QUESTIONS ET RÉPONSES RELATIVES AU RGPD EN AJAX
Base légale
Qu'est-ce que le RGPD ?
Le Règlement général sur la protection des données (également connu sous le nom de Règlement (UE) 2016/679 ou « RGPD », ou « GDPR » en anglais) est un règlement du droit de l'UE sur la protection des données et de la vie privée dans l'UE et l'Espace économique européen (EEE). Bien qu'elle ait été rédigée et approuvée par l'Union européenne (UE), elle impose des obligations en matière de protection des données aux organisations du monde entier, à condition qu'elles s'adressent à des personnes dans l'UE ou qu'elles collectent des données sur ces personnes.
Qu'est-ce que les données à caractère personnel ?
Les données à caractère personnel sont toutes les informations qui se réfèrent à une personne physique qui peut être identifiée directement ou indirectement. Des informations multiples, collectées ensemble, peuvent mener à l'identification d'une personne spécifique et constituent donc des données à caractère personnel.
Les données à caractère personnel qui ont été dépersonnalisées, chiffrées ou anonymisées, mais qui peuvent être utilisées pour réidentifier une personne, restent des données à caractère personnel et entrent dans le champ d'application de la loi.
Voici quelques exemples de données personnelles :
- un nom et un prénom ;
- une adresse ;
- une adresse électronique ;
- un numéro de carte d'identité ;
- données de localisation ;
- une adresse IP ;
- Cookie ID ;
- l'identifiant publicitaire du téléphone.
Que signifie traiter des données ?
La définition du traitement des données couvre un large éventail d'opérations effectuées sur des données à caractère personnel, y compris par des moyens manuels ou automatisés. Il comprend la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données à caractère personnel. Si vous faites quelque chose avec des données de la manière mentionnée ci-dessus, vous traitez des données.
Qu’est-ce qu’un Responsable du traitement des données ou un Sous-traitant des données ?
Un responsable du traitement des données est une organisation, une institution ou une personne qui fixe les normes et les règles pour le traitement des données à caractère personnel. En pratique, cela signifie qu'un responsable du traitement est chargé de déterminer comment et pourquoi les données seront utilisées par une organisation. Le plus souvent, le responsable du traitement des données est une personne ou une organisation qui recueille les données et détermine ensuite la manière dont elles seront utilisées.
Ceci est différent pour un sous-traitant des données. Selon le RGPD, un sous-traitant est une organisation, une institution ou une personne qui met en œuvre les normes de traitement des données établies par le responsable du traitement. En règle générale, un sous-traitant est une partie qui traite des données selon les instructions et à la discrétion d'un responsable du traitement des données. Un sous-traitant n'est pas propriétaire des données qu'il traite et n'a aucun contrôle sur celles-ci. Cela signifie que le sous-traitant ne peut pas modifier la signification des données, ni déterminer la manière dont les données sont utilisées et qu'il est lié par les instructions.
Il y a quelques questions à poser pour comprendre la différence entre les fonctions de responsable du traitement des données et de sous-traitant des données :
Le Responsable du traitement des données prend les décisions suivantes :
- l'organisation qui collecte les données en premier lieu et qui dispose d'une base juridique pour le faire ;
- l'utilisation des données à caractère personnel ;
- si les données doivent être divulguées et, dans l'affirmative, à qui ;
- si les droits d'accès des personnes concernées et d'autres droits individuels s'appliquent ou s'il existe des exemptions ;
- la durée de conservation des données ou l'opportunité de modifier les données d'une manière qui n'est pas habituelle.
Le Sous-traitant des données prend les décisions suivantes :
- les méthodes utilisées pour la collecte et le stockage des données personnelles ;
- la manière dont les données sont sécurisées ;
- les moyens utilisés pour transférer des données à caractère personnel d'une organisation à une autre ;
- la manière dont les données à caractère personnel sont récupérées ;
- la méthode permettant d'assurer le respect d'un plan de conservation ;
- la manière dont les données à caractère personnel sont supprimées.
Quelles sont les conditions du RGPD pour le traitement des données à caractère personnel ?
L'article 6 du RGPD énumère les différentes conditions (également appelées base légale) en vertu desquelles il est légal de traiter des données à caractère personnel :
- Consentement. Le consentement signifie que la personne concernée a donné son accord explicite à une activité de traitement de données à caractère personnel pour une ou plusieurs finalités spécifiques. La notion de finalité est ici essentielle. Si la personne concernée, également appelée personne physique, donne son consentement au traitement sans connaître la ou les finalités spécifiques dans leur intégralité et d'une manière facile à comprendre, le consentement n'est pas une base légale pour le traitement, car il doit être librement donné, précis, informé et sans ambiguïté. Les consentements doivent être granulaires et ne peuvent pas être regroupés. Ainsi, pour chaque activité de traitement des données dans le cadre d'une opération plus large, la règle générale est qu'un consentement distinct est nécessaire pour chaque activité.
- Le traitement est nécessaire pour exécuter ou préparer la conclusion d'un contrat auquel la personne concernée est partie. Une organisation peut s'appuyer sur cette base légale si elle doit traiter les données à caractère personnel d'une personne pour lui fournir un service contractuel ou parce qu'elle a demandé à l'organisation de faire quelque chose avant de conclure un contrat (par exemple, fournir un devis).
- Il est nécessaire de traiter les données pour remplir une obligation légale. Si le responsable du traitement des données a une obligation légale pour laquelle des données à caractère personnel particulières doivent être traitées, le traitement est alors autorisé. Le respect d'une obligation légale pour laquelle le traitement est nécessaire et à laquelle le responsable du traitement est soumis n'est pas nouveau non plus.
- Le traitement des données est nécessaire pour sauver la vie de quelqu'un. Cette base est également connue comme « intérêt vital ». Dans ce cas, la personne physique ne doit pas nécessairement être une personne concernée ; il peut également s'agir d'une autre personne physique. Bien entendu, il n'appartient pas au responsable du traitement de définir ce qu'est un intérêt vital. Cette base concerne davantage les situations de danger de mort où il n'y a pas d'autre base juridique pour le traitement, mais où le fait de ne pas traiter les données à caractère personnel signifierait essentiellement que quelqu'un mourrait si le sous-traitant ne prenait pas de mesures et qu'il avait donc besoin de savoir quelques choses sur la personne physique en danger.
- Le traitement est nécessaire à l'exécution d'une tâche d'intérêt public ou à l'exercice d'une fonction officielle. Une organisation peut s'appuyer sur cette base légale si elle doit traiter des données à caractère personnel « dans le cadre de l'exercice de l'autorité publique ». Il s'agit des fonctions et pouvoirs publics prévus par la loi, ou de l'exécution d'une tâche spécifique d'intérêt public prévue par la loi.
- Le responsable du traitement a un intérêt légitime à traiter les données à caractère personnel d'une personne. Le traitement de données à caractère personnel dans ce contexte n'est pas nécessairement justifié par une obligation légale ou effectué pour remplir les termes d'un contrat avec une personne. Dans ce cas, le traitement des données à caractère personnel peut être justifié par des motifs d'intérêt légitime. Par exemple, un sous-traitant a un intérêt légitime lorsque le traitement a lieu dans le cadre d'une relation avec un client, à des fins de marketing direct, pour prévenir la fraude ou pour assurer la sécurité du réseau et de l'information des systèmes informatiques.
Comment fonctionne le consentement dans le cadre du RGPD ?
Il existe des règles strictes concernant le consentement d'une personne concernée au traitement de ses données :
- Le consentement doit être « librement donné, précis, informé et sans ambiguïté ».
- Les demandes de consentement doivent être « clairement distinguées des autres questions » et présentées dans un « langage clair et simple ».
- Les personnes concernées peuvent retirer le consentement qu'elles ont donné précédemment quand elles le souhaitent et vous devez respecter leur décision. Il n'est pas possible de changer simplement la base légale du traitement par l'une des autres justifications.
- Il est nécessaire de conserver les preuves documentaires du consentement.
Quels sont les droits individuels au titre du RGPD ?
Le RGPD prévoit les droits suivants pour les individus :
- Le droit d'être informé (les individus ont le droit d'être informées de la manière dont les entreprises collectent et utilisent leurs données personnelles, de la durée pendant laquelle elles prévoient de conserver ces données et des personnes avec lesquelles elles les partageront) ;
- Le droit d'accès (les individus ont le droit de savoir exactement quelles informations les entreprises ont collectées, comment elles stockent et traitent ces données et ce qu'elles vont en faire) ;
- Le droit de rectification (les individus ont le droit de faire compléter les données incomplètes et rectifier les données inexactes) ;
- Le droit à l'effacement (les individus ont le droit de faire effacer définitivement les données à caractère personnel. Ce droit est également connu sous le nom de « droit à l'oubli ») ;
- Le droit de restreindre le traitement (si les individus ne peuvent pas exiger que les responsables du traitement effacent leurs informations personnelles, ils peuvent restreindre la capacité des responsables du traitement à traiter ces données) ;
- Le droit à la portabilité des données (les individus ont le droit d'obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services) ;
- Le droit d'opposition (les individus ont le droit de s'opposer au traitement de leurs données personnelles dans certaines circonstances) ;
- Droits relatifs à la prise de décision automatisée et au profilage (les individus ont le droit d'exiger une intervention humaine, plutôt que de confier à des algorithmes la prise de décisions importantes).
Quels sont les sept principes du RGPD ?
Selon le GDPR, il existe sept principes clés en matière de protection des données et de responsabilité :
- Légalité, loyauté et transparence. Le traitement doit être licite, loyal et transparent pour la personne concernée.
- Limitation des finalités. Le traitement des données doit être effectué pour les finalités légitimes explicitement spécifiées à la personne concernée au moment de la collecte.
- Minimisation des données. La collecte et le traitement des données doivent se limiter à ce qui est absolument nécessaire aux fins spécifiées.
- Exactitude. Les données à caractère personnel doivent être exactes et à jour.
- Limitation du stockage. Les données à caractère personnel ne peuvent être conservées que pour la durée nécessaire à la réalisation de la finalité spécifiée.
- Intégrité et confidentialité. Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le chiffrement).
- Responsabilité. Le responsable du traitement des données est chargé de pouvoir démontrer la conformité du RGPD avec l'ensemble de ces principes.
Le RGPD exige-t-il que les données personnelles des résidents de l'UE restent dans l'UE ?
Le RGPD ne prévoit pas de restriction directe pour que les données personnelles des résidents de l'UE restent uniquement dans l'UE. Cependant, la protection des données de l'UE fonctionne selon le principe « Le GDPR reste avec les données », ce qui signifie que les règles protégeant les données personnelles continuent de s'appliquer quel que soit l'endroit où les données se trouvent. Ce principe s'applique également lorsque des données à caractère personnel sont transférées vers un pays qui n'est pas membre de l'UE.
Traitement par Ajax
Ajax traite-t-elle mes données personnelles ?
Oui, Ajax peut traiter vos données personnelles. Il existe quatre scénarios principaux, au cours desquels nous pouvons traiter vos informations :
- via nos appareils de sécurité domotiques (tels que Ajax Hub ou autres) ;
- par le biais de nos applications mobiles (telles que Ajax Security System et Ajax PRO: Tool for Engineers) et de nos applications pour PC (que nous appelons nos Produits ou Services) ;
- lorsque vous visitez le site web https://ajax.systems/
- dans le cadre de la collaboration commerciale entre l'utilisateur et Ajax (si l'utilisateur est un Partenaire ou Sous-traitant direct ou indirect d'Ajax).
Quels types de données me concernant peuvent être traités par Ajax ?
Ajax peut traiter différents types de données, en fonction du scénario de l'interaction avec vous.
Grâce à nos appareils de sécurité domotiques, nous pouvons traiter :
- Informations sur la centrale Ajax (son modèle et le numéro de série, les informations réseau, y compris l'adresse IP, les journaux d'activité de l'appareil, l'historique et la configuration actuelle de l'appareil, l'emplacement, etc).
- Les données environnementales des appareils Ajax, comme la température, le niveau sonore ou les données de mouvement.
Lors de l'utilisation de nos Produits ou Services, nous pouvons traiter :
- Informations vous concernant (nom, prénom, e-mail, numéro de téléphone et votre photo).
- Les informations que vous partagez avec nous à partir du répertoire de votre appareil lorsque vous invitez des utilisateurs à utiliser le Produit (comme l'adresse électronique ou le numéro de téléphone d'une personne que vous invitez à utiliser le Produit).
- Identifiants uniques pour nos Services (tels que votre nom d'utilisateur et votre mot de passe).
- Identifiants uniques des utilisateurs que vous avez connectés au Produit, tels que le nom d'utilisateur, le rôle de l'utilisateur dans le Produit et son adresse électronique ; informations sur vos appareils pour mobile et pour PC, telles que le type d'appareil, le système d'exploitation et la langue du système.
- Données de géolocalisation pour vous fournir des rappels pour armer/désarmer le système si vous activez la fonction Géorepérage dans notre application.
- Pour les SMS des utilisateurs sous Android avec le code d'autorisation requis lors de l'enregistrement ou des modifications du compte.
- Informations sur votre utilisation de nos Produits et Services (telles que les demandes de l'application à notre serveur).
Si vous visitez notre site web, nous pouvons traiter :
- Les informations que vous fournissez en remplissant les formulaires, qui peuvent contenir vos informations personnelles et vos coordonnées de contact.
- Cookie ID (via un outil conforme au RGPD).
- Votre adresse IP pour définir le pays de votre emplacement.
Lors d'une collaboration commerciale, nous pouvons traiter :
- Coordonnées des représentants des entreprises (nom, fonction, adresse électronique et numéro de téléphone).
Quelle est la finalité et la base juridique du traitement ?
- Toutes les données que nous recevons par le biais de nos appareils de sécurité ou lorsque vous utilisez nos Produits ou Services sont traitées uniquement pour vous fournir les services de sécurité demandés. Cela signifie que nous traitons toutes ces données pour exécuter un contrat que nous avons avec vous. De plus, cela signifie que nous ne recueillons aucune donnée qui ne nous est pas spécifiquement nécessaire pour vous fournir de tels services.
- Si vous décidez de vous abonner à notre newsletter, nous vous enverrons par e-mail des informations nous concernant et nos dernières mises à jour. Nous comptons sur votre consentement que vous accordez en confirmant votre abonnement. De plus, nous allons personnaliser ces e-mails en fonction des renseignements que nous avons à votre sujet, afin qu'ils soient plus pertinents et plus utiles pour vous.
- Si vous avez partagé les journaux de vos opérations à partir de votre application, au cas où vous auriez un problème, nous les traiterons pour résoudre votre problème technique et pour améliorer nos Produits et Services. Nous les traitons en fonction de notre intérêt légitime à rendre nos offres commerciales plus compétitives.
- Nous utilisons les données que vous partagez avec nous à partir du répertoire de votre appareil lorsque vous invitez des utilisateurs au Produit (comme l'adresse électronique ou le numéro de téléphone d'une personne que vous invitez au Produit) pour envoyer l'invitation à ces personnes uniquement.
Où sont stockées les informations ?
Tous les types de données qu'Ajax peut recueillir auprès de vous sont stockés dans le nuage de stockage situé en Irlande, en Allemagne et en France (à l'intérieur de l'EEE) ; le choix du lieu de stockage des données (en Irlande,en Allemagne et en France) est soumis à la disponibilité de l'infrastructure AWS.
Pendant combien de temps les informations sont-elles conservées ?
Toutes les données sont conservées pendant toute la durée de la relation avec le client, à l'exception de la mémoire des notifications push, qui est limitée à 500 transactions. Pour le journal des événements du Compte PRO Desktop, la durée de stockage des notifications d'événements est de 2 ans. Toutefois, certains types de données (tels que le nom des représentants, leur fonction et les coordonnées mentionnées dans les contrats) peuvent être conservés plus longtemps que la période de coopération afin de remplir nos obligations légales.
Type de données | Finalité du traitement | Base juridique | Période de stockage |
Informations sur la centrale Ajax (son modèle et le numéro de série, les informations réseau, y compris les journaux d'activité de l'appareil, l'historique et la configuration actuelle de l'appareil, l'emplacement, etc) | Pour assurer le bon fonctionnement de la centrale, des appareils et des applications | Contrat, en cas d'assistance : intérêt légitime | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Identifiants uniques (nom d'utilisateur et mot de passe) | Autorisation de l'utilisateur | Contrat | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Données géolocalisées | Pour assurer le bon fonctionnement de la centrale, des appareils et des applications | Contrat et/ou intérêt légitime | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Informations sur votre utilisation de nos Produits et Services (telles que les demandes de l'application à notre serveur) | Pour assurer le bon fonctionnement de la centrale, des appareils et des applications | Contrat | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Les informations fournies en remplissant les formulaires, qui peuvent contenir des informations personnelles et des coordonnées | Communication, service de livraison de produits, promotions marketing | Consentement | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Adresse IP | Pour assurer le bon fonctionnement de la centrale, des appareils et des applications | Contrat ou consentement | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Nom, prénom et coordonnées | Pour assurer le bon fonctionnement de la centrale, des appareils et des applications | Consentement | Pendant toute la durée de la relation avec le client ou jusqu'à l'effacement demandé/effectué par l'utilisateur. Sauvegarde des données jusqu'à 12 mois |
Images prises par des dispositifs Ajax | Pour assurer le bon fonctionnement de la centrale, des appareils et des applications | Contrat | -Application mobile. La durée de conservation des fichiers multimédias pour les comptes Utilisateur et PRO est de 2 ans. Les photos peuvent être supprimées plus tôt avec les événements associés si la limite d'événements dans l'application mobile (500 événements) est atteinte. -Ajax PRO Desktop (compte de l'entreprise). Selon les paramètres (de 7 jours à 2 ans). -Ajax Translator ne stocke pas les images, mais les liens sont actifs pendant 7 jours à partir du moment où ils ont été générés |
Qui a accès au système et aux informations du côté d'Ajax ?
Ajax suit les principes de minimisation de la disponibilité et de minimisation des privilèges lors de l'accès aux données. Ainsi, l'accès aux données ne peut être accordé qu'aux employés d'Ajax chargés de soutenir le processus de fourniture des services et des projets. Lorsque le personnel d'Ajax accède aux données, son équipement est protégé par un système de chiffrement et d'autres outils, conformément aux normes techniques les plus strictes du marché. Tous les employés ont signé un accord de confidentialité et procèdent chaque année à une évaluation de la protection des données. Toutes les actions du personnel sont enregistrées et les enregistrements sont automatiquement vérifiés en temps réel. En cas de doute sur un accès excessif, nous restreignons l'accès et commençons immédiatement à enquêter sur l'affaire. Néanmoins, nous tenons à souligner qu'Ajax n'accède jamais aux données sans disposer d'une base juridique valable pour un tel accès. Dans certains cas, l'utilisateur peut demander à Ajax (à ses propres risques) d'accorder l'accès aux données de l'utilisateur à des fournisseurs tiers désignés par l'utilisateur (sociétés de sécurité, installateurs) par l'intermédiaire d'applications mobiles ou pour PC. Dans ce cas, les entreprises choisies par l'utilisateur auront également accès aux données que l'utilisateur souhaite voir transférées.
Que fait Ajax pour se conformer aux lois mondiales sur la protection des données ? Comment Ajax démontre-t-il sa conformité avec le RGDP ?
Pour se conformer aux lois internationales sur la protection des données, Ajax applique un nombre important de mesures, de mécanismes et de procédures. Par exemple, Ajax applique les principes de limitation du traitement des données (respect de la vie privée dès la conception et par défaut), de minimisation des données, de contrôle d'accès, de politiques de traitement des données (politiques de stockage, de traitement, de suppression, etc.). Dans le cadre des transferts de données, Ajax utilise diverses mesures, y compris des mesures organisationnelles et techniques et des Clauses contractuelles types. Vous trouverez plus d'informations à ce sujet dans la section Transfert de données.
Comment puis-je exercer mes droits en matière de protection de la vie privée ?
Pour exercer vos droits en matière de protection de la vie privée (supprimer vos données personnelles, vous y opposer ou en être informé, restreindre le traitement, etc.), vous pouvez nous contacter à l'adresse électronique support@ajax.systems.
Transfert de données
Avec qui la société Ajax peut-elle partager mes données ? Quels types de données peuvent être partagés et dans quels cas ?
En général, nous ne pouvons partager vos données personnelles que lorsque cela est nécessaire pour vous fournir les services demandés. Ces données peuvent être divulguées à nos fournisseurs et prestataires de services, qui fournissent certains services pour le fonctionnement de nos Produits et Services. Cela comprend l'hébergement des données, l'assistance technique, la communication, etc. Nous veillerons à ce que ces fournisseurs les traitent et les protègent aussi bien que nous.
Nous pouvons partager vos coordonnées (telles que le numéro de téléphone portable, le pseudo et l'e-mail) avec des fournisseurs de services de sécurité physique si vous nous le demandez en sélectionnant un tel fournisseur dans notre application. Veuillez noter que ces fournisseurs de services deviendront des contrôleurs de données indépendants, responsables du traitement de vos données personnelles. Malgré le fait que nous choisissions des partenaires réputés dans notre application, nous vous recommandons de vérifier leur politique de confidentialité avant de nous demander de transférer vos données aux sociétés sélectionnées.
Pour certains besoins, Ajax peut utiliser les services de sous-traitants tiers situés en dehors de l'EEE. Ces besoins peuvent inclure l'hébergement de données, la communication technique pour l'enregistrement, l'installation et d'autres activités organisationnelles via le courrier électronique ou le téléphone.
Ajax fait le nécessaire pour s'assurer que ces transferts sont effectués en conformité avec toutes les lois applicables en matière de protection des données. Par conséquent, Ajax a signé des accords de traitement des données (DPA) avec tous les sous-traitants (y compris des clauses contractuelles types (SCC) dans le cas de transferts de données transfrontaliers), ainsi que des mesures supplémentaires dans le cas de transferts et de traitements de données. Tous les sous-traitants d'Ajax ont leur propre politique de protection de la vie privée et d'autres documents relatifs à la protection de la vie privée, qui sont examinés par les professionnels d'Ajax afin d'en assurer la conformité sur une base régulière.
Liste des sous-traitants agréés par Ajax :
Service | Fournisseur | But de l'utilisation | Lien vers la Politique de confidentialité et le DPA |
AWS | Amazon | Hébergement et sauvegarde des données | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | SMS programmable | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Communication programmée par courriel | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Service de courriel transactionnel | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Fournisseur de services de base de données | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Analyse, amélioration des services | https://policies.google.com/privacy |
Qu'est-ce que les Clauses сontractuelles types ?
Les clauses contractuelles types (SCC) sont des modèles de clauses de protection des données normalisées et préapprouvées qui permettent aux responsables du traitement et aux sous-traitants de se conformer à leurs obligations en vertu de la législation européenne sur la protection des données. Elles peuvent être intégrées par les responsables du traitement et les sous-traitants dans leurs accords contractuels avec d'autres parties, telles que les partenaires commerciaux. Les clauses peuvent être utilisées sur une base volontaire pour démontrer le respect des exigences en matière de protection des données, ce qui nécessite un engagement contractuel contraignant à les respecter. La Commission européenne a le pouvoir d'adopter des SCC(1) en ce qui concerne la relation entre le responsable du traitement et le sous-traitant et (2) pour le transfert de données à caractère personnel vers des pays situés en dehors de l'EEE.
Qu'est-ce que les Mesures supplémentaires ?
Les Mesures supplémentaires sont des procédures techniques et organisationnelles spécialement mises en œuvre pour atteindre un niveau d'assurance efficace sur les données transférées équivalent au traitement des données au sein de l'EEE.
Ajax a mis en œuvre, entre autres, les mesures organisationnelles suivantes :
- la formation et l'examen réguliers des employés d'Ajax ;
- un système automatisé de surveillance en temps réel des violations et des vulnérabilités ;
- l'enregistrement continu de tous les processus ;
- contrôle et validation réguliers et personnalisés du système Ajax afin de déceler les vulnérabilités.
Ajax a mis en œuvre, entre autres, les mesures techniques suivantes :
- Mesures visant à empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données situés dans les locaux et installations (y compris les bases de données, les serveurs d'applications et le matériel connexe), où des données à caractère personnel sont traitées, y compris la création de zones de sécurité, la restriction des voies d'accès, la création d'autorisations d'accès pour les employés et les tiers, le verrouillage des portes (ouvre-portes électriques, etc.).
- Mesures visant à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées, y compris les procédures d'identification et d'authentification des utilisateurs, les procédures de sécurité des identifiants et des mots de passe, le chiffrement des supports de données archivés.
- Mesures visant à garantir que les personnes autorisées à utiliser un système de traitement des données n'ont accès qu'à ces données personnelles conformément à leurs droits d'accès et que les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, y compris les politiques et procédures internes, les systèmes d'autorisation de contrôle, les droits d'accès différenciés (profils, rôles, transactions et objets), la surveillance et l'enregistrement des accès, les mesures disciplinaires à l'encontre des employés qui accèdent à des données personnelles sans autorisation.
- Mesures visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, du transport ou du stockage sur des supports (manuels ou électroniques) et qu'il est possible de vérifier à quelles sociétés ou autres entités juridiques les données à caractère personnel sont divulguées, y compris le chiffrement, la journalisation et la sécurité du transport. Toutes les données à caractère personnel sont chiffrées avec l'algorithme SHA256 au repos et sont soumises à un transfert via HTTPS avec le chiffrement SHA128 et TLS 1.2.
- Mesures permettant de contrôler si des données ont été saisies, modifiées ou supprimées (effacées) et par qui, dans les systèmes de traitement des données, y compris les systèmes d'enregistrement et de compte rendu, les pistes d'audit et la documentation.
- Mesures visant à garantir la protection des données à caractère personnel contre la destruction accidentelle ou la perte (physique/logique), y compris les procédures de sauvegarde, l'alimentation électrique sans interruption (UPS), le stockage à distance, les systèmes antivirus/pare-feu, le plan de reprise après sinistre, le plan de viabilité de l'entreprise.
- Mesures visant à garantir que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément, y compris la séparation des bases de données, la limitation de l'utilisation, la séparation des fonctions (production/test).
Qu'est-ce qu'une Analyse d'impact du transfert des données personnelles (TIA) ?
Une Analyse d'impact du transfert (TIA) est une analyse effectuée par un responsable du traitement des données ou par un sous-traitant des données sur les implications en matière de sécurité d'un transfert de données à caractère personnel vers des pays situés en dehors de l'UE/EEE ou bénéficiant d'une décision d'adéquation.