1. SENDINBLUE ET LE
Comment SendinBlue s’est
mis en conformité avec
le Règlement européen de
la Protection des
Données Personnelles
2. Qu’est ce que le RGPD ?
Pour en savoir plus, consultez le texte de loi sur le site officiel
Le RGPD est la nouvelle loi européenne de référence de protection
des données personnelles qui entrera en vigueur le 25 mai 2018.
Une donnée personnelle est définie comme toute donnée relative à une personne
physique identifiée directement ou indirectement grâce à cette donnée.
3. Qui est
concerné
par
le RGPD ?
Toute entité traitant des données
personnelles de citoyens européens,
quelque soit le pays où l'entitée est basée.
Les taitements de données peuvent être
effectués de deux façons :
→ Par un responsable de traitement, celui qui détermine
les finalités et les moyens du traitement.
→ Par un sous-traitant, celui qui traite des données
personnelles pour le compte d'un responsable de traitement.
5. SendinBlue est à la fois
« responsable de traitement » et « sous-traitant ».
Nous traitons les données de nos clients,
mais aussi celles de leurs propres clients !
6. Les
5 Points
Clés Du
RGPD
Droits des personnes concernées
Obligations du sous-traitant
Sécurité et notification des violations
Transfert hors UE de données personnelles
Sensibilisation et suivi
01
02
03
04
05
7. Le consentement des personnes concernées
doit être «librement donné» et être le résultat
d’une «action positive»
Droit des personnes concernées :
Nos actions
8. Sous-traitant
Responsable de Traitement Revue de notre Politique de Confidentialité
Désactivation du stockage du contenu des
emails transactionnels à la demande du client
Modifications de l'éditeur de formulaires :
→ Gestion des préférences avec la fonctionnalité
multi-listes
→ Proposition des mentions légales RGPD
→ Lien vers la documentation RGPD
Amélioration de la gestion des contacts
Accès aux preuves de l’inscription: IP, Time-
stamp, ID du formulaire...
9. Le responsable de traitement doit conserver la
preuve du consentement
Droit des personnes concernées :
Nos actions
10. Droit à la
Rectification
Possibilité pour le
responsable de traitement
de modifier les données
relatives aux personnes
concernées.
Droit à
L’oubli
Possibilité pour le
responsable de traitement
de supprimer les données
relatives aux personnes
concernées.
Droit à la
Portabilité
Possibilité pour le
responsable de traitement
d'exporter toutes les
données de son compte.
12. Un contrat de sous-traitance (ou DPA) doit être signé entre
responsable de traitement et sous-traitant afin de
déterminer les modalités du traitement des données.
Rédaction d'un DPA complet qui établit précisément :
→ Les types de traitement que nous réalisons pour les
responsables de traitement
→ La durée de conservation des données (obligation de
supprimer les données)
→ Les traitements réalisés hors UE
→ La liste des sous-traitant secondaires...
13. Le sous-traitant doit s’assurer que son personnel est soumis
à une obligation de confidentialité.
Pour les salariés (en France, en Inde et aux USA) :
→ Signature d’un accord de confidentialité.
→ Intégration de l’accord de confidentialité de la charte
informatique qui est signée lors de la prise de fonctions.
14. Le sous-traitant doit s’assurer que son personnel
est soumis à une obligation de protection des
données autres que celles prévues avec le responsable
de traitement :
→ Signatures d’accords avec nos propres sous-traitants
15. Création d'un registre écrit et nomination
d'un Data Protection Officer (DPO).
→ Enregistrement de tous les traitements que
nous faisons pour nos clients.
→ Nomination de Jules Jeanroy au poste de DPO
16. Sécurité et notification des violations
Mise en place de mesures de sécurité
→ Cryptage, pseudonymisation
des données
→ Permettre à nos clients de sécuriser
leur compte
→ SendinBlue: double authentification
Obligation de notifier les Autorités
Compétentes dans un délai de 72h à
compter de la prise de connaissance
de la violation
→ Sous-traitant : obligation d’avertir les
responsables de traitement
→ Responsable de traitement : obligation
d’avertir les personnes concernées
17. Sécurité et notification
des violations : nos actions
→ Matrice des habilitations
→ Cartographie des flux de données
→ Tracking et gestion des logs sur SendinBlue
18. Transfert hors union européenne
de données personnelles
Vers un État objet d’une
« décision d’adéquation »
avec l’UE: pas de mesure
spécifique
Autres CAS:
signature de clauses
contractuelles types
Vers les USA:
vérifier la certification
« privacy shield »
19. Transfert hors union européenne
de données personnelles : nos actions
Cartographie des flux de données
Signature de clauses contractuelles types avec les
entités américaines et indiennes et avec les
sous-traitants non certifiés privacy shield
20. « Privacy by design » :
Protection de la vie privée
dès la conception de
chaque projet
Sensibilisation des
collaborateurs au RGPD
avant, pendant et après
son implémentation.
Sensibilisation et suivi