Influence de la loi RGPD sur la confidentialité des systèmes d’alerte

Depuis le 25 mai 2018, la loi RGPD des protections des données est entrée en vigueur, vous ne l’aurez pas manqué. La loi RGPD (Règlement général sur la protection des données) oblige les parties à se pencher de manière critique sur la gestion des données personnelles à la fois dans ses propres applications et les applications des fournisseurs.

À l’approche de l’amendement, les clients nous ont demandé comment nous gérions les données stockées dans MultiBel. Pour cela, nous avons conclu ou révisé des contrats avec nos clients. Pour les clients potentiels, il y a souvent des discussions sur les données si elles sont transparentes et pour qui.

Les exigences sur la protection des données ne sont pas nouvelles. La loi RGPD a remplacé l’ancienne loi sur la protection des données personnelles. Avec la RGPD, les organisations doivent clarifier la manière dont elles collectent les données, leur utilisation et la durée de leur stockage.

A quelle niveau devez-vous faire attention à votre système d’alerte?

La protection des données personnelles n’est pas la même dans tous les pays. La transmission de données personnelles d’un pays à d’autres pays ne devrait donc offrir une protection suffisante que si ces autres pays ont signé la loi RGPD également.

Accord de traitement

En premier lieu, vous devez toujours vous assurer d’un contrat de processeur valide.

Pays de l’Espace économique européen (EEE)

Tous les pays de la zone économique européenne se conforment aux mesures indiquées et les données peuvent donc être échangées sans problème. Cela signifie que pour les 28 pays de l’UE, la Norvège, le Liechtenstein et l’Islande, aucune restriction ne s’applique sur la base de la RGPD.

Pays en dehors de l’Espace économique européen (EEE)

Vous devez être très prudent dans les situations où les données personnelles vont à des pays en dehors de l’Espace économique européen. Les données personnelles peuvent en principe ne pas aller là-bas à moins que la loi RGPD l’indique. Les données ne peuvent être stockées dans ces pays que si la Commission européenne a décidé qu’un niveau de protection adéquat est garanti dans ce pays. Ce sont actuellement les pays suivants:

  • Andorre
  • Argentine
  • Parties du Canada
  • Îles Féroé
  • Guernesey
  • Israël
  • Île de Man
  • Jersey
  • Nouvelle-Zélande
  • Uruguay
  • États-Unis, à condition que la société américaine impliquée soit affiliée au Privacy Shield (Bouclier de confidentialité)
  • Suisse

La liste ci-dessus est normalement mise à jour tous les quatre ans, sauf s’il y a des raisons de le faire plus souvent. La liste la plus à jour peut être trouvé ici.

Il n’est pas encore clair pour le moment si le Royaume-Uni sera toujours compté dans l’EEE après le Brexit, ou si une reconnaissance distincte doit avoir lieu.

Les États-Unis parlent du bouclier de confidentialité. Il s’agit d’un arrangement entre les États-Unis et l’UE, selon lequel les sociétés affiliées déclarent qu’elles se conformeront aux règles européennes et les États-Unis déclarent simplement ne pas demander l’accès aux données en vertu de la loi américaine. D’un point de vue juridique, cependant, il existe un risque que l’accès aux données soit toujours accordé sous couvert de « sécurité nationale ».

Il y a donc de réelles inquiétudes à propos du Privacy Shield et les entreprises préfèrent donc faire affaire avec une filiale européenne qu’une société américaine, comme les filiales d’Amazon ou de Microsoft en Irlande et en Belgique. Rappelez-vous, les autorités américaines veulent toujours obliger les sociétés mères à collecter les données de ces filiales. Cela sera décidé bientôt par la Cour suprême des États-Unis. Si la possibilité de cette obligation existe, ce serait l’obligation de faire affaire avec une filiale européenne. Fait important, si une société américaine n’est pas affiliée au Privacy Shield, ces entreprises peuvent ne pas stocker les données personnelles de votre organisation.

Quelles questions sont particulièrement importantes pour un accord avec un fournisseur de service d’alerte?

Nous vous donnons un certain nombre de question à vous demande lors d’un l’accord avec un fournisseur.

Quelles sont les données stockées?

Le traitement des données a à voir avec la seule sauvegarde des données minimales nécessaires, « Confidentialité par défaut ». Si un service d’alerte nécessite des données telles que le sexe, l’âge, etc., vous pouvez vous demander à quoi ces informations seront nécessaires.

Où sont stockées les données?

Existe-t-il des accords entre le service d’alarme et le service de stockage Cloud? Le Cloud est fantastique, il contribue énormément au travail flexible et à la sécurité de nos données. Il est important de savoir exactement dans quel pays les données sont stockées et traitées.

Qui développe et gère le logiciel?

Existe-t-il des accords entre le service d’alarme et le fournisseur?

Qui a un aperçu des données?

Voici deux questions importantes:

  • Qui a un aperçu des données personnelles dans l’organisation du client et qui peut changer les données?
  • Quels employés de l’organisation du service d’alerte ont un aperçu de l’information du client et peuvent-ils également changer les données?

Il est important ici que les actions effectuées avec les données soient limitées aux actions nécessaires à l’exécution du service.

Un enregistrement de lieu est-il utilisé?

Si l’on utilise un service d’alerte avec enregistrement automatique des présences, la détermination de l’emplacement est importante. Lors de la détermination de l’emplacement, une question importante est de savoir dans quelle mesure la personne alertée est «suivie».
L’organisation peut-elle également suivre les employés dans la sphère privée, en dehors de l’emplacement physique de l’organisation?

Qui envoie les messages d’alerte?

Tous les messages téléphoniques (messages vocaux et SMS) passent par des fournisseurs locaux. Cela signifie que nous avons des contrats avec Orange, Vodafone, SFR, etc. Mais si vos messages sont envoyés via WhatsApp, Facebook, etc., vos données sont donc par définition aux États-Unis.

Comment les données sont-elles sécurisées?

La sécurité des données est essentielle. Aux Pays-Bas en 2017, 10 000 violations de données ont été signalées à l’autorité de protection des données (AP), soit 70% de plus que l’année précédente. Cela est probablement dû en partie à la familiarité et à l’obligation de signaler une fuite de données, mais cela montre également que la sécurité n’est pas toujours en ordre.

Comment les données personnelles sont-elles traitées après la résiliation du contrat?

Après la fin du service, les données personnelles doivent être effacées ou renvoyées à l’organisation sur demande.

Conclusion:

Il est important de savoir où et par qui vos données sont traitées, stockées et consultées. Vous devez faire attention à la façon dont les données sont traitées pendant et après le contrat. Les transferts de données vers un pays de l’Espace économique européen (EEE) sont soumis à des règles différentes de celles applicables aux transferts vers un pays en dehors de l’EEE. Si vous souhaitez vous conformer à la RGPD, il est difficile de stocker des données en dehors de l’EEE.