gdpr

(English version see below)

MyWorkPlatform

et le

Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la Directive 95/46/CE sur la protection des données à caractère personnel)

Contexte :

Le 14 avril 2016, le Parlement européen et le Conseil de l’Union Européenne ont adopté le Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la Directive 95/46/CE sur la protection des données à caractère personnel)[1] (ci-après dénommé le RGPD ou sous son acronyme anglais GDPR).

Le RGPD a été promulgué le 27 avril 2016 et est entré en vigueur le 24 mai 2016.

Le RGPD sera applicable dans toute l’Union Européenne le 25 mai 2018.

Dans les hypothèses où la mission confiée par un client à MyWorkPlatform impliquerait un traitement de données personnelles par MyWorkPlatform au sens du RGPD, MyWorkPlatform a décidé de devancer la date du 25 mai 2018 susmentionnée en proposant à ses clients et en imposant à ses sous-traitants de travailler dès le 01 juillet 2017 en respectant les dispositions du RGPD qui lui (leur) seront applicables lorsque des traitements de données personnelles seront à effectuer par l’un et/ou l’autre des acteurs susmentionnés selon leurs rôles respectifs déterminés pour chaque traitement concerné.

A cet effet, MyWorkPlatform a plus particulièrement mis en place les éléments décrits succinctement ci-dessous.

Mise en pratique :

En matière de consentement

MyWorkPlatform s’assurera auprès de son client que ce dernier aura obtenu le consentement explicite et positif des personnes qui envisagent de lui confier un ou plusieurs traitements de leurs données personnelles. A défaut pour le client de MyWorkPlatform de lui fournir preuves et garanties de l’obtention d’un tel consentement au sens du RGPD, MyWorkPlatform refusera de procéder à toute forme de traitement desdites données.

Collaboration à la tenue d’un registre de traitement

MyWorkPlatform collaborera avec son client à la tenue du registre des traitements dont son client et responsable et dont il a confié à MyWorkPlatform tout ou partie de l’exécution desdits traitements.

Collaboration à le délégué à la protection des données du client

Le cas échéant, dans la mesure où le client aura procédé à la nomination d’un délégué à la protection des données en application de l’article 37 RGPD, MyWorkPlatform collaborera avec ce dernier en application des règles de gouvernance qui aura été préalablement convenues avec le client de MyWorkPlatform.

Pseudonymisation

Dans les hypothèses où le RGPD imposerait la pseudonymisation aux traitements choisis par le client de MyWorkPlatform, cette denrière s’engage à recourir à cette technique (où à faire recourir à cette technique) en conformité avec les accords passés avec son client à cet effet.

En matière de profilage

MyWorkPlatform respectera de façon stricte le precrit de l’article 22 RGPD en matière de profilage. Par conséquent, MyWorkPlatform refusera de procéder à tout traitement contraire audit article.

Sous-traitance par MyWorkPlatform

Dans les hypothèses où MyWorkPlatform recourrait à de la sous-traitance, elle privilégiera toujours un sous-traitant ayant la capacité à traiter les données personnelles qui lui seraient alors confiées dans un pays de l’Espace Economique Européen.

Avec l’accord de son client et en fonction des besoins particuliers de ce dernier, MyWorkPlatform pourra travailler avec un sous-traitant hors EEE localisé dans un pays adéquat (tel que le Canada) en application du principe d’équivalence.

Avec l’accord de son client et en fonction des besoins particuliers de ce dernier, dans les hypothèses où il serait convenu avec le client de faire traiter ses données aux USA, MyWorkPlatform s’assurera que le sous-traitant envisagé adhère au Privacy Shield.

Avec l’accord de son client et en fonction des besoins particuliers de ce dernier, dans les autres cas (c’est à dire sous-traitant américain hors Privacy Shield, ainsi que dans les hypothèses d’un choix d’un sous-traitant traitant les données dans la catégorie résiduelle des pays), MyWorkPlatform s’assurera que le sous-traitant aura signé des clauses contractuelles au moins aussi contraignantes que celles proposées à cet effet par la Commission européenne. En cas de refus de signature, MyWorkPlatform et son client conviendront de faire appel à un autre sous-traitant adéquat.

En toute hypothèse, MyWorkPlatform veillera à avoir obtenu de son client tous les mandats nécessaires. MyWorkPlatform ne procèdera à aucun traitement pour le compte de son client sans que l’ensemble des exigences ci-avant effectivement applicables n’aient été rencontrées.

Réponse aux injonctions d’une autorité compétente

Une autorité judiciaire ou administrative pourrait ordonner à MyWorkPlatform :

De communiquer une copie des données que MyWorkPlatform traite pour le compte de son client ;

D’autoriser l’autorité à accéder aux données.

Dans ces hypothèses, MyWorkPlatform s’engage à en informer son client dans un délai raisonnable convenu avec ce dernier.

MyWorkPlatform s’engage également à, dans la mesure du raisonnable, prendre en compte toute remarque et/ou demande de son client concernant la réponse à réserver aux autorités.

Toutefois, la réponse aux autorités étant de par loi obligatoire, MyWorkPlatform privilégiera toujours le respect de cette dernière sans que le client de MyWorkPlatform puisse en tirer argument contre MyWorkPlatform.

En même temps, il est évident que l’autorité compétente ne pourra obtenir plus que ce qui aura été confié à MyWorkPlatform. Par conséquent, toute réponse de MyWorkPlatform aura pu être anticipée par son client, notamment de par la tenue du registre susmentionné.

Traitement de données personnelles sensibles

Bien que de par le RGPD leur traitement soit interdit par principe, deux exceptions sont autorisées et envisageables:

Article 9.2.a RGPD : la personne concernée a donné son accord pour le traitement au client de MyWorkPlatform, ce de façon explicite (sans à dire de façon positive et non par défaut);

Article 9.2.e RGPD : la personne concernée a manifestement rendues publiques ses données sensibles.

Par conséquent, dans les hypothèses impliquant un traitement de données personnelles sensibles, MyWorkPlatform s’assurera toujours auprès de son client que ce dernier aura obtenu le consentement explicite des personnes concernées. A défaut, MyWorkPlatform demandera à son client de garantir que les traitements qu’il lui confie sont bien couverts par la seconde exception. En cas de réponse négative et dans tous les autres cas, MyWorkPlatform refusera tout traitement de données sensibles.

Le Client s’engage à préalablement informer MyWorkPlatform du besoin de traiter des données personnelles sensibles. A défaut de cette information, MyWorkPlatform se dégage de toute responsabilité en la matière.

Suppression de données personnelles

MyWorkPlatform s’engage à toujours mettre en place (ou à faire mettre en place par ses sous-traitants) des traitements pour lesquels elle sera capable de procéder (ou de faire procéder) à la destruction de certaines données personnelles à la première demande de son client et sous la responsabilité de ce dernier.

Egalement, MyWorkPlatform s’engage à toujours mettre en place (ou à faire mettre en place par ses sous-traitants) des traitements minimisant le temps de traitement.

Droit des personnes ayant confiées leurs données personnelles au client de MyWorkPlatform.

Toute personne dont les données sont traitées bénéficie des quatre droits suivants :

Le droit d’accès : extraction dans un format lisible des informations dont MyWorkPlatform dispose sur la personne concernée ;

Le droit de rectification ou de suppression, pour lequel une attestation d’exécution pourra être demandée ;

Le droit à la portabilité́ des données, c’est à dire, le transfert de ses données d’un responsable de traitement vers un autre responsable de traitement sans obstacle ;

Le droit à la limitation du traitement, c’est à dire à ce que le traitement soit accompli en un nombre minimal d’étapes et de sous-traitements.

En conséquence, MyWorkPlatform informera toujours son client après avoir reçu une telle demande.

MyWorkPlatform y répondra dans la mesure où les données sont encore disponibles.

Préalablement à tout traitement, MyWorkPlatform aura mis en place les procédures permettant cette réponse. Le Client aura validé ces procédures.

La gestion préalable du droit d. aura été faite lors de l’aide que MyWorkPlatform apportera à son client pour la tenue du registre susmentionnée.

Sécurité et confidentialité

En toute hypothèse, MyWorkPlatform mettre en place (ou fera mettre en place par son sous-traitants) les mesures raisonnables en matière de sécurité, de confidentialité et de log.

L’aune de ces mesures aura été discutée avec le client de MyWorkPlatform et agréée par ce dernier en fonction des enjeux et du prescrit de l’article 24 RGPD. Tout choix en matière de niveau de sécurité/confidentialité/log repose dès lors sur le client de MyWorkPlatform.

MyWorkPaltform mettre en place (ou fera mettre en place par son sous-traitant) deux grandes catégories d’obligations de sécurité (et de confidentialité) :

la sécurité (et la confidentialité) des locaux (ou des lieux dits ‘virtuels’) hébergeant les traitements (possibilité d’accéder jusqu’aux données), et

la sécurité (et la confidentialité) des données (possibilité de lire et d’interpréter les données en cours de traitement en en cours de stockage).

MyWorkPlatform notifiera à son client les violations de sécurité (au sens de l’article 4 du RGPD), de confidentialité ainsi que tout écart de traitement dont elle aura connaissance ; elle tiendra les log concernés à la disposition de son client.

[1] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR

ENGLISH VERSION

MyWorkPlatform

and the

European regulation of April 27, 2016 on the protection of natural persons with respect to the processing of data personal data and the free movement of such data (repealing the Directive 95/46/EC on the protection of the personal data)

Context:

April 14, 2016, the European Parliament and the Council of the European Union adopted the European regulation of April 27, 2016 on the protection of natural persons with respect to the processing of data personal data and the free movement of such data (repealing the Directive 95/46/EC on the protection of the[1] personal data) (hereinafter referred to as the RGPD or by its English acronym GDPR).

The RGPD was promulgated on 27 April 2016 and entered into force on 24 may 2016.

The RGPD will be applicable throughout the European Union may 25, 2018.

In cases where the mission entrusted by a customer to MyWorkPlatform would imply a processing of personal data by MyWorkPlatform within the meaning of the RGPD, MyWorkPlatform decided to move the date of 25 may 2018 above by proposing to its customers and by imposing on subcontractors to work as of 01 July 2017 in respecting the provisions of the RGPD that it (their) will apply when the processing of personal data will be carried out by one or the other of above-mentioned actors according to their respective roles determined for each treatment in question.

Accordingly, MyWorkPlatform particularly introduced the elements described succinctly below.

Practical implementation:

Of consent

MyWorkPlatform will ensure to the customer that this last will have the consent explicit and positive to people considering to entrust one or more processing of their personal data. Otherwise for the customer to MyWorkPlatform to provide evidence and guarantees obtaining a consent within the meaning of the RGPD, MyWorkPlatform will refuse to proceed with any treatment of said data.

Collaboration to the keeping of a register of treatment

MyWorkPlatform will work with his client to the keeping of the register which he entrusted to MyWorkPlatform all or part of such treatments and treatments including its customer and responsible.

Collaboration to the delegate for the protection of customer data

If necessary, insofar as the customer will have proceeded to the appointment of a delegated protection data in application of article 37 RGPD, MyWorkPlatform will work with the latter in application of the rules of governance that has been previously agreed with the customer to MyWorkPlatform.

Pseudonymisation

In cases where the RGPD would impose the pseudonymisation treatment chosen by the customer of MyWorkPlatform, this last one is committed to use this technique (where to use this technique) in accordance with the agreements with its customer to this effect.

In terms of profiling

MyWorkPlatform will respect strictly the precrit of article 22 RGPD in profiling. Therefore, MyWorkPlatform will not proceed with any treatment contrary to that article.

Outsourcing by MyWorkPlatform

In cases where MyWorkPlatform would resort to subcontracting, it will always favor a contractor with the ability to process personal data entrusted to him would be so in a country of the European economic area.

With the agreement of his client and the specific needs of the latter, MyWorkPlatform can work with a subcontractor out EEE located in a proper (such as Canada) country in application of the principle of equivalence.

With the agreement of his client and based on the specific needs of the latter, in the cases where it would be agreed with the customer to process its data in the USA, MyWorkPlatform will ensure that the proposed subcontractor adheres to the Privacy Shield.

With the consent of his client and based on the specific needs of the latter, in other cases (i.e. American subcontractor out Privacy Shield, as well as in the assumptions of a choice of a subcontractor on the data in the residual category of countries), MyWorkPlatform will ensure that the subcontractor has signed contractual clauses to less as binding as those proposed by the European Commission. In case of refusal of signature, MyWorkPlatform and his client will agree to appeal to another appropriate subcontractor.

In any case, MyWorkPlatform will ensure getting his client all the necessary mandates. MyWorkPlatform proceed to no treatment on behalf of his client without all of the above requirements actually apply have been met.

Response to the orders of a competent authority

A judicial or administrative authority could order MyWorkPlatform:

To communicate a copy of the data MyWorkPlatform deals on behalf of the client;

To allow the authority to access the data.

In such cases, MyWorkPlatform is committed to inform the customer within a reasonable time agreed with the latter.

MyWorkPlatform also undertakes to, wherever reasonable, taking into account any comments and/or request his client regarding the response to the authorities.

However, the answer to the authorities under mandatory law, MyWorkPlatform will focus on always respect for this last without that the customer of MyWorkPlatform can make argument against MyWorkPlatform.

At the same time, it is clear that the competent authority will get more that what has been entrusted to MyWorkPlatform. Therefore, any response of MyWorkPlatform will have been anticipated by his client, particularly by the aforementioned register.

Processing of sensitive personal data

Although by the RGPD their treatment is prohibited on principle, two exceptions are allowed and possible:

Article 9.2(a) RGPD: the person concerned gave approval for the treatment to the customer of MyWorkPlatform, this explicitly (without to say in a positive way and not by default);

Article 9.2.e RGPD: the person concerned has manifestly made public its sensitive data.

Therefore, in cases involving sensitive personal data treatment, MyWorkPlatform will ensure always to the customer that this last will have obtained the explicit consent of the persons concerned. Otherwise, MyWorkPlatform will ask its client to ensure that the treatment he entrusts to him are well covered by the second exception. If the response is negative, and in all other cases, MyWorkPlatform will refuse any treatment of sensitive data.

The customer agrees beforehand to inform MyWorkPlatform of the need to process sensitive personal data. Without this information, MyWorkPlatform emerges from any responsibility in this matter.

Deletion of personal data

MyWorkPlatform is committed to always implement (or to be implemented by its subcontractors) treatments for which she will be able to proceed (or make) the destruction of certain personal data at the first request of its client and under the responsibility of the latter.

Also, MyWorkPlatform is committed to always implement (or to be implemented by its subcontractors) treatment minimizing the processing time.

Right of persons who have entrusted their personal data the customer to MyWorkPlatform.

Any person whose data are processed has the following four rights:

The right of access: features extraction in a format of MyWorkPlatform information on the person concerned;

The right of rectification or deletion, for which a certificate of execution may be requested;

The right to the portabilité of data, IE, transfer its data from a controller to an another controller without hindrance;

The right to the limitation of treatment, IE to get the treatment done in a minimum number of steps and sous-traitements.

As a result, MyWorkPlatform will always inform his client after receiving such a request.

MyWorkPlatform respond insofar as the data are still available.

Prior to any treatment, MyWorkPlatform will set up procedures for this response. The customer has validated these procedures.

Prior law d. Management will be made when using MyWorkPlatform will bring to his customer for keeping the register above.

Security and confidentiality

In any event, MyWorkPlatform put in place (or will put in place by his subcontractors) reasonable measures of security, confidentiality and log.

According to these measures will be discussed with the client to MyWorkPlatform and approved by the latter according to the issues and the prescribed article 24 RGPD. Any choice in terms of security/privacy/log level is therefore based on customer of MyWorkPlatform.

MyWorkPaltform put in place (or will put in place by its subcontractor) two broad categories of obligations of security (and privacy):

the Security (and privacy) local (or ‘virtual’ so-called places) hosting treatment (access to data), and

the Security (and privacy) data (ability to read and interpret the data being processed in current of storage).

MyWorkPlatform will notify its customer violations of security (in the sense of article 4 of the RGPD), privacy as well as any difference in treatment which she will know. It will hold the log concerned available to his client.

[1] http://EUR-Lex.europa.EU/legal-content/FR/txt/HTML/?URI=CELEX:32016R0679 & from = en