Cet article est aussi disponible en :
Dans cet article, nous expliquerons comment l'invalidation du bouclier de protection de la vie privée a affecté la manière dont nous stockons les données de nos clients et participants.

Dernière mise à jour : 11 août 2020

Le 16 juillet 2020, la Cour de justice de l'Union européenne a invalidé le bouclier de protection de la vie privée entre l'UE et les États-Unis. Cela signifie que le Privacy Shield n'est plus un cadre juridique valable pour le transfert de données personnelles de l'Espace économique européen vers les États-Unis. Comme des milliers d'autres entreprises, nous nous sommes appuyés sur ce cadre pour des parties essentielles de notre système. Comme cette décision était inattendue, il y a beaucoup d'incertitude quant à nos options concernant l'utilisation des services basés aux États-Unis.

Le respect de la vie privée et la sécurité sont très importants pour nous. Nous stockons toutes les données au sein de l'Union européenne, mais nous avons des sous-processeurs aux États-Unis qui sont essentiels au fonctionnement de notre LMS. Nous suivons les développements relatifs à l'invalidation du bouclier de protection de la vie privée et nous étudions actuellement nos options avec nos sous-traitants basés hors de l'Union européenne.

Nous avons l'intention d'être totalement conformes à la GDPR, nous ferons donc tout pour que toutes nos données soient traitées légalement et en toute sécurité, en préservant la vie privée de nos clients et de leurs clients. Nous avons décidé pour l'instant de signer des accords sur le traitement des données (DPA), contenant des clauses contractuelles types (SCC), avec tous nos sous-traitants américains, garantissant une protection de toutes les données personnelles à un niveau similaire à celui de la GDPR. Toute mise à jour sera publiée sur cette page.

Parce que nous voulons être transparents sur la façon dont nous traitons cette situation, nous avons créé une liste de tous nos sous-traitants secondaires non européens, des données personnelles qu'ils traitent et de notre réponse à l'invalidation du bouclier de protection de la vie privée. Étant donné que nous traitons les données de nos clients directs et des participants de nos clients, nous appellerons ces différents groupes de données personnelles respectivement "données personnelles des clients" et "données personnelles des participants".

Données personnelles des participants

Ces systèmes traitent les données personnelles des participants :

AWS

Notre application est hébergée sur les serveurs d'Amazon AWS à Francfort, en Allemagne. Toutes les données sont stockées sur un autre serveur AWS au même endroit, entièrement cryptées. Jusqu'à présent, nous nous sommes appuyés sur le Privacy Shield pour tout transfert de données vers les États-Unis. Même si toutes les données sont cryptées et devraient être sûres, nous envisageons actuellement de signer des CSC qui devraient sécuriser complètement toutes les données. Vous pouvez en savoir plus sur les AWS et la protection de la vie privée ici.

Mandrill

Nous utilisons Mandrill pour tous nos courriels générés par notre système LMS. Mandrill stocke et traite toutes les informations aux États-Unis. Ils ont incorporé les LMS dans leurs conditions d'utilisation et ils déclarent sur leur site web qu'ils continueront à suivre les mêmes mesures de protection des données, donnant essentiellement la même protection des données qu'avant l'invalidation du bouclier de protection de la vie privée.

Les courriels suivants sont envoyés par Mandrill aux participants :
Courriels d'invitation
Courriels de résultats
Courriels de certificats
Courriels de réinitialisation du mot de passe
Et aux administrateurs :
Courriels de notification des résultats
Courriels de notification d'exportation
Administrer les courriels d'invitation
Courriels de réinitialisation du mot de passe de l'administrateur
Courriers électroniques de facturation
La plupart de ces courriels contiennent des informations personnelles du participant, à savoir son nom et son adresse électronique.

Vous pouvez vous assurer qu'aucun courriel n'est envoyé aux participants par l'intermédiaire de Mandrill en utilisant votre propre serveur de messagerie. Pour savoir comment procéder, consultez ici.

Cela n'affecte pas les courriels envoyés aux administrateurs. Nous travaillons à la modification de cette situation, mais en attendant, vous pouvez désactiver les notifications lorsqu'un participant a terminé. En combinaison avec votre propre serveur de messagerie, aucune donnée personnelle des participants n'est envoyée à Mandrill. Cela n'empêche pas que les données personnelles des clients soient envoyées à Mailchimp.

Données personnelles des clients

Les systèmes suivants ne traitent que les données personnelles des clients

Outils de démonstration

Nous utilisons plusieurs outils pour nos démonstrations et nos demandes de fonctionnalités, dont
Calendrier
GoToMeeting
Pipedrive
Tableau des produits
Zapier
Nous avons examiné et signé des DPA avec toutes ces entreprises, garantissant la sécurité lorsqu'elles traitent les noms, les adresses électroniques, les numéros de téléphone et les informations sur les entreprises.

Produits atlassiens

Nous utilisons plusieurs produits d'Atlassian, principalement pour le suivi des processus internes. Certaines de ces données incluent les courriels des clients, nous avons donc signé leur DPA pour nous assurer que ces données sont stockées et traitées en toute sécurité.

Google Drive

Nous utilisons Google Drive pour le stockage des documents internes. Nous étudions de multiples solutions pour garantir la sécurité future des données personnelles, notamment le stockage des données dans l'UE, l'anonymisation des données dans le lecteur et la recherche d'une alternative.

Slack

Nous utilisons Slack comme outil de communication interne, où nous discutons parfois des demandes des clients. Nous avons signé leur DPA.

Intercom

Auparavant, nous utilisions Intercom pour notre centre d'aide et notre chat, mais nous sommes passés à Crisp, qui est basé dans l'Union européenne. Ils sont entièrement conformes aux normes GDPR, donc pas de problèmes là-bas !
Cet article a-t-il répondu à vos questions ?
Annuler
Merci !