Accords de traitement des données d'OCLC


Ce que vous avez besoin de savoir

Le Règlement général sur la protection des données (RGPD) de l'UE est entré en vigueur depuis le 25 mai 2018, entraînant l'obligation légale pour votre établissement de formaliser son organisation du traitement des données à caractère personnel avec OCLC. OCLC soutient les principes forts de confidentialité et de sécurité des données mis en avant par le RGPD, et s'engage à garantir que nos offres de services concernées permettent à nos clients de respecter leurs obligations de respect du RGPD en tant que responsables du traitement des données.

Conformément au RGPD, OCLC et ses clients doivent avoir conclu un accord de traitement des données (DPA) à la fois pour : 1) les services qui sont hébergés dans les centres de données et qui traitent des données à caractère personnel et 2) les services qui permettent le traitement à distance d'informations à caractère personnel à des fins d'assistance et de maintenance.

L'accord de traitement des données d'OCLC contient des dispositions relatives au traitement des données requises par le RGPD; fournit des garanties concernant la protection des données à caractère personnel de vos usagers, des membres de votre personnel et d'autres personnes; établit clairement les rôles et responsabilités qui incombent aux deux parties concernant les données à caractère personnel qui sont traitées.

Pourquoi le modèle d'OCLC?

Pour répondre aux exigences du RGPD, OCLC a préparé un accord pré-signé conçu spécifiquement dans l'optique du RGPD et du type d'activité de traitement effectuée via l'utilisation des produits et services OCLC. Si les données à caractère personnel de votre institution sont soumises au RGPD, un accord de traitement des données est nécessaire.

Des transferts de données en dehors de l'Union européenne sont-ils effectués par OCLC?

  • Oui. Lorsque des données à caractère personnel sont transférées depuis l'UE vers OCLC aux États-Unis, elle sont transférées en vertu du document des clauses contractuelle types intégrées dans l'accord de traitement des données. Les clauses contractuelles types sont un modèle de document rédigé et approuvé par la Commission européenne, qui contient les obligations détaillées relatives à la protection des données à caractère personnel qui sont transférées en dehors de l'UE.
  • Il est légal en vertu du RGPD de transférer des données en dehors de l'UE, à condition que les sous-traitants respectent les réglementations nécessaires concernant la protection des données. Lorsque des données à caractère personnel sont transférées à partir de l'UE vers OCLC aux États-Unis, elles sont transférées en vertu des clauses contractuelles types, qui respectent ces réglementations.
  • OCLC n'est pas enregistré en vertu du Privacy Shield (Bouclier de protection des données) entre l'UE et les États-Unis; il n'est pas éligible, car il n'est pas une entité à but non lucratif. OCLC s'appuie sur les clauses contractuelles types pour les transferts de données à caractère personnel depuis l'UE vers les États-Unis.

À quels produits l'accord de traitement des données s'applique-t-il?

L'accord de traitement des données s'applique à tous les produits et services hébergés et non hébergés fournis par OCLC aux États-Unis.

Qui est le client dans l'accord de traitement des données?

L'institution est le client, ainsi que le responsable du traitement des données à caractère personnel concernées. OCLC est le sous-traitant. Le client peut envoyer des données à caractère personnel aux produits d'OCLC ou par le biais des produits d'OCLC (appelés « services couverts » dans le DPA) et peut demander que les utilisateurs individuels des services couverts (dénommées « personnes concernées ») envoient leurs données à caractère personnel aux services couverts, dont l'étendue est déterminée et contrôlée par le client.

Pourquoi avons-nous besoin d'un accord de traitement des données si le service est hébergé par l'institution?

Le personnel d'OCLC, pour des raisons d'expertise ou de disponibilité, peut être tenu de fournir un service d'assistance ou de maintenance à la demande du client. L'étendue de ces services à distance dépend du système et de l'assistance demandée par le client. Ces services sont couverts par les clauses contractuelles types d'OCLC.

Quel type de données à caractère personnel est traité?

  • Les données à caractère personnel traitées par OCLC peuvent concerner les catégories de personnes concernées suivantes :
    • usagers autorisés des services de bibliothèque du client;
    • employés du client autorisés à utiliser les services couverts;
    • fournisseurs de ressources de bibliothèque pour le client;
    • pour les clients utilisant des réserves de formations, instructeurs dont les formations sont incluses dans ces réserves.
  • Le type de données à caractère personnel envoyées par le client peut inclure les informations suivantes :
    • noms;
    • intitulés de poste (pour les employés);
    • coordonnées (y compris les adresses physiques, les numéros de téléphone, les numéros de télécopie et les adresses électroniques);
    • identifiants uniques, attribués par le client ou le sous-traitant (par exemple, numéros d'identification et codes-barres des usagers, numéros d'identification des employés);
    • noms d'utilisateur et mots de passe;
    • renseignements sur les usagers (par exemple, date de naissance, sexe, service, type d'usager);
    • photographies (via une adresse URL).

Quelles sont les politiques d'intervention en cas d'incident d'OCLC?

  • En vertu du RGPD, les sous-traitants sont tenus de notifier une violation de données à caractère personnel à un responsable du traitement dans « les meilleurs détails » après en avoir pris connaissance. Par conséquent, l'accord de traitement des données d'OCLC stipule qu'OCLC procèdera de la sorte.
    • Il s'agit d'une disposition du RGPD couramment mal interprétée. Tout échéancier plus précis exigeant que le sous-traitant signale une violation au responsable du traitement représente effectivement un risque pour le responsable du traitement, car, en vertu du RGPD, le responsable du traitement dispose d'un délai de 72 heures seulement entre la découverte de la violation et son signalement aux autorités compétentes.

Quelles sont les politiques d'audit d'OCLC?

  • En vertu du RGPD, les responsables du traitement sont autorisés à contrôler les sous-traitants afin de garantir la conformité. Par conséquent, l'accord de traitement des données d'OCLC établit que le client peut engager, à ses frais, un auditeur tiers pour inspecter les politiques et les registres d'OCLC afin de garantir la conformité. OCLC exige un préavis écrit d'un mois pour un audit, et l'auditeur choisi doit signer un accord de confidentialité. OCLC fournira également à la demande les certifications de tiers pertinentes, telles que des certifications ISO, afin de démontrer la conformité.

Ententes de traitement des données

 OCLC (UK) Ltd.

English