Protection des données personnelles et RGPD

Contactez-nous

Quelles mesures ont été prises par 360LEARNING pour se mettre en conformité avec le RGPD ?

Depuis sa création, 360LEARNING a fait de la sécurité et de la confidentialité des données personnelles une priorité.

Le 25 mai 2018, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD ») est entré en vigueur. Il vise à renforcer la protection des données à caractère personnel au sein de l’Union européenne.

Dans le cadre de sa mise en conformité, 360LEARNING a envisagé le RGPD comme une opportunité de renforcer le lien de confiance avec ses clients et avec les utilisateurs de sa plateforme SaaS de formation en ligne. La présente foire aux questions (la « FAQ ») a pour objectif de répondre aux questions les plus fréquemment posées à 360LEARNING sur le RGPD, compte tenu de son rôle de sous-traitant. Les situations dans lesquelles 360LEARNING est responsable de traitement sont volontairement exclues de cette foire aux questions et traitées dans la politique de confidentialité de 360LEARNING.

Pour les besoins de cette FAQ, on entend par :

  • « Client(s) » : la ou les personne(s) morale(s) ayant souscrit à une offre de services 360LEARNING.
  • « Utilisateurs » : les personnes placées sous la responsabilité du Client, autorisées à utiliser la plateforme de 360LEARNING. Schématiquement, les flux de données personnelles couverts par la présente foire aux questions peuvent être représentés de la manière suivante :

Schéma des flux de données personnelles

En qualité de sous-traitant, 360LEARNING a développé de nombreuses procédures techniques et organisationnelles internes afin d’assurer la protection des données personnelles et de permettre à ses clients de satisfaire aux exigences du RGPD. Celles-ci sont détaillées dans la présente FAQ ainsi que dans les contrats passés avec chaque Client et dans la documentation technique.

L’ESSENTIEL : LES PRINCIPALES MESURES DE CONFORMITE AU RGPD MISES EN PLACE PAR 360LEARNING

En résumé, les principales mesures de conformité au RGPD prises par 360LEARNING sont les suivantes :

  • la mise en place d’une équipe dédiée à la protection des données personnelles, la « Data Protection Team », assurant la conformité des traitements de données personnelles opérés via la plateforme ;
  • la création d’une cartographie des traitements de données personnelles recensant les traitements de données personnelles que 360LEARNING met en œuvre pour le compte de ses Clients ;
  • la création de fonctionnalités inhérentes à la plateforme permettant à ses Clients, en tant que responsables de traitement, de se conformer à leurs obligations, dans le respect des principes de « Privacy by Design » et « Privacy by Default » ;
  • la sensibilisation des collaborateurs de 360LEARNING aux enjeux du RGPD ;
  • la mise à jour de ses contrats commerciaux ;
  • l’établissement d’une politique de confidentialité ;
  • la mise en place d’une procédure de gestion des incidents de sécurité et d’un registre des incidents de sécurité ;
  • l’établissement de registre des activités de traitement pour chaque Client ;
  • l’établissement de la présente foire aux questions.

I- QUESTIONS D’ORDRE GÉNÉRAL SUR LE RGPD

Qu’est-ce que le RGPD ?

Le RGPD est le nouveau dispositif de protection des données personnelles des clients, prospects, fournisseurs, partenaires commerciaux, et plus généralement, de toute autre personne sur le territoire européen.

Entrée en vigueur le 25 mai 2018, cette nouvelle réglementation remplace la directive européenne sur la protection des données de 1995 et renforce, en France, le dispositif de protection des données personnelles consacré par la loi « Informatique & Liberté » du 6 janvier 1978 modifiée pour s’adapter aux nouvelles exigences du RGPD.

Quelles entreprises sont concernées par le RGPD ?

Sont soumises au RGPD toutes les entreprises ou organisations qui sont établies sur le territoire de l’Union européenne ou qui proposent des services à des utilisateurs européens dès lors qu’elles collectent, stockent ou utilisent des données à caractère personnel pour leur compte ou pour le compte d’autres entreprises.

À ce titre, les Clients et 360LEARNING doivent tous respecter, à leur niveau, les dispositions du RGPD.

Quelles sont les données visées par le RGPD ?

Le RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; - et précise que - est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

En d’autres termes, toutes les informations permettant d’identifier ou qui pourraient permettre d’identifier une personne sont considérées comme des données personnelles.

À titre d’exemple, est considérée comme une donnée personnelle : un nom, un prénom, un numéro de téléphone, une adresse mail ainsi que toutes les données liées à une personne physique identifiée (ou identifiable) telles que les données d’utilisation de la plateforme par exemple.

Qu’est-ce qu’un traitement ?

Un traitement de données personnelles peut se définir comme « toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction » (Article 2 de la loi Informatique et Libertés du 6 janvier 1978 modifiée).

Ainsi, la conservation des données des Utilisateurs constitue un tel traitement.

Qui est responsable du traitement, qui est sous-traitant ?

Le RGPD opère une distinction entre responsable de traitement et sous-traitant dont les rôles et les responsabilités sont complémentaires pour assurer le niveau de protection des données personnelles requis par la réglementation.

Le responsable du traitement est, la personne physique ou morale qui détermine, seule ou avec d’autres, les finalités et les moyens du traitement des données à caractère personnel.

Le sous-traitant quant à lui, est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement.

360LEARNING agit sur instruction écrite de ses Clients et pour leur compte lorsqu’elle traite les données à caractère personnel des Utilisateurs.

Dès lors, tout traitement de données personnelles d’un Utilisateur est opéré sous la responsabilité d’un Client dont 360LEARNING est le sous-traitant au sens du RGPD.

À ce titre, 360LEARNING rappelle à chacun de ses Clients que la communication d’informations pertinentes et sans erreur sur chaque traitement de données personnelles est indispensable pour permettre à 360LEARNING de satisfaire à ses obligations.

II- QUESTIONS RELATIVES AUX MESURES INTERNES MISES EN PLACE PAR 360LEARNING

Qui est chargé de la protection des données personnelles chez 360LEARNING ?

La protection des données personnelles étant une priorité pour 360LEARNING, une équipe dédiée a été mise en place : la « Data Protection Team ».

Celle-ci est chargée de s’assurer de la conformité des traitements de données personnelles opérés sur la plateforme de 360LEARNING à la réglementation. En particulier, elle est chargée de la sécurité et du respect de l’intégrité de l’ensemble des données personnelles collectées et traitées.

La Data Protection Team est composée de collaborateurs dotés de compétences juridiques et techniques complémentaires garantissant la mise en œuvre de l’ensemble des mesures prises par 360LEARNING pour se conformer au RGPD et répondre aux questions que ses Clients pourraient avoir dans ce domaine.

Pour toute information complémentaire sur la protection des données personnelles, la Data Protection Team est joignable par email à l’adresse suivante : data-protection@360learning.com.

Quelles sont les mesures concrètes mises en place par 360LEARNING ?

Afin de garantir à ses Clients le meilleur niveau de protection des données personnelles de leurs Utilisateurs, 360LEARNING a instauré des mesures concrètes. Au titre des mesures organisationnelles, 360LEARNING a mis en place :

  • une cartographie des traitements de données personnelles recensant les traitements de données personnelles auxquels 360LEARNING prend part (pour en savoir plus sur la cartographie des données, voir la question II.3) ;

  • une équipe dédiée à la protection des données personnelles : la « Data Protection Team » (pour en savoir plus sur la Data Protection Team, voir la question II.1) ;

  • des actions de sensibilisation du personnel aux enjeux du RGPD (pour en savoir plus, voir la question II.4) ;

  • un registre des activités de traitement pour chaque Client ;

  • une procédure de gestion des incidents de sécurité et des cas éventuels de violation de données (pour en savoir plus sur la sécurité voir la question III.6. 360LEARNING a également pris des mesures techniques consistant en la mise en place de :

  • fonctionnalités techniques intégrées à la plateforme destinées à aider les Clients à se mettre en conformité avec le RGPD notamment grâce à la possibilité de recueillir le consentement des Utilisateurs au traitement de leurs données lorsque ce consentement est requis et celle d’insérer la politique de confidentialité du Client ;

  • solutions techniques permettant au Client de traiter les demandes des Utilisateurs quant à l’exercice de leurs droits (pour en savoir plus sur cette procédure, voir la question IV.2) ;

  • la pseudonymisation des données personnelles conforme au RGPD grâce au stockage de données personnelles dans une collection unique des bases de données et en utilisant un identifiant aléatoire pour référencer chaque Utilisateur et ses données (contenus de formation, statistiques de formation, groupes, parcours, etc.) ;

  • hachage des mots de passe des Utilisateurs ;

  • dispositifs de journalisation des connexions de consultation et d’utilisation des données personnelles permettent de garantir la traçabilité de l’accès aux données.

Est-ce que 360LEARNING réalise une cartographie des traitements de données personnelles ?

Afin de mesurer l’impact du RGPD sur la protection des données personnelles, 360LEARNING a établi une cartographie des traitements de données personnelles recensant de façon précise les traitements de données personnelles que 360LEARNING met en œuvre pour le compte de ses Clients, grâce aux informations fournies par ces derniers, et plus précisément :

  • les différents traitement de données personnelles des Utilisateurs ;
  • les catégories de données personnelles traitées ;
  • les objectifs poursuivis par les opérations de traitement des données ;
  • les acteurs (internes ou externes) qui traitent ces données : les prestataires, sous-traitants afin d’actualiser les clauses de confidentialité ;
  • les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne (pour en savoir plus sur la localisation des données, voir la question III.7).

Comment 360LEARNING sensibilise son personnel à la protection des données personnelles ?

360LEARNING a placé la formation de son personnel au cœur de sa politique de protection des données à caractère personnel. Pour ce faire, 360LEARNING a notamment pris les mesures suivantes :

  • l’établissement d’une documentation à destination de son personnel détaillant les données à caractère personnel collectées sur la plateforme, ainsi que les bons usages à respecter vis-à-vis de ces données ;
  • la mise en place d’une formation continue sur le thème de la protection des données ;
  • l’insertion d’une clause de confidentialité dans l’ensemble des contrats de travail des salariés ;
  • la limitation de l’accès aux données personnelles aux seuls collaborateurs de 360LEARNING qui en ont la nécessité pour accomplir leur mission et aux seuls cas nécessaires, à savoir (i) la gestion des questions des Clients relatives aux données de leurs Utilisateurs, (ii) la résolution de problèmes et (iii) la gestion des demandes de rectification des données personnelles.

L’équipe technique de 360LEARNING est également formée au guide de sécurisation des applications web dit OWASP (open web application security project), afin, notamment, d’intégrer les exigences des concepts « Privacy by Design » et « Privacy by Default » nécessaires pour que chaque Client puisse personnaliser sa politique de confidentialité accessible sur leur espace, par leurs Utilisateurs.

Comment 360LEARNING met en œuvre les principes de protection de « Privacy by Design » et « Privacy by Default » ?

Le concept de « Privacy by Design » désigne la prise en compte de la protection des données personnelles dès la phase d’élaboration et de conception d’un produit ou d’un service, c’est-à-dire tant au moment de la détermination des moyens de traitement de ces données qu’au moment du traitement lui-même.

Afin de respecter ce principe, 360LEARNING a développé de nombreuses fonctionnalités intégrées à la plateforme pour que les données personnelles qui y sont traitées, le soient en conformité avec le RGPD. Ces fonctionnalités permettent notamment aux Clients, en leur qualité de responsables de traitement, de remplir leur obligation de transparence à destination des Utilisateurs. Elles sont décrites à la question II.6.

S’agissant du concept de « Privacy by Default », l’article 25 du RGPD prévoit que « le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».

Ainsi, par défaut, seules les données personnelles strictement nécessaires au traitement en cause et à sa finalité peuvent en principe être collectées sur la plateforme (pour plus d’information, voir la question II.6).

Enfin, l’équipe technique de 360LEARNING a été formée au guide de sécurisation des applications web dit OWASP (open web application security project), afin, notamment, d’intégrer les exigences des concepts « Privacy by Design » et « Privacy by Default ».

Comment 360LEARNING aide ses Clients à se conformer au RGPD ?

En application des concepts de « Privacy by Design » et « Privacy by Default », 360LEARNING a intégré dans sa plateforme des fonctionnalités permettant à ses Clients, responsables de traitement, d’offrir à leurs Utilisateurs le plus haut niveau de protection des données.

Plus précisément, les Clients ont la possibilité de :

  • informer les Utilisateurs de leur politique de confidentialité : le Client peut personnaliser les mentions d’informations à communiquer à ses Utilisateurs et insérer un lien hypertexte directement dans la plateforme, vers sa politique de confidentialité ;
  • recueillir le consentement de leurs Utilisateurs pour l’utilisation de leurs données personnelles (lorsque ce consentement est requis) : le Client peut obtenir le consentement de chaque Utilisateur au traitement de ses données via un système d’opt-in ;
  • corriger, modifier ou supprimer les données personnelles de ses Utilisateurs : les Utilisateurs peuvent contacter le Client, en sa qualité de responsable de traitement, pour exercer leurs droits de rectification, d’opposition, de limitation, de portabilité de leurs données personnelles ainsi que leur droit de retrait du consentement à la collecte de leurs données personnelles ;
  • pseudonymiser les données personnelles traitées.

360LEARNING s’engage également à mettre à disposition de ses Clients la documentation de la conformité pour démontrer le respect des obligations prévues par le RGPD.

Comment sont gérés les incidents et violations de données personnelles ?

360LEARNING réalise des sauvegardes régulièrement afin de limiter l’impact d’une violation de données avec perte de disponibilité ou d’intégrité des données.

360LEARNING a mis en place une procédure interne destinée à identifier les causes et résorber toute éventuelle violation de données personnelles dont elle aurait connaissance. Le Client est informé de l’existence d’une telle violation lorsqu’elle est susceptible de l’impacter ou d’impacter ses Utilisateurs, dans les meilleurs délais à partir du moment où 360LEARNING en prend connaissance.

Le cas échéant, les violations de données à caractère personnel sont inscrites et documentées dans un registre des incidents de sécurité tenu et mis à jour par 360LEARNING.

III- INFORMATIONS SUR LES TRAITEMENTS MIS EN ŒUVRE ET LA SÉCURITÉ

Quelles sont les données traitées par 360LEARNING sur la plateforme ?

Les données personnelles des Utilisateurs traitées par la plateforme de 360LEARNING sont les suivantes : nom ; prénom ; mail professionnel ; numéro de téléphone ; organisation ; fonction et/ou le titre occupé dans l’organisation ; biographie ; photo de profil ; données du profil LinkedIn ; données du profil Twitter ; labels ; informations complémentaires fournies sur la plateforme et informations relatives à l’utilisation de la plateforme.

360LEARNING attire l’attention du Client sur le fait que la plateforme mise à disposition par 360LEARNING n’autorise pas la collecte et le traitement des données dites « sensibles ».

Les données dites « sensibles » sont les données qui font apparaître l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’adhésion à un syndicat, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données relatives à la santé ou l’orientation sexuelle.

Pour quelle(s) finalité(s) les données personnelles sont-elles traitées ?

En qualité de responsable de traitement, le Client est chargé de déterminer la ou les finalité(s) du traitement des données à caractère personnel de ses Utilisateurs.

360LEARNING traite les données personnelles des Utilisateurs conformément aux finalités déterminer par chacun de ses Clients. En pratique, 360LEARNING utilise les données personnelles uniquement pour permettre aux Utilisateurs d’accéder à la plateforme, d’en utiliser les différentes fonctionnalités (création de contenus de formation, accès aux formations) ainsi qu’aux fins d’amélioration de la plateforme et de l’expérience des Utilisateurs.

Quelles sont les opérations réalisées sur les données personnelles par 360LEARNING ?

360LEARNING s’engage à ne pas tracer ni cibler les données personnelles traitées. Les opérations réalisées sur les données personnelles sont les suivantes :

  • consultation : les données personnelles ne sont consultées, qu’en cas de besoin, par les collaborateurs autorisés de 360LEARNING ;
  • extraction : les données ne sont pas extraites, sauf si le Client en fait la demande ;
  • copie : les données personnelles sont copiées à l’occasion des opérations de sauvegarde qui ont lieu chaque nuit ;
  • connexion avec d’autres bases : la connexion avec d’autres bases est possible et intervient lorsque 360LEARNING utilise les services de ses sous-traitants (le détail est décrit dans la documentation technique ;
  • suppression ou destruction : 360LEARNING peut supprimer les données personnelles à la demande du Client et lui fournir une attestation (les modalités sont décrites dans le contrat conclu entre le Client et 360LEARNING) ;
  • archivage : les données personnelles sont archivées pendant la durée nécessaire à la finalité du traitement, c’est-à-dire la durée du contrat conclu entre 360LEARNING et le Client augmentée de quelques mois correspondant à la durée potentielle de réengagement afin que les données du Client ne soient pas perdues ;
  • utilisation des données à caractère personnel à d’autres fins que celles prévues au contrat : 360LEARNING s’engage à utiliser les données personnelles conformément aux finalités prévues dans le contrat conclu avec le Client, à l’exclusion de toute autre finalité.

Est-ce que 360LEARNING tient un registre du traitement des données personnelles ?

En tant que sous-traitant, 360LEARNING tient un registre recensant toutes les catégories d’activités de traitement effectuées pour le compte de ses Clients.

L’article 30 du RGPD fait également peser sur les responsables de traitement l’obligation de tenir un registre des traitement effectuées sous leur responsabilité. En conséquence, 360LEARNING rappelle que chaque Client doit également tenir son propre registre.

Est-ce que 360LEARNING documente sa conformité au RGPD ?

360LEARNING tient à jour l’ensemble de la documentation visant à démontrer sa conformité au RGPD, composée notamment des éléments suivants :

  • le registre des catégories d’activités de traitement ;
  • le registre concernant les incidents de sécurité ;
  • les communications destinées à sensibiliser les partenaires de 360LEARNING et les accord de protection des données personnelles passés avec eux.

Quelles sont les mesures de sécurité mises en place par 360LEARNING pour protéger les données personnelles ?

360LEARNING s’impose des standards élevés en matière de sécurité et prend toutes les mesures nécessaires pour éviter toute utilisation détournée ou frauduleuse des données personnelles.

360LEARNING fait réaliser, une fois par an, un audit par un tiers indépendant afin de contrôler la conformité de la plateforme avec ses engagements en matière de protection des données.

360LEARNING offre à ses Clients un droit d’audit complémentaire qu’ils peuvent exercer dans les conditions prévues dans leurs contrats de service.

360LEARNING permet également à ses Clients de réaliser des tests d’intrusion « en boîte noire », sur l’environnement de pré-production de 360LEARNING (en tous points similaires à l’environnement de production), dans les conditions définies dans leur contrat de services.

Enfin, l’ensemble des mesures techniques et organisationnelles mises en place par 360LEARNING sont décrites dans la documentation technique.

Où sont localisées les données personnelles des Utilisateurs ?

Les données personnelles des Utilisateurs sont majoritairement localisées en Europe et peuvent être transmises à des sous-traitants ultérieurs situés dans des pays offrant un niveau de protection des données équivalent à celui offert par le RGPD.

360LEARNING s’engage à ne pas transmettre des données à caractère personnel confiées par le Client vers un pays ne présentant pas de garanties suffisantes et un niveau de protection « adéquat » sans accord écrit préalable du Client.

La réalisation d’une analyse d’impact par 360LEARNING est-elle nécessaire ?

L’article 35 du RGPD prévoit qu’une analyse d’impact sur la protection des données doit être réalisée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

360LEARNING n’autorise pas le traitement de données dites « sensibles » ni le traitement de données susceptible de constituer un risque élevé pour les Utilisateurs.

Les données dites « sensibles » sont les données qui font apparaître l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’adhésion à un syndicat, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données relatives à la santé ou l’orientation sexuelle.

IV- LES DROITS DES UTILISATEURS

Comment les Utilisateurs sont-ils informés de l’utilisation et du traitement de leurs données personnelles ?

360LEARNING incite ses Clients à se conformer à leur obligation de transparence. En particulier, les Clients doivent communiquer à leurs Utilisateurs l’ensemble des informations requises par le RGPD, au moment de la collecte de leurs données et tout au long de leur relation. Pour ce faire, la plateforme opérée par 360LEARNING propose différentes fonctionnalités.

En premier lieu, 360LEARNING offre à ses Clients la possibilité d’ajouter un lien hypertexte vers sa politique de confidentialité ou tout autre document de leur choix dans la plateforme et de la rendre accessible à tous les Utilisateurs. Pour ce faire, le Client devra se rendre dans la partie « Mes réglages » de son profil.

360LEARNING permet également à ses Clients de recueillir le consentement de leurs Utilisateurs au traitement de leurs données et selon les termes de leur propre politique de confidentialité, en amont de l’utilisation de la plateforme via une case à cocher à la première connexion.

360LEARNING a mis en place une présentation des différents services proposés pour permettre à ses Clients de se conformer à leur obligation de transparence.

Comment sont gérées les demandes des Utilisateurs en matière de données personnelles ?

Chaque Client doit permettre à ses Utilisateurs de demander l’accès, l’opposition, la rectification, la portabilité et/ou la limitation d’une ou plusieurs de leurs données personnelles, ainsi que de retirer leur consentement à la collecte de leurs données personnelles lorsque le traitement a pour base légale le consentement.

La responsabilité du traitement de ces demandes repose sur le Client, en sa qualité de responsable de traitement.

En cas de besoin, un Client peut solliciter 360LEARNING pour l’aider à répondre à la demande d’un Utilisateur en adressant une demande motivée à : data-protection@360learning.com ou à son chargé de compte 360LEARNING.

Toute demande est transmise à un membre de la Data Protection Team chargé de la traduire en termes juridiques. En cas de demande de limitation des données, les données concernées sont déplacées temporairement de la plateforme de 360LEARNING vers un autre système sécurisé de traitement afin de les rendre indisponibles pour l’Utilisateur concerné.