Protection des données personnelles - RGPD

Protection des données personnelles

Lorsque vous décidez d’externaliser tout ou partie de l’hébergement des données traitées par votre organisation auprès des services proposé par MENGINE, vous faites le choix de nous confier une part de votre patrimoine numérique informationnel. Nous sommes conscients des enjeux qu’une telle externalisation peut représenter pour votre structure, notamment en matière de conformité réglementaire. C’est pourquoi MENGINE vous met à disposition une information la plus complète possible sur les enjeux en matière de protection des données à caractère personnel.

Réglementations en matière de protection des données à caractère personnel

Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :

  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
  • Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogée le 25 mai 2018 par le Règlement (UE) 2016/679.
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  • Charte des droits fondamentaux de l’Union européenne (2012/C 326/02).
  • Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

  • MENGINE s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD du 25 Mai 2018). C’est notamment grâce à cet engagement de conformité que les clients de MENGINE sont également en mesure de respecter une partie de leurs obligations réglementaires. Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité.


    D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. C’est le cas pour les traitements de données de santé, de données de militaires, etc. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer.


    Bien choisir son prestataire, notamment en matière de cloud, est impératif pour respecter ses propres obligations en matière de protection des données à caractère personnel.


    Le Data Protection Officer (DPO) : un acteur au service quotidien de la protection des données

    Nicolas MILANO

    Data Protection Officer
    Désignation N° DPO-3447
    Attestation CNIL du DPO

    MENGINE a fait le choix de procéder à la nomination d’un DPO, dont le rôle et les missions sont pour partie prévus par la réglementation européenne. Le DPO est parfaitement indépendant dans l’accomplissement de ses missions : il est le garant interne de la conformité des activités du groupe MENGINE en matière de traitement de données.


    Pleinement dédié à cette mission, MILANO Nicolas, DPO chez MENGINE, dispose des ressources nécessaires pour exercer son rôle sans conflits d’intérêts et en toute indépendance.
    Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre MENGINE en matière de protection des données à caractère personnel.
    En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de privacy, met en œuvre une démarche de « privacy by design » et de « privacy by defaut » notamment dans le développement des nouvelles offres proposées aux clients, assure les relations avec les autorités de contrôle...


    Il est également l’interlocuteur de l’ensemble des clients souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.


    MENGINE et la protection des données à caractère personnel

    >> Introduction

    Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018.
    Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales.
    À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe.
    Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.

    Si vous êtes une structure traitant des données à caractère personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD.
    À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour MENGINE qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.


    >> Définitions

    Comprendre les enjeux réels et précis d’un règlement européen n’est pas toujours chose aisée, surtout lorsqu’il comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. C’est pourtant essentiel afin d’éviter tout risque pouvant résulter d’une interprétation trop large ou imprécise des obligations réglementaires incombant à votre structure. La bonne compréhension des quelques termes définis ci-dessous est donc essentielle :

  • données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
  • traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
  • responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
  • sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  • >> MENGINE en qualité de sous-traitant

    C’est certainement en cette qualité que vos attentes envers MENGINE sont les plus importantes. MENGINE est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.

    C’est typiquement le cas lorsque vous utilisez les services de MENGINE et stockez des données à caractère personnel sur une infrastructure MENGINE. Dans la limite de ses contraintes techniques, MENGINE ne pourra traiter les données stockées que selon vos instructions, et ce pour votre compte.

    >> Les engagements de MENGINE en qualité de sous-traitant

    En qualité de sous-traitant, MENGINE s’engage notamment à mettre en œuvre les actions suivantes :


  • traiter les données à caractère personnel aux seules fins de la bonne exécution des services : MENGINE ne traitera jamais vos informations à d’autres fins (marketing, etc.).


  • ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas un datacenter dans une zone géographique hors UE.


  • vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe MENGINE.
  •  
  • à mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.


  • vous notifier dans les meilleurs délais en cas de violation de données.


  • vous assister à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de nos services.

  • Ces engagements sont concrètement retranscrits au travers des Conditions générales de service (CGS) de MENGINE. À ce titre, et sauf conditions particulières, elles sont opposables par tout client à MENGINE en sa qualité de sous-traitant.

    >> MENGINE en qualité de responsable de traitement

    MENGINE est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.

    C’est typiquement le cas quand MENGINE collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsque MENGINE traite les données à caractère personnel de ses propres salariés.

    Dans cette hypothèse, « vos » données, celles que vous stockez sur les services de MENGINE, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur MENGINE dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi MENGINE tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.


  • limiter la collecte de données à celles strictement utiles : c’est dans le cadre de cette démarche que lors de la commande d’un service, vous ne renseignez que des données nécessaires pour que MENGINE puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données(notamment sur le fondement de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique).


  • ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles furent collectées.
  •  
  • conserver les données à caractère personnel durant une période limitée et proportionnée. C’est ainsi qu’à titre d’exemple, les données traitées à des fins de gestion de la relation entre le client et MENGINE (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et les trente-six (36) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes.


  • ne pas transférer ces données à des tiers autres que les sociétés apparentées de MENGINE qui interviennent dans le cadre de l’exécution du contrat. Dans le cadre de ces transferts intra-Groupe, certaines données peuvent être transférées en dehors de l’Union Européenne sur le fondement des règles d’entreprise contraignantes mises en œuvre par le Groupe MENGINE.


  • mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.



  • Il est essentiel de faire la distinction entre la sécurité des données hébergées par le client et la sécurité des infrastructures sur lesquelles ces informations sont hébergées.

    Sécurité des données hébergées par le client : le client est seul responsable d’assurer la sécurité de ses ressources et systèmes d’applications qu’il déploie dans le cadre de l’utilisation des services. Des outils sont mis à disposition par MENGINE afin d’accompagner le client dans la sécurisation de ses données.

    Sécurité des infrastructures : MENGINE s’engage sur une sécurité optimale de ses infrastructures, notamment en ayant mis en place une politique de sécurité des systèmes d’information et en répondant aux exigences de plusieurs normes.




    Exercez vos droits

    Formulaire permettant l’exercice de vos droits en matière de données personnelles

    Ce formulaire a pour but de faciliter l’exercice des droits conférés par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

    Il s'adresse à tout individu dont les données sont susceptibles d’être traitées par MENGINE.

    Par mesure de confidentialité, la transmission de données personnelles est conditionnée à la possibilité pour MENGINE d’identifier le demandeur. En conséquence, votre demande doit être la plus précise possible. L’ensemble des champs du formulaire sont obligatoires.

    Tout demande manifestement excessive ou infondée sera refusée.

    Continuer vers le formulaire >>