Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR)
&
DIMASYS|ENT ou DIMASYS|WK
Le 25 mai 2018, chaque entreprise qui utilise les données personnelles de citoyens européens devra se conformer à la General Data Protection Regulation (“GDPR”) ou Règlement Général sur la Protection des Données (« RGPD ») en français. Votre entreprise y sera également confrontée.
Dans un monde où les réglementations en vigueur changent perpétuellement, nous aspirons toujours à ce que nos solutions soient conformes à toutes les législations et réglementations pertinentes. Si nécessaire, nous y adaptons également nos procédures internes et notre communication. Nous avons en effet pour objectif – maintenant et à l’avenir – de pouvoir continuer à vous servir le plus raisonnablement possible dans le respect de la nouvelle législation et réglementation.
Dans ce document, nous nous pencherons uniquement sur ce que le RGPD signifie spécifiquement pour votre société et comment intégrer ce règlement dans les procédures de votre société. Chaque entreprise est en effet confrontée au traitement et à la protection des données personnelles pour réaliser des transactions professionnelles. Le RGPD n’a nullement pour objectif de rendre les transactions professionnelles impossibles ou inutilement compliquées.
Il importe dès lors que vous inventoriez dans quels processus vous traitez des données personnelles et documentiez vos procédures dans ce domaine. Ce faisant, vous aurez une vision claire de où, quand, comment et à quelles fins ces données sont utilisées. Vous déterminerez également le délai de conservation de ces données. Il importe aussi d’examiner correctement quelles données sont effectivement pertinentes pour vous d’un point de vue professionnel, et de ne pas stocker les autres. Cette dernière mesure s’inscrit dans l’exigence de “minimisation des données”, ce qui signifie que vous êtes responsable de l’enregistrement uniquement des données personnelles nécessaires à l’objet du traitement.
En principe, vous devez toujours pouvoir justifier la base juridique que vous utilisez pour traiter les données personnelles (par exemple: autorisation de la personne concernée). Toutes les données personnels n’ayant plus aucune utilité professionnelle pour vous, et dont la raison pour laquelle vous les aviez enregistrées n’est plus d’application, ou dont le délai (légal) de conservation a expiré, devront être détruites.
Données personnelles et DIMASYS
Le logiciel DIMASYS, tant l’édition ENT (Enterprise) que l’édition WKG (Workgroup), a été conçu pour rendre les processus administratifs de votre entreprise les plus efficients possibles et pour optimiser la gestion de ceux-ci. Les données enregistrées à cet effet sont, par définition, pratiquement confidentielles. Nous pensons ici aux types de produits précis que vous achetez, aux accords de prix et réductions spécifiques que vous pratiquez par client, aux adresses e-mail auxquelles vous devez envoyer des documents, à l’enregistrement des personnes de contact et leurs données, etc.
Évidemment, vous devez traiter toutes ces données de manière confidentielle et DIMASYS renferme à cet effet une vaste structure juridique, de telle sorte que vous pourrez sécuriser et verrouiller les données.
Si des personnes de contact demandent de retirer leurs données de DIMASYS (le droit de se faire oublier), vous pourrez aussi toujours éliminer les données concernées de la base de données.
DIMASYS offre à votre entreprise la possibilité de se conformer aux obligations du RGPD. Attention, les logiciels proposés doivent être adaptés en vue des exigences du RGPD. Les fonctionnalités de DIMASYS aident votre entreprise à se conformer à cette législation, mais ne remplacent pas l’implémentation de mesures techniques et organisationnelles au sein de votre entreprise pour faire en sorte que le traitement des données personnelles s’effectue de façon conforme au RGPD.
En tant que concepteur et vendeur du logiciel d’ERP, INFOMAT ne se charge nullement de traiter les données personnelles de vos clients. Cette responsabilité incombe à votre entreprise, et il convient d’informer les utilisateurs de DIMASYS au sein de votre entreprise de la manière dont ils pourront configurer ce logiciel afin de respecter les obligations du RGPD.
Une première étape consiste à localiser les endroits où les données personnelles peuvent être enregistrées dans DIMASYS. Ci-après, nous nous pencherons sur les endroits où les données pourront notamment être enregistrées au sein de DIMASYS.
Le mot ‘notamment’ ci-avant n’a pas été choisi par hasard parce que vous-même avez déterminé, durant l’installation, quelles données seront enregistrées à quels endroits dans les données de base. Évidemment, de nombreux champs fixes ont été prévus à cet effet, mais il se pourra, à côté de cela, que vous ayez également enregistré des données personnelles dans des propriétés, champs libres ou dimensions de façon non-structurée. Outre compléter les données personnelles aux endroits logiquement prévus à cet effet au sein de DIMASYS (fiches de personnes privées et personnes de contact), vous pouvez en théorie avoir enregistré des données personnelles dans tous les champs descriptifs de l’application. Si, de plus, vous travaillez avec des clients privés, il sera également possible d’enregistrer des informations sur la fiche clients proprement dite.
Il importe ici de consigner clairement les règles du jeu au sein de votre société dans des procédures, afin de savoir clairement où vous avez enregistré des données personnelles spécifiques et donc de pouvoir, le cas échéant, les supprimer ou les rendre anonymes (en les remplaçant par XXXX) dès que cela vous sera demandé.
Les données personnelles sont enregistrées dans DIMASYS pour faciliter la réalisation de transactions professionnelles ou pour faciliter le processus dans lequel ces transactions verront le jour.
Dans DIMASYS, les personnes privées et personnes de contact pourront être supprimées à tout moment, même si elles ont déjà été utilisées dans une transaction ou une opération.
Par contre, une fois qu’ils ont été enregistrés dans une transaction, les clients ne pourront plus être supprimés. Vous pourrez uniquement les rendre anonymes (en les remplaçants par XXXX, par exemple).
- OPÉRATIONS OU TRANSACTIONS
Afin de ne pas porter préjudice aux comptables ou aux instances officielles, les transactions ne pourront, à partir d’un moment déterminé, plus être modifiées. Ainsi, dans DIMASYS, les opérations ne peuvent plus être adaptées à partir d’un certain statut. Si vous êtes suffisamment au courant du statut à partir duquel ce sera le cas par transaction, il sera préférable de contacter votre personne de contact chez INFOMAT et de documenter cela de préférence au sein de vos propres procédures.
En fonction du pays où vous exercez vos activités et où vous utilisez DIMASYS, vous serez soumis à un délai de conservation légal ou une obligation de conservation légale. Au cas où vous auriez par exemple des règles relatives aux commandes, aux devis, aux factures d’achat et autres dans lesquelles sont enregistrées des données personnelles qui, selon vous, ne sont pas à leur place, il importera de passer ces procédures à la loupe et, ici aussi, d’envisager de supprimer celles-ci ou de les rendre anonymes dès que cela vous sera demandé.
Afin de rendre anonymes des personnes de contact (telles que définies à l’endroit prévu à cet effet au sein de DIMASYS) dans des transactions antérieures au délai de conservation obligatoire légal pour les documents tels que factures, DIMASYS propose, depuis la version 4, une fonction spécifiquement prévue à cet effet.
Si, après avoir procédé à une analyse RGPD interne au sein de votre entreprise, vous pressentez que vous avez également enregistré des données personnelles à d’autres endroits, vous pourrez toujours nous contacter pour examiner ensemble comment éliminer celles-ci ou les rendre anonymes.
Les documents générés par DIMASYS tels que notes d’expédition ou bons de picking, confirmations de commandes, factures, etc., peuvent être générés et/ou enregistrés en divers formats au sein de DIMASYS. Ils sont conservés uniquement sous forme de lien au sein de DIMASYS et pourront, le cas échéant, être physiquement éliminés. Si nécessaire, ils pourront être à nouveau générés par après. Ces documents pourraient contenir des données personnelles. Il est donc conseillé d’examiner attentivement les procédures ci-dessous pour vérifier si tel est le cas et si la mention de ces données personnelles a bel et bien une utilité.
Vous pouvez cependant aussi enregistrer ou coupler chaque type de document dans DIMASYS (dessins, plans, CV, photos, etc.). Vous déterminez parfaitement vous-même quels documents vous enregistrez et devez donc ici aussi examiner attentivement si ceux-ci contiennent des données personnelles. Évidemment, dans DIMASYS, vous pourrez toujours supprimer à nouveau ces documents.
Même si le risque est minime, il se peut tout de même que vous ayez installé des “triggers” ou déclencheurs basés sur les données personnelles. Ce sera le cas si vous avez installé une “fonction miroir” sur un tableau grâce à laquelle les modifications pourront être enregistrées par “logging” dans un autre tableau. Vous pourrez supprimer vous-même ces tableaux miroirs. Dans ce cas, vous devrez également, en d’autres termes, supprimer ce tableau miroir si l’on vous demande de supprimer les données personnelles.
Si vous ne savez pas comment supprimer ce tableau dans DIMASYS, il sera préférable de contacter votre personne de contact chez INFOMAT et nous pourrons vous aider.
Le RGPD exige également que vos back-ups soient rendus anonymes une fois que les données personnelles n’ont plus d’utilité. Il sera ici aussi conseillé d’examiner à la loupe la gestion de vos back-ups et de vérifier dans quelle mesure votre procédure satisfait à cette réglementation. Si requis, vous pourriez aussi restaurer le back-up concerné pour ensuite supprimer les données personnelles. Si vous le souhaitez et en cas de nécessité, notre département Customer Service pourra vous venir en aide.
Enfin, la gestion des données enregistrées par vos soins dans le cadre du RGPD constitue votre plus grande responsabilité. Si vous enregistrez des données personnelles, l’octroi de droits ou autorisations permettant d’encoder celles-ci, de les consulter, de les modifier et de les supprimer constitue une responsabilité aussi importante. Il est très important de limiter au minimum possible l’accès à DIMASYS proprement dit, mais aussi à ces données. En cas de fuites de données, déterminer et éliminer si possible la source de ces fuites fera partie de votre responsabilité. Outre le réseau pur et les sécurités ‘hardware’, vous pourrez limiter l’accès aux données dans DIMASYS au moyen de la gestion des droits. Dans DIMASYS peuvent être sécurisés tant des programmes et fonctions que des champs, et il convient donc d’insister sur le fait qu’il est important de ne pas prendre ces mesures à la légère et de les consigner clairement dans les procédures de votre société.
Si vous êtes insuffisamment au courant des possibilités de sécurisation dans DIMASYS, il sera préférable de contacter votre personne de contact chez INFOMAT et nous pourrons vous venir en aide.
Pour les déclarations RGPD des produits de nos partenaires (comme Exact Financials, CAS genesisWorld, CORSA, Allegro, etc.), nous vous renvoyons vers notre site Internet ou celui du partenaire concerné.
Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR)
Pour répondre à la question de savoir dans quelle mesure nos collaborateurs appliquent le RGPD par rapport aux données personnelles dans votre base de données avec lesquelles ils peuvent entrer en contact, qu’il s’agisse des données personnelles de vos propres collaborateurs ou celles de vos clients ou fournisseurs, nous vous renvoyons à l’article prévu à cet effet dans nos Conditions Générales (plus précisément l’Article 22. Confidentialité) qui garantit la confidentialité de l’ensemble des opérations que nous effectuons pour vous. Le traitement de données dans le cadre d’une intervention technique (réparation, etc.) par un de nos collaborateurs ne constitue pas un traitement des données personnelles au sens du RGPD.
Pour le développement de ses produits, INFOMAT accorde de l’importance aux principes “privacy by design” et “privacy by default”. INFOMAT veillera à ce que les fonctionnalités respectueuses de la vie privée de ses logiciels d’ERP soient maintenues afin de vous permettre de facilement implémenter les processus et mesures conformes au RGPD nécessaires, en phase avec l’évolution du cadre réglementaire.
Nous espérons, par la présente, vous avoir suffisamment informé, mais restons évidemment toujours à votre disposition pour d’autres questions.
Salutations amicales.
Infomat
Date de la dernière mise à jour: 17-05-2018
