Pipedrive et RGPD
Le 25 mai 2018 marque l'entrée en vigueur du Règlement général sur la protection des données de l'Union européenne. Ce nouveau règlement a eu un impact important sur tous ceux dont le travail implique la manipulation de données personnelles concernant des résidents de l'UE ou au sein de l'UE. Les données personnelles sont évidemment essentielles dans la vente. Ainsi, nos utilisateurs et nous-mêmes faisons en sorte de respecter ce règlement.
Cet article liste les rôles et les responsabilités liés aux données lors de l'utilisation de Pipedrive comme plateforme CRM, et détaille les efforts effectués par Pipedrive pour se conformer aux valeurs et aux exigences du RGPD.
Pipedrive comme processeur de données
Les contacts que vous enregistrez dans Pipedrive correspondent à des personnes, et vous êtes considéré comme le contrôleur de données vis-à-vis de ces données personnelles. Dans nos Conditions de service et notre Politique de respect de la vie privée, nous faisons référence à ces données par le terme de données client.
Le fait que vous utilisiez l'appli Pipedrive pour gérer vos clients signifie que vous avez engagé Pipedrive comme processeur de données pour effectuer certaines activités de traitement de données pour votre compte.
Conformément à l'article 28 du RGPD, la relation entre le contrôleur et le processeur doit être établie par écrit (l'alinéa (9) de ce même article indique que la forme électronique est acceptée).
C'est là qu'interviennent notre Addendum sur le traitement des données (DPA), nos Conditions d'utilisation et notre Politique de confidentialité. Ces trois documents constituent votre contrat de traitement de données. Ils énoncent les instructions que vous donnez à Pipedrive concernant le traitement des données personnelles que vous contrôlez et établissent les droits et obligations des deux parties. Pipedrive ne traitera que les données de vos clients en accord avec vos instructions en tant que contrôleur de données.
Enfin, il est crucial que vous preniez connaissance de la section 14.1 de nos Conditions de service pour savoir quelle entité de Pipedrive est votre partenaire contractuel.
Tous les clients de l'UE ont une relation contractuelle avec notre entité européenne, basée en Estonie.
Transferts de données
Une question qui revient souvent avec les clients est celle des transferts de données en dehors de l'EEE.
Le RGPD formule des exigences strictes concernant la migration de données hors de la zone qu'il protège. C'est tout à fait naturel – sans cela, il serait impossible à la loi d'atteindre son but.
Qui est responsable du respect de ces exigences relatives aux transferts de données ? Comme nos clients de l'UE ont une relation juridique avec notre entité européenne, ce transfert de données se passe au sein de l'EEE. En revanche, si Pipedrive engage ensuite des sous-processeurs en dehors de l'EEE, c'est à nous de nous assurer que nous respectons la loi en transférant les données.
Nous tiendrons à jour une liste de nos sous-processeurs dans nos Page des sous-processeurs afin d'assurer une transparence totale sur ces transferts. Cette liste expliquera également quelles sont les données concernées, et comment nous nous sommes assurés de leur protection adéquate même après leur migration hors de l'EEE.
Pour cela, nous vérifions que nos sous-processeurs sont certifiés conformément au Cadre de protection des données UE-États-Unis, ou qu'ils ont signé avec nous les clauses contractuelles standard de la Commission européenne pour les transferts de données.
Pipedrive comme contrôleur de données
Par ailleurs, Pipedrive agit comme contrôleur de données s'agissant des données personnelles que nous collectons sur vous, l'utilisateur de notre appli web, de nos applis mobiles et de notre site web.
En premier lieu, nous traitons les données qui nous sont nécessaires pour remplir nos obligations contractuelles envers vous (RGPD, article 6(1)(b)).
Nous traitons également des données pour remplir nos obligations légales (RGPD, article 6(1)(c)) – il s'agit là principalement de données financières et d'informations nécessaires pour remplir nos obligations de responsabilité découlant du RGPD.
Nous traitons enfin vos données personnelles pour nos intérêts légitimes, conformément au RGPD, article 6(1)(f).
De quels « intérêts légitimes » s'agit-il ?
- Améliorer l'application pour vous aider à atteindre de nouveaux niveaux de productivité
- Nous assurer que vos données et les systèmes de Pipedrive sont en sécurité
- Assurer un marketing raisonné de notre produit et de ses fonctionnalités
Nous espérons que cela vous aidera à mieux prendre en compte les exigences européennes en matière de protection des données. Si vous avez des questions concernant ce qui précède, nous vous invitons à nous contacter à l'adresse [email protected], et nous ferons de notre mieux pour vous donner davantage d'explications.
Que fait Pipedrive pour le RGPD ?
Entreprise ayant ses racines en Europe, Pipedrive est très à jour sur les implications du RGPD européen pour les entreprises.
Chez Pipedrive, nous sommes conscients des besoins des utilisateurs de Pipedrive et de leurs clients en matière de protection de la vie privée, et nous avons pris des mesures techniques et organisationnelles – que nous améliorons continuellement – conformes au RGPD, pour protéger les données personnelles traitées par Pipedrive.
Processus internes, sécurité et transferts de données
Une grande partie de la conformité au RGPD consiste à s'assurer de la mise en place de procédures garantissant que les traitements de données sont traçables et vérifiables. Nous avons donc ajouté des éléments à notre cycle de développement d’application pour construire les fonctionnalités conformes aux principes de la protection de la vie privée dès la conception.
Tout accès aux données client que nous traitons en votre nom est strictement limité. Nos procédures internes et nos fichiers compte-rendu assurent que nous respectons dans ce domaine les exigences de responsabilité fixées par le RGPD.
Nous avons établi un processus d'intégration des prestataires de services tiers et nous leur faisons adopter des outils assurant qu'ils respectent bien les attentes élevées qui sont celles de Pipedrive et de ses clients en matière de sécurité et de respect de la vie privée.
Disponibilité à répondre aux demandes d'accès des sujets
Les sujets des données ont la propriété de leurs données personnelles : c'est le principe du RGPD. Nous avons mis en place un système pour répondre promptement aux demandes des sujets en matière d'effacement, de modification ou de transfert de leurs données.
Cela signifie que nos spécialistes de l'aide à la clientèle, avec les ingénieurs qui les assistent, sont prêts à vous aider pour toutes les questions impliquant vos données personnelles ; ceci en plus du service hors pair d'aide au client auquel vous êtes déjà habitué.
Documentation
Nos Conditions de service et notre Politique de protection de la vie privée sont sujettes à de continuelles révisions, pour en accroître la transparence et nous assurer que ces documents respectent les exigences du RGPD. Comme ils constituent la base de nos relations avec vous, il nous importe de vous y expliquer complètement et ouvertement nos engagements et vos droits.
Par ailleurs, nous traçons continuellement toutes nos activités de traitement de données, afin d'être en mesure de répondre aux exigences de responsabilités établies par le RGPD.
Formation
Tout ce qui précède repose sur un effort intense de formation au sein de l'entreprise, afin que les processus respectueux du RGPD que nous avons mis en place soient suivis. Des sessions sur le respect des données privées et la sécurité font partie intégrante de notre processus d'accueil des nouveaux employés, et chaque département bénéficie d'une formation adaptée à son travail impliquant les données personnelles.
Pipedrive est fermement convaincu que le respect des obligations fixées par le RGPD est beaucoup plus qu'une simple liste de contraintes à cocher. Pour nous, le RGPD est bel et bien un mode de vie dans lequel le respect de la vie privée des gens et la responsabilité dans le traitement des données privées vont de soi.
Cet article a-t-il été utile ?
Oui
Non