Déclaration de conformité d'Exclaimer au RGPD

v1.1 Mai 2018

Présentation

Le Règlement général sur la protection des données (RGPD) de l'UE est entré en vigueur dans toute l'Union européenne le 25 mai 2018. Il apporte à la législation sur la protection des données les changements les plus importants de ces vingt dernières années. Avec sa prise en compte du respect de la vie privée dès la conception et sa démarche fondée sur les risques, le RGPD est conçu pour répondre aux besoins de l'ère du numérique.

Notre engagement

Exclaimer (« nous » ou « notre ») s'engage à assurer la sécurité et la protection, de façon conforme et constante, des données personnelles traitées par ses soins. Nous avons toujours disposé d'un programme de protection des données fiable et efficace, conforme à la législation actuelle et qui respecte les principes de protection des données, comme le prouve notre certification ISO 27001. Cependant, nous reconnaissons que nous avons l'obligation de mettre à jour et de développer ce programme afin de satisfaire les exigences du RGPD.

Exclaimer s'emploie à protéger les informations personnelles qui sont sous sa responsabilité et à développer un régime de protection des données efficace et adapté aux objectifs. Nous démontrons également que nous comprenons et reconnaissons le Règlement.

Exclaimer est-il conforme au RGPD ?

Oui. Exclaimer a entrepris de revoir la totalité de ses systèmes, processus et pratiques afin de garantir leur conformité avec les conditions prévues dans le cadre du Règlement général sur la protection des données (RGPD). Exclaimer a également analysé plus largement son fonctionnement opérationnel pour vérifier si celui-ci répond à ses obligations au titre des nouvelles réglementations et a procédé aux changements nécessaires.

L'infrastructure que nous utilisons pour faire fonctionner notre service « Exclaimer Cloud – Signatures for Office 365/Signatures for G-Suite » est implantée sur un certain nombre de territoires. Le territoire spécifiquement choisi pour vous dépend de votre choix de pays lorsque vous créez votre abonnement. Cela vous permet de décider du lieu de stockage de vos données et de savoir où celles-ci se trouvent.

À partir du moment où notre service a reçu un e-mail d'Office 365 ou de G-Suite, aucune de vos données n'est retransférée par Exclaimer, en dehors de leur restitution à Office 365 ou G-Suite une fois leur empreinte enregistrée. Si vous choisissez un pays au sein de l'EEE pour votre service de signature, vos données ne seront donc jamais transférées par Exclaimer en dehors de l'EEE.

Plus de détails

Exclaimer s'est assuré l'appui d'un conseil juridique externe pour garantir son entière conformité avec les nouvelles réglementations.

De plus, Exclaimer peut confirmer qu'afin de respecter les exigences du RGPD, les processus suivants ont été révisés :

  1. Protection des données : nos systèmes de gestion de la sécurité des informations ont été revus pour garantir leur conformité aux normes et aux exigences du RGPD. Des mesures de responsabilisation et de gouvernance ont été mises en place afin de garantir que nous comprenons, diffusons et mettons en application de manière adéquate nos obligations et nos responsabilités, en mettant un accent particulier sur la prise en compte du respect de la vie privée dès la conception et sur les droits des personnes.
  2. Policies – we have updated our privacy notices and data handling policies to reflect Exclaimer’s new obligations and practices. We have trained our team to ensure the increased privacy requirements are understood and maintained throughout our organisation;
  3. Conservation et effacement des données : nous avons mis à jour notre calendrier et notre stratégie de rétention afin de garantir que nous respectons les principes de « minimisation » et de « limitation du stockage » des données et pour que les informations personnelles soient stockées, archivées et détruites de manière conforme et éthique. Nous avons mis en place des procédures d'effacement spécifiques pour respecter la nouvelle obligation du « Droit à l'effacement ». Nous tenons compte des situations où ce droit ou d'autres droits de la personne concernée s'appliquent ; ainsi que de l'ensemble des exemptions, des délais de réponse et des responsabilités de notification s'y rapportant.
  4. Violations des données : nos procédures en matière de violation garantissent que nous avons mis en place les garanties et les mesures nécessaires pour identifier, évaluer, examiner et signaler toute violation de données personnelles dans les meilleurs délais. Nos procédures sont fiables et ont été communiquées à tous les employés afin que ceux-ci connaissent les voies hiérarchiques à emprunter et les mesures de signalement à suivre.
  5. Transferts internationaux des données et divulgations à des tiers : dans les cas où Exclaimer stocke ou transfère des informations personnelles en dehors de l'UE, nous avons mis en place des procédures et des mesures de protection fiables afin de sécuriser, chiffrer et préserver l'intégrité des données. Nos procédures comprennent un examen continu des pays, avec des décisions suffisantes en matière d'adéquation, des dispositions contraignantes concernant les règles d'entreprise, des clauses normalisées de protection des données ou des codes de conduite pour les pays qui en sont dépourvus. Nous mettons en œuvre des vérifications de diligence raisonnable strictes auprès de tous les destinataires des données personnelles afin d'évaluer et de vérifier qu'ils ont mis en place des mécanismes de protection appropriés pour protéger les informations, qu'ils garantissent des droits exécutoires des personnes concernées et disposent, le cas échéant, de recours légaux efficaces pour les personnes concernées.
  6. Demande d'accès aux données de la personne concernée (DSAR) : nous avons révisé nos procédures de DSAR afin de prendre en compte le délai révisé de 30 jours pour fournir les informations demandées et de rendre cette prestation gratuite. Nos nouvelles procédures décrivent en détail la méthode de vérification de la personne concernée, les mesures à prendre pour traiter une demande d'accès, les exemptions qui peuvent s'appliquer et une suite de modèles de réponse afin de garantir que les communications avec les personnes concernées par le traitement des données sont conformes, cohérentes et adéquates.

    Si vous souhaitez effectuer une DSAR à Exclaimer, veuillez d'abord envoyer un e-mail à l'adresse [email protected]. Nous prendrons des dispositions pour vérifier votre identité avant toute autre mesure.
  7. Sous-traitants ultérieurs/tiers : nous avons amélioré notre processus de diligence raisonnable pour choisir des prestataires de service afin de valider leur conformité aux exigences du RGPD ;
  8. Contrats/accords de traitement des données : nous avons mis à jour nos contrats et nos accords de traitement. Ces mesures comprennent des examens initiaux et continus du service fourni, de la nécessité de l'activité de traitement, des mesures techniques et organisationnelles en place et de la conformité au RGPD.
  9. Évaluation continue : nous continuons à évaluer les exigences renforcées du RGPD en matière de confidentialité, ainsi que les directives de l'autorité de contrôle afin d'assurer une conformité continue.

Nous garantissons en outre à nos clients que toutes les données traitées par Exclaimer sont gérées de façon sûre et conforme aux normes imposées par notre homologation ISO 27001:2013.

Exclaimer's ISO 27001 Certification for its Exclaimer Cloud email signature management solutions.

Exclaimer a-t-il désigné un Responsable de la protection des données ?

Oui, nous avons désigné Daniel Richardson, directeur de la technologie d'Exclaimer, comme Responsable de la protection des données. Vous pouvez le contacter à l'adresse [email protected].

Comment puis-je faire une Demande d'accès aux données de la personne concernée ?

Si vous souhaitez envoyer une DSAR à Exclaimer, veuillez d'abord envoyer un e-mail à l'adresse [email protected]. Nous prendrons des dispositions pour vérifier votre identité avant toute autre mesure.

Autres questions

Si vous avez d'autres questions à propos de la politique d'Exclaimer sur le RGPD ou des options de service susceptibles de vous aider à respecter ce règlement, vous pouvez vous adresser à votre représentant Exclaimer ou envoyer un e-mail à [email protected].