Sélectionner une page

RGPD

Quels sont les impacts du RGPD ?

Version du 16 d�cembre 2022

 

Introduction

 

Le R�glement g�n�ral sur la protection des donn�es (RGPD) est le cadre juridique du traitement de donn�es � caract�re personnel en Europe, � compter du 25 mai 2018. Contrairement � la directive 95/46/CE, qui r�gissait jusqu�alors ces traitements, le RGPD est d�application directe dans l�Union et ne n�cessite pas de transpositions nationales. � ce titre, il va favoriser l�harmonisation des r�gimes juridiques en mati�re de protection des donn�es � caract�re personnel en Europe. Mieux encore, le RGPD dispose d�un principe d�extraterritorialit� qui permet, dans certaines circonstances, d��tendre son p�rim�tre d�application en dehors des fronti�res europ�ennes.

Si vous �tes une structure traitant des donn�es � caract�re personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. � cet �gard, vous �tes soumis � des obligations auxquelles il faut vous conformer. Il en est de m�me pour Weebi qui, au regard de sa situation, disposera d�obligations distinctes : en sa qualit� de sous-traitant ou de responsable de traitement.

 

D�finitions

 

Comprendre les enjeux r�els et pr�cis d�un r�glement europ�en n�est pas toujours chose ais�e, surtout lorsqu�il comporte 99 articles, 173 consid�rants et de nombreuses lignes directives servant � pr�ciser son interpr�tation. C�est pourtant essentiel afin d��viter tout risque pouvant r�sulter d�une interpr�tation trop large ou impr�cise des obligations r�glementaires incombant � votre structure. La bonne compr�hension des quelques termes d�finis ci-dessous est donc essentielle :

  • donn�es � caract�re personnel : toute information se rapportant � une personne physique identifi�e ou identifiable. Est r�put�e �tre une personne physique identifiable une personne physique qui peut �tre identifi�e, directement ou indirectement.
  • traitement : toute op�ration ou tout ensemble d’op�rations effectu�es ou non � l’aide de proc�d�s automatis�s et appliqu�es � des donn�es ou des ensembles de donn�es � caract�re personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
  • responsable du traitement : la personne physique ou morale, l’autorit� publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, d�termine les finalit�s et les moyens du traitement.
  • sous-traitant : la personne physique ou morale, l’autorit� publique, le service ou un autre organisme qui traite des donn�es � caract�re personnel pour le compte du responsable du traitement.

 

Weebi en qualit� de sous-traitant

 

C�est certainement en cette qualit� que vos attentes envers Weebi sont les plus importantes. Weebi est qualifi� de � sous-traitant � lorsqu�il traite des donn�es � caract�re personnel pour le compte d�un responsable de traitement.

C�est typiquement le cas lorsque vous utilisez les services de Weebi et stockez des donn�es � caract�re personnel sur une infrastructure Weebi. Dans la limite de ses contraintes techniques, Weebi ne pourra traiter les donn�es stock�es que selon vos instructions, et ce pour votre compte.

 

Les engagements de Weebi en qualit� de sous-traitant

 

En qualit� de sous-traitant, Weebi s�engage notamment � mettre en �uvre les actions suivantes :

  • traiter les donn�es � caract�re personnel aux seules fins de la bonne ex�cution des services : Weebi ne traitera jamais vos informations � d�autres fins (revente, transfert etc.).
  • ne pas transf�rer vos donn�es hors UE ou hors pays reconnus par la Commission europ�enne comme disposant d�un niveau de protection suffisant : sous r�serve que vous ne s�lectionniez pas un datacenter dans une zone g�ographique hors UE.
  • vous informer de tout recours � des sous-traitants qui pourraient traiter vos donn�es � caract�re personnel : � ce jour, aucune prestation impliquant un acc�s aux contenus stock�s par vos soins dans le cadre des services n�est sous-trait�e en dehors du groupe Weebi.
  • � mettre en �uvre des standards de s�curit� �lev�s afin de fournir un haut niveau de s�curisation � nos services.
  • vous notifier dans les meilleurs d�lais en cas de violation de donn�es.
  • vous assister � respecter vos obligations r�glementaires en vous fournissant une documentation ad�quate de nos services.

 

Ces engagements sont concr�tement retranscrits au travers des Conditions g�n�rales de service (CGS) de Weebi. � ce titre, et sauf conditions particuli�res, elles sont opposables par tout client � Weebi en sa qualit� de sous-traitant.

 

Qui est propri�taire des donn�es � caract�re personnel utilis�es et stock�es par le client dans le cadre des services ?

 

Les donn�es h�berg�es par le client dans le cadre des services de Weebi restent la propri�t� du client.

Weebi n�y acc�de et ne les utilise que lorsque cela est n�cessaire dans le cadre de l�ex�cution des services et dans la limite de ses contraintes techniques.

Weebi s�interdit toute revente desdites donn�es, de m�me que toute utilisation � des fins personnelles (telles des activit�s de datamining, de profilage ou de marketing direct).

 

Dans quels cas Weebi peut-il �tre amen� � acc�der aux donn�es stock�es et utilis�es par le client dans le cadre des services ?

 

Weebi acc�de aux donn�es uniquement dans deux situations :

  • Pour les besoins de l�ex�cution des services et notamment afin d�optimiser l�assistance aux clients lorsque ceux-ci contactent le support Weebi. Dans cette hypoth�se, les acc�s aux donn�es des clients restent encadr�s gr�ce � des habilitations sp�cifiques et des mesures de contr�le et de s�curit� particuli�res;
  • Afin de r�pondre aux obligations l�gales dans le cadre des demandes judiciaires et/ou administratives. Ces demandes sont tr�s strictement encadr�es.

 

Acc�s dans le cadre du support :

 

Lorsque le client prend contact avec le support Weebi, selon l�objet de l�assistance, deux cat�gories de donn�es peuvent faire l�objet d�un acc�s. D�une part, afin de traiter au mieux la requ�te du client, le support prend connaissance des informations fournies par ce dernier lors de la cr�ation de son compte Weebi (nom, pr�nom, num�ro de t�l�phone, adresse e-mail, etc.).

D�autre part et uniquement � la demande expresse du client, et sous r�serve des contraintes techniques propres � chaque service, le support peut avoir acc�s aux donn�es stock�es par celui-ci sur les services Weebi, afin d�identifier l�origine du probl�me rencontr� et, �ventuellement, de le r�soudre.

 

Acc�s dans le cadre d�une demande des autorit�s judiciaires et/ou administratives :

 

Afin d�agir en conformit� avec la r�glementation en vigueur, Weebi est tenu de r�pondre aux demandes des autorit�s judiciaires et/ou administratives. Les demandes d�acc�s �tant soumises � un r�gime l�gal strict, Weebi ne les autorise qu�apr�s s��tre assur� de la validit� et du bien-fond� de la requ�te. De plus, d�s lors que la requ�te ou la loi ne l�interdit pas, Weebi s�engage � pr�venir dans les meilleurs d�lais le client d�une telle demande. Pour les requ�tes qui �maneraient d�un pays tiers, celles-ci ne sont trait�es qu’� la condition qu’elles soient fond�es sur un accord international, tel qu’un trait� d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un �tat membre.

 

Les donn�es des clients europ�ens de Weebi sont-elles transf�r�es en dehors de l�Union europ�enne ?

 

Il convient de distinguer deux situations distinctes en la mati�re. Celles-ci peuvent notamment d�pendre des choix r�alis�s par le client en mati�re de s�lection de l�emplacement des datacenters dans lesquels seront stock�es ses donn�es :

Lorsque le client choisit un service dans le cadre duquel sont utilis�s un ou plusieurs centres de donn�es en Union europ�enne :
Dans ce cas, les donn�es du client ne seront jamais transf�r�es en dehors :

    • de pays membres de l’Union europ�enne
    • de pays reconnus par la Commission europ�enne comme disposant d�un niveau de protection suffisant des donn�es � caract�re personnel au regard de la protection de la vie priv�e, des libert�s et des droits fondamentaux des personnes. La liste de ces pays peut �tre retrouv�e � tout instant sur le site de la Commission europ�enne.

 

Suite � l�invalidation du Safe Harbor, et bien que la Commission europ�enne consid�re que les organismes am�ricains adh�rents au Privacy Shield disposent d�un niveau de protection suffisant, Weebi ne transf�re jamais les donn�es des clients, dont la zone g�ographique s�lectionn�e est situ�e en UE, � destination des �tats-Unis d�Am�rique.

Les transferts de donn�es vers des pays reconnus par la Commission europ�enne comme disposant d�un niveau de protection suffisant peuvent intervenir dans le cadre d�une intervention du support Weebi. Quand les centres de donn�es Weebi sont situ�s dans l�Union europ�enne, les �quipes support Weebi pouvant intervenir sont localis�es au sein de l�Union europ�enne ainsi qu�au Canada, �tant pr�cis� que le Canada est reconnu par la Commission europ�enne comme pays pr�sentant un niveau de protection des donn�es � caract�re personnel ad�quat. Weebi se r�serve �galement le droit de confier des prestations de support pouvant impliquer un acc�s � distance aux donn�es stock�es par le client, dans le cadre des services, � d�autres entit�s du groupe Weebi situ�es dans des pays �galement reconnus par la Commission europ�enne comme disposant d�un niveau de protection suffisant (� l�exclusion des USA).

Gr�ce aux garanties offertes par Weebi en mati�re de transfert de donn�es, le client peut respecter ses obligations r�glementaires. L�article 45 du RGPD, d�terminant les cas de � transferts fond�s sur une d�cision d’ad�quation �, stipule en effet qu�un transfert de donn�es � caract�re personnel vers un pays tiers ou � une organisation internationale peut avoir lieu lorsque la Commission a constat� par voie de d�cision que le pays tiers, un territoire ou un ou plusieurs secteurs d�termin�s dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection ad�quat. Un tel transfert ne n�cessite pas d’autorisation sp�cifique.

 

Lorsque le client choisit un service dans le cadre duquel est utilis� un centre de donn�es situ� en dehors de l�Union europ�enne :

 

Dans ce cas, il semble �vident que des donn�es soient transf�r�es en dehors de l�Union europ�enne. La localisation ou zone g�ographique du ou des centres de donn�es, utilis�s dans le cadre du service, est communiqu�e sur le site internet de Weebi. Lorsque plusieurs localisations sont disponibles, le client s�lectionne celle de son choix. Weebi s�interdit de modifier, sans l�accord du client et sous r�serve de conditions sp�cifiques propres � certains services, la localisation ou zone g�ographique convenue � la commande.

Afin d�accompagner les structures souhaitant traiter des donn�es � caract�re personnel en ayant recours � des centres de donn�es situ�s hors Union europ�enne dans un pays n�assurant pas un niveau de protection ad�quat des donn�es � caract�re personnel, Weebi peut sur demande expresse, discuter de la mise en place de garanties permettant un tel transfert tel que pr�vu � l�article 46 du RGPD � Transferts moyennant des garanties appropri�es �.

 

Weebi en qualit� de responsable de traitement

 

Weebi est qualifi� de � responsable de traitement � lorsqu�il d�termine les finalit�s et les moyens de � ses � traitements de donn�es � caract�re personnel.

C�est typiquement le cas quand Weebi collecte des donn�es � des fins de facturation, de gestion des recouvrements, de l�am�lioration de la qualit� des services et de la performance, de d�marchage commercial, de gestion commerciale, etc. Mais aussi lorsque Weebi traite les donn�es � caract�re personnel de ses propres salari�s.

Dans cette hypoth�se, � vos � donn�es, celles que vous stockez sur les services de Weebi, ne sont pas concern�es. En revanche, certaines informations vous concernant ou �tant relatives � vos salari�s (identit� et coordonn�es de l�interlocuteur Weebi dans le cadre d�une demande d�assistance technique, par exemple) peuvent l��tre. C�est pourquoi Weebi tient � vous donner des �l�ments de compr�hension sur les garanties mises en �uvre afin d�assurer la protection de ces donn�es � caract�re personnel.

  • limiter la collecte de donn�es � celles strictement utiles : c�est dans le cadre de cette d�marche que lors de la commande d�un service, vous ne renseignez que des donn�es n�cessaires pour que Weebi puisse assurer des services de facturation, de support ou encore respecter ses propres obligations l�gales en mati�re de conservation de donn�es(notamment sur le fondement de la loi n� 2004-575 du 21 juin 2004 pour la confiance dans l’�conomie num�rique ).
  • ne pas utiliser les donn�es collect�es � d�autres fins que celles pour lesquelles elles furent collect�es.
  • conserver les donn�es � caract�re personnel durant une p�riode limit�e et proportionn�e. C�est ainsi qu�� titre d�exemple, les donn�es trait�es � des fins de gestion de la relation entre le client et Weebi (nom, pr�nom, adresse postale, e-mail, etc.) sont conserv�es par l�entreprise pendant toute la dur�e du contrat et les trente-six (36) mois suivants. Au terme de ce d�lai, elles sont supprim�es sur tous supports et sauvegardes.
  • ne pas transf�rer ces donn�es � des tiers autres que les soci�t�s apparent�es de Weebi qui interviennent dans le cadre de l�ex�cution du contrat. Dans le cadre de ces transferts intra-Groupe, certaines donn�es peuvent �tre transf�r�es en dehors de l�Union Europ�enne sur le fondement des r�gles d�entreprise contraignantes mises en �uvre par le Groupe Weebi.
  • mettre en �uvre des mesures techniques et organisationnelles appropri�es afin de garantir un haut niveau de s�curit�.