Lorsque le RGPD est entré en vigueur pour toute entreprise ayant des clients ou des employés en Europe, le 25 mai, il est devenu la source d’une intense consternation dans certaines directions générales.
En l’espace de 24 heures, Google et Facebook ont fait l’objet de poursuites judiciaires qui risquent d’engendrer plus de 8 milliards de dollars de dommages et intérêts. En avril 2018, Harvey Nash et KPMG ont constaté que 38% des dirigeants du secteur technologique craignaient de ne pas être en conformité avec le RGPD à la date limite de mai, et une enquête menée auprès des participants à la conférence Infosecurity Europe en août 2018 a révélé que 28% des entreprise ne se considéraient toujours pas comme pleinement conformes.
Mais pour Andre Schindler, directeur général de NinjaOne pour la région EMEA, le fait d’étoffer les politiques de confidentialité et de RGPD de l’entreprise a été l’occasion d’être transparent avec les clients.
“L’idée du RGPD est d’aider les gens à comprendre ce qu’il advient de leurs données”, explique M. Schindler. “Ne le cachez pas dans des termes compliqués, ne le cachez pas dans le contrat de licence de l’utilisateur final (CLUF) quelque part à la page 15. Il suffit de leur dire ce qu’il advient de leurs données.”
Schindler a fait appel aux services des consultants respectés en matière de protection de la vie privée de TrustArc pour évaluer les processus de traitement des données de NinjaOne. Basée à San Francisco, TrustArc assiste plus de 1 000 entreprises dans le monde en matière de protection de la vie privée, de conformité et de gestion des risques.
En bonne compagnie
Une sélection d’entreprises technologiques qui ont fait appel à TrustArc pour la gestion des risques et de la conformité en matière de protection de la vie privée
“Nous voulions qu’un entrepreneur indépendant examine tout ce que nous faisons et s’assure que nous n’oublions rien”, explique M. Schindler.
Après avoir obtenu les documents de NinjaOne et mené des entretiens avec le personnel, TrustArc a identifié les types de données personnalisées accumulées par l’entreprise, en s’assurant qu’elles étaient vraiment nécessaires pour fournir des services aux clients. TrustArc a également confirmé que NinjaOne disposait de procédures solides permettant aux clients européens d’obtenir l’évaluation, la modification, la correction ou la suppression de leurs données. L’examen des procédures RGPD a également porté sur le régime de sécurité, y compris les protections physiques dans les centres de données, la force des algorithmes de chiffrement et des pare-feu, ainsi que les protocoles de sécurité du réseau.
En fin de compte, la politique RGPD de NinjaOne se résume à une divulgation claire de ce que l’entreprise fait avec les données des utilisateurs, ainsi qu’à des procédures dans le cas où un client européen souhaite consulter des données d’utilisateur personnellement identifiables ou les faire supprimer. Ceci est particulièrement important pour une société SaaS comme NinjaOne qui compte sur le fait que les clients potentiels fournissent leurs coordonnées pour s’inscrire à des démonstrations ou à des services.
Conformément aux règles du RGPD, les clients acceptent activement de participer avant qu’une entreprise puisse utiliser leurs données pour contacter la personne.
Et si la personne s’inscrit au service, ses données personnelles et financières seront transmises par chiffrement TLS, puis stockées dans un centre de données protégé par un chiffrement AES-256, des sauvegardes automatisées, des employés humains qui utilisent une authentification à deux facteurs et des systèmes de résolution des incidents. NinjaOne participe également au Bouclier de protection de la vie privée UE-États-Unis qui remplace les anciens principes internationaux de protection de la vie privée Safety Harbor.
“Nous gardons les données très confidentielles et ne les partageons que lorsque la technologie l’exige”, explique M. Schindler.
NinjaOne n’intègre que des partenaires technologiques tiers qui ont également atteint la conformité RGPD, comme l’outil antivirus Webroot ou la société d’accès à distance TeamViewer. Et si un prestataire de services de gestion basé dans l’Union européenne, ou un prestataire de services de gestion ayant des clients en Europe, souhaite voir quelles données d’identification personnelle NinjaOne a collectées, ou faire supprimer ces données, il lui suffit de contacter l’entreprise à l’adresse suivante [email protected].
“La confidentialité des données n’est pas là pour être vendue, et ne devrait pas être une nouvelle préoccupation juste parce que le RGPD est entré en vigueur”, déclare Schindler. “La confidentialité des données et la sécurité des clients doivent faire partie intégrante des objectifs de toute entreprise”.
