Le RGPD est la nouvelle loi générale de l’Union européenne sur la protection de la vie privée et des données, qui entrera en vigueur le 25 mai 2018. L’objectif principal du RGPD est de réglementer la manière dont les données personnelles des résidents de l’UE sont traitées, et ce même par les entreprises qui n'ont pas de présence physique ou juridique dans l’UE. Les organisations peuvent faire face à de lourdes amendes en cas de non-conformité : jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial annuel, le plus élevé de ces deux montants étant retenu.
Il n’existe pas encore de système reconnu de certification RGPD. Keap prend les mesures nécessaires pour s’assurer qu’elle se conforme au RGPD avant la date d’entrée en vigueur de la nouvelle loi.
Keap offrira aux clients et aux partenaires un nouvel Addenda de traitement des données (« ATD »). La signature de l’ATD modifie nos conditions générales de service afin de refléter les obligations imposées par le RGPD. C’est l'instrument qui vous permet d’avoir la certitude qu’Keap se conformera au RGPD lorsque ce dernier entrera en vigueur le 25 mai 2018. Il équivaut à une garantie qu’Keap sera conforme au RGPD.
Keap proposera un nouvel Addenda de traitement des données, qui remplacera notre ATD antérieur. Le nouvel ATD ne diffère pas radicalement de l’ancien, mais il prend en compte tous les concepts spécifiques au RGPD. À titre de référence, l’ancien ATD est disponible ici : https://keap.com/legal/dpa
Le nouvel ATD régira les conditions dans lesquelles Keap, en tant que processeur de données, traitera les données pour le compte de ses clients (qui sont généralement des contrôleurs de données) conformément à l’article 28 du RGPD. D’après l’article 28 du RGPD, les processeurs de données ne doivent agir que sur les instructions documentées du contrôleur de données, sauf prescription contraire de la loi. Cela, cependant, ne décharge pas Keap de ses obligations ou responsabilités au titre du RGPD. Keap sera tenue de s’assurer qu'elle respecte les dispositions du RGPD.
Le DPO d’Keap est: Matthew Joseph, CIPP/US
Adresse électronique: [email protected]
Conformément à l’article 38 du RGPD, les membres du public peuvent contacter le DPO pour des questions liées au traitement de leurs données personnelles et pour exercer leurs droits en vertu du RGPD ; par exemple, pour s’opposer au traitement de leurs données dans des cas où le contrôleur de données (c.-à-d. le client d'Keap) ne fournit pas de réponse adéquate.
Les représentants d’Keap au titre de l’article 27 sont :
Matthew Joseph, CIPP/US
Zahradníčkova 1220/20A
Prague 150 00
Czech Republic
https://www.verasafe.com/privacy-services/contact-article-27-representative/
VeraSafe Ireland LTD
Unit 3D North Point House
North Point Business Park
New Mallow Road
Cork 123AT2P
Ireland
https://www.verasafe.com/privacy-services/contact-article-27-representative/
Conformément à l’article 27 du RGPD, les autorités de surveillance et les personnes dont les données personnelles sont traitées par Keap peuvent contacter VeraSafe (représentant d’Keap au titre de l’article 27) pour toutes les questions liées au traitement des données, afin de veiller à la conformité au RGPD.
Keap réécrit actuellement ses contrats avec les fournisseurs et travaille avec ces derniers pour s’assurer qu’ils respectent les dispositions du RGPD en ajoutant un volet Paramètres permettant aux clients de fournir à Keap les informations requises au titre de l’article 30 (2) du RGPD.
Keap continue de revoir ses mesures de sécurité, ce que nous faisons continuellement, afin de rester à l’avant-garde des normes et meilleures pratiques en constante évolution du secteur.
Nous avons nommé un représentant dans l’UE et un spécialiste à la protection des données, et nous sommes en train de finaliser un nouvel Addenda de traitement des données. L’ensemble de ces mesures nous permettra de satisfaire aux obligations prévues par la loi en matière de sous-traitance d’un processeur de données.
Chaque organisation qui traite des données personnelles, et qui est réglementée par le RGPD, fera face à ses propres obligations en matière de conformité au RGPD. Bien que l'utilisation d’un logiciel, comme Keap, respectant les dispositions du RGPD, puisse faciliter la mise en conformité, la majeure partie de la façon dont vous recueillez, utilisez et supprimez les données personnelles ne peut être déterminé par Keap. Chaque organisation doit donc obtenir ses propres conseils professionnels sur le sujet pour aider à assurer la conformité. Voici quelques ressources du Bureau du commissaire à l’information du Royaume-Uni: https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/getting-ready-for-the-gdpr/.
Oui, nous prévoyons de publier de nouvelles fonctionnalités pour aider les utilisateurs à gérer leur conformité à un certain nombre de contraintes majeures de la loi. Cela comprend un ensemble de fonctionnalités pour aider les utilisateurs d’Keap à gérer la base du traitement (comme la gestion des consentements) pour leurs contacts, afin de faciliter l'anonymisation des données personnelles (c.-à-d. le droit à l’oubli), et une fonctionnalité de « liste de blocage » personnalisable afin de garantir que si quelqu'un vous demande de ne jamais traiter ses données personnelles, celles-ci ne puissent pas être réimportées dans votre application. Ces fonctionnalités aideront nos utilisateurs à se conformer à plusieurs de leurs obligations fondamentales dans le cadre du RGPD.
Généralement, un client d'Keap sera considéré comme un contrôleur de données (c.-à-d. une organisation qui détermine les finalités et les moyens du traitement des données personnelles), et Keap sera toujours considérée comme un processeur de données en vertu de la loi. Les contrôleurs et processeurs ont chacun leurs obligations respectives en vertu de la loi. Par conséquent, le plan de conformité d'Keap au RGPD diffère légèrement de celui de nombre de nos clients. Cela ne signifie pas qu'Keap ne peut pas être utilisée par les contrôleurs de données, bien au contraire. Quand un contrôleur de données engage un fournisseur de services comme Keap, le fournisseur de services est généralement un processeur de données agissant au nom du contrôleur, et le processeur agit à la demande du contrôleur. Comme indiqué ci-dessus, l’ATD d’Keap régira la relation et la nature des activités de traitement entre Keap et ses clients, peu importe quelle entité joue quel rôle.
Pas nécessairement. D'autres fondements permettent le traitement des données personnelles au titre de l'article 6 du RGPD. Il s’agit notamment de la nécessité de traiter des données personnelles pour l’exécution d’un contrat ou des intérêts légitimes du contrôleur de données ou d’une autre partie. Toutefois, si vous traitez des données personnelles uniquement sur la base du consentement de l’individu, vous devrez probablement obtenir à nouveau le consentement de ces « anciens » contacts.
En vertu du RGPD, les données personnelles ne peuvent être transférées en dehors de l'Espace économique européen (communément appelé « EEE » et qui comprend l’UE plus la Norvège, l’Islande et le Liechtenstein) que dans certaines circonstances, par exemple dans un pays dont les lois sur la protection des données sont jugées « adéquates » par la Commission européenne, ou en s'appuyant sur un mécanisme approuvé de transfert de données.
Keap propose actuellement aux clients le Contrat type de l’UE pour permettre la circulation légale de données personnelles de l’EEE vers Keap aux États-Unis. Le Contrat type de l’UE contient des clauses contractuelles types qui sont approuvées par la Commission européenne et qui régissent le transfert légal des données de l’EEE vers des pays extérieurs à l’EEE. En vertu du RGPD, d’autres méthodes légitimes d’exportation de données personnelles en dehors de l’EEE peuvent être introduites. En cas de modification du RGPD ou de nouvelles règles associées au RGPD, Keap les analysera et y donnera suite de manière appropriée.
La Déclaration de sécurité des données d’Keap va bien au-delà des clauses de confidentialité que l’on trouve habituellement dans les conditions générales de nombreux fournisseurs de logiciels en tant que service. La Déclaration décrit un certain nombre des contrôles spécifiques de sécurité des données mis en œuvre par Keap et, à travers la publication de ces informations, l’oblige légalement à maintenir le haut niveau de sécurité des données décrit dans la Déclaration.
La Déclaration de sécurité des données est disponible ici: https://keap.com/legal/data-security
Keap adhère à la Norme de sécurité de l’industrie des cartes de paiement et se soumet à un contrôle annuel du respect de cette norme, qui est un cadre rigoureux de protection des données dans le domaine de la protection de données des cartes de paiement.
Notre plus récente certification de conformité à la Norme de sécurité de l’industrie des cartes de paiement est disponible sur demande. Veuillez contacter [email protected] si vous avez besoin de la documentation.