En mai 2018 entrait en vigueur le nouveau Règlement Général sur la Protection des Données Personnelles, plus connu sous le nom de RGPD. Ce nouveau règlement, qui remplace la Loi Informatique et Libertés de la CNIL, renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données (responsables de traitement et sous-traitants).

– En bref, qui est concerné par le RGPD? Ou plutôt, qui ne l’est pas? Car la liste des métiers est longue comme le bras – et probablement non-exhaustive : les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données, les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients et plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme, un organisme public ou une association : tous ces acteurs peuvent être amenés à recevoir une telle qualification.

Jusqu’au printemps dernier, les obligations de la loi Informatique et Libertés ne s’imposaient qu’au responsable de traitement, pas au sous-traitant. En deux mots, nos clients étaient responsables de leurs données, Zeendoc devait simplement présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité prévues à l’article 34 de la loi Informatique et Libertés mais cette exigence ne déchargeait pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Désormais, ce sont tous les acteurs qui sont responsables. En effet, le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.  Zeendoc, parce qu’il a pour vocation de conserver des documents sensibles qui traitent des données à caractères personnel, doit respecter le RGPD en tant que sous-traitant des clients. C’est l’un des gros changements qu’apporte RGPD : non seulement le responsable du traitement doit garantir un bon traitement des données (c’était l’ancienne loi), mais aujourd’hui le sous-traitant, c’est à dire Avenir DSI avec Zeendoc, doit offrir à leurs clients « des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen).

– Quelles sont vos obligations en tant que Client Zeendoc, responsable du traitement des données?

En tant que responsable des données personnelles :

• vous devez a minima informer les personnes concernées sur votre identité, les finalités des traitements, les catégories de données personnelles traitées, la durée de conservation des données, l’existence de droits etc. Il faut obtenir le consentement explicite des salariés et des clients quant au fait que vous déteniez des informations sur eux et prouver que les documents électroniques que l’on a sont bien sécurisés et chiffrés. Il faut généralement adapter vos documents contractuels (CGU, CGV, mentions légales, politiques de confidentialité…) et les documents d’information à l’usage des personnes concernées il faut intégrer une phrase, une ligne, une clause qui mentionne le fait qu’en signant le devis/contrat, le client donne explicitement son accord pour qu’on garde ses coordonnées.
• Les personnes concernées par le traitement de données personnelles sont bien informées? Il faut alors leur permettre d’exercer leurs droits,  droit d’accès (« quelles sont toutes les données que vous avez sur moi ? ») ou droit d’effacement (« effacez toutes les données que vous avez sur moi »).

Et avec Zeendoc, sous-traitant de vos données, suis-je en conformité avec le RGPD?

« Les sous-traitants ont le devoir et l’obligation d’assister leurs clients responsables de traitement, notamment :

• Permettre aux personnes concernées d’exercer leurs droits : les données personnelles contenues dans les documents stockés au sein de Zeendoc peuvent être facilement retrouvées et les documents supprimés grâce aux fonctions de recherche avancées de Zeendoc. 
• Garantir la confidentialité, la disponibilité et la sécurité des données à caractère personnel : les mesures mises en place par Zeendoc renforcent ces garanties. Chaque document déposé dans Zeendoc est crypté avec une clé spécifique au client. Le personnel de Zeendoc n’a pas accès aux documents que vous versez, sauf si vous créez spécifiquement un accès pour cela, notamment pour une demande de support technique. 
• Documenter les traitements de données à caractère personnel. Une fiche de registre des traitements effectués pour vous par Zeendoc pourra vous être fournie. 

  Enfin, l’une des principales recommandations du RGPD, pour mener à bien votre transition vers la conformité, est de rassembler vos données sur une plateforme unique. En effet, pour mettre en œuvre un traitement des données efficace et contrôler tous les flux, une vision globale en un coup d’œil est nécessaire. Zeendoc est ainsi la réponse optimale pour maitriser les flux de données, tout en conservant les historiques et la traçabilité nécessaires pour fournir des preuves de conformité à la demande. Pouvoir prouver sa conformité est en effet un des éléments clés du RGPD. Les fonctions de recherche avancées de Zeendoc permettent de satisfaire l’exercice des droits des personnes. De plus, Les mesures techniques et organisationnelles offertes par Zeendoc sont de nature à réduire drastiquement les risques qui doivent être pris en compte dans le cadre du RGPD (disponibilité, sécurité et confidentialité). Ainsi, il est beaucoup plus adapté et sécurisé de stocker vos documents dans Zeendoc que dans un NAS hébergé dans vos propres locaux. »