Consumer Information Management tool
Le Règlement général sur la protection des données (RGPD) est la nouvelle loi européenne sur la protection de la vie privée. Elle s'applique à l'ensemble des personnes et entreprises qui utilisent les données à caractère personnel dans un cadre professionnel. Ce qui signifie que vous devez être en capacité d'expliquer quelles sont les données personnelles collectées, comment elles sont utilisées et comment leur sécurité est assurée.
La loi californienne sur la vie privée des consommateurs (CCPA) renforce le droit à la vie privée et la protection des consommateurs pour les résidents de Californie, applicable à compter de janvier 2020. Il s'applique à toutes les entreprises qui achètent, vendent ou partagent des informations personnelles de 50 000 consommateurs ou plus, ou qui ont un revenu brut supérieur à 25 millions de dollars ou tirent 50% de leurs revenus annuels du partage de renseignements personnels.
Les données à caractère personnel correspondent aux données permettant d'identifier de manière unique une personne ou des données qui concernent une personne déjà identifiée. Il peut s'agir de données fournies explicitement par la personne concernée/le consommateur, mais également de données obtenues par des tiers ou via l'activité d'un site web.
Nous revenons sur ces points dans ce document relatif aux Demandes de la personne concernée/du consommateur sur le Traitement des données à caractère personnel:
- Droit d'accès de la personne concernée
- Droit de rectification
- Droit à l'effacement
- Droit à la limitation du traitement
- Obligation de notification
- Droit à la portabilité des données
- Droit d'opposition
- Prise de décision automatisée
Nous abordons ci-dessous chacun de ces points en détail.
Nous désignerons toujours la personne dont les données sont recueillies dans le RGDP comme 'personne concernée' et 'consommateur' dans la CCPA. Le client (personne, entreprise) qui recueille et utilise les données est désigné comme 'contrôleur des données'. L'outil fourni par Zeta est désigné comme 'outil CIM' (Consumer Information Management).
Droit d'accès de la personne concernée/du consommateur (RGDP et CCPA)
La personne concernée/le consommateur a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi qu'une copie de ces données.
| PRÉREQUIS | Le contrôleur des données doit s'assurer que les données sont enregistrées physiquement (dans un tableau de données physique - pas une vue de base de données) sur la plate-forme Zeta. |
| PROCESSUS | Une page web (l'outil CIM) permet au contrôleur des données de rechercher une personne concernée/un consommateur spécifique en saisissant des valeurs d'identification dans un ou plusieurs champs. La recherche de la personne concernée/un consommateur peut être effectuée dans toutes les listes d'utilisateurs ou dans un sous-ensemble de listes d'utilisateurs (par exemple, toutes les listes d'une marque). |
| RÉSULTAT | Si une correspondance est trouvée, un fichier JSON est généré par le biais d'un processus asynchrone. Ce fichier contient l'ensemble des données de l'utilisateur, ainsi que les données liées recueillies dans différents modules qui pourraient faire partie des services d'abonnement. Une fois généré, le fichier peut être téléchargé via le même outil CIM. |
| DONNÉES ARCHIVÉES |
L'outil CIMfonctionne sur les données de production et données archivées. Zeta enregistre les données système et les données clients (personnalisées) dans des bases de données d'archivage séparées afin d'éviter de mélanger les données système avec des données personnelles. Le contrôleur des données peut décider s'il veut ou non archiver certaines de ces données. Les données de connexion ne sont pas archivées et seront supprimées.
|
| DONNÉES DE SAUVEGARDE |
En raison des exigences de gestion de la taille de la base de données, la base de données d'archives est régulièrement déplacée sur un disque (copie) de sauvegarde pour le stockage. Les données de sauvegarde ne sont pas directement accessibles via l'outil CIM. Si le Contrôleur des données exécute les demandes de la personne concernée/du consommateur dans la base de données de production via l'outil CIM, l'outil CIMpermet le suivi de ces demandes. Si les données de sauvegarde du disque venaient à être restaurées dans la base de données de production, il est possible d'exécuter la demande de la personne concernée/du consommateur via l'outil CIM. Si le contrôleur des données n'exécute pas la demande de la personne concernée/du consommateur via l'outil CIM, il est important qu'il gère le suivi de ces demandes afin que, en cas de restauration des données de sauvegarde, les demandes antérieures puissent être traitées au moment de la restauration. Les données de sauvegarde sont conservées au maximum pendant 2 ans. |
Droit de rectification (Seulement RGDP)
La personne concernée a le droit d'obtenir du contrôleur la rectification des données à caractère personnel la concernant qui sont inexactes.
| PRÉREQUIS | S/O |
| PROCESSUS | Option 1: Le contrôleur des données a la possibilité de mettre à jour manuellement les données à rectifier sur la plate-forme Zeta. Option 2: Le contrôleur des données à la possibilité d'intégrer automatiquement les mises à jour à l'aide des fonctionnalités de chargement de données de Zeta. |
| RÉSULTAT | Les données de la personne concernée sont rectifiées. |
Droit à l'effacement (RGDP) /Droit à l'oubli (CCPA)
La personne concernée/le consommateur a le droit d'obtenir du contrôleur l'effacement de données à caractère personnel la concernant et le contrôleur a l'obligation d'effacer ces données à caractère personnel.
| PRÉREQUIS | Le contrôleur des données doit s'assurer que les données sont enregistrées physiquement (dans un tableau de données physique - pas une vue de base de données) sur la plate-forme Zeta. Le contrôleur des données doit effacer les données dans son propre environnement avant de les supprimer sur la plate-forme Zeta, et ce afin d'éviter une nouvelle synchronisation des données. Le contrôleur des données est responsable de la table Liste noire. Il doit s'assurer que les données 'effacées' ne sont pas resynchronisées à moins que la personne concernée/le consommateur ne lui en redonne l'autorisation. |
| PROCESSUS |
L'outil CIMpermet au contrôleur des données de rechercher une personne concernée/un consommateur spécifique en saisissant des valeurs d'identification dans un ou plusieurs champs.La recherche de la personne concernée/du consommateur peut être effectuée dans toutes les listes d'utilisateurs ou dans un sous-ensemble de listes d'utilisateurs (par exemple, toutes les listes d'une marque).
|
| RÉSULTAT | Si une correspondance est trouvée, les données personnelles et identifiables de la personne concernée/du consommateur sont supprimées. Soit l'ensemble des données de l'utilisateur, ainsi que les données liées recueillies dans différents modules qui pourraient faire partie des services d'abonnement. Zeta veillera aussi à disposer de fichiers journaux répertoriant ces suppressions afin de s'assurer que si les bases de données venaient à être restaurées, ces données seraient à nouveau supprimées. Ces fichiers journaux sont supprimés après 30 jours. |
Droit à la limitation du traitement (RGDP) / droit au désabonnement d'information vente (CCPA)
Le droit à la limitation du traitement ne peut être appliqué par la personne concernée que si une ou plusieurs des conditions définies dans l'article 18 du GDPR s'appliquent (opposition préalable, l'exactitude des données est contestée...)
La personne concernée/le consommateur a le droit d'obtenir du contrôleur la limitation du traitementou le déasbonnement .
Les méthodes permettant de limiter le traitement des données à caractère personnel peuvent inclure: déplacer temporairement les données sélectionnées vers un autre système où aucun traitement n'est exécuté, rendre les données à caractère personnel sélectionnées indisponibles pour les utilisateurs ou supprimer temporairement les données publiées d'un site web.
Dans les fichiers automatisés, la limitation de traitement doit en principe être assurée par un dispositif technique, de sorte que les données à caractère personnel ne sont plus soumises à des opérations de traitement ultérieures et ne peuvent plus être modifiées.
| PRÉREQUIS | Le contrôleur des données doit s'assurer que les données sont enregistrées physiquement (dans un tableau de données physique - pas une vue de base de données) sur la plate-forme Zeta. |
| PROCESSUS | Option 1: l'outil CIMpermet au contrôleur des données de rechercher une personne concernée/un consommmateur spécifique en saisissant des valeurs d'identification dans un ou plusieurs champs. En cas de correspondance, une valeur OPTOUT personnalisée (20180525) est définie. La recherche de la personne concernée/du consommateur peut être effectuée dans toutes les listes d'utilisateurs ou dans un sous-ensemble de listes d'utilisateurs (par exemple, toutes les listes d'une marque). Option2: le contrôleur de données peut définir un segment d'exclusion (par canal). Il peut ainsi ajouter des données à ce segment d'exclusion, puis l'utiliser dans chaque groupe cible pour ce canal. Option 3: Si le contrôleur de données a implémenté un désabonnement distinct par canal, il peut modifier manuellement le désabonnement pour un canal spécifique. |
| RÉSULTAT | Option 1: Le destinataire est exclu de toute communication jusqu'à ce que le désabonnement personnalisé soit levé Option 2-3: Le destinataire est exclu d'un canal spécifique. |
| COMMENTAIRE | Le droit à la limitation du traitement ne s'applique pas au stockage. De ce fait, les données archivées sont hors cadre dans la mesure où le droit de limitation de traitement est concerné. |
Obligation de notification (seulement RGDP)
Le contrôleur notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés.
Le contrôleur fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.
| PRÉREQUIS | Le contrôleur des données a effectué la rectification, l'effacement ou la limitation du traitement. |
| PROCESSUS | S/O |
| RÉSULTAT | Le contrôleur des données notifie la personne concernée. Le contrôleur des données doit s'assurer qu'en notifiant la personne concernée, il ne conserve pas des données en infraction par rapport à la demande de la personne concernée. |
Droit à la portabilité des données (seulement RGDP)
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un contrôleur, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre contrôleur sans que le contrôleur auquel les données à caractère personnel ont été communiquées.
En exerçant son droit à la portabilité des données, la personne concernée a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un contrôleur à un autre, lorsque cela est techniquement possible.
| PRÉREQUIS | Le client doit consulter et exécuter les prérequis et processus décrits dans la section 'Droit d'accès'. |
| PROCESSUS | Après avoir exécuté le processus du 'droit d'accès', le contrôleur des données recueille les données à caractère personnel de la personne concernée dans le fichier JSON généré et les associe aux autres informations recueillies sur la personne concernée. Il revient au contrôleur de données de filtrer les données pertinentes à transmettre à un autre contrôleur. Le fichier JSON contiendra en effet souvent un trop grand nombre d'informations. |
| RÉSULTAT | Le contrôleur des données transmet les données à un autre contrôleur. |
Droit d'opposition (seulement RGDP)
La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant.
Le contrôleur ne traite plus les données à caractère personnel, à moins qu'il ne prouve qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.
| PRÉREQUIS | S/O |
| PROCESSUS | Le contrôleur des données vérifie le contenu de l'objection et agit en fonction. |
| RÉSULTAT | En fonction du sujet de l'objection, un processus spécifique aux droits de la personne concernée peut être exécuté. |
Prise de décision automatisée (seulement RGDP)
La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
| PRÉREQUIS | S/O |
| PROCESSUS | S/O |
| RÉSULTAT | S/O |
| COMMENTAIRE | La prise de décision automatisée produisant des effets juridiques ou similaires n'est pas disponible sur la plate-forme. L'apprentissage de la machine permet, dans une certaine mesure, l'exécution de processus automatisé sur la base du profilage, processus qui va ensuite déclencher des promotions ciblées. Cela n'inclut pas la prise de décision automatisée produisant des effets juridiques sur une personne, étant donné que ce type de profilage s'applique à la commande de marketing direct. |
