Introduction
Le règlement n°2016/679 nommé « Règlement général sur la protection des données (RGPD ou GDPR en anglais) » constitue le nouveau cadre juridique européen en matière de traitement de données à caractère personnel en Europe. Il est applicable depuis le 25 mai 2018. Remplaçant la directive sur la protection des données adoptée en 1995, le RGPD est d’application directe dans l’Union et ne nécessite pas de lois de transpositions nationales. Ainsi, il impose un cadre unique et harmonisé des régimes juridiques en matière de protection des données à caractère personnel à tous les états membres. Le RGPD dispose aussi d’un cadre extraterritorial qui permet, sous certaines conditions, d’étendre son périmètre d’application hors UE.
Une structure qui traite des données personnelles en tant que responsable de traitement ou pour le compte, sur instruction et sous l’autorité d’un responsable de traitement et qui a accès aux données, dispose ainsi d’obligations distinctes en sa qualité de sous-traitant ou de responsable de traitement. WP Serveur, en tant que prestataire de services informatiques (hébergement, maintenance) est directement concerné.
Définitions
Afin de faciliter la compréhension de l’application des nombreux articles et directives, il apparait opportun de bien définir les termes suivants : Données à caractère personnel : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres… » (article 2). Par exemple, une personne est identifiée lorsque son nom ou son adresse électronique apparait dans un fichier. Traitement : toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Responsable du traitement : Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité du responsable du traitement. Il est primordial de bien faire le distinguo entre la sécurité des données hébergées par le client et la sécurité des infrastructures sur lesquelles ces informations sont stockées :
- En ce qui concerne la sécurité des données hébergées par le client : vous êtes seul responsable afin d’assurer la sécurité des ressources et des systèmes d’applications que vous déployez dans le respect de nos conditions générales d’utilisation.
- En ce qui concerne la sécurité de nos infrastructures : nous nous engageons sur une sécurité maximale de nos infrastructures :
- Mise en place d’une PSSI (politique de sécurité des systèmes d’information)
- Normes et certifications (exemple ISO 27001:2005, etc.). Les détails des normes et certifications par DC sont disponibles sur les sites vitrines du groupe WP Serveur ou par demande de nos clients à notre service de support et assistance). 7
WP Serveur en tant que sous-traitant
WP Serveur propose des infrastructures d’hébergement sur lesquelles nos clients peuvent héberger leurs données à caractère personnel. Dans ce cas, le client a la qualité de responsable de traitement des données à caractère personnel et nous intervenons en qualité de sous-traitant, selon vos instructions et sous votre autorité.
C’est dans ce cadre relationnel que nous nous engageons donc à :
- Etablir et appliquer des normes visant à garantir la sécurité de vos données selon le meilleurs standards de la technologie que nous déployons.
- Vous informer et obtenir votre consentement dans le cas où nous ferions appel à un soustraitant.
- Vous informer le plus rapidement possible si une violation de vos données était constatée.
- Ne pas transférer vos données à caractère personnel hors de l’Union Européenne ou dans un pays non-reconnu par la Commission Européenne comme disposant d’un niveau de protection suffisant à l’exception de nos propres sociétés sises en Tunisie et au Maroc, elles mêmes soumises à des Clauses Contractuelles Types (CCT 2010/87/UE) adoptées par la Commission Européenne. Les CCT permettent d’encadrer les transferts de données personnelles hors de l’Union européenne. Elles présentent donc un niveau de protection suffisant.
- Vous faciliter dans vos démarches de respect des obligations réglementaires en tant que Responsable de traitement en mettant à votre disposition les documents idoines relatifs à nos services.
Ainsi il est entendu que :
- Les données hébergées par le client dans le cadre nos services restent la propriété du client. Nous excluons bien entendu fermement toute revente de ces données à des tiers quels qu’ils soient.
- WP Serveur peut être amené à accéder à vos données :
- Dans le cadre d’obligations légales suite des demandes judiciaires et/ou administratives.
- Afin d’assurer le bon fonctionnement des services comme par exemple dans le cadre d’une demande d’assistance de la part du client à notre service de support ou dans le cadre de certains contrats d’infogérances. Dans ce cas de figure, l’accès aux données à caractère personnel sont soumises à des accréditations et habilitations particulières par le client. Afin de pouvoir traiter les requêtes d’assistance, nos techniciens de support peuvent être amenés à prendre connaissance des informations fournies par le client (telles que le nom, l’adresse email, le téléphone, etc.) lors de la création de son compte client WP Serveur.
- WP Serveur se réserve le droit de confier des prestations de support pouvant impliquer un accès à distance aux données stockées par le client, dans le cadre des services, à d’autres entités du groupe WP Serveur situées dans des pays non reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant mais, comme mentionné plus haut, ces entités sont soumises à des CCT (Clauses Contractuelles Type) et offrent ainsi au regard de la Commission Européenne un niveau de protection suffisant.
- Concernant des transferts non soumis à des CCT (par exemple certains sous-traitants) : Grâce aux garanties offertes par WP Serveur en matière de transfert de données, le client peut respecter ses obligations réglementaires. L’article 45 du RGPD, déterminant les cas de « transferts fondés sur une décision d’adéquation », stipule en effet qu’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.
- Certains de nos services permettent aux clients d’héberger leurs données chez WP Serveur. La localisation géographique du ou des datacenters dans lesquels sont susceptibles d’être hébergées ces données se trouvent sur les sites internet du groupe WP Serveur. Les clients peuvent également en faire la demande directement au service support & assistance. Tous ces Datacenters sont situés en France.
- Les centres de données dans lesquels sont stockés les données de services choisis par le client sont tous situés dans un ou des pays de l’UE. La Commission Européenne les considère donc à juste titre comme disposant d’un niveau de protection suffisant.
WP Serveur en tant que responsable de traitement
WP Serveur est responsable de traitement lorsqu’il détermine les finalités et les moyens de ses traitements de données à caractère personnel.
C’est le cas quand nous collectons des données pour gérer l’identité du client, la commande, la facturation, les recouvrements, opérer les services, l’amélioration de la qualité des services et de la performance, le démarchage commercial, la gestion commerciale, l’envoi de newsletters, gérer les demandes relatives aux droits des personnes, stocker les données des clients. .
Bien entendu, cela ne concerne pas les données que vous stockez sur nos infrastructures. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur WP Serveur dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être.
C’est pourquoi nous tenons à vous fournir des éléments de compréhension sur les garanties mises en oeuvre pour protéger ces données à caractère personnel.
- En premier lieu, nous limitons la collecte de données au strict minimum utile : ainsi, lors de la création d’un compte au cours d’une commande, vous ne renseignez que des données nécessaires pour que WP Serveur puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données (comme la loi n° 2004-575 du 21 juin 2004 sur la confiance dans l’économie numérique).
- Nous nous engageons à ne pas utiliser les données collectées pour d’autres finalités que celles pour lesquelles elles ont été collectées.
- Nous nous engageons à conserver les données à caractère personnel durant un laps de temps limité et proportionné à l’accomplissement des finalités. Par exemple, les données de gestion de relation client/WP Serveur (nom, prénom, adresse postale, email, etc.) sont conservées par la société pendant toute la durée du contrat et les soixante (60) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes.
- Vous disposez d’un droit d’accès, de portabilité de vos données, de rectification, d’effacement et de limitation de vos données, le droit de vous opposer au traitement de vos données et, en cas de traitement reposant sur le consentement, vous avez le droit de retirer votre consentement. Vous pouvez, à tout moment, exercer vos droits auprès du Responsable de traitement du groupe Magic Online : Sophie Mazouz à l’adresse suivante protectiondesdonnees@magic.fr
- Vous avez le droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (Cnil).
- Si vous ne souhaitez pas que nous collections vos données personnelles, nous ne pourrions vous délivrer la totalité de nos services et notamment l’assistance technique, administrative et commerciale.
- Nous nous engageons à ne pas opérer de transfert de ces données à des tiers autres que les sociétés apparentées à WP Serveur intervenant dans le cadre de l’exécution du contrat. Dans le cadre de ces transferts intra-Groupe, certaines données peuvent être transférées en dehors de l’Union Européenne sur le fondement des Clauses Contractuelles Type (CCT 2010/87/UE) mises en oeuvre par le Groupe WP Serveur.
- Nous nous engageons sur la mise en oeuvre concrète de mesures techniques et organisationnelles appropriées pour vous garantir un niveau de sécurité adapté et conforme à la règlementation.