques de confidentialité : Élaborer des politiques de confidentialité claires pour le traitement des données.
Consentement : Obtenir un consentement explicite pour le traitement des données. Ce consentement doit être clair et bien visible et peut être donné par l'une des méthodes acceptables telles qu'un formulaire, une communication écrite ou un contrat.
Mesures de sécurité : Mettez en œuvre des pratiques et des technologies appropriées en matière de sécurité des données au sein de votre entreprise.
Plan d'intervention en cas de violation : Préparez-vous à enquêter et à signaler en temps utile les violations de données identifiées au sein de votre entreprise.
Formation du personnel : Sensibilisez le personnel aux principes du RGDP. Cela peut se faire en dispensant une formation à la sécurité sur le RGDP et les pratiques en matière de confidentialité des données.
Vérification préalable des fournisseurs : Veillez à ce que les tiers mettent en œuvre une sécurité appropriée et se conforment au RGDP, le cas échéant.
Droits des personnes concernées : Établissez des procédures pour répondre aux demandes des personnes concernées.
Transferts internationaux de données : Conformez-vous aux règles de transfert de données transfrontalières.
Documentation : Conservez les archives des efforts de mise en conformité.
Conseil juridique : Faites appel à des experts juridiques pour assurer une conformité permanente.
Pour plus d'informations sur les points ci-dessus et sur la manière de rester en conformité avec le RGDP, consultez le site web du RGDP de l'UE et le site web de l'Information Commissioners Office (bureau des commissaires à l'information) du Royaume-Uni.
Karbon est-elle conforme au RGDP?
Nous prenons au sérieux nos responsabilités en vertu du RGDP et nous nous sommes assurés d'être conformes au RGDP.
Voici un aperçu des articles pertinents du RGPD, ainsi qu'un résumé des mesures que nous avons mises en œuvre pour garantir la conformité de Karbon.
Base légale
Le RGDP exige que toutes les organisations qui traitent des données de citoyens de l'UE ou du Royaume-Uni établissent une base légale pour mener des activités de traitement des données. Nos activités de traitement des données sont régies par nos conditions d'utilisation, qui sont lues et acceptées par les utilisateurs de l'application Web de Karbon au cours du processus d'enregistrement des nouveaux utilisateurs. Ces conditions constituent un contrat légal qui régit les activités de traitement des données que nous sommes autorisés à effectuer dans le cadre de l'utilisation de notre application web.
Karbon est un processeur de données
Notre évaluation interne de nos activités de traitement a déterminé que notre organisation est un responsable du traitement des données pour nos clients abonnés. Par conséquent, nous avons mis en œuvre des pratiques visant à garantir notre adhésion au RGDP pour les processeurs de données.
Droits des personnes concernées
En vertu du règlement général sur la protection des données (RGPD), les personnes concernées (les individus dont les données personnelles sont traitées) disposent de plusieurs droits qui leur permettent d'exercer un meilleur contrôle sur leurs données personnelles. Chacun de ces droits peut être demandé et exercé par les responsables du traitement des données autorisés et appropriés en contactant l'équipe de support client de Karbon (support@karbonhq.com).
Droit d'accès (Article 15) : Les personnes concernées ont le droit d'obtenir du responsable du traitement des données (l'entité qui collecte et traite les données) la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées. Elles peuvent demander l'accès à leurs données personnelles et recevoir des informations sur la manière dont elles sont traitées et sur les raisons de ce traitement.
Droit de rectification (Article 16) : Les personnes concernées peuvent demander la rectification des données à caractère personnel inexactes ou incomplètes détenues par les responsables du traitement.
Droit à l'effacement (droit à l'oubli) (Article 17) : Les personnes concernées ont le droit de demander l'effacement de leurs données à caractère personnel dans certaines situations, par exemple lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou lorsque la personne concernée retire son consentement.
Droit de restreindre le traitement (Article 18) : Les personnes concernées peuvent demander que le traitement de leurs données à caractère personnel soit temporairement interrompu. Ce droit peut être utile en cas de litige sur l'exactitude ou la légalité du traitement des données.
Droit à la portabilité des données (Article 20) : les personnes concernées peuvent demander que leurs données à caractère personnel soient présentées dans un format structuré, couramment utilisé et lisible par machine. Elles peuvent également demander le transfert de ces données à un autre responsable du traitement lorsque cela est techniquement possible.
Droit d'opposition (Article 21) : Les personnes concernées ont le droit de s'opposer au traitement de leurs données à caractère personnel, en particulier lorsque les données sont traitées à des fins de marketing direct ou d'intérêts légitimes.
Prise de décision automatisée et profilage (Article 22) : les personnes concernées ont le droit de ne pas être soumises à des décisions automatisées, y compris le profilage, qui produisent des effets juridiques ou significatifs sans intervention humaine. Ce droit est soumis à certaines exceptions.
Droit de retirer son consentement (Article 7) : Les personnes concernées peuvent à tout moment retirer leur consentement au traitement des données. Les responsables du traitement doivent faire en sorte qu'il soit aussi facile de retirer son consentement que de le donner.
Remarque importante
Les clients de Karbon conservent également la possibilité d'effectuer des activités au sein de leur locataire Karbon pour répondre à certaines des demandes susmentionnées, notamment :
Les clients de Karbon peuvent exporter leurs clients, leurs contacts, et leurs éléments de travail à partir de l'application Web de Karbon. Tous les courriels sont déjà stockés dans la boîte de réception du fournisseur de services de messagerie sélectionné.
S'il est nécessaire d'effacer les données d'un contact ou d'un client spécifique, les clients de Karbon sont en mesure d'effectuer ces actions eux-mêmes dans l'application (les administrateurs de système peuvent effectuer ces actions).
Pour l'effacement de plusieurs contacts ou toute autre suppression de données en masse, l'équipe de soutien à la clientèle de Karbon est en mesure d'effectuer ces suppressions sur demande.
Mesures de sécurité appropriées
Nous avons mis en place un solide programme de sécurité, comprenant des politiques et des procédures de sécurité de l'information et de protection de la vie privée, afin d'assurer la protection des données des clients de l'UE et du Royaume-Uni au cours de nos activités de traitement des données. Ces mesures comprennent la mise en œuvre de procédures et de technologies d'authentification, de cryptage, de sécurité du réseau et de contrôle d'accès qui facilitent la réalisation de nos objectifs de maintien de la confidentialité, de l'intégrité et de la disponibilité de nos systèmes et de nos données. En outre, nous veillons à ce que ces mesures de protection soient également appliquées par nos fournisseurs tiers afin de garantir que les données conservent un niveau de protection similaire lorsqu'elles sont traitées par nos fournisseurs.
Notifications des violation de données
Nous avons mis en place un solide programme de sécurité au sein de notre entreprise afin d'éviter toute violation de données. Cependant, malgré tous nos efforts, une violation de données peut toujours se produire. Dans le cas malheureux d'une violation de données, Karbon notifiera tous les clients de l'UE ou du Royaume-Uni de la violation de données sans délai excessif après avoir pris connaissance de la violation de données personnelles. Notre objectif est d'informer nos clients dans les 72 heures suivant l'identification et la confirmation raisonnable de la violation de données et des détails de son impact.
Nous avons également mis en place un processus de notification des violations de données aux autorités de contrôle et aux personnes concernées, afin de garantir que les parties prenantes externes soient informées de manière appropriée.
Délégué à la protection des données
Bien que la nomination d'un délégué à la protection des données ne soit pas obligatoire pour toutes les organisations, nous avons confié cette responsabilité à notre directeur de la technologie et fondateur, John Freeman. John est responsable de la supervision et de la gouvernance de la technologie et des pratiques de sécurité au sein de notre entreprise et a engagé des spécialistes externes pour le consulter et s'associer avec lui pour partager la fonction de délégué à la protection des données pour notre organisation. Cet effort de collaboration nous aide à surveiller notre programme de sécurité et à nous conformer aux exigences du GDPR.
Audits internes
L'équipe de Karbon chargée des risques internes et de la conformité effectue régulièrement des audits internes pour évaluer la conception et l'efficacité opérationnelle de notre programme de sécurité et fait part de ses conclusions à notre DPD et à l'équipe de direction. Ces audits permettent d'évaluer l'efficacité de nos pratiques de sécurité et d'identifier les domaines à améliorer pour garantir la protection de notre environnement et le respect des exigences de conformité du GDPR.
Transferts internationaux de données
L'application web Karbon est utilisée par des clients dans le monde entier. Pour chacune des régions géographiques où nous traitons des données, nous utilisons des centres de données sécurisés pour conserver les données dans la région locale :
Les données sont stockées dans les centres de données de l'UE et du Royaume-Uni pour les clients européens ou britanniques qui en font la demande lors de l'installation de leur locataire. Cela garantit que les données sont traitées et stockées dans un centre de données situé dans le pays, respectivement. Bien que cela ne soit pas requis pour la conformité au GDPR, le stockage des données dans le centre de données local est la meilleure pratique et simplifie notre adhésion au GDPR.
En plus de nos centres de données de l'UE et du Royaume-Uni, nous utilisons d'autres centres de données régionaux pour prendre en charge les activités de traitement et de stockage des données pour nos clients qui utilisent l'application web Karbon.
Chacun de ces centres de données met en œuvre des mesures de protection appropriées (sécurité) pour protéger les données pendant le traitement et le stockage.
Dans tous les cas où nous traitons des données de clients de l'UE ou du Royaume-Uni dans des territoires situés en dehors de l'UE ou du Royaume-Uni (par exemple aux États-Unis), nous veillons également à ce que des « garanties appropriées » soient mises en œuvre dans ces environnements afin de garantir le même niveau de protection.
Représentant désigné dans un État membre de l'UE
Le GDPR exige que les organisations situées en dehors de l'UE désignent un représentant dans un État membre de l'UE/du Royaume-Uni. Vous trouverez ci-dessous les informations relatives à notre membre désigné et nommé :
Osano International Compliance Services Limited
Attn : 74QZ
25/28 North Wall Quay
Dublin 1, D01 H104
IRLANDE
La conformité au GDPR nécessite une évaluation continue des pratiques de sécurité et de confidentialité au sein de notre entreprise. Nous nous engageons à respecter ces normes et à maintenir la protection des données de nos clients. Veuillez consulter notre politique de confidentialité pour une description complète de nos pratiques en matière de confidentialité des données.