Politique RGPD

Cette page est une traduction de https://www.beyondtrust.com/gdpr-statement. Sa traduction en français n'a pas de valeur juridique.

Notre engagement

Chez BeyondTrust Corporation, nous prenons l’engagement d’assurer la sécurité et la protection des informations personnelles que nous traitons et de mettre en œuvre une approche conforme et cohérente de protection des données. Nous disposons d’un programme de protection des données robuste et efficace qui se conforme à la loi en vigueur et observe les principes de protection des données. Toutefois, nous reconnaissons nos obligations de mise à jour et d’extension du programme pour nous conformer aux exigences du RGPD et d’autres réglementations similaires.

Nous nous engageons à protéger les informations personnelles en notre possession et à développer un régime de protection des données efficace, adapté et qui démontre la compréhension et l’appréciation du nouveau Règlement. Nos préparatifs et nos objectifs de conformité au RGPD sont résumés dans cette déclaration et incluent le développement et la mise en œuvre de nouveaux rôles de protection des données, des règles, procédures, contrôles et mesures assurant une conformité maximale et continue.

Comment nous nous sommes préparés au RGPD

BeyondTrust dispose d’une équipe interne dédiée, composée de membres de différents services et qui ont œuvré pour la préparation de BeyondTrust au RGPD. Nos efforts continus de mise en conformité incluent :

• Audit d’informations : réalisation d’un audit de toutes les informations de l’entreprise pour identifier et évaluer les informations personnelles que nous détenons, d’où elles proviennent, comment et pourquoi elles sont traitées, si et à qui elles peuvent être divulguées.
• Politiques et procédures : révision et mise en œuvre de nouvelles règles et procédures de protection des données pour se conformer aux obligations et standards du RGPD et des lois applicables de protection des données, y compris : -
• Base légale de traitement : nous analysons continuellement nos activités de traitement pour identifier la base légale de traitement et veiller à ce que chaque base soit appropriée pour l’activité concernée. Chaque fois que nécessaire, nous procédons à des enregistrements de nos activités de traitement, afin de veiller au respect de nos obligations en vertu de l’Article 30 du RGPD et du Schedule 1 du Data Protection Bill.
• Avis/politique de confidentialité : nous révisons nos avis de confidentialité pour qu’ils se conforment au RGPD, afin que tous les individus dont nous traitons les informations personnelles soient informés des raisons pour lesquelles nous en avons besoin, comment nous les utilisons, quels sont leurs droits, à qui l’information est divulguée et quelles mesures de protection nous mettons en place pour protéger leurs informations.
• Obtention de consentement : nous revoyons nos mécanismes de consentement pour l’obtention de données personnelles, en veillant à ce que les individus comprennent ce qu’ils nous confient, pourquoi et comment nous les utilisons et en leur proposant des moyens clairement définis de nous autoriser à traiter leurs informations. Nous avons développé des processus stricts d’enregistrement de consentement, qui nous permettent de justifier les consentement (opt-in) horodatés ; et des options simples de consultation et d’accès permettant de retirer son consentement à tout moment.
• Marketing direct : nous revoyons les termes et les processus de marketing direct, y compris avec des mécanismes clairs de consentement pour les abonnements marketing ; une mention et une méthode claires de retrait de consentement et des fonctions pour se désabonner de tous les supports marketing connexes.
• Data Protection Impact Assessments (DPIA) : là où nous traitons des informations personnelles à haut risque, à grande échelle ou qui incluent des données de catégorie spéciale ou de condamnation criminelle, nous avons développé des procédures strictes et des modèles d’évaluation pour réaliser des évaluations d’impact parfaitement conformes aux obligations de l’Article 35 du RGPD. Nous mettons en œuvre des processus de documentation qui enregistrent chaque évaluation, qui permettent d’évaluer le risque que pose l’activité de traitement et appliquent des mesures d’atténuation du risque pour la ou les personne(s) concernée(s).
• Contrats de sous-traitance (Processor Agreements) : chaque fois que nous confions à des tiers le traitement d’informations personnelles (ex. paye, recrutement, hébergement, etc.), nous préparons des contrats de sous-traitance conformes et des procédures de due diligence pour nous assurer du respect et de la bonne compréhension par tous des obligations RGPD applicables. Ces mesures incluent des revues initiales et continues du service rendu, de la nécessité de l’activité de traitement, des mesures techniques et organisationnelles en place et de la conformité au RGPD.
  • Protection des données : le document principal de notre politique et procédure de protection des données a été revu entièrement pour respecter les standards et les exigences du RGPD. Des mesures de responsabilité et de gouvernance sont en place pour bien comprendre, diffuser correctement et justifier de nos obligations et responsabilités ; en mettant l’accent sur la confidentialité dès la conception et les droits des individus.
  • Rétention et effacement des données : nous avons mis à jour notre politique et programme de rétention pour respecter les principes de « minimisation des données » et de « limitation du stockage » et pour nous assurer que les informations personnelles sont stockées, archivées et détruites de façon conforme et éthique. Nous avons mis en place des procédures d’effacement selon l’obligation du droit à l’oubli et savons quand ce droit et d’autres s’appliquent à la personne concernée ; de même que les exemptions, les délais de réponse et les obligations de notification.
  • Compromissions de données : nos procédures en cas de compromission comportent des protections et des mesures pour identifier, évaluer, investiguer et rendre compte de toute compromission de données personnelles le plus tôt possible. Nos procédures sont robustes et communiquées à l’ensemble des employés, pour qu’ils connaissent les conditions de reporting et les étapes à suivre.
  • Transferts de données internationaux et divulgation à des tiers : chaque fois que BeyondTrust stocke ou transfère des informations personnelles en dehors de l’UE, nous avons des procédures robustes et des mesures de protection en place pour garantir, chiffrer et maintenir l’intégrité des données. Nos procédures incluent la revue permanente des pays avec des décisions d’adéquation suffisantes, ainsi que des clauses standard de protection des données ou des codes de conduite approuvés pour les pays qui en sont dépourvus. Nous menons des vérifications strictes de due diligence de tous les destinataires de données personnelles pour évaluer et vérifier qu’ils ont des protections appropriées en place pour protéger l’information, qu’ils peuvent appliquer les droits des personnes concernées et qu’ils prévoient des recours légaux efficaces pour les personnes concernées le cas échéant.
  • Demande d’accès de la personne concernée ou SAR (Subject Access Request) : nous revoyons nos procédures SAR pour y intégrer les délais révisés de production des informations demandées. Nos nouvelles procédures décrivent dans le détail comment vérifier le sujet des données concernées, quelles mesures prendre pour traiter une demande d’accès, quelles exemptions s’appliquent et elles prévoient une suite de modèles de réponse pour nous assurer que la communication avec les personnes concernées est conforme, cohérente et adéquate.
• Données des catégories spéciales : chaque fois que nous obtenons et traitons des informations de catégories spéciales, nous le faisons en totale conformité avec les exigences de l’Article 9 et appliquons de hauts niveaux de chiffrement et de protection de ces données. Les données des catégories spéciales ne sont traitées que si cela est nécessaire et uniquement après avoir identifié la condition appropriée de l’Article 9(2) ou de Data Protection Bill Schedule 1. Chaque fois que nous demandons une autorisation de traitement, cette demande est explicite et vérifiée par une signature, où le droit de modifier ou de supprimer le consentement est clairement signalé.

Droits de la personne concernée

En plus des politiques et procédures précitées qui garantissent les droits de protection des données des individus, nous proposons des informations faciles d’accès sur le droit d’un individu à avoir accès aux informations personnelles que BeyondTrust traite et à demander des informations :

• Quelles données personnelles les concernant sont en notre possession
• L’objet du traitement
• Les catégories de données personnelles concernées
• Les destinataires à qui les données personnelles sont/seront divulguées
• La durée prévue de stockage des données personnelles
• Si nous n’avons pas collecté les données auprès d’eux directement, les informations concernant la source
• Le droit que des données incomplètes ou erronées les concernant soient corrigées ou complétées et la procédure pour le demander
• Le droit de demander l’effacement des données personnelles (le cas échéant) ou de restreindre le traitement conformément aux lois de protection des données, et de refuser toute sollicitation de marketing direct de notre part et d’être informé des processus décisionnels automatisés que nous utilisons
• Le droit de déposer plainte ou de se prévaloir de recours en justice et de savoir qui contacter dans ces cas-là

Sécurité de l’information et mesures techniques et organisationnelles

BeyondTrust prend très au sérieux la confidentialité et la sécurité des individus et de leurs informations personnelles et prend des mesures et des précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place des politiques et procédures robustes de sécurité de l’information pour protéger les informations personnelles de tout accès non autorisé, tentative d’altération, de divulgation ou de destruction et avons déployé plusieurs couches de mesures de sécurité, y compris :

• Chiffrement :
  • BeyondTrust utilise des communications sécurisées, HTTPS/SSL, pour les communications web et la collecte de données
  • Les produits BeyondTrust peuvent être configurés pour respecter les exigences applicables aux données en transit et au repos
• Contrôles d’accès :
  • BeyondTrust suit une approche d’authentification des contrôles d’accès sur la base de la nécessité de savoir et de la séparation des besoins
  • Les produits BeyondTrust peuvent être configurés pour respecter les contrôles d’accès stricts et obligations d’audit pour les utilisateurs généraux et privilégiés, et peuvent être intégrés aux solutions de gestion des accès et de fédération d’identités
• Règles des mots de passe :
  • BeyondTrust gar observe une politique stricte de mots de passe complexes utilisant l’authentification multifactorielle
  • Les produits BeyondTrust sont configurés pour respecter les obligations de complexité des mots de passe, de périodicité et de versioning, et peuvent être intégrés à des solutions de gestion des accès et de fédération des identités
• Pseudonymisation :
  • BeyondTrust collecte le minimum de données nécessaire pour la conduite de ses affaires.
  • BeyondTrust applique la pseudonymisation à la collecte de données pour les besoins de collecte de métriques et les efforts d’analyse.

Rôles et employés RGPD

BeyondTrust a désigné un responsable de la protection des données ou Data Protection Officer (DPO), ainsi qu’une équipe en charge de la confidentialité des données pour développer et mettre en œuvre notre feuille de route de conformité au nouveau règlement de protection des données. L’équipe est chargée de sensibiliser le plus grand nombre d’employés au RGPD dans l’entreprise, d’évaluer le degré de préparation au RGPD, d’identifier les brèches à combler et de mettre en place de nouvelles règles, procédures et mesures.

BeyondTrust comprend que c’est par la compréhension et la sensibilisation en continu des employés que l’on s’assure la conformité au RGPD dans le temps ; c’est pourquoi nos employés sont impliqués dans nos plans de préparation. Nous avons mis en place un programme spécifique de formation des employés, que tous auront suivi avant le 25 mai 2018.

En cas de question au sujet des préparatifs au RGPD, veuillez contacter notre responsable de la protection des données ou Data Protection Officer (DPO) à l’adresse dataprotectionofficer@beyondtrust.com.