monday.com et le RGPD

Dernière mise à jour: janvier 06, 2021
gdprready1

monday.com est prêt pour le RGPD

Chez monday.com, rien n’est plus important pour nous que la réussite de nos clients et la protection de leurs données personnelles. Avec des clients dans presque tous les pays du monde, nous adhérons au Règlement Général sur la Protection des Données (RGPD). Le RGPD étend les droits à la vie privée accordés aux individus européens et exige que certaines entreprises qui traitent les données personnelles des individus européens se conforment à un nouvel ensemble de règlements. En particulier, le RGPD peut s’appliquer aux entreprises qui traitent les données personnelles des individus européens et qui sont présentes dans l’UE (par exemple, des bureaux ou des établissements), et aux entreprises qui ne sont pas présentes dans l’UE mais qui visent le marché européen (par exemple, en offrant des biens ou des services au marché européen) ou qui surveillent le comportement des individus européens. Nous sommes là pour aider nos clients dans leurs efforts pour se conformer au RGPD.

Qu’est-ce que le RGPD ?
En 2016, l’Union européenne (UE) a approuvé un nouveau règlement sur la protection de la vie privée appelé Règlement général sur la protection des données, communément appelé le RGPD. Il s’agit d’une réglementation obligatoire qui s’applique à toutes les entreprises qui collectent les données et les informations des personnes de l’UE et qui répondent à certaines exigences territoriales. Le RGPD est conçu pour renforcer la sécurité et la protection des données personnelles dans l’UE, ainsi que pour fournir aux entreprises un cadre structuré sur la manière de collecter, traiter, utiliser et partager les données personnelles. Dans le cadre du RGPD, le concept de « données à caractère personnel » est très large et couvre presque toutes les informations relatives à une personne spécifique.

Quand ces règlements commenceront-ils à être appliqués ?
Toutes les entreprises qui collectent ou traitent les données personnelles des personnes de l’UE doivent être conformes au RGPD le 25 mai 2018.

Responsables du traitement et Sous-traitants
Le RGPD définit et distingue deux types de parties et de responsabilités lorsqu’il s’agit de collecter et de traiter des données personnelles : les responsables du traitement et les sous-traitants. Le responsable du traitement détermine les objectifs et les modalités de traitement des données personnelles, tandis que le sous-traitant est une partie qui traite les données au nom du responsable du traitement. Cela signifie que le responsable du traitement peut être n’importe quelle entreprise ou organisation. Un sous-traitant peut être une société SaaS, informatique ou autre qui traite effectivement les données pour le compte du responsable du traitement. monday.com est un sous-traitant de données. Les clients de monday.com (les organisations qui utilisent monday.com) sont des responsables du traitement des données. Le responsable du traitement est chargé de s’assurer que tous les sous-traitants avec lesquels il traite seront conformes au RGPD et les sous-traitants eux-mêmes doivent tenir des registres de leurs activités de traitement.

Quelles mesures ont été prises par monday.com suite aux exigences du RGPD ?
Nous sommes heureux de mettre en place le RGPD et considérons les réglementations comme une priorité absolue pour la protection des données, la sécurité et la conformité. Nous continuerons à nous engager auprès de nos clients et utilisateurs pour les aider à se conformer au RGPD tout en utilisant monday.com comme Responsable du traitement des données.

Nous avons travaillé avec nos équipes d’ingénierie, de produits, de sécurité et de droit pour que notre produit et nos termes juridiques soient conformes au RGPD et nous continuerons à veiller à ce qu’ils le soient en permanence. Dans le cadre du projet de préparation au RGPD de monday.com, nous avons pris les mesures suivantes :

  • Nous avons révisé et renforcé notre infrastructure de sécurité et nos pratiques, le chiffrement des données en transit et au repos, la sauvegarde, les journaux et les alertes de sécurité.
  • Un processus d’évaluation des risques et de mappage des données a été mis en place pour s’assurer que toutes les données pouvant être stockées ou traitées sont traitées et gérées conformément aux instructions du RGPD.
  • Nous supprimons ou anonymisons les données analytiques des utilisateurs après leur suppression.
  • Nous avons fait réalisé un audit externe par E&Y pour obtenir une certification de sécurité SOC 2 Type II de l’American Institute of Certified Public Accountants (AICPA)
  • Nous avons reçu une certification de sécurité reconnue au niveau international pour ISO 27001 ISMS (système de gestion de la sécurité de l’information) et ISO 27018 (pour la protection des données personnelles dans le cloud).
  • Nous nous sommes assurés d’avoir mis en place les conditions contractuelles appropriées pour remplir notre rôle de sous-traitant de données pour nos clients tout en nous conformant au RGPD.
  • Nous avons mis en place toutes les procédures, tous les processus et tous les contrôles internes, ainsi que les sessions de formation récurrentes pour l’équipe, afin de garantir notre conformité continue au RGPD.
  • Nous avons révisé nos conditions d’utilisation et notre politique de confidentialité afin de répondre aux exigences du RGPD.
  • Nous avons procédé à une évaluation de la sécurité et de la confidentialité de nos sous-traitants pour nous assurer qu’ils respectent tous les exigences du RGPD.
  • Nous avons nommé un bureau de protection des données (BPD) et un représentant dans l’UE.
  • Nous avons développé et nous mettons à la disposition de l’entreprise des fonctionnalités de produit actuelles qui lui permettent de gérer la suppression des données :
    • Supprimer le profil des utilisateurs : l’administrateur peut désormais supprimer les données personnelles des utilisateurs du système (à sa propre initiative ou à la demande de l’utilisateur), ce qui permettra à l’entreprise de répondre aux exigences du RGPD. Cela supprimera le nom d’utilisateur, le numéro de téléphone, l’adresse e-mail, l’image, l’adresse, le titre, les références aux réseaux sociaux et les autres champs du client s’ils sont fournis. Supprimer l’utilisateur n’effacera pas les messages ou les fichiers téléchargés. Ils resteront disponibles pour l’organisation, sous un nom anonyme, tel que défini par l’organisation.
    • Supprimer le compte : Lors de l’annulation d’un compte, l’administrateur peut décider s’il souhaite conserver les informations de l’organisation (y compris les données personnelles) pour une utilisation ultérieure ou les supprimer définitivement.

Nous continuerons à surveiller les directives relatives à la conformité au RGPD et nous veillerons à ce que nos produits et processus soient conformes à ces directives lorsqu’elles entreront en vigueur.
Nous avons également créé un portail « Loi, sécurité et vie privée » où vous pouvez en apprendre davantage sur les pratiques de sécurité et de confidentialité de monday.com, les certifications, les termes juridiques, les politiques et les procédures.

Le site monday.com propose-t-il un accord de traitement des données (DPA) ?
Oui, vous pouvez consulter notre accord/annexe sur le traitement des données (DPA) en ligne. Si vous souhaitez obtenir une copie signée du DPA, vous pouvez la télécharger, en envoyer une copie signée à legal@monday.com et nous vous fournirons une copie contresignée.

Un délégué à la protection des données (DPD) est-il nommé sur monday.com ?
Oui. Nous avons nommé l’expert en protection de la vie privée Aner Rabinovitz en tant que délégué à la protection des données, pour surveiller et conseiller sur la conformité continue de monday.com en matière de confidentialité, et en tant que point de contact sur les questions de confidentialité pour les personnes concernées et les autorités de contrôle. Vous pouvez contacter Aner à l’adresse dpo@monday.com

Le RGPD empêche-t-il une entreprise de stocker des données en dehors de l’UE ?
Rien dans le RGPD n’empêche les entreprises de stocker des données en dehors de l’UE, à condition que les responsables du traitement des données respectent les réglementations et les protections nécessaires. Sur monday.com, nous stockons nos données avec Amazon Web Service (AWS), qui est basé aux États-Unis. Tout comme monday.com, AWS a annoncé qu’il était prêt pour le RGPD.

Où puis-je en savoir plus sur le RGPD ?
Des informations supplémentaires sont disponibles sur le site officiel du RGPD de l’Union européenne.

J’ai d’autres questions. Qui dois-je contacter ?
Si vous avez d’autres questions concernant le RGPD, n’hésitez pas à nous contacter à l’adresse support@monday.com, +1 (201) 778-4567

 

AVERTISSEMENT : Cette version est une traduction de la version originale en anglais et elle est fournie uniquement à des fins de commodité. La version originale anglaise est la version officielle et juridiquement contraignante et c'est elle qui prévaudra en cas de litige.

Donner aux équipes les moyens d'accomplir davantage, ensemble.

Essai gratuit de 14 jours | Aucune carte de crédit requise