RGPD et politique de protection des Données à caractère personnel – Extrait
1. Formulaire de collecte de données à caractère personnel
Conformément à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, vous disposez d’un droit d’accès, de rectification, d’opposition et de suppression des données qui vous concernent. Pour les exercer, écrivez par courrier à l’adresse suivante : IPContact Group • DPO de Logicielnet • Europôle de l’Arbois • BP 90090 • 13545 Aix-en-Provence Cedex 04.
La demande doit être signée. IPContact Group dispose d’un délai de 2 mois à compter de la réception de la demande pour y répondre. À l’issue de ce délai, la CNIL pourra être saisie.
2. La politique RGPD que nous appliquons à nos traitements d'appels
Vous avez besoin d’assurer votre accueil téléphonique ? Vous avez choisi d’externaliser ce service ? Vous vous demandez comment les données clients peuvent être conservées et sécurisées en conformité ? Nos centres de contacts et de relation client collectent et traitent une quantité importante de données à caractère personnel de vos clients, patients, usagers ou bénéficiaires, en conformité avec RGPD et la loi Informatique et Libertés. Retrouvez ci-dessous un extrait de notre politique. Dans nos relations contractuelles, la protection des données personnelles est définie par une annexe spécifique.
Nous pouvons assurer 3 rôles différents en conformité avec le RGPD
Suivant la nature du contrat, des prestations réalisées et des souhaits et/ou possibilités techniques du client, IPContact peut se positionner aussi comme le destinataire des données.
Une coresponsabilité peut être définie avec une répartition claire des rôles et des prérogatives respectives. Cette coresponsabilité implique l’établissement d’un accord afin de définir, en toute transparence, les rôles et les responsabilités de chacun. Cet accord validé, car approuvé par l’ensemble des responsables conjoints, couvre tous les éléments du traitement (objet, nature, finalité, durée du traitement, type et catégorie de données traitées, personne concernées…).
- Sécurisation maximale de l’hébergement et de l’accès aux données via notre système d’information et réseaux ultra sécurisé
- Mise en conformité du traitement des données
- Les téléopérateurs IPContact sont tenus à une obligation de discrétion absolue lorsqu’ils recueillent les informations clients
1 | Responsable de traitement
Pour nos clients en profession libérale, SARL… pour lesquels nous travaillons avec nos outils de gestion de la relation client (à savoir notre ERP/CRM Logicielnet), nous nous positionnons comme le responsable de traitement en prenant en charge la mise en conformité des traitements des données, compte tenu de la complexité croissante des services SaaS (Software as a Service – fourniture de logiciel en ligne) et plus généralement du Cloud.
En mode Cloud, c’est avant tout l’éditeur qui détermine les moyens du traitement : le développement des outils logiciels, le déploiement de fonctionnalités complémentaires, la sélection des infrastructures, la création de la base de données… et la réalisation de tests réguliers sur l’efficacité des mesures de sécurité. Ainsi qu’en cas d’incident, le rétablissement de l’accès aux données. Le tout en vue de proposer une gamme de services à l’ensemble de nos clients, en appliquant en amont les principes de « Privacy by design et Privacy by default », qui impliquent la minimisation de la collecte des données et leurs protections, à chaque étape du processus.
2 | Destinataire des données
Quand nous travaillons avec les outils de la relation client de notre client dans le cadre de notre prestation (où les données sont accessibles en lecture uniquement), nous nous positionnons comme le destinataire de données. C’est à dire que notre client, responsable de traitement, nous habilitent à recevoir ses données.
L’article 34 de la loi « Informatique et Libertés » impose qu’un RT, au regard de la nature des données et des risques présentés par chaque fichier, prenne toutes les précautions utiles pour préserver la sécurité des données à caractère personnel dont il est responsable et, notamment, qu’il empêche les tiers non autorisés à y accéder.
Notre client, en tant que RT, doit donc mettre en œuvre toute la sécurisation des données lorsqu’il envisage de nous les communiquer ou de nous les rendre accessibles.
3 | Co-responsables de traitement ou sous-traitant
Pour nos clients Grands comptes ou sociétés ayant un DPO, pour lesquels nous travaillons avec nos outils de gestion de la relation client (notre propre ERP/CRM) et dont la prestation réalisée nécessite une synchronisation des données et/ou une intégration des outils, nous nous positionnons soit en co-responsables de traitement, soit en sous-traitant.
En effet, les activités de traitement peuvent être de nature diverse avec une marge d’appréciation plus ou moins grande sur le choix des moyens techniques et organisationnels utilisés. Comme la qualification du « RT » ou de « sous-traitant » repose sur des considérations factuelles et non contractuelles, nous préférons analyser les compétences de chacun pour définir les rôles : nombre d’instructions préalables données par le responsable de traitement, surveillance que ce dernier exerce sur le niveau de service, visibilité vis-à-vis des personnes concernées, expertise des parties, mise en œuvre, pouvoir de décision autonome des différents acteurs…
Que ce soit en co-responsabilité ou en sous-traitance, nous définissons avec notre client, de manière transparente, nos obligations respectives afin d’assurer le respect des dispositions légales en matière de protection des données via une convention. À la disposition des personnes concernées par le traitement, elle stipule les obligations distinctes et la responsabilité spécifique, notamment pour le RT dans la réalisation de l’analyse d’impact relative à la protection des données (AIPD) et l’obligation de notifier à la CNIL toute violation.
Toutefois, la détermination conjointement des finalités et les moyens du traitement devront s’appuyer sur les fonctionnalités (actuelles ou à venir) de notre suite logicielle et/ou de vos outils métier.
3. Pour contacter notre DPO
Pour toutes questions sur la mise en conformité de nos traitements, contacter : IPContact Group • DPO de Logicielnet • Europôle de l’Arbois • BP 90090 • 13545 Aix-en-Provence Cedex 04.
