Conformité de PandaDoc au RGPD

Les principes du RGPD, nos obligations et vos droits

Entré en vigueur le 25 mai 2018, le RGPD a renforcé le contrôle du droit à la vie privée et la conformité à l’échelle mondiale. PandaDoc a intégré les exigences du RGPD, et le présent guide vise à aider nos clients à comprendre la position de PandaDoc vis-à-vis de ce règlement. Il ne s’agit pas d’un traité approfondi sur l’application du RGPD, et il convient de le lire en gardant cela à l’esprit.

Le RGPD, qu’est-ce que c’est ?

Le règlement général sur la protection des données (le « RGPD ») est une loi européenne sur la protection des données et la vie privée adoptée le 14 avril 2016 et entrée officiellement en vigueur le 25 mai 2018. Le délai de deux (2) ans entre son adoption et sa mise en application avait pour objectif de laisser aux entreprises le temps de se préparer. 

Le RGPD est une ambitieuse tentative de renforcement, d’harmonisation et de modernisation de la législation européenne sur la protection des données et de consolidation des droits et libertés individuels, conformément à la vision européenne de la vie privée en tant que principe fondamental. Le RGPD réglemente notamment la manière dont les individus et les entreprises peuvent obtenir, utiliser, conserver et effacer des données personnelles. Il remplace une précédente directive de l’Union européenne sur la protection de la vie privée, connue sous le nom de directive 95/46/CE (la « Directive »), qui avait servi de base à la législation européenne sur la protection des données entre 1995 et début 2018. Contrairement à son prédécesseur, le RGPD s’applique immédiatement dans l’ensemble de l’Union européenne (« UE ») dans tous les États membres, sans qu’il soit nécessaire de prendre d’autres mesures législatives au niveau des États membres. Union (“EU”) across all member states without the need for further member state legislative action. 

Depuis la mi-mai 2018, le RGPD est entré en vigueur et la « période de grâce » est maintenant terminée. Il est donc essentiel que les entreprises concernées par le RGPD se mettent en conformité avec ses dispositions. 

Quelles sont les implications du RGPD ?

Le RGPD introduit de nombreux principes et exigences. Il est donc important d’examiner ce texte dans son intégralité afin de bien comprendre ses exigences et la manière dont elles peuvent s’appliquer à votre entreprise. Si le RGPD conserve de nombreux principes établis par la Directive, il introduit néanmoins plusieurs changements importants et ambitieux. En voici quelques-uns qui nous semblent particulièrement pertinents pour PandaDoc et nos clients :

1. Élargissement du champ d’application : le RGPD s’applique à toutes les entreprises établies dans l’UE ou traitant des données de personnes concernées, introduisant ainsi le concept d’extraterritorialité, et élargissant le champ d’application de la loi européenne sur la protection des données bien au-delà des frontières de l’UE.
2. Élargissement des définitions des données à caractère personnel et des catégories particulières de données.
3. Élargissement des droits individuels : en vertu du RGPD, les personnes concernées disposent de plusieurs droits fondamentaux, notamment le droit à l’oubli, le droit d’opposition, le droit de rectification, le droit d’accès et le droit de portabilité. Votre entreprise doit s’assurer qu’elle peut respecter ces droits si elle traite les données à caractère personnel des personnes concernées.

• Droit à l’oubli : une personne peut demander à une entreprise de supprimer toutes les données la concernant dans un délai raisonnable.
• Droit d’opposition : une personne peut s’opposer à l’utilisation de certaines données.
• Droit de rectification : les personnes peuvent demander que des données incomplètes soient complétées ou que des données incorrectes soient corrigées.
• Droit d’accès : les personnes sont en droit de savoir quelles données les concernant font l’objet d’un traitement et de quelle manière.
• Droit à la portabilité : les personnes peuvent demander que les données à caractère personnel détenues par une entreprise soient transférées à une autre.

4. Exigences plus strictes en matière de consentement : le consentement est l’un des fondements juridiques du RGPD, et les entreprises doivent veiller à ce que le consentement soit obtenu conformément aux exigences du RGPD. Votre entreprise devra obtenir le consentement de ses abonnés et de ses contacts pour chaque utilisation de leurs données à caractère personnel, sauf si elle peut invoquer une base juridique distincte. Pour assurer la conformité, le consentement doit être obtenu de manière explicite. Gardez à l’esprit les points suivants :

• Le consentement doit être conditionné à des finalités précises.

• Le silence, les cases préremplies ou l’inactivité ne constituent pas un consentement ; les personnes concernées doivent explicitement accepter la conservation, l’utilisation et la gestion de leurs données à caractère personnel.

• Un consentement distinct doit être obtenu pour les différentes activités de traitement, ce qui signifie que votre entreprise doit clairement indiquer la manière dont les données seront utilisées une fois le consentement obtenu.

5. Exigences strictes en matière de traitement : les personnes sont en droit de recevoir des informations « équitables et transparentes » sur le traitement de leurs données à caractère personnel, notamment :

• Coordonnées du responsable du traitement des données.

• Finalité des données : celle-ci doit à la fois être aussi spécifique (« limitation de la finalité ») et restreinte (« minimisation des données ») que possible. Votre entreprise doit réfléchir attentivement aux données qu’elle collecte et à leur objectif, et être capable d’en obtenir la validation auprès d’un organisme de régulation.

• Durée de conservation : celle-ci doit être la plus courte possible (« limitation de la conservation »).

• Base juridique : une entreprise ne peut pas traiter des données à caractère personnel sous le seul prétexte qu’elle le souhaite. Elle doit justifier d’une « base juridique » pour le faire, par exemple lorsque le traitement est nécessaire à l’exécution d’un contrat, qu’une personne a donné son consentement (voir les exigences en matière de consentement ci-dessus) ou que le traitement répond à un « intérêt légitime » de l’entreprise.

Qui est concerné ?

Comme mentionné ci-dessus, le champ d’application territorial du RGPD est très large. Les deux conditions territoriales d’application du RGPD les plus courantes sont les suivantes : le règlement s’applique (1) au traitement des données à caractère personnel dans le cadre des activités de l’un des établissements d’un responsable du traitement ou d’un sous-traitant au sein de l’Union, que le traitement ait lieu dans l’Union ou non ; et (2) au traitement (a) de l’offre de biens ou de services, indépendamment du fait qu’un paiement de la personne concernée soit exigé, à ces personnes concernées situées dans l’Union ; ou (b) de la surveillance de leur comportement dans la mesure où leur activité a lieu au sein de l’Union. Ce dernier point marque l’introduction par le RGPD du principe d’« extraterritorialité ». Autrement dit, le RGPD s’applique à toute entreprise traitant des données à caractère personnel de personnes concernées, quels que soient son lieu d’établissement et le lieu où se déroulent ses activités de traitement. Le RGPD pourrait ainsi s’appliquer à toute entreprise partout dans le monde, et toutes les entreprises doivent entreprendre une analyse pour déterminer si elles traitent ou non les données à caractère personnel de citoyens de l’UE. Le RGPD s’applique également à toutes les industries et à tous les secteurs.

Voici quelques définitions qui aideront à appréhender le large champ d’application du RGPD.

Qu’est-ce qu’une « personne concernée » ?

Le RGPD précise la notion de personne concernée dans le cadre de sa définition des « données à caractère personnel » abordée ci-dessous. Une personne concernée est une personne physique identifiable qui peut être identifiée, directement ou indirectement, notamment au moyen d’un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou d’un ou plusieurs facteurs spécifiques à l’identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

Une personne concernée ne se limite pas à la citoyenneté européenne. Les conséquences de cette situation s’observent dans l’application territoriale du RGPD décrite ci-dessus. Pour une entreprise qui traite des données à caractère personnel dans le cadre d’un établissement situé dans l’UE, le traitement de données à caractère personnel de toute personne physique identifiable, indépendamment de l’emplacement physique de ladite personne physique doit être conforme au RGPD, à condition que le traitement soit effectué dans le cadre de l’établissement. Une entreprise non établie dans l’UE, mais proposant des biens ou des services à une personne concernée située dans l’UE relève également du RGPD. Notez que dans ce cas, en plus de s’appliquer à une personne physique, il faut aussi que la personne physique soit physiquement présente dans l’UE.

Que sont les « données à caractère personnel » ?

Le RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire une information qui pourrait être utilisée, seule ou rapprochée à d’autres données, pour identifier une personne concernée. Notez la portée extrêmement large de cette définition. Désormais, les données à caractère personnel comprennent non seulement les données qui sont généralement considérées comme étant de nature personnelle (par exemple, les numéros de sécurité sociale, les noms, les adresses physiques, les adresses e-mail), mais aussi des données telles que les adresses IP, les données comportementales, les données de localisation, les données biométriques, les informations financières, pour ne citer qu’elles. En d’autres termes, pour les utilisateurs de PandaDoc, les informations qu’une entreprise collecte sur ses abonnés et ses contacts seront considérées comme des données à caractère personnel au sens du RGPD. Il est également important de souligner que même les données à caractère personnel qui ont été « pseudonymisées » sont susceptibles d’être considérées comme des données à caractère personnel si le pseudonyme peut être associé à une personne en particulier. Dès lors, il convient de faire preuve de prudence lors de l’évaluation de son application. La classification des données en tant que données à caractère personnel en vertu du RGPD exigera des entreprises qu’elles se conforment à un certain nombre de devoirs et d’obligations liés à ce que l’on peut globalement appeler la transparence relative à l’utilisation de ces données à caractère personnel, y compris leur sécurité.

Les catégories particulières de données, telles que les informations en matière de santé ou celles qui révèlent l’origine raciale ou ethnique d’une personne, nécessiteront une protection accrue dans le cadre du RGPD. Les entreprises ne doivent pas enregistrer des données de cette nature dans leur compte PandaDoc.

Qu’entend-on par « traitement » des données ?

Le traitement au sens du RGPD correspond à « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». En substance, si votre entreprise collecte, gère, utilise ou conserve des données à caractère personnel de personnes concernées, elle traite des données à caractère personnel de l’UE en vertu du RGPD. Ainsi, si l’une de ses listes PandaDoc contient l’adresse e-mail, le nom ou d’autres données à caractère personnel d’une personne concernée, votre entreprise traite des données à caractère personnel de l’UE au sens du RGPD. Bien entendu, l’application du RGPD est subordonnée au respect des exigences territoriales seuils expliquées ci-dessus

N’oubliez pas que même si votre entreprise estime que son activité ne sera pas affectée par ce règlement, le RGPD et ses principes sous-jacents peuvent tout de même revêtir une certaine importance pour elle. Le droit européen a tendance à dessiner la tendance de la réglementation internationale en matière de protection de la vie privée, et une sensibilisation accrue à la protection de la vie privée dès aujourd’hui peut lui procurer un avantage concurrentiel dans le futur.

Qui traite les données à caractère personnel en vertu du RGPD ?

Si une entreprise « traite » des données à caractère personnel, elle le fait soit en tant que responsable du traitement, soit en tant que sous-traitant, chacun de ces rôles ayant des exigences et des obligations différentes. Le responsable du traitement est l’entreprise qui détermine les finalités et les moyens du traitement des données à caractère personnel. Il détermine également les données à caractère personnel spécifiques qui sont collectées auprès d’une personne concernée en vue de leur traitement. Le sous-traitant, quant à lui, est l’entreprise qui traite les données pour le compte du responsable du traitement. Dans cette relation, on peut assimiler le sous-traitant à un prestataire de services ou à un fournisseur.

Le RGPD n’a pas modifié les définitions fondamentales du responsable du traitement et du sous-traitant que l’on trouve dans la Directive, mais il a élargi les responsabilités de chaque partie. Les responsables du traitement conserveront la responsabilité principale de la protection des données (notamment l’obligation de signaler toute violation des données aux autorités compétentes en matière de protection des données). Le RGPD impose toutefois certaines responsabilités directes au sous-traitant. Il est important de bien comprendre si votre entreprise agit en tant que responsable du traitement ou en tant que sous-traitant, et de vous renseigner sur vos obligations à cet égard.

Dans le cadre de l’application PandaDoc et de nos services connexes, nos clients agissent dans la plupart des cas en tant que responsables du traitement. Par exemple, ils déterminent quelles informations provenant de leurs contacts ou de leurs abonnés sont importées ou transférées dans leur compte PandaDoc. La manière dont PandaDoc traite les données à caractère personnel est abordée ci-dessous.

Comment PandaDoc se conforme-t-il au RGPD ?

PandaDoc accorde une grande importance au respect du RGPD et s’y est préparé bien avant sa date d’entrée en vigueur. Dans cette perspective, nous avons analysé (et mis à jour si nécessaire) l’ensemble de nos processus, procédures, systèmes et documents internes afin de nous assurer que nous serions prêts le moment venu. La conformité n’est pas un accomplissement figé : elle exige une veille constante afin de s’adapter à l’évolution des circonstances et des obligations légales.

L’un des changements récents concerne une décision de la Cour de justice de l’Union européenne (« CJUE »), dans ce que l’on appelle l’arrêt Schrems II. Cette décision porte sur le transfert de données à caractère personnel des États membres de l’UE vers des pays tiers, tels que les États-Unis. Le RGPD, tout comme la Directive, ne prévoit aucune exigence spécifique selon laquelle les données à caractère personnel des citoyens de l’UE doivent être conservées uniquement dans les États membres de l’UE. Le RGPD impose plutôt que certaines conditions soient remplies avant qu’elles soient transférées en dehors de l’UE, en identifiant un certain nombre de fondements juridiques sur lesquels les entreprises peuvent s’appuyer pour effectuer ces transferts de données. L’un des fondements juridiques du transfert des données à caractère personnel énoncés dans le RGPD est une « décision d’adéquation ». Il s’agit d’une décision de la Commission européenne selon laquelle il existe un niveau de protection suffisant pour les données à caractère personnel dans le pays, le territoire ou l’entreprise où elles sont transférées. L’arrêt Schrems II a invalidé la décision d’adéquation pour le transfert transatlantique de données vers les États-Unis connu sous le nom de Privacy Shield II. Autre conséquence de cette décision : le recours à des « clauses contractuelles types » (CCT) entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’entreprise internationale. Les CCT constituent un fondement juridique fréquemment invoqué sous la rubrique « garanties appropriées », selon lequel le transfert de données à caractère personnel ne peut s’effectuer que s’il existe des garanties appropriées et que des droits opposables et des recours juridiques efficaces sont disponibles pour les personnes concernées. Lorsque la CJUE a reconnu la validité de cette garantie, elle a posé certaines conditions à son utilisation.

PandaDoc est résolu à se conformer aux conclusions de l’arrêt Schrems II, et à tout autre mandat légal à l’avenir, et exerce une veille juridique, notamment en ce qui concerne les publications d’orientation du Comité européen de protection des données et les avis des autorités de contrôle. 

Conformément à notre politique, nous nous tenons à la disposition de nos clients pour répondre à toute demande liée à leurs droits individuels élargis en vertu du RGPD. D’une manière générale, ceux-ci comprennent :

• Droit à l’oubli : vous pouvez résilier votre compte PandaDoc à tout moment.
• Droit d’opposition : vous pouvez refuser que vos données figurent dans des projets de science des données.
• Droit de rectification : vous pouvez accéder aux paramètres de votre compte PandaDoc et les mettre à jour à tout moment pour corriger ou compléter vos informations. Vous pouvez également contacter PandaDoc à votre guise pour accéder aux informations que nous détenons à votre sujet, les corriger, les modifier ou les supprimer.
• Pour exercer votre droit à la protection de vos données personnelles, veuillez cliquer ci-dessous sur le lieu qui vous concerne : UE (RGPD et RGPD du Royaume-Uni) et le reste du monde, Californie, États-Unis, Brésil.
• Droit de portabilité : vous pouvez nous demander de transférer les données de votre compte à un tiers à tout moment.

Comment PandaDoc traite-t-il les données à caractère personnel ?

PandaDoc, comme toute entreprise, recourt actuellement à des sous-traitants tiers pour assurer diverses fonctions opérationnelles telles que l’analyse commerciale, l’infrastructure cloud, les notifications par e-mail, les paiements et l’assistance client. Avant d’engager un sous-traitant tiers, PandaDoc procède à une vérification approfondie pour évaluer leur posture défensive et fait signer un accord obligeant chaque sous-traitant à respecter des pratiques de sécurité minimales acceptables. Nous répertorions nos sous-traitants sur une page distincte. Nous tiendrons cette page à jour, veuillez la consulter régulièrement pour être informé de tout changement.

Faut-il toujours se conformer au RGPD ?

Comme exposé ci-dessus, le RGPD possède un champ d’application extraterritorial étendu et il convient d’accorder toute l’attention nécessaire à son application dans les activités de votre entreprise. Nous ne saurions assez insister sur le fait que vous devriez consulter un conseiller juridique ou tout autre conseiller compétent pour comprendre pleinement les obligations de votre entreprise en matière de conformité au RGPD.

Quelles sont les conséquences du non-respect du RGPD ?

La non-conformité au RGPD peut entraîner des peines financières considérables. Les sanctions pour non-conformité peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Par quoi commencer ?

Le tableau ci-dessous a pour but d’aider nos clients à appréhender le RGPD et leurs responsabilités ET la manière dont PandaDoc entre dans l’équation. Cette liste n’est ni exclusive ni exhaustive.