Aller à la section

Protection des données dans l'UE

Cet article vise principalement à aider nos clients de l'Union européenne (UE) à évaluer leur conformité avec les exigences de l'UE en matière de protection des données. En plus de cet article, nous avons préparé une FAQ RGPD pour vous aider à réaliser une analyse de risque pour vous-même ou votre entreprise.

Localisation des données

Toutes les données de Capsule sont stockées sur Amazon Web Services (AWS) aux États-Unis. Toutes les données stockées en dehors de l’UE doivent être stockées dans un pays sûr ou auprès d’une entreprise qui respecte les dispositions de la législation RGPD. Pour en savoir plus, cliquez ici.

Nous avons convenu avec AWS d'un addendum sur le traitement des données qui les engage à respecter les clauses contractuelles standard définies par la Commission européenne. Cela garantit que les données sont transférées de manière sûre vers AWS, conformément à la législation de l’UE sur la protection des données. (De plus amples informations sur les clauses contractuelles types sont disponibles dans le guide du Bureau du commissaire à l'information du Royaume-Uni (ICO)).

Obligation et relation contractuelle en tant que responsable du traitement de vos données et de nos sous-traitants

Capsule a l'obligation légale de protéger les informations personnellement identifiables de vos clients. Veuillez lire l’accord sur le traitement des données pour comprendre nos engagements et notre approche vis-à-vis de la protection des données que vous stockez sur votre compte.

Capsule a recours à un certain nombre de sous-traitants ultérieurs, par exemple AWS. Tous ces sous-traitants ultérieurs ont conclu des accords garantissant que vos données clients sont protégées comme si nous nous en occupions directement en étant au sein de l’UE. Une liste à jour de nos sous-traitants ultérieurs est mise à votre disposition ici.

Cryptage

Les données qui sont transférées entre vous et Capsule sont chiffrées en transit à l’aide du protocole TSL, « Transport Layer Security » (Sécurité de la couche de transport). Nous nous efforçons de nous conformer aux normes de chiffrement les plus élevées possibles pour le chiffrement des données en transit et nous refusons la prise en charge de toute norme plus ancienne qui ne serait plus considérée comme fiable. Toutes les données des clients sont soumises à un chiffrement au repos.

Certification Capsule

Les bureaux de la Commission européenne de la protection des données n’exigent ni ne proposent de certificat dont nous pourrions faire la demande. Il est exigé que nous respections la législation, ce qui est déjà le cas.

Cet article est particulièrement utile pour mieux comprendre. Aucun organisme n’a été habilité par les bureaux de la Commission européenne de la protection des données à vérifier et à certifier la conformité au RGPD. Cela dit, nous pouvons vous assurer que Capsule offre la sécurité nécessaire pour que vous soyez en conformité, notamment concernant le chiffrement et les contrats, et Capsule dispose d’une fonctionnalité vous permettant d’agir de manière responsable avec les données de vos clients.

Nous avons été interrogés sur les certifications ISO et SOC. Elles ne sont pas directement liées au RGPD. Il s’agit de certifications qui confirment les niveaux de sécurité, ISO principalement au sein de l’UE et SOC principalement aux États-Unis. Nous avons obtenu notre accréditation SOC 2 Type II ; cet article vous en dit davantage à ce propos.

Le stockage de données dans Capsule et la directive européenne sur la protection des données

Les exigences de l'UE en matière de protection des données ont été normalisées dans le cadre du règlement général sur la protection des données (RGPD). Ce règlement s’applique à toute personne qui stocke des données à caractère personnel concernant un résident de l’UE.

Il incombe au responsable du traitement des données de respecter la réglementation. En votre qualité de responsable du traitement des données en ce qui concerne les données personnelles que vous stockez sur Capsule, il est de votre responsabilité de veiller au respect de cette réglementation.

Afin d’évaluer si Capsule vous permet de répondre à ces exigences, nous vous recommandons de procéder à une simple analyse des risques. Pour faciliter l’analyse des risques pour vous-même ou pour votre entreprise, consultez les réponses à ces questions courantes sur le RGPD. Nous avons la ferme conviction que Capsule met tout en œuvre pour protéger les données personnelles que vous nous confiez.

Fonctionnalités de Capsule permettant de répondre à vos exigences en matière de conformité

Enregistrement du consentement

Le RGPD exige que toutes les données provenant de clients de l’UE soient soumises à un traitement fondé sur une base légale. Le consentement est l’un des moyens d’assurer la licéité du traitement. D’autres incluent le droit de traiter les données d’un client en se fondant sur l’intérêt légitime. L’Information Commissioner’s Office (ICO, bureau du commissaire à l’information) du Royaume-Uni a publié un projet de notes d’orientation consacré à la base légale du traitement qui peut vous aider à mieux comprendre ce que cela implique et à décider si vous devez ou non demander le consentement proactif. Cliquez ici pour consulter ces notes.

Si vous avez besoin d’enregistrer le consentement proactif d’un client, vous pouvez utiliser la fonction Champs personnalisés de Capsule et ajouter un champ de case à cocher pour enregistrer le consentement formulé. Ce champ peut être associé à un champ de date pour enregistrer la date à laquelle le consentement a été donné.

Parmi les autres moyens de distinguer les clients qui ont consenti à ce que vous traitiez leurs données figure la DataTag (étiquette de données). Les DataTags vous permettent de saisir des informations supplémentaires à l’aide d’une étiquette. Par exemple, vous pouvez créer une étiquette « Consentement » et enregistrer la date à laquelle le consentement a été donné avec l’étiquette.

Droit à l’oubli

Le RGPD accorde une grande importance au droit à l’oubli, qui permet à une personne de demander la suppression de ses données. Si l’un de vos clients vous demande de supprimer ses informations, vous pouvez utiliser la fonction « Corbeille » de Capsule.

Un contact supprimé reste dans la corbeille pendant 30 jours ; passé ce délai, les données sont définitivement supprimées de notre base de données. Il existe également une option qui permet aux super administrateurs de purger immédiatement les différentes fiches de contacts du compte, sans tenir compte du délai de 30 jours dans la corbeille. Pour plus d'informations, voir cet article.

Capsule conserve toutefois les sauvegardes. Comme expliqué dans nos conditions d’utilisation, nous nous assurons que toutes les données résiduelles sont effacées dans les 50 jours suivant leur suppression des systèmes actifs. Vous pouvez consulter la politique de suppression et de conservation des données en vigueur ici. Et aussi ici.

Demandes d’accès des personnes concernées (SAR, Subject Access Request)

Les demandes d’accès des personnes concernées constituent une exigence provenant de la législation précédente, toutefois, elles ont gagné en importance avec l’arrivée du RGPD. Ainsi, une personne peut demander l’accès à toutes les données que vous avez stockées à son sujet au sein de Capsule.

Sur demande, vous pouvez utiliser la fonction « Imprimer le résumé » pour préparer une feuille contenant les détails du client, avec tous ses antécédents et ses notes.

Pour ce faire :

  1. Ouvrez le contact qui a demandé ses données.
  2. À côté du nom du contact, utilisez la flèche vers le bas pour afficher un menu d’actions.
  3. Sélectionnez « Imprimer le résumé ».
  4. Imprimer la page
  5. Vous pouvez désormais utiliser la fonction d’impression de votre navigateur pour imprimer les informations, ou alors générer un PDF.

Comment Capsule traite vos données

Nous traitons vos données personnelles dans le strict respect des instructions que vous nous fournissez en votre qualité de responsable du traitement des données, conformément à nos conditions et à notre politique de confidentialité.