RGPD : Partenariat avec les clients

OCLC s’engage à ce que ses partenaires et ses clients puissent continuer à utiliser ses produits et services tout en respectant le Règlement général sur la protection des données (RGPD) de l’Union européenne. Nous sommes conscients que le respect du RGPD exige un partenariat entre OCLC, ses partenaires et ses clients quant à l’utilisation des services OCLC applicables. Par nos efforts communs, nous avons déjà commencé et continuerons à explorer les possibilités au sein de nos offres de services concernées afin d’aider nos clients à respecter leurs obligations en tant que responsables du traitement des données en vertu du RGPD.  

Nous avons répondu ci-dessous à quelques-unes des questions les plus pressantes de nos partenaires et de nos clients sur les services OCLC et le RGPD.

Comment OCLC s’assure-t-il de la conformité au RGPD ?

OCLC estime que le RGPD est une étape importante dans le domaine de la confidentialité des données. Nous accueillons avec enthousiasme les principes forts de sécurité et de confidentialité des données énoncés dans le RGPD.

  • Évaluation et gouvernance : OCLC surveille avec attention où et comment ses services concernés collectent, utilisent, conservent et suppriment des données à caractère personnel. Dans le cadre de notre programme international de confidentialité et de gouvernance des données, nous avons mis en place des procédures, politiques, normes, principes de gouvernance et documentations en conséquence, et nous mettons tout en œuvre pour les améliorer continuellement.
  • Produits : nous avons ajouté des fonctionnalités à plusieurs de nos produits afin d’aider nos clients à respecter certaines obligations de conformité qui leur sont imposées par le RGPD, par exemple en matière d’avis de confidentialité. Le cas échéant, les notes de version des produits décrivent les modifications potentiellement utiles apportées dans le cadre du RGPD.
  • Transferts de données à caractère personnel de l’UE vers un pays tiers : les transferts de données à caractère personnel vers un pays tiers varient selon les services et produits d'OCLC. Pour certains produits, les données à caractère personnel sont conservées dans l'Espace économique européen. Pour d'autres, elles sont transférées hors de l'Espace économique européen. OCLC applique des clauses contractuelles types aux transferts de données de l'Espace économique européen et en établit d'autres directement avec ses clients lorsqu'ils exportent ces données vers OCLC hors de l'Espace économique européen.
  • Sensibilisation et formation des employés : tous les employés d’OCLC doivent suivre une formation sur la sécurité des données. Outre ces exigences de formation, OCLC mène en permanence des actions de sensibilisation sur divers sujets, tels que la protection des données, la sécurité et la vie privée.
  • Engagements contractuels : en collaboration avec ses clients et ses fournisseurs, OCLC exécute les accords de traitement des données nécessaires pour répondre directement aux exigences réglementaires du RGPD.

Quelles mesures de sécurité OCLC a-t-elle mises en place pour protéger les données à caractère personnel qu’elle traite?

Afin d’assurer un niveau de sécurité approprié pour les données à caractère personnel collectées, OCLC a mis en place de solides mesures techniques et organisationnelles conformes aux normes internationales d’audit. Nous testons et évaluons régulièrement l’efficacité de ces mesures. Par ailleurs, OCLC a mis en place des contrôles administratifs et techniques pour restreindre l’utilisation des données à caractère personnel collectées aux seules fins prévues, ainsi que des processus permettant de détecter les failles de sécurité et d’y remédier.

Quelle est la différence entre un responsable du traitement et un sous-traitant?

Dans le cas des produits et services hébergés par OCLC pour ses clients, le client joue généralement le rôle de responsable du traitement, tandis qu'OCLC intervient en tant que sous-traitant. Dans le cadre du traitement des données à caractère personnel, le responsable du traitement désigne l'organisation qui détermine les finalités et les moyens du traitement des données. Le sous-traitant est l'organisation qui traite les données pour le compte du responsable du traitement.

Quelles sont les données à caractère personnel traitées par OCLC?

De nombreux produits d’OCLC sont des systèmes de gestion de bibliothèque qui aident nos clients à traiter les demandes d’accès et de recherche de ressources de leurs utilisateurs. Ces produits collectent également un minimum de données à caractère personnel sur les employés de la bibliothèque à des fins de gestion de l'établissement. Si certaines données à caractère personnel, comme le nom des utilisateurs, sont collectées et utilisées par l'ensemble des bibliothèques, d'autres peuvent différer selon nos clients. En tant que responsable du traitement, le client détermine les données à caractère personnel à collecter auprès des personnes concernées et à fournir à OCLC à des fins de traitement. OCLC encourage ses clients à examiner les données à caractère personnel qu'ils traitent afin de déterminer les obligations à respecter en vertu du RGPD.

OCLC aidera-t-elle ses clients à répondre aux demandes formulées par les personnes concernées à propos de leurs nouveaux droits individuels en vertu du RGPD?

Le RGPD offre aux individus un contrôle renforcé sur le traitement de leurs données à caractère personnel. OCLC a mis en place des processus afin d'examiner les demandes formulées par les personnes concernées. L'avis de confidentialité d'OCLC décrit les droits dont disposent ces personnes et explique comment formuler les demandes. Le plus souvent, les demandes ainsi formulées doivent être examinées et traitées directement par nos clients, qui agissent en tant que responsables du traitement des données, plutôt que par OCLC, considérée comme un sous-traitant du client. Les clients qui pensent ne pas être en mesure de répondre à ces demandes par le biais de nos produits doivent contacter OCLC pour obtenir de l'aide.

Quelles sont les mesures prises par OCLC pour s’assurer que ses clients peuvent légalement transférer des données à caractère personnel hors de l’Union européenne?

Lorsque des données à caractère personnel de l’UE sont transférées à OCLC, Inc. aux États-Unis, le transfert s’effectue conformément aux clauses contractuelles types émises par la Commission européenne. OCLC a mis en place de solides protections afin de garantir la sécurité de toutes les données à caractère personnel transférées dans le monde.