d3ccd4445c02...
ACCOUNTABILITY
orga

L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
 
Tenez-vous à jour un registre de toutes les catégories d’activité de traitements effectués pour le compte de vos clients ?
 
Oui, et il existe déjà chez CUSTOMER-SQUARE depuis de nombreuses années !  

En pratique, la CNIL recommande désormais dans le cadre du RGPD de tenir 2 registres :

1/ un pour les traitements de données personnelles dont CUSTOMER-SQARE est responsable ( majoritairement les données marketing et liées à notre service client)

Pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données
les catégories de personnes concernées (client, prospect, employé, etc.)
les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre 

2/ un autre pour les traitements que CUSTOMER-SQUARE opère, en tant que sous-traitant, pour le compte de ses clients. 

Contenu du registre du sous-traitant :
 
Pour chaque catégorie d’activité effectuée pour le compte de clients, il doit contenir les éléments minimaux suivants :
le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel vous traitez les données et, le cas échéant, le nom et les coordonnées de leur représentant
le nom et les coordonnées des sous-traitants auxquels vous-même faites appel dans le cadre de cette activité
les catégories de traitements effectués pour le compte de chacun de vos clients, c’est-à-dire les opérations effectivement réalisées pour leur compte (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.) 
les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans les cas très particuliers mentionnés au 2ème alinéa de l’article 49.1 (absence de décision d’adéquation en vertu de l’article 45 du RGPD, absence des garanties appropriées prévues à l’article 46 du RGPD et inapplicabilité des exceptions prévues au 1er alinéa de l’article 49.1), les garanties prévues pour encadrer les transferts doivent être mentionnées.
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre. 
 
Pour tenir ces registres aisément, CUSTOMER-SQUARE utilise la platefrome DATAGALAXY, pour plus d'informations sur les registres RGPD consultez les antisèches de DATAGALAXY par ici :  https://www.datagalaxy.com/blog/antiseche/mise-en-conformite/

ou encore le modèle de registre exigé par la CNIL ici : RGPD - Modèle de registre (pdf) [ PDF-485.87 Ko] 
 
 
Avez-vous réalisé une analyse des risques des traitements sur les données personnelles qui vous sont confiées dans le cadre de vos prestations ?  Evaluez-vous l’efficacité de vos dispositifs de sécurité concernant les traitements de données personnelles ? 

X  Oui. Au global une fois par an au minimum, et lors de chacune des modifications de notre infrastructure de traitement afin d'en évaluer les impacts. Les acteurs du contrôle : DSI , DPO et prestataires externes 

ces audits sont également l'occasion pour des contrôles en vue de vérifier la conformité aux exigences RGPD des traitements que nous réalisons dans le cadre de nos prestations.


Pouvez-vous assister vos Clients en cas de demandes émanant des autorités compétentes portant sur des traitements de données personnelles pour lesquelles vous intervenez ? 

X  Oui ceci fait partie, dans une certaine mesure, de nos services d'accompagnement au titre de notre obligation de conseil. Nos clients peuvent en faire la demande directement auprès de notre DPO.
 
En cas de demandes directes d’autorités compétentes sur des traitements de données personnelles de vos clients, prévoyez-vous d’informer sans délai vos clients ?
 
X  Oui. Pour cela nos clients doivent nous communiquer les coordonnées de leur DPO et/ou d’un correspondant Informatique et Libertés, qui sera avisé dès qu’une demande sera reçue.
 
Transmettez-vous ou prévoyez-vous de transmettre des informations aux autorités compétentes portant sur ces traitements ? 
X  Oui, mais toujours après avoir échangé avec notre Client et obtenu son autorisation expresse, en cas de refus ou d'absence de réponse, ces autorités seront en premier lkieu invitées à se rapprocher de notre CLient pour obtenir son consentement, et CUSTOMER-SQUARE se conformera en tous temps à ses politiques et à la législation en vigueur.

NOS AUTRES REPONSES PAR GRAND THEME RGPD :

ORGANISATION

orga
ORGANISATION INTERNE

ACCOUNTABILITY

account
ACCOUNTABILITY

SECURITE

security
SECURITE SYSTEME 
D'INFORMATION

VIE PRIVEE

privacy
PRIVACY BY DESIGN / DEFAULT

RELATIONS TIERS

tiers
RELATIONS AVEC LES TIERS

VOS DONNEES 

perso
DONNEES PERSONNELLES DE NOS CLIENTS

NOTIFICATIONS 

violation
NOTIFICATIONS DE VIOLATION DE DONNEES

CONTACT DPO

dpo
CONTACTER NOTRE DPO

VOS DONNEES SONT EN BONNE COMPAGNIE
customer-squ...
VISITEZ AUSSI NOS DIVERS SITES ET MEDIAS :