GDPR

KATAKLOP

et le

Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la Directive 95/46/CE sur la protection des données à caractère personnel)

Contexte :

Le 14 avril 2016, le Parlement européen et le Conseil de l’Union Européenne ont adopté le Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la Directive 95/46/CE sur la protection des données à caractère personnel)[1] (ci-après dénommé le RGPD ou sous son acronyme anglais GDPR).

Le RGPD a été promulgué le 27 avril 2016 et est entré en vigueur le 24 mai 2016.

Le RGPD sera applicable dans toute l’Union Européenne le 25 mai 2018.

Dans les hypothèses où la mission confiée par un client à KATAKLOP impliquerait un traitement de données personnelles par KATAKLOP au sens du RGPD, KATAKLOP a décidé de devancer la date du 25 mai 2018 susmentionnée en proposant à ses clients et en imposant à ses sous-traitants de travailler dès le 01 juillet 2017 en respectant les dispositions du RGPD qui lui (leur) seront applicables lorsque des traitements de données personnelles seront à effectuer par l’un et/ou l’autre des acteurs susmentionnés selon leurs rôles respectifs déterminés pour chaque traitement concerné.

A cet effet, KATAKLOP a plus particulièrement mis en place les éléments décrits succinctement ci-dessous.

Mise en pratique :

En matière de consentement

KATAKLOP s’assurera auprès de son client que ce dernier aura obtenu le consentement explicite et positif des personnes qui envisagent de lui confier un ou plusieurs traitements de leurs données personnelles. A défaut pour le client de KATAKLOP de lui fournir preuves et garanties de l’obtention d’un tel consentement au sens du RGPD, KATAKLOP refusera de procéder à toute forme de traitement desdites données.

Collaboration à la tenue d’un registre de traitement

KATAKLOP collaborera avec son client à la tenue du registre des traitements dont son client et responsable et dont il a confié à KATAKLOP tout ou partie de l’exécution desdits traitements.

Collaboration à le délégué à la protection des données du client

Le cas échéant, dans la mesure où le client aura procédé à la nomination d’un délégué à la protection des données en application de l’article 37 RGPD, KATAKLOP collaborera avec ce dernier en application des règles de gouvernance qui aura été préalablement convenues avec le client de KATAKLOP.

Pseudonymisation

Dans les hypothèses où le RGPD imposerait la pseudonymisation aux traitements choisis par le client de KATAKLOP, cette denrière s’engage à recourir à cette technique (où à faire recourir à cette technique) en conformité avec les accords passés avec son client à cet effet.

En matière de stockage

L’ensemble des documents clients qui transitent ou sont convertis sur l’infrastructure KATAKLOP sont supprimés au bout de 15 minutes

En matière de profilage

KATAKLOP respectera de façon stricte le precrit de l’article 22 RGPD en matière de profilage. Par conséquent, KATAKLOP refusera de procéder à tout traitement contraire audit article.

Sous-traitance par KATAKLOP

Dans les hypothèses où KATAKLOP recourrait à de la sous-traitance, elle privilégiera toujours un sous-traitant ayant la capacité à traiter les données personnelles qui lui seraient alors confiées dans un pays de l’Espace Economique Européen.

Avec l’accord de son client et en fonction des besoins particuliers de ce dernier, KATAKLOP pourra travailler avec un sous-traitant hors EEE localisé dans un pays adéquat (tel que le Canada) en application du principe d’équivalence.

Avec l’accord de son client et en fonction des besoins particuliers de ce dernier, dans les hypothèses où il serait convenu avec le client de faire traiter ses données aux USA, KATAKLOP s’assurera que le sous-traitant envisagé adhère au Privacy Shield.

Avec l’accord de son client et en fonction des besoins particuliers de ce dernier, dans les autres cas (c’est à dire sous-traitant américain hors Privacy Shield, ainsi que dans les hypothèses d’un choix d’un sous-traitant traitant les données dans la catégorie résiduelle des pays), KATAKLOP s’assurera que le sous-traitant aura signé des clauses contractuelles au moins aussi contraignantes que celles proposées à cet effet par la Commission européenne. En cas de refus de signature, KATAKLOP et son client conviendront de faire appel à un autre sous-traitant adéquat.

En toute hypothèse, KATAKLOP veillera à avoir obtenu de son client tous les mandats nécessaires. KATAKLOP ne procèdera à aucun traitement pour le compte de son client sans que l’ensemble des exigences ci-avant effectivement applicables n’aient été rencontrées.

Réponse aux injonctions d’une autorité compétente

Une autorité judiciaire ou administrative pourrait ordonner à KATAKLOP :

De communiquer une copie des données que KATAKLOP traite pour le compte de son client ;

D’autoriser l’autorité à accéder aux données.

Dans ces hypothèses, KATAKLOP s’engage à en informer son client dans un délai raisonnable convenu avec ce dernier.

KATAKLOP s’engage également à, dans la mesure du raisonnable, prendre en compte toute remarque et/ou demande de son client concernant la réponse à réserver aux autorités.

Toutefois, la réponse aux autorités étant de par loi obligatoire, KATAKLOP privilégiera toujours le respect de cette dernière sans que le client de KATAKLOP puisse en tirer argument contre KATAKLOP.

En même temps, il est évident que l’autorité compétente ne pourra obtenir plus que ce qui aura été confié à KATAKLOP. Par conséquent, toute réponse de KATAKLOP aura pu être anticipée par son client, notamment de par la tenue du registre susmentionné.

Traitement de données personnelles sensibles

Bien que de par le RGPD leur traitement soit interdit par principe, deux exceptions sont autorisées et envisageables:

Article 9.2.a RGPD : la personne concernée a donné son accord pour le traitement au client de KATAKLOP, ce de façon explicite (sans à dire de façon positive et non par défaut);

Article 9.2.e RGPD : la personne concernée a manifestement rendues publiques ses données sensibles.

Par conséquent, dans les hypothèses impliquant un traitement de données personnelles sensibles, KATAKLOP s’assurera toujours auprès de son client que ce dernier aura obtenu le consentement explicite des personnes concernées. A défaut, KATAKLOP demandera à son client de garantir que les traitements qu’il lui confie sont bien couverts par la seconde exception. En cas de réponse négative et dans tous les autres cas, KATAKLOP refusera tout traitement de données sensibles.

Le Client s’engage à préalablement informer KATAKLOP du besoin de traiter des données personnelles sensibles. A défaut de cette information, KATAKLOP se dégage de toute responsabilité en la matière.

Suppression de données personnelles

KATAKLOP s’engage à toujours mettre en place (ou à faire mettre en place par ses sous-traitants) des traitements pour lesquels elle sera capable de procéder (ou de faire procéder) à la destruction de certaines données personnelles à la première demande de son client et sous la responsabilité de ce dernier.

Egalement, KATAKLOP s’engage à toujours mettre en place (ou à faire mettre en place par ses sous-traitants) des traitements minimisant le temps de traitement.

Droit des personnes ayant confiées leurs données personnelles au client de KATAKLOP.

Toute personne dont les données sont traitées bénéficie des quatre droits suivants :

Le droit d’accès : extraction dans un format lisible des informations dont KATAKLOP dispose sur la personne concernée ;

Le droit de rectification ou de suppression, pour lequel une attestation d’exécution pourra être demandée ;

Le droit à la portabilité́ des données, c’est à dire, le transfert de ses données d’un responsable de traitement vers un autre responsable de traitement sans obstacle ;

Le droit à la limitation du traitement, c’est à dire à ce que le traitement soit accompli en un nombre minimal d’étapes et de sous-traitements.

En conséquence, KATAKLOP informera toujours son client après avoir reçu une telle demande.

KATAKLOP y répondra dans la mesure où les données sont encore disponibles.

Préalablement à tout traitement, KATAKLOP aura mis en place les procédures permettant cette réponse. Le Client aura validé ces procédures.

La gestion préalable du droit d. aura été faite lors de l’aide que KATAKLOP apportera à son client pour la tenue du registre susmentionnée.

Sécurité et confidentialité

En toute hypothèse, KATAKLOP mettre en place (ou fera mettre en place par son sous-traitants) les mesures raisonnables en matière de sécurité, de confidentialité et de log.

L’aune de ces mesures aura été discutée avec le client de KATAKLOP et agréée par ce dernier en fonction des enjeux et du prescrit de l’article 24 RGPD. Tout choix en matière de niveau de sécurité/confidentialité/log repose dès lors sur le client de KATAKLOP.

MyWorkPaltform mettre en place (ou fera mettre en place par son sous-traitant) deux grandes catégories d’obligations de sécurité (et de confidentialité) :

la sécurité (et la confidentialité) des locaux (ou des lieux dits ‘virtuels’) hébergeant les traitements (possibilité d’accéder jusqu’aux données), et

la sécurité (et la confidentialité) des données (possibilité de lire et d’interpréter les données en cours de traitement en en cours de stockage).

KATAKLOP notifiera à son client les violations de sécurité (au sens de l’article 4 du RGPD), de confidentialité ainsi que tout écart de traitement dont elle aura connaissance ; elle tiendra les log concernés à la disposition de son client.

[1] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR

​

​

​

​

ENGLISH VERSION

KATAKLOP

and the

European regulation of April 27, 2016 on the protection of natural persons with respect to the processing of data personal data and the free movement of such data (repealing the Directive 95/46/EC on the protection of the personal data)

Context:

April 14, 2016, the European Parliament and the Council of the European Union adopted the European regulation of April 27, 2016 on the protection of natural persons with respect to the processing of data personal data and the free movement of such data (repealing the Directive 95/46/EC on the protection of the[1] personal data) (hereinafter referred to as the RGPD or by its English acronym GDPR).

The RGPD was promulgated on 27 April 2016 and entered into force on 24 may 2016.

The RGPD will be applicable throughout the European Union may 25, 2018.

In cases where the mission entrusted by a customer to KATAKLOP would imply a processing of personal data by KATAKLOP within the meaning of the RGPD, KATAKLOP decided to move the date of 25 may 2018 above by proposing to its customers and by imposing on subcontractors to work as of 01 July 2017 in respecting the provisions of the RGPD that it (their) will apply when the processing of personal data will be carried out by one or the other of above-mentioned actors according to their respective roles determined for each treatment in question.

Accordingly, KATAKLOP particularly introduced the elements described succinctly below.

Practical implementation:

Of consent

KATAKLOP will ensure to the customer that this last will have the consent explicit and positive to people considering to entrust one or more processing of their personal data. Otherwise for the customer to KATAKLOP to provide evidence and guarantees obtaining a consent within the meaning of the RGPD, KATAKLOP will refuse to proceed with any treatment of said data.

Collaboration to the keeping of a register of treatment

KATAKLOP will work with his client to the keeping of the register which he entrusted to KATAKLOP all or part of such treatments and treatments including its customer and responsible.

Collaboration to the delegate for the protection of customer data

If necessary, insofar as the customer will have proceeded to the appointment of a delegated protection data in application of article 37 RGPD, KATAKLOP will work with the latter in application of the rules of governance that has been previously agreed with the customer to KATAKLOP.

In terms of storage

All customer documents that pass through or are converted on the KATAKLOP infrastructure are deleted after 15 minutes

Pseudonymisation

In cases where the RGPD would impose the pseudonymisation treatment chosen by the customer of KATAKLOP, this last one is committed to use this technique (where to use this technique) in accordance with the agreements with its customer to this effect.

In terms of profiling

KATAKLOP will respect strictly the precrit of article 22 RGPD in profiling. Therefore, KATAKLOP will not proceed with any treatment contrary to that article.

Outsourcing by KATAKLOP

In cases where KATAKLOP would resort to subcontracting, it will always favor a contractor with the ability to process personal data entrusted to him would be so in a country of the European economic area.

With the agreement of his client and the specific needs of the latter, KATAKLOP can work with a subcontractor out EEE located in a proper (such as Canada) country in application of the principle of equivalence.

With the agreement of his client and based on the specific needs of the latter, in the cases where it would be agreed with the customer to process its data in the USA, KATAKLOP will ensure that the proposed subcontractor adheres to the Privacy Shield.

With the consent of his client and based on the specific needs of the latter, in other cases (i.e. American subcontractor out Privacy Shield, as well as in the assumptions of a choice of a subcontractor on the data in the residual category of countries), KATAKLOP will ensure that the subcontractor has signed contractual clauses to less as binding as those proposed by the European Commission. In case of refusal of signature, KATAKLOP and his client will agree to appeal to another appropriate subcontractor.

In any case, KATAKLOP will ensure getting his client all the necessary mandates. KATAKLOP proceed to no treatment on behalf of his client without all of the above requirements actually apply have been met.

Response to the orders of a competent authority

A judicial or administrative authority could order KATAKLOP:

To communicate a copy of the data KATAKLOP deals on behalf of the client;

To allow the authority to access the data.

In such cases, KATAKLOP is committed to inform the customer within a reasonable time agreed with the latter.

KATAKLOP also undertakes to, wherever reasonable, taking into account any comments and/or request his client regarding the response to the authorities.

However, the answer to the authorities under mandatory law, KATAKLOP will focus on always respect for this last without that the customer of KATAKLOP can make argument against KATAKLOP.

At the same time, it is clear that the competent authority will get more that what has been entrusted to KATAKLOP. Therefore, any response of KATAKLOP will have been anticipated by his client, particularly by the aforementioned register.

Processing of sensitive personal data

Although by the RGPD their treatment is prohibited on principle, two exceptions are allowed and possible:

Article 9.2(a) RGPD: the person concerned gave approval for the treatment to the customer of KATAKLOP, this explicitly (without to say in a positive way and not by default);

Article 9.2.e RGPD: the person concerned has manifestly made public its sensitive data.

Therefore, in cases involving sensitive personal data treatment, KATAKLOP will ensure always to the customer that this last will have obtained the explicit consent of the persons concerned. Otherwise, KATAKLOP will ask its client to ensure that the treatment he entrusts to him are well covered by the second exception. If the response is negative, and in all other cases, KATAKLOP will refuse any treatment of sensitive data.

The customer agrees beforehand to inform KATAKLOP of the need to process sensitive personal data. Without this information, KATAKLOP emerges from any responsibility in this matter.

Deletion of personal data

KATAKLOP is committed to always implement (or to be implemented by its subcontractors) treatments for which she will be able to proceed (or make) the destruction of certain personal data at the first request of its client and under the responsibility of the latter.

Also, KATAKLOP is committed to always implement (or to be implemented by its subcontractors) treatment minimizing the processing time.

Right of persons who have entrusted their personal data the customer to KATAKLOP.

Any person whose data are processed has the following four rights:

The right of access: features extraction in a format of KATAKLOP information on the person concerned;

The right of rectification or deletion, for which a certificate of execution may be requested;

The right to the portabilité of data, IE, transfer its data from a controller to an another controller without hindrance;

The right to the limitation of treatment, IE to get the treatment done in a minimum number of steps and sous-traitements.

As a result, KATAKLOP will always inform his client after receiving such a request.

KATAKLOP respond insofar as the data are still available.

Prior to any treatment, KATAKLOP will set up procedures for this response. The customer has validated these procedures.

Prior law d. Management will be made when using KATAKLOP will bring to his customer for keeping the register above.

Security and confidentiality

In any event, KATAKLOP put in place (or will put in place by his subcontractors) reasonable measures of security, confidentiality and log.

According to these measures will be discussed with the client to KATAKLOP and approved by the latter according to the issues and the prescribed article 24 RGPD. Any choice in terms of security/privacy/log level is therefore based on customer of KATAKLOP.

MyWorkPaltform put in place (or will put in place by its subcontractor) two broad categories of obligations of security (and privacy):

the Security (and privacy) local (or ‘virtual’ so-called places) hosting treatment (access to data), and

the Security (and privacy) data (ability to read and interpret the data being processed in current of storage).

KATAKLOP will notify its customer violations of security (in the sense of article 4 of the RGPD), privacy as well as any difference in treatment which she will know. It will hold the log concerned available to his client.

[1] http://EUR-Lex.europa.EU/legal-content/FR/txt/HTML/?URI=CELEX:32016R0679 & from = en