Protection des données personnelles

Lorsque vous décidez d’externaliser tout ou partie de l’hébergement des données traitées par votre organisation auprès des services proposé par MENGINE, vous faites le choix de nous confier une part de votre patrimoine numérique informationnel. Nous sommes conscients des enjeux qu’une telle externalisation peut représenter pour votre structure, notamment en matière de conformité réglementaire. C’est pourquoi MENGINE vous met à disposition une information la plus complète possible sur les enjeux en matière de protection des données à caractère personnel.

Réglementations en matière de protection des données à caractère personnel

Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :

MENGINE s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD du 25 Mai 2018). C’est notamment grâce à cet engagement de conformité que les clients de MENGINE sont également en mesure de respecter une partie de leurs obligations réglementaires. Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité.

D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. C’est le cas pour les traitements de données de santé, de données de militaires, etc. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer.

Bien choisir son prestataire, notamment en matière de cloud, est impératif pour respecter ses propres obligations en matière de protection des données à caractère personnel.

Le Data Protection Officer (DPO) : un acteur au service quotidien de la protection des données

Nicolas MILANO

Data Protection Officer
Désignation N° DPO-3447
Attestation CNIL du DPO

MENGINE a fait le choix de procéder à la nomination d’un DPO, dont le rôle et les missions sont pour partie prévus par la réglementation européenne. Le DPO est parfaitement indépendant dans l’accomplissement de ses missions : il est le garant interne de la conformité des activités du groupe MENGINE en matière de traitement de données.

Pleinement dédié à cette mission, MILANO Nicolas, DPO chez MENGINE, dispose des ressources nécessaires pour exercer son rôle sans conflits d’intérêts et en toute indépendance.

Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre MENGINE en matière de protection des données à caractère personnel.

En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de privacy, met en œuvre une démarche de « privacy by design » et de « privacy by defaut » notamment dans le développement des nouvelles offres proposées aux clients, assure les relations avec les autorités de contrôle...

Il est également l’interlocuteur de l’ensemble des clients souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.

MENGINE et la protection des données à caractère personnel

>> Introduction

Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018. Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales.

À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.

Si vous êtes une structure traitant des données à caractère personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour MENGINE qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.

>> Définitions

Comprendre les enjeux réels et précis d’un règlement européen n’est pas toujours chose aisée, surtout lorsqu’il comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. C’est pourtant essentiel afin d’éviter tout risque pouvant résulter d’une interprétation trop large ou imprécise des obligations réglementaires incombant à votre structure. La bonne compréhension des quelques termes définis ci-dessous est donc essentielle :

>> MENGINE en qualité de sous-traitant

C’est certainement en cette qualité que vos attentes envers MENGINE sont les plus importantes. MENGINE est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.

C’est typiquement le cas lorsque vous utilisez les services de MENGINE et stockez des données à caractère personnel sur une infrastructure MENGINE. Dans la limite de ses contraintes techniques, MENGINE ne pourra traiter les données stockées que selon vos instructions, et ce pour votre compte.

>> Les engagements de MENGINE en qualité de sous-traitant

En qualité de sous-traitant, MENGINE s’engage notamment à mettre en œuvre les actions suivantes :

Ces engagements sont concrètement retranscrits au travers des Conditions générales de service (CGS) de MENGINE. À ce titre, et sauf conditions particulières, elles sont opposables par tout client à MENGINE en sa qualité de sous-traitant.

>> MENGINE en qualité de responsable de traitement

MENGINE est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.

C’est typiquement le cas quand MENGINE collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsque MENGINE traite les données à caractère personnel de ses propres salariés.

Dans cette hypothèse, « vos » données, celles que vous stockez sur les services de MENGINE, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur MENGINE dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi MENGINE tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.

Il est essentiel de faire la distinction entre la sécurité des données hébergées par le client et la sécurité des infrastructures sur lesquelles ces informations sont hébergées.

Sécurité des données hébergées par le client : le client est seul responsable d’assurer la sécurité de ses ressources et systèmes d’applications qu’il déploie dans le cadre de l’utilisation des services. Des outils sont mis à disposition par MENGINE afin d’accompagner le client dans la sécurisation de ses données.

Sécurité des infrastructures : MENGINE s’engage sur une sécurité optimale de ses infrastructures, notamment en ayant mis en place une politique de sécurité des systèmes d’information et en répondant aux exigences de plusieurs normes.

Exercez vos droits

Formulaire permettant l’exercice de vos droits en matière de données personnelles

Ce formulaire a pour but de faciliter l’exercice des droits conférés par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

Il s'adresse à tout individu dont les données sont susceptibles d’être traitées par MENGINE.

Par mesure de confidentialité, la transmission de données personnelles est conditionnée à la possibilité pour MENGINE d’identifier le demandeur. En conséquence, votre demande doit être la plus précise possible. L’ensemble des champs du formulaire sont obligatoires.

Tout demande manifestement excessive ou infondée sera refusée.

Continuer vers le formulaire >>