Hébergement et infogérance d'infrastructure Open Source
Actualités

Evolix et le RGPD

11/07/2018

Après l’agitation de ces derniers mois, nous vous proposons de revenir sereinement sur les enjeux de ce Règlement Européen sur la Protection des Données à caractère personnel. La CNIL, chargée de veiller à la bonne application du RGPD en France, indique que « le RGPD n’est pas un couperet… le non-respect des nouveautés apportées par le RGPD ne donnera pas lieu à des sanctions » ; en effet, la CNIL a conscience que les changements engendrés par ce règlement doivent être pensés sur le long terme et va faire preuve de souplesse et pragmatisme, surtout pour les PME.

Le RGPD, entré en vigueur en mai 2016, est applicable à partir du 25 mai 2018. Le texte original de 99 articles est disponible en français sur https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679 : il n’utilise pas trop de jargon juridique, ce qui permet une lecture relativement facile (en complément nous vous conseillons l’explication de texte par Next INpact en 3 parties : articles 1 à 23 / articles 24 à 51 / articles 51 à 99). En synthèse, ce règlement renforce la protection des données personnelles pour tout résident européen. Auparavant, vous deviez faire une simple déclaration à la CNIL pour collecter des données personnelles, c’est désormais remplacé par une logique de responsabilité avec la notion de Responsable de Traitement. Évidemment, cela implique un certain nombre d’obligations : minimiser la collecte, indiquer la finalité, obtenir le consentement explicite, sécuriser les données, reporter les incidents, etc.

Mais revenons tout d’abord sur certains termes de base du RGPD :

  • Données à caractère personnel : information permettant d’identifier directement ou indirectement une personne physique (nom, identifiant, données de localisation, élements d’identité sociale, etc.)
  • Traitement : toute opération appliquée à des données à caractère personnel, notamment la collecte, la modification mais aussi la simple conservation !
  • Responsable de Traitement : personne physique ou morale qui détermine la finalité et les moyens du traitement des données à caractère personnel. Par exemple, une entreprise qui décide de mettre un formulaire d’inscription sur son site web pour envoyer des newsletters mensuelles.
  • Sous-Traitant : personne physique ou morale qui traite des données à caractère personnel pour le compte du Responsable du Traitement. Par exemple, une entreprise chargée d’envoyer une newsletter pour le compte d’une autre, ou un hébergeur qui stocke les adresses emails récoltées.

Evolix, entreprise française, est donc concernée par le RGPD en tant que Responsable de Traitement car nous collectons des données sur nos salariés et nos clients. De plus, le métier d’Evolix est d’héberger et d’infogérer des serveurs Linux pour des professionnels (entreprises, établissements publics, etc.) ; la plupart de nos clients enregistrent et stockent des données personnelles sur leurs serveurs hébergés/infogérés, ils sont donc Responsable de Traitement et à ce titre nous sommes donc impliqués en tant que Sous-Traitant.

Evolix en tant que Responsable de Traitement

Comme la majorité des entreprises françaises, nous collectons des données à caractère personnel sur nos salariés – principalement pour satisfaire à nos obligations légales – et sur certains salariés de nos clients (adresses email, numéros de téléphone, etc.). La RGPD nous a incité à clarifier certains points (notamment la durée exacte de conservation) mais dans l’ensemble nous avions déjà une politique stricte : stocker le minimum de données, centraliser dans une base pour ne pas éparpiller des données aux 4 coins du système d’information, ne pas envoyer de spams^Wmailing comme certains de nos concurrents, etc.

Ainsi, pour nos clients :

  • toutes vos données personnelles sont accessibles depuis votre compte sur notre Espace Client,
  • elles sont modifiables directement ou pour certains cas spécifiques en faisant une demande à notre DPO,
  • elles sont utilisées uniquement pour l’exécution de votre prestation (affichage dans l’outils de tickets, envoi de notifications par email, etc.),
  • tout est mis en œuvre pour assurer un haut niveau de sécurité,
  • elles ne font pas l’objet de sous-traitance,
  • enfin, lors de la destruction de votre compte nominatif, elles sont immédiatement effacées de notre base et conservées au maximum un an dans nos sauvegardes sécurisées.

Pour plus d’informations, vous pouvez contacter notre Délégué à la Protection des Données (DPO).

Evolix en tant que Sous-Traitant

C’est probablement en tant que Sous-Traitant que l’enjeu est le plus fort pour Evolix ! Nous agissons en tant que « Sous-Traitant » au sens du RGPD dès lors qu’un client nous informe que des données à caractère personnel sont traitées dans le cadre de nos prestations d’hébergement/infogérance. Nous mettons alors en place un contrat de traitement des données personnelles, et nous présentons nos mesures de sécurité techniques et organisationnelles pour garantir un haut niveau de sécurité :

  • Gestion des accès
  • Sécurisation des serveurs
  • Mises à jour de sécurité
  • Gestion des incidents
  • Sauvegardes et poursuite d’activité

Nous nous tenons à disposition pour vous assister et vous conseiller dans la mise en conformité au RGPD.

Pour conclure, en tant que citoyens, nous nous réjouissons de ce nouveau règlement et des avancées en matière de protection des données personnelles, notamment la prise de conscience qui en découle. Et en tant qu’entreprise, nous pensons que le RGPD va accélérer la diffusion de bonnes pratiques en terme de gestion et sécurisation d’infrastructures, et que notre expérience et notre organisation autour de ces questions va nous permettre de répondre efficacement à ce mouvement.