PARTIE A : Généralités

Applicabilité

Ce document constitue la version opérationnelle actuelle de la politique de conformité au RGPD, en vigueur depuis le 25 mai 2018, et s'applique aux activités de TechVersions, qui comprend l'entité suivante.

TechVersions, société d'édition technologique, 8000 Towers Crescent Drive, 13e étage, Vienne, VA 22182

Introduction

L'activité principale de TechVersions consiste à apporter un soutien à ses clients dans la commercialisation de leurs produits B2B en générant des prospects qualifiés issus des marchés cibles.

La génération de prospects s'effectue grâce à une étude de marché intelligente qui collecte des données pertinentes afin d'identifier les intentions d'achat fiables des entreprises via différents canaux, notamment par le biais de partenaires commerciaux utilisant des technologies appropriées dans le marketing des médias sociaux, le marketing web, le marketing par e-mail et le télémarketing.

Dans le cadre de ces activités, TechVersions joue le rôle d'intermédiaire et apporte une valeur ajoutée à la chaîne marketing B2B. Les informations relatives aux campagnes, fournies par les clients, sont optimisées et transformées en supports marketing destinés à être diffusés auprès du marché potentiel.

La diffusion des supports de campagne auprès des clients cibles finaux, via des médias pertinents, est assurée par des éditeurs externes qui génèrent des prospects. Une partie de ces prospects est générée par les activités de publication internes et l'utilisation d'outils marketing innovants, axés sur la connaissance de l'intention d'affaires et développés par l'équipe R&D de TechVersions.

Les prospects générés par les éditeurs sont filtrés intelligemment pour améliorer leur qualité et convertis en objectifs marketing concrets avant d'être transmis aux clients.

TechVersions a développé des produits, des processus et des systèmes de génération d'informations propriétaires, ainsi que des fournisseurs fiables et une main-d'œuvre qualifiée. L'ensemble de ces éléments reflète la proposition de valeur que TechVersions apporte à l'écosystème du marketing B2B à l'échelle mondiale. Le maintien et le développement de cette expertise, ainsi que son utilisation pour saisir des opportunités commerciales, constituent un intérêt légitime pour TechVersions.

Ce code de conformité au RGPD adopté par TechVersions déclare que TechVersions s'engage à respecter le concept de « protection de la vie privée en tant que droit fondamental du citoyen d'une société démocratique » dans le monde entier et s'engage à mettre en œuvre de bonne foi tous les principes de protection de la vie privée prescrits par le RGPD lorsqu'il est applicable.

TechVersions indique toutefois qu'il est de son intérêt légitime de mener une activité commerciale légitime à l'échelle mondiale en tant qu'intermédiaire sur le marché B2B et que TechVersions a le droit démocratique de mener ses activités de bonne foi sans entrer en conflit avec les droits des personnes physiques dont la vie privée est protégée en vertu du RGPD.

TechVersions indique également que son modèle commercial exige la collecte uniquement des données d'entités commerciales qui ne sont pas soumises au RGPD et des données de contact professionnel qui ne sont pas des données personnelles mais peuvent inclure en partie des informations permettant d'identifier une personne, mais n'incluent pas les données personnelles des enfants ni les données personnelles classées comme « catégories particulières » en vertu du RGPD.

Exposition au RGPD

TechVersionsGroup est un intermédiaire marketing B2B présent dans le monde entier, générant des prospects et fournissant des services à des clients dans de nombreux pays. TechVersions n'intervient pas sur le marché grand public et ne collecte donc ni directement ni indirectement les données personnelles des citoyens de l'UE. Les données collectées par TechVersions relèvent généralement de la catégorie des données de contact professionnelles des employés d'entreprises et comprennent notamment leur nom, leur adresse e-mail professionnelle et leur numéro de téléphone professionnel.

Une partie des prospects marketing B2B est générée dans les pays de l'UE et au Royaume-Uni. Certains clients situés dans l'UE ou au Royaume-Uni peuvent également bénéficier des services de TechVersions. Actuellement, la majorité des interactions avec les clients ont lieu aux États-Unis, tandis que la majorité des interactions avec les partenaires commerciaux générateurs de prospects se déroulent en Inde.

L’exposition de TechVersions au RGPD est donc reconnue lorsque des données de contact professionnel sont collectées auprès d’organisations commerciales opérant dans les régions de l’UE/du Royaume-Uni.

Approche de la conformité au RGPD

Afin de permettre l'application d'une norme aussi stricte que possible au traitement des données exposées à un risque de non-conformité au RGPD, TechVersions adopte une politique consistant à traiter les données sensibles au RGPD (GSD) comme des « données sensibles » transitant par les ressources de TechVersions en étiquetant les données entrantes avec une étiquette appropriée pour les classer comme GSD le cas échéant.

La protection de la vie privée des personnes concernées et la sécurité des informations relatives à la protection de la vie privée concernant les données étiquetées GSD sont prises en compte dans la conception de la structure de support.

Bien que les données soient traitées dans des lieux spécifiques et que l'infrastructure technique de traitement des données de l'entreprise soit située dans ces mêmes lieux, une sensibilisation au RGPD au niveau de l'entreprise a été mise en place et continuera d'être poursuivie afin que les principes de ce code de conduite relatif au RGPD se diffusent dans toute l'organisation, au-delà du traitement des données de l'entreprise, pour inclure les fonctions marketing, financières et de gestion qui peuvent être situées dans des lieux différents et disposer de leur propre infrastructure technique et administrative.

Afin de mettre en œuvre efficacement la sécurité de l'ensemble de l'infrastructure de traitement des données, la Société a adopté une politique de sécurité de l'information complète qui comprend de multiples sous-politiques concernant l'accès aux données, leur traitement, leur stockage, leur transmission, etc.

Engagement en matière de confidentialité

TechVersions reconnaît que le « respect de la vie privée » est un droit démocratique fondamental dans la société civile. En tant qu’entreprise responsable, TechVersions s’engage à protéger la vie privée de toutes les personnes physiques dont les données personnelles sont traitées dans son système de gestion de données.

Compte tenu de la présence de clients dans l'UE/au Royaume-Uni et du suivi des activités des employés de l'entreprise résidant dans l'UE/au Royaume-Uni, TechVersions a choisi d'adopter les normes de conformité au RGPD en matière de protection de la vie privée de toutes les personnes physiques susceptibles d'interagir avec le groupe, même lorsque cette interaction se fait uniquement en leur qualité d'employés de différentes entités commerciales poursuivant les objectifs commerciaux de leurs organisations respectives.

Intérêt légitime

L'activité principale de TechVersions consiste à traiter les données relatives à l'achat de différents produits à usage professionnel. Ce traitement englobe la collecte, l'agrégation, l'analyse, la segmentation et le suivi des intentions d'achat. TechVersions valorise ainsi les données brutes collectées auprès des entreprises et les transforme en informations exploitables pour faciliter la prise de décision.

Les données brutes collectées sont considérées comme appartenant à la personne concernée et soumises à ses droits en vertu du RGPD. La valeur ajoutée aux données lors du traitement provient des capacités de traitement de données propriétaires de TechVersions, sur lesquelles TechVersions détient certains droits de propriété intellectuelle.

Si des données ont été pseudonymisées, les données pseudonymisées à valeur ajoutée seront considérées comme des données sur lesquelles TechVersions a un intérêt légitime à mener des recherches complémentaires. Les données non pseudonymisées, même après avoir été enrichies, restent soumises aux droits des personnes concernées, tels que l'accès, la rectification, la limitation du traitement, la portabilité et l'effacement. Les données pseudonymisées, le cas échéant, ne seront pas considérées comme sensibles au sens du RGPD.

TechVersions a un intérêt commercial légitime, tel que reconnu par l'article 6, paragraphe 1, point f), du RGPD, à collecter et à traiter des données professionnelles telles que les données firmographiques et les coordonnées professionnelles des décideurs au sein des entités commerciales

De plus, les activités de TechVersions impliquent des opérations à l'intérieur et à l'extérieur des pays de l'UE et sont donc exposées aux obligations légales de différents pays en matière de traitement des données ainsi qu'à d'autres lois applicables aux entreprises en général et aux activités liées aux technologies de l'information en particulier, comme prévu à l'article 6(1)(c) du RGPD de l'UE.

Par ailleurs, TechVersions a adopté des pratiques commerciales de traitement licite intégrant les principes du RGPD de l'UE tels qu'énoncés à l'article 6, notamment l'obtention d'un consentement explicite éclairé lorsque cela est requis et le respect des obligations contractuelles envers les personnes concernées, le cas échéant.

Les politiques de TechVersions en matière de confidentialité et de protection des données sont donc structurées avec des contrôles spécifiques de confidentialité et de sécurité de l'information qui traitent de la question de l'identification des données sensibles RGPD au stade de leur origine et de leur entrée dans le système TechVersions et de leur étiquetage tout au long de leur cycle de vie de traitement.

Élargir le champ d'application de la conformité à l'écosystème du traitement des données

De plus, afin de respecter l'intention du législateur de protéger le droit fondamental à la vie privée des individus, énoncé dans le RGPD de l'UE, des contrôles techniques et organisationnels/administratifs appropriés sont maintenus pour garantir que tous les partenaires commerciaux en aval qui peuvent avoir accès à des données sensibles RGPD pour traitement au nom de TechVersions sont également conformes au RGPD.

TechVersions reconnaît que, dans la plupart de ses activités, elle n'est pas un « responsable du traitement » mais un « sous-traitant » au sens du RGPD. Elle peut toutefois être considérée comme un « responsable conjoint du traitement » lorsqu'elle fait appel à des sous-traitants pour une partie quelconque de ses traitements.

Compte tenu de ces rôles, les politiques et les contrôles de TechVersions sont structurés pour garantir la conformité au RGPD, notamment le maintien de contrôles techniques et organisationnels/administratifs appropriés afin de se tenir dûment informée des activités de conformité au RGPD de ses partenaires commerciaux et de partager avec eux, le cas échéant, les propres mesures de conformité au RGPD de TechVersions.

Limites de ce document

Les paragraphes suivants présentent la politique générale de TechVersions en matière de conformité au RGPD au niveau de l'entreprise, soulignant l'approche de TechVersions pour atteindre un niveau satisfaisant de conformité aux principes du RGPD dans ses opérations.

Ce document de politique est destiné à un partage limité avec les parties prenantes, y compris les entités commerciales extérieures à TechVersions, et exclut donc les informations confidentielles relatives au traitement lorsqu'il est essentiel de protéger la propriété intellectuelle de l'organisation.

Toute demande de divulgation d'informations allant au-delà de ce qui est indiqué ici sera traitée conformément à la politique de divulgation des données de TechVersions et ces demandes peuvent être adressées au responsable de la protection de la vie privée par le biais d'un courriel authentifié non réputé.

Partie B : Aperçus politiques spécifiques

1. Responsabilité attribuée

TechVersions a désigné un responsable de la protection des données qui sera l'interlocuteur privilégié pour traiter toutes les demandes et réclamations des personnes concernées. Compte tenu du niveau actuel d'exposition aux risques liés aux données sensibles au sens du RGPD chez TechVersions, il est considéré que son activité principale n'implique ni une surveillance systématique et à grande échelle des personnes physiques résidant dans l'UE, ni la fourniture de services à des particuliers au sein de l'UE. Par conséquent, la désignation d'un délégué à la protection des données (DPO) tel que prévu par le RGPD n'est pas requise.

Un Comité de gouvernance de la sécurité de l'information (CGSI) sera responsable de la sécurité de l'information, notamment de la conformité au RGPD. Organe décisionnel suprême de TechVersions, il définira l'ensemble des politiques de sécurité de l'information, y compris la politique relative au RGPD, et veillera à la désignation d'un délégué à la protection des données (DPO) en tant que personne ou consultant.

2. Classification des données

TechVersions ne pratique pas le marketing auprès des personnes physiques et, par conséquent, ne collecte généralement pas de données personnelles identifiables relevant du RGPD. Cependant, toutes les données personnelles potentiellement identifiables, telles que l'adresse électronique et le numéro de téléphone d'un employé, sont considérées comme « sensibles au RGPD » si l'entité ou l'employé est situé dans l'UE ou au Royaume-Uni.

En conséquence, l'ensemble des données de contact professionnel associées à une adresse physique dans l'UE/au Royaume-Uni est identifié comme des données sensibles au RGPD (GSD) et étiqueté lors du traitement ultérieur au sein de l'organisation.

En l'absence d'informations sur la localisation physique de la personne concernée, la localisation physique de l'organisation commerciale associée serait considérée comme pertinente.

3. Audit des données

Une première fois avant le 25 mai 2018, puis à intervalles mensuels ou selon toute autre périodicité déterminée par l'ISGC, les ensembles de données stockés seront vérifiés afin de localiser tout GSD et de vérifier les exigences de conformité qui y sont associées, notamment si les données doivent être archivées, supprimées ou autrement sécurisées de manière spéciale.

Tout ensemble de données GSD non accompagné d'une « autorisation » ou d'une « déclaration d'intérêt légitime » appropriée sera soumis à une recommandation de suppression.
Après confirmation, ces données seront effacées de manière définitive.

4. Évaluation d'impact du RGPD

Une évaluation des écarts en matière de RGPD a été réalisée et des mesures correctives ont été mises en œuvre comme requis avant le 25 mai 2018. Après le 25 mai 2018, une analyse d'impact relative à la protection des données (AIPD) sera réalisée chaque fois qu'un nouveau projet important sera entrepris, dès que l'ISGC en jugera la nécessité.

5. Politique d'acceptation des nouvelles affaires

À compter du 25 mai 2018, tout nouvel engagement commercial impliquant le traitement de données sera soumis à l'approbation de l'ISGC, accompagnée d'une note d'analyse d'impact RGPD spécifique soumise par le DPO en consultation avec l'équipe technique en charge du traitement.

6. Politique de stockage des données GSD

Les données GSD doivent être stockées dans des systèmes accessibles uniquement aux personnes désignées, selon le principe strict du « besoin d’en connaître ».

Chaque ensemble GSD doit être étiqueté avec le nom du responsable du traitement des données auprès duquel il a été obtenu et qui est responsable de la collecte des données dans le cadre d'un consentement ou d'un contrat.

Toute restriction spécifique associée à cet ensemble de données doit également être indiquée avec celui-ci.

Le stockage des données doit permettre de localiser et de traiter chaque ensemble de données individuel pour l'exercice des droits de toute personne concernée, tels que les demandes de rectification, de portabilité, d'effacement ou d'accès aux données, à tout moment de leur cycle de vie.

7. Politique d'accès aux données du GSD

L'accès aux données GSD est soumis à la politique de contrôle d'accès, qui garantit que chaque ensemble de données GSD possède des paramètres d'accès spécifiques. Ces paramètres définissent qui peut accéder aux données et comment. Seuls les membres désignés comme personnel GSD sont autorisés à accéder aux données GSD.

L’utilisation de paramètres d’accès tels que les mots de passe doit être définie avec un degré de complexité et d’unicité adapté aux besoins et complétée par un chiffrement et des étiquettes d’identification de la machine afin que les données GSD ne soient accessibles qu’à partir d’un matériel spécifique attribué au personnel GSD autorisé.

Lorsque le stockage des données s'effectue sur le cloud, seuls des services cloud conformes au RGPD doivent être utilisés, ainsi que des contrôles supplémentaires pouvant être nécessaires pour garantir que les données stockées et en transit soient protégées contre tout accès non autorisé.

Les données GSD spécifiques à un projet doivent être stockées de manière à ce que seuls les employés associés à ce projet y aient accès. L'accès inter-projets sera réglementé en fonction des besoins.

8. Politique de conservation des données de GSD

Les données GSD seront conservées dans un environnement de traitement actif uniquement pendant la durée minimale nécessaire à leur traitement. Elles seront ensuite archivées de manière sécurisée, conformément aux exigences définies au titre de l'intérêt légitime, par exemple jusqu'à la fin du cycle de facturation du projet.

Par la suite, les données seront conservées dans un archivage sécurisé ou détruites conformément aux exigences d'intérêt légitime identifiées de la Société.

Un examen mensuel des données archivées sera effectué afin d'identifier les données qui ne sont plus nécessaires et qui seront transmises à l'ISGC pour instructions d'élimination.

Les obligations légales en matière de conservation des données qui pourraient découler de législations concurrentes seront prises en compte dans l'évaluation de l'intérêt légitime.

9. Politique de divulgation des données de GSD

Toute demande de divulgation de données GSD ne doit normalement être reçue que du responsable du traitement des données source.

Il est reconnu que les demandes reçues directement des personnes concernées sont soumises à un risque d'hameçonnage et que, le cas échéant, ces demandes seront transmises au responsable du traitement des données correspondant qui a collecté les données auprès de la personne concernée en vertu du consentement ou du contrat qui peut exister entre eux.

Les données à divulguer ne seront transmises qu'au responsable du traitement des données, qui les transmettra ensuite à la personne concernée après avoir dûment authentifié l'identité du représentant du responsable du traitement des données qui en fait la demande.

Dans des circonstances exceptionnelles où des données doivent être communiquées directement à une personne concernée ou à son représentant autorisé ou à une autorité chargée de l'application de la loi, une authentification adéquate de l'identité de la personne qui en fait la demande doit être assurée.

Toutes les demandes de divulgation de données doivent être approuvées par l'ISGC avant la diffusion des données, et la demande ainsi que les documents d'évaluation seront considérés comme une documentation requise pour la conformité au RGPD.

10. Politique de gestion des incidents de données GSD

Un « incident » au sens du présent code désigne toute observation susceptible d’indiquer une violation du code de conformité GSD ou de toute politique ou procédure y afférente, qu’il y ait ou non suspicion de compromission de données.

Une politique de protection des lanceurs d'alerte peut être utilisée pour garantir que les incidents soient signalés rapidement par tout observateur, qu'il soit interne ou externe à l'entreprise.

Tout incident de ce type porté à la connaissance de TechVersions sera consigné dans un registre de gestion des incidents GSD et transmis au DPO pour une action immédiate.

Le DPO examinera le rapport d'incident et prendra des mesures immédiates pour résoudre l'incident et le signalera également à l'ISGC.

L'ISGC convoquera une réunion dans les plus brefs délais afin d'évaluer l'incident et de déterminer s'il constitue une violation de données présumée. Le cas échéant, l'ISGC pourra ordonner un audit technico-juridique immédiat pour une évaluation des risques liés à l'incident. Sur la base de cette évaluation, l'ISGC décidera des mesures à prendre, notamment l'envoi d'une notification de violation de données au responsable du traitement des données concernées.

Un incident au cours duquel un autre employé de l'organisation a accédé à des données GSD est considéré comme un incident de sécurité et non nécessairement comme une violation de données. Toutefois, une enquête sera menée afin de déterminer la cause de cet accès non autorisé. S'il s'agit d'un accès accidentel et involontaire, une mesure disciplinaire interne appropriée, conformément à la politique RH, pourra être appliquée. Si les données n'ont pas été déplacées ou consultées par une personne extérieure, l'incident sera qualifié d'accident de données interne ne constituant pas une violation de données.

Si l'accès ou les données transférées sont connus pour être sous forme chiffrée et se trouvaient dans un état dans lequel ils étaient indéchiffrables par le destinataire, sous réserve d'une enquête interne appropriée sur la sécurité de la clé de déchiffrement associée, l'accès peut être classé comme un accident de données interne ne constituant pas une violation.

11. Politique de notification des violations de données de GSD

Un incident de « violation de données » est un incident au cours duquel TechVersions, après les investigations nécessaires, constate que l'accès à un ensemble de données spécifique sous GSD a été compromis et qu'une entité externe a accédé à un ensemble GSD ou l'a transmis.

Un tel incident de violation de données doit être immédiatement signalé à l'ISGC qui, sans plus tarder, en informera le responsable du traitement des données associé à l'ensemble de données, en lui fournissant les détails pertinents de l'incident.

Ce rapport doit préciser la nature et l'étendue de la violation, la date et l'heure de celle-ci, les coordonnées des personnes concernées, les mesures prises suite à la notification de la violation, etc. Le cas échéant, la violation de données peut également être signalée à une autorité de contrôle.

12. Politique de gestion des droits des personnes concernées par les données de GSD

Le système de traitement des données de TechVersions a intégré les principes de « protection des données et de sécurité dès la conception » afin de permettre la conformité aux exigences du RGPD, notamment en ce qui concerne les droits de la personne concernée prévus par le RGPD.

Afin de respecter ces droits de la personne concernée, tels que les droits d’« accès », de « rectification », d’« effacement », de « portabilité » et le droit d’imposer des « restrictions », TechVersions a configuré ses systèmes de stockage et d’accès GSD de manière à ce qu’un ensemble de données appartenant à une personne concernée spécifique puisse être extrait et traité séparément.

Le système a donc été conçu pour être conforme aux exigences les plus strictes du RGPD.

Lorsqu'une demande d'exercice de ces droits est reçue d'une personne concernée, conformément à la politique de divulgation des données, la demande est d'abord validée, puis, si les données ont été reçues d'un responsable du traitement des données, ce dernier est invité à confirmer la divulgation des données.

Normalement, la demande est traitée en communication avec le responsable du traitement des données et, si elle doit être transférée, elle est renvoyée à ce dernier.

Dans des circonstances exceptionnelles où TechVersions doit traiter la demande d'une personne concernée sans la coopération du responsable du traitement des données, des précautions appropriées seront prises pour éviter toute divulgation illicite, car il serait dans l'intérêt légitime de TechVersions d'être indemnisée contre toute divulgation illicite éventuelle.

13. Politique de transmission des données GSD

Les données GSD peuvent généralement être intégrées au système via une interface applicative (API). L'accès à cette interface est protégé par un système d'accès sécurisé par mot de passe, renforcé par une authentification à deux facteurs appropriée lorsque des risques GSD importants sont identifiés.

La transmission des données s'effectue par chiffrement, sous réserve d'une gestion de la sécurité des transmissions couvrant les vulnérabilités connues.

L'application elle-même, ainsi que ses éléments de stockage et de traitement intégrés et son API, sont protégés contre les accès non autorisés et les attaques malveillantes par un système de gestion des logiciels malveillants et des accès sécurisés

Lorsque le jeu de données GSD est également transmis au client ou au sous-traitant, la transmission est gérée par des canaux de communication cryptés, soit par une API, soit par un e-mail crypté.

14. Politique d'utilisation marketing de GSD

Lorsque TechVersions utilise GSD à des fins de marketing, que ce soit par e-mail, par téléphone ou autrement, une attention particulière est portée à l'existence d'un consentement ou d'un contrat approprié permettant une telle communication.

TechVersions insiste également sur le fait que ses partenaires, qu'il s'agisse des générateurs de prospects, des sous-traitants ou des clients, n'utilisent pas le GSD sauf dans les limites des autorisations disponibles.

En l'absence de consentement sans équivoque, aucune donnée de contact professionnelle n'est collectée auprès des générateurs de prospects, ni transmise aux clients, ni traitée par les sous-traitants.

Ces données sont détruites dès leur entrée dans le système TechVersions et identifiées comme « GSD sans consentement de traitement approprié ».

15. Politique de consentement GSD

Toutes les informations classées comme GSD du fait que la personne concernée se trouve dans l'UE/au Royaume-Uni ou que son employeur se trouve dans l'UE/au Royaume-Uni ne seront acceptées que si la personne concernée a fourni un consentement explicite basé sur le format requis par le RGPD.

Avant l'entrée en vigueur du RGPD, ces consentements étaient généralement recueillis conformément aux principes de traitement des données personnelles, notamment par le biais d'une notice d'information sur la protection des données. Cette notice précisait les informations collectées, leur finalité, leur durée de conservation, les mesures de sécurité mises en place, leur exactitude, leur éventuel transfert hors de l'UE pour traitement, etc. Certains de ces consentements étaient fondés sur le principe d'« opt-in » (acceptation explicite) comme paramètre par défaut.

En vertu du RGPD, il est essentiel que les données personnelles ne soient collectées que sur la base d'un consentement explicite, l'option « Refuser » étant l'option par défaut, et que le consentement ne soit accepté que sur la base d'une action positive indiquant l'acceptation.

En outre, la notice relative à la protection des données doit également indiquer que la personne concernée dispose de certains droits, tels que le « droit d’être informée de l’identité des sous-traitants », le « droit d’accès et de rectification » et le « droit à la portabilité et à l’effacement ».

Au vu des nouvelles exigences, tous les consentements obtenus au format antérieur au RGPD seront considérés comme invalides et ces données seront supprimées par TechVersions.

Les éditeurs externes qui génèrent des prospects pour TechVersions doivent confirmer par leurs contrats qu'ils ne fourniront que des prospects générés avec le nouveau formulaire de consentement si la personne concernée se trouve dans l'UE/au Royaume-Uni.

16. Politique de communication des parties prenantes de GSD

TechVersions opère par l'intermédiaire de nombreuses organisations externes qui sont parties prenantes de son programme de conformité au RGPD. Ces organisations comprennent notamment ses clients, ses générateurs de prospects et ses sous-traitants.

Pour garantir une conformité effective, aucune donnée GSD ne doit être échangée dans le cadre de communications avec les parties prenantes, sauf par transmission sécurisée et uniquement avec les représentants autorisés.

Alors que la communication via API est contrôlée par la politique d'accès, toute autre communication par e-mail doit être contrôlée par une politique de communication par e-mail.

En substance, une politique de communication par courriel doit définir que le partage de toute information relative à la conformité au RGPD ou à la loi GSD avec une partie prenante ne doit se faire que par l'intermédiaire d'une adresse courriel de contact notifiée, qui sera dans la plupart des cas le DPO de l'autre organisation ; le cas échéant, la communication par courriel peut être chiffrée et authentifiée par une signature numérique.

17. Politique d'identification des intérêts légitimes de GSD

TechVersions reconnaît que certains droits des personnes concernées, tels que l'effacement ou la rectification des données, pourraient être en conflit avec les exigences d'intérêt légitime de TechVersions ou avec les lois sur la conservation des données qui pourraient autrement s'appliquer aux données compte tenu d'autres obligations législatives.

Dans tous les cas de mise en œuvre des droits des personnes concernées, TechVersions évaluera la demande avant d'entreprendre toute action. Si TechVersions estime nécessaire de refuser la demande ou de la modifier pour qu'elle soit acceptée, les raisons seront documentées et une note d'intérêt légitime relative aux droits des personnes concernées sera établie par l'ISGC.

Lorsque les données ne doivent pas être actives, elles peuvent être archivées en toute sécurité jusqu'à expiration de l'intérêt légitime.

Les raisons justifiant l'intérêt légitime à traiter la demande de la personne concernée seront communiquées au responsable du traitement des données qui en est chargé, afin qu'il les transmette à la personne concernée.

18. Politique de gestion du personnel de GSD

Les données GSD seront considérées comme un ensemble de données nécessitant une attention exclusive et particulière en matière de sécurité de l'information lorsqu'elles seront sous la garde de TechVersions.

Par conséquent, les données GSD seraient correctement étiquetées et traitées selon le principe du besoin d'en connaître par un groupe d'employés spécialement formés.

Ces employés et les systèmes dans lesquels les données GSD seraient stockées, consultées et traitées seraient gérés de manière sécurisée compte tenu du niveau de risque associé aux données GSD.

L’affectation des personnes à ce traitement GSD et leur retrait doivent être gérés avec les mesures de sécurité appropriées, y compris un niveau plus élevé de vérification des antécédents, de formation, d’identités d’accès physique, de politiques de sanctions, etc.

Les politiques RH doivent être mises à jour en conséquence pour le personnel de GSD, le cas échéant.

19. Politique de pseudonymisation de GSD

Il est reconnu que la pseudonymisation est une stratégie permettant de réduire les risques liés au traitement des données génétiques.

Les données personnelles pseudonymisées ne sont pas considérées comme des « données personnelles » au sens du RGPD, à condition que le processus de pseudonymisation soit correctement structuré.

Compte tenu du niveau actuel d'exposition de ses opérations aux risques liés au RGPD, TechVersions n'a pas jugé nécessaire pour le moment d'utiliser la pseudonymisation comme stratégie d'atténuation des risques.

20. Politique GSD DRP-BCP

TechVersions reconnaît l'importance d'un plan efficace de reprise après sinistre et de continuité des activités pour ses opérations, y compris celles impliquant le traitement GSD.

TechVersions assurera une sauvegarde adéquate des données GSD et disposera d'une capacité raisonnable à maintenir la continuité des activités en cas d'imprévu.

21. Politique de documentation de conformité GSD

Les mesures de conformité au RGPD doivent être documentées afin de pouvoir être consultées ultérieurement. Cette documentation doit être conservée pendant une durée minimale de six ans à compter de sa création.

Si un document constitue une preuve potentielle pour répondre aux exigences des forces de l'ordre ou pour défendre les intérêts légitimes de TechVersions, ce document sera conservé aussi longtemps que le besoin persistera.

22. Politique d'audit GSD

Une équipe d'audit de sécurité interne de TechVersions auditera les actifs informationnels de TechVersions au moins une fois par an afin d'évaluer le niveau de sécurité et de conformité au RGPD et aux autres exigences réglementaires.

Des audits externes peuvent être envisagés sur la base d'une évaluation de l'ISGC chaque fois qu'un changement substantiel du profil de l'entreprise survient.

TechVersions se réserve le droit de procéder à un audit des installations de chacun de ses sous-traitants afin de garantir le respect des obligations contractuelles.

TechVersions reconnaît toutefois que le pouvoir d'auditer les installations d'un sous-traitant constitue une délégation de pouvoir et ne doit être utilisé que dans des circonstances exceptionnelles. Cela ne dégage en rien le sous-traitant de sa responsabilité de respecter les exigences de conformité prévues par les engagements contractuels.

23. Politique de règlement des griefs de GSD

TechVersions mettra en place une politique de traitement des réclamations à plusieurs niveaux pour résoudre tout litige éventuel avec une personne concernée. Ces réclamations seront traitées en premier lieu par le délégué à la protection des données (DPO), en second lieu par le Comité de gouvernance de l'information (ISGC) et, en troisième lieu, par un Comité de résolution des litiges en ligne créé à cet effet par le Conseil d'administration.

Toute demande d'information émanant d'une autorité de contrôle du RGPD sera traitée par le DPO et transmise à l'ISGC si nécessaire.

Tout litige avec les clients, les éditeurs ou les sous-traitants sera traité conformément aux accords contractuels respectifs.

24. Politique de sécurité du réseau

Afin de garantir la sécurité de l'infrastructure informatique utilisée par la Société, TechVersions adoptera une politique de sécurité de l'information robuste comprenant des pare-feu, des systèmes de détection d'intrusion, des systèmes de prévention des logiciels malveillants et des correctifs système, etc., selon les besoins.

Un responsable de la sécurité de l'information désigné sera chargé du maintien de la sécurité du réseau.

P.-S. : Ce code est susceptible d'être révisé de temps à autre.