Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) a marqué un changement important en matière de confidentialité dans l’Union européenne (UE). Le règlement vise à protéger les personnes physiques à l’égard du traitement des données à caractère personnel. Il impose de nouvelles règles aux sociétés, agences gouvernementales, organismes à but non lucratif et autres organisations situées à l’extérieur de l’Union européenne qui traitent des données personnelles associées à l’offre de biens et services destinée aux résidents de l’Union européenne (EU), ou qui surveillent le comportement des citoyens européens au sein de l’Union européenne. Show Esri s’engage à respecter les termes du RGPD en protégeant les données à caractère personnel de tous ses clients. Esri procède à la fois au contrôle et au traitement des informations personnelles, et ces informations sont stockées aux États-Unis. Nous contrôlons les informations personnelles des personnes avec lesquelles nous interagissons directement. Il s’agit par exemple d’utilisateurs qui créent des comptes Esri ou qui remplissent un formulaire sur notre site Web. Nous traitons des informations personnelles pour le compte d’autres organisations de contrôle (c’est-à-dire nos clients) qui nous ont demandé de traiter les informations personnelles qu’elles contrôlent. ArcGIS Online, les données chargées dans le cadre d’un cas envoyé au support technique et les coordonnées qui nous sont communiquées pour une organisation cliente en sont des exemples. Le RGPD précise six bases juridiques qui autorisent les contrôleurs (comme Esri) à traiter des informations personnelles. Les voici : nécessité contractuelle, obligation légale, intérêts vitaux, intérêt public, intérêt légitime et consentement. La plupart des tâches que nous accomplissons avec nos clients se classent dans la catégorie de nécessité contractuelle ou d’intérêt légitime. Dans d’autres cas (p. ex., suivi de la navigation Web, marketing), nous recevons un consentement direct avant de collecter des informations personnelles. Esri s’engage à protéger vos informations personnelles contre toute attaque ou violation de données. Nous avons mis en œuvre des contrôles de sécurité appropriés dans tous nos systèmes métier. Dans le cas improbable d’une violation de données, nous respecterons les exigences du RGPD en matière de notification. Esri a élaboré un addenda relatif au traitement des données qui énonce les conditions ayant trait à la protection de la vie privée, à la confidentialité et à la sécurité des données personnelles provenant de l’Union européenne associées aux services en ligne et à la maintenance que nous proposons aux clients dans le cadre d’un contrat principal, du contrat de licence que les clients ont actuellement conclu avec Esri ou du contrat par clic alors en vigueur. Cet addenda relatif au traitement des données [PDF] s’applique aux opérations de traitement liées aux contrats conclus avant le 27 septembre 2021. Les opérations de traitement liées aux contrats conclus le 27 septembre 2021 ou ultérieurement sont soumises à cette version de l’addenda relatif au traitement des données. Vous pouvez télécharger, contresigner et conserver une copie de l’addenda relatif au traitement des données approprié. Il n’est pas nécessaire d’en renvoyer un exemplaire à Esri. Langues supplémentaires applicables avant le 27 septembre 2021 :
Si vous avez des questions ou des doutes concernant les problèmes de confidentialité ou le RGPD, contactez .
Le règlement européen sur la protection des données personnelles, abrévié RGPD, est un texte européen qui responsabilise les entreprises et organismes publics. Qu'est-ce que le RGPD ?Le sigle RGPD signifie règlement général pour la protection des données personnelles. En anglais, le sigle est GDPR pour general data protection regulation. Il désigne le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 Etats membres de l'Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. Les organisations issues de pays en dehors de l'UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens. Les Gafa, Uber, Airbnb et autres sont donc également soumis au règlement. Le texte du RGPDLe texte du RGPD a été adopté définitivement le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l'ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés. La version finale du texte RGPD est disponible en PDF en français sur le site de l'Union européenne ou sur le site de la CNIL. Les mots-clés du texte RGPD
RGPD : le PDF du textePour ceux qui souhaitent lire l'intégralité du texte, voici ci-dessous le règlement général sur la protection des données personnelles au format PDF ou à télécharger directement en cliquant ici. Quand le RGPD s'applique-t-il ?Le RGPD est entré en vigueur le 25 mai 2018. Comme il s'agit d'un règlement européen, et non pas d'une directive, le texte est entré en application simultanément dans tous les Etats membres de l'Union européenne, sans transposition dans les droits nationaux. Autrement dit, le parlement français n'a pas eu besoin de voter la transposition du texte en France. Depuis le 25 mai 2018, tout traitement en infraction avec le RGPD peut déboucher sur des sanctions. Des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel de l'exercice précédent peuvent être prononcées. C'est le montant le plus élevé qui est retenu entre ces deux cas de figure. Pour les géants du web, comme Facebook ou Google, la note pourrait atteindre des dizaines ou des centaines de millions d'euros. Cependant, les multinationales ne sont pas forcément les entreprises les plus exposées, car elles ont des armées de juristes et d'experts qui travaillent à plein temps sur le sujet. En revanche, le risque est plus élevé pour les petites entités comme les TPE, PME ou associations, souvent peu renseignées en la matière. Résumé du RGPD en quatre pointsDu RGPD se dégage quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité (accountability).
Le rôle de la Cnil dans le RGPDComme auparavant, la Cnil procède à des vérifications dans les locaux des organisations ou en ligne. Les contrôles sont effectués sur la base d'un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils peuvent également faire suite à un précédent contrôle. Etant donné que les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté du traitement, durée de conservation...), ils continuent donc à faire l'objet de vérifications rigoureuses de la part de la Cnil. En revanche, les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d'impact...) font l'objet de contrôles. Mais ils sont pour l'instant non punitifs. Le Conseil d'État autorise la Cnil à laisser faire jusqu'à mi-2020. L'objectif est d'aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Autre nouveauté à noter, les contrôles effectués sur les acteurs internationaux sont réalisés par plusieurs organismes afin de rendre une décision à portée européenne. Le DPO, chef d'orchestre du RGPDLe délégué à la protection des données personnelles ou data protection officer en anglais est chargé d'assurer la mise en conformité RGPD de l'organisme pour lequel il travaille. Il doit s'assurer que les collaborateurs respectent les dispositions du règlement quand ils utilisent des données à des fins commerciales ou à des fins internes (au sein des logiciels RH par exemple). Il est donc amené à collaborer avec tous les départements. La désignation d'un DPO est obligatoire pour "les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et infractions", précise la Cnil. Enfin, le DPO peut être mutualisé, c'est-à-dire désigné pour plusieurs organismes sous certaines conditions (être facilement joignable par exemple). Le DPO est en quelque sorte le successeur du correspondant informatique et libertés (CIL), facultatif depuis 2005, qui est chargé de veiller au respect de la loi Informatique et libertés dans les organismes publics et privés. Les missions du DPO sont toutefois plus strictes. Il doit être doté de certaines qualifications (qualités professionnelles, connaissances du droit en matière de protection de données). Ses missions diffèrent toutefois du CIL puisqu'il a une dimension de conseil et de sensibilisation sur les nouvelles obligations du règlement. |