RGPD : Partenariat avec les clients
En mai 2018, le Règlement général sur la protection des données (RGPD) a remplacé la directive européenne de 1995 sur la protection des données à caractère personnel (Directive 95/46/CE du Parlement européen et du Conseil). Le RGPD a un impact considérable sur la manière dont les entreprises, y compris OCLC et ses clients, traitent les données à caractère personnel de l'UE.
OCLC s’engage à ce que ses partenaires et ses clients puissent continuer à utiliser ses produits et services tout en respectant le RGPD. Nous sommes conscients que le respect du RGPD exige un partenariat entre OCLC, ses partenaires et ses clients quant à l’utilisation des services OCLC applicables. Par nos efforts communs, nous avons déjà commencé et continuerons à explorer les possibilités au sein de nos offres de services concernées afin d’aider nos clients à respecter à l'avenir leurs obligations en tant que responsables du traitement des données en vertu du RGPD. OCLC encourage ses clients à se familiariser de leur côté avec le RGPD et à commencer leurs efforts de conformité dès maintenant, si ce n’est déjà fait.
Nous avons répondu ci-dessous à quelques-unes des questions les plus pressantes de nos partenaires et de nos clients sur les implications du RGPD.
Qu’implique le RGPD?
Le RGPD établit notamment, pour les organisations, des règles de traitement des données à caractère personnel des personnes concernées résidant dans l'Union européenne. Si la plupart de ces règles existaient déjà dans la directive européenne précédente, certaines sont désormais plus strictes. Les règles dépassent les frontières physiques de l'Union européenne et s'appliquent à toute organisation implantée ou non dans l'UE, qui propose des biens ou des services à des résidents de l'UE, ou qui effectue un suivi du comportement de ces personnes.
Comment OCLC s'est-il préparé au RGPD?
OCLC estime que le RGPD est une étape importante dans le domaine de la confidentialité des données. Nous accueillons avec enthousiasme les principes forts de sécurité et de confidentialité des données énoncés dans le RGPD.
OCLC a commencé à se préparer au RGPD bien avant le 25 mai 2018. Bien que la majeure partie de notre préparation se soit effectuée en coulisses, nous avons travaillé sur un certain nombre d'initiatives visibles par nos membres et les utilisateurs de nos produits et services. Vous trouverez ci-dessous quelques exemples de mesures que nous avons mises en place :
- Évaluation : OCLC a examiné avec attention où et comment ses services concernés collectent, utilisent, conservent et suppriment des données à caractère personnel. Nous avons mis à jour nos procédures, politiques, normes, principes de gouvernance et documentation en conséquence.
- Produits : nous avons évalué les changements éventuels à apporter à nos différents produits afin d’aider nos clients à respecter certaines obligations de conformité qui leur sont imposées par le RGPD, par exemple en matière d’avis de confidentialité. Le cas échéant, les notes de version des produits décrivent les modifications potentiellement utiles apportées dans le cadre du RGPD.
- Engagements contractuels : en collaboration avec ses clients et ses fournisseurs, OCLC a mis à jour ses clauses contractuelles en exécutant les accords de traitement des données nécessaires pour répondre directement aux exigences réglementaires du RGPD.
- Transferts de données à caractère personnel de l’UE vers un pays tiers : les transferts de données à caractère personnel vers un pays tiers varient selon les services et produits d'OCLC. Pour certains produits, les données à caractère personnel sont conservées dans l'Espace économique européen. Pour d'autres, elles sont transférées hors de l'Espace économique européen. OCLC applique des clauses contractuelles types aux transferts de données de l'Espace économique européen et en établit d'autres directement avec ses clients lorsqu'ils exportent ces données vers OCLC hors de l'Espace économique européen.
- Sensibilisation et formation des employés : tous les employés d’OCLC doivent suivre une formation sur la sécurité des données. Outre ces exigences de formation, OCLC mène en permanence des actions de sensibilisation sur divers sujets, tels que la protection des données, la sécurité et la vie privée.
Quelles mesures de sécurité OCLC a-t-elle mises en place pour protéger les données à caractère personnel qu’elle traite?
Afin d’assurer un niveau de sécurité approprié pour les données à caractère personnel collectées, OCLC a mis en place de solides mesures techniques et organisationnelles, dont nous testons et évaluons régulièrement l’efficacité. Par ailleurs, OCLC a mis en place des contrôles administratifs et techniques pour restreindre l'utilisation des données à caractère personnel collectées aux seules fins prévues, ainsi que des processus permettant de détecter les failles de sécurité et d'y remédier.
Quelle est la différence entre un responsable du traitement et un sous-traitant?
Dans le cas des produits et services hébergés par OCLC pour ses clients, le client joue généralement le rôle de responsable du traitement, tandis qu'OCLC intervient en tant que sous-traitant. Dans le cadre du traitement des données à caractère personnel, le responsable du traitement désigne l'organisation qui détermine les finalités et les moyens du traitement des données. Le sous-traitant est l'organisation qui traite les données pour le compte du responsable du traitement.
Le RGPD n’a pas modifié les rôles fondamentaux de responsable du traitement et de sous-traitant, mais il a élargi les responsabilités de chaque partie. Le responsable du traitement conserve la responsabilité principale de la protection des données, mais le RGPD attribue certaines responsabilités directes au sous-traitant.
Quelles sont les données à caractère personnel traitées par OCLC?
De nombreux produits d’OCLC sont des systèmes de gestion de bibliothèque qui aident nos clients à traiter les demandes d’accès et de recherche de ressources de leurs utilisateurs. Ces produits collectent également un minimum de données à caractère personnel sur les employés de la bibliothèque à des fins de gestion de l'établissement. Si certaines données à caractère personnel, comme le nom des utilisateurs, sont collectées et utilisées par l'ensemble des bibliothèques, d'autres peuvent différer selon nos clients. En tant que responsable du traitement, le client détermine les données à caractère personnel à collecter auprès des personnes concernées et à fournir à OCLC à des fins de traitement. OCLC encourage ses clients à examiner les données à caractère personnel qu'ils traitent afin de déterminer les obligations à respecter en vertu du RGPD.
OCLC aidera-t-elle ses clients à répondre aux demandes formulées par les personnes concernées à propos de leurs nouveaux droits individuels en vertu du RGPD?
Le RGPD offre aux individus un contrôle renforcé sur le traitement de leurs données à caractère personnel. OCLC a mis en place des processus afin d'examiner les demandes formulées par les personnes concernées. L'avis de confidentialité d'OCLC décrit les droits dont disposent ces personnes et explique comment formuler les demandes. Le plus souvent, les demandes ainsi formulées doivent être examinées et traitées directement par nos clients, qui agissent en tant que responsables du traitement des données, plutôt que par OCLC, considérée comme un sous-traitant du client. Les clients qui pensent ne pas être en mesure de répondre à ces demandes par le biais de nos produits doivent contacter OCLC pour obtenir de l'aide.
Le RGPD empêche-t-il une entreprise de conserver des données hors de l’Union européenne?
Rien dans le RGPD n’empêche les entreprises de conserver des données à caractère personnel hors de l’UE, tant que leurs sous-traitants respectent les réglementations en vigueur en matière de protection des données. L'exportation de données depuis l'Union européenne peut requérir la mise en place de protections adéquates relatives au transfert.
Quelles sont les mesures prises par OCLC pour s’assurer que ses clients peuvent légalement transférer des données à caractère personnel hors de l’Union européenne?
Lorsque des données à caractère personnel de l’UE sont transférées à OCLC, Inc. aux États-Unis, le transfert s’effectue conformément à des clauses contractuelles types émises par la Commission européenne. Cette dernière a publié deux séries de clauses contractuelles pour les transferts entre responsables du traitement, et une série de clauses contractuelles pour les transferts entre responsables du traitement et sous-traitants.