PrintSphere

Nouvelle RGPD pour les utilisateurs PrintSphere

Pour avoir l’assurance d’être conforme à la nouvelle réglementation générale de protection des données pour tous les utilisateurs PrintSphere

La législation GDPR (General Data Protection Regulation) – ou RGPD en France (Réglement Général sur la Protection des Données) est une nouvelle réglementation qui vise à harmoniser la protection des données des individus dans l’union européenne (UE), en Islande, au Liechtenstein et en Norvège. Cette publication décrit l’impact qu’aura la RGPD sur les imprimeurs et les fournisseurs de services d’impression qui utilisent PrintSphere, la solution collaborative de partage de données et d’automatisation basée en mode ‘Cloud’ d’Agfa.

La législation GDPR se concentre sur la protection des données personnelles, avec toute information qui se rapporte à une personne physique identifiée ou identifiable. Cela comprend les noms, les adresses, les informations physiques ou génétiques, les adresses IP, les données de localisation, les transactions commerciales, etc. La législation harmonise la multitude de législations différentes qui existaient auparavant dans les divers états membres de l’UE. Il est plus connu sous la désignation de RGPD pour la France et l’Espagne, et sous d’autres noms dans d’autres états membres, tels que AVG (Pays-Bas), DSGVO (Allemagne), ou RODO (Pologne).

GDPR

La RGPD devient exécutoire le 25 mai 2018. Si votre entreprise est située dans l’union européenne ou si vous avez des clients eux-mêmes dans l’UE, vous devez respecter cette nouvelle législation. Les entreprises qui ne se seraient pas mises en conformité risquent des amendes substantielles.

Vous trouverez ci-dessous les informations relatives à la nouvelle réglementation RGPD qui s’appliquent à PrintSphere. Agfa s’efforce de s’assurer que ce service collaboratif en mode ‘Cloud’ puisse être utilisé de manière conforme à la RGPD. En tant qu’utilisateur PrintSphere, vous devez être informé et sensibilisé sur les diverses mesures prises par Agfa Graphics, et vous devez également vous assurer qu’en ce qui concerne les clients utilisateurs, votre utilisation de la plate-forme est bien conforme à la nouvelle législation. Les lignes directrices ci-dessous sont fournies purement à titre informatif, et non dans le but de fournir des avis ou conseils juridiques.

GDPR

Les entreprises utilisant PrintSphere sont considérées comme des responsables de contrôles  (ou “contrôleurs”) – ‘une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données personnelles’. Agfa est l’exécutant – ‘une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte du contrôleur’.

Vos responsabilités RGPD en tant que contrôleur

En tant que responsable du contrôle des données, vous devrez probablement transmettre et partager des informations relatives à la nouvelle réglementation RGPD avec vos clients. Si des plates-formes en ligne comme PrintSphere sont utilisées pour traiter les données d’une commande, vous allez devoir également mettre en place un certain nombre de processus pour être conforme. Lorsque le texte ci-dessous fait référence à des utilisateurs PrintSphere, il fait référence aussi bien aux utilisateurs qu’aux administrateurs de PrintSphere.

Enregistrement des données personnelles

  • PrintSphere conserve une quantité limitée de données personnelles pour tous les utilisateurs. Selon le rôle de ces utilisateurs et fonction de quelle plateforme (ProductionCenter ou SphereCenter) a été utilisée lorsque leurs comptes ont été ajoutés, la quantité de données collectées et le niveau d’accès des utilisateurs à leurs données de profil peuvent différer.
  • Pour les utilisateurs ajoutés via ProductionCenter, les données personnelles suivantes sont stockées : prénom et nom, adresse e-mail, nom d’utilisateur, numéro de téléphone fixe et de portable, fax ainsi que la langue parlée. Le rôle de l’utilisateur et les préférences d’unité/de courrier électronique par défaut sont également stockés, avec des remarques facultatives.
  • Pour les utilisateurs ajoutés via SphereCenter, les données personnelles suivantes sont stockées : prénom et nom, adresse e-mail, nom d’utilisateur, désignation de la forme de salutation ainsi que la langue parlée. Les groupes éventuels auxquels pourraient appartenir les utilisateurs et l’espace disque qui leur sont alloués sont également stockés.
  • Sur le site Internet de PrintSphere, les utilisateurs peuvent voir leur nom complet, leur adresse électronique et les groupes auxquels ils appartiennent. Ils ne peuvent pas modifier ces paramètres, mais ils peuvent par contre modifier leur langue, leur image de profil ainsi que leurs préférences de notification.

Voici les actions à entreprendre et réaliser :

  • Pour correspondre aux exigences de la nouvelle législation, PrintSphere doit vous permettre d’inclure une clause de confidentialité. Dans la nouvelle version PrintSphere 2.5, vous pourrez facilement insérer une politique de confidentialité à destination des utilisateurs en utilisant une toute nouvelle option du menu Avancé > Définir la politique de confidentalité (Privacy Policy) dans SphereCenter. Ajoutez votre politique de confidentialité pour les différentes langues que les utilisateurs seraient amenés à utiliser.
GDPR PrintShpere - Privacy policy

Au final, les utilisateurs pourront ainsi très facilement accéder et consulter cette politique de confidentialité à partir du menu déroulant situé dans le coin supérieur droit de PrintSphere.

GDPR privacy policy

En plus d’un outil spécifique intégré qui vous pemet d’ajouter et de définir directement dans PrintSphere une politique de confidentialité, vous pouvez également rediriger les utilisateurs vers une page classique de votre site Internet en indiquant là aussi la politique de confidentialité.

À titre indicatif, une déclaration de politique de confidentialité devrait fournir des réponses aux questions suivantes :

– Quelles informations personnelles sont collectées ?
– Qui les recueillent ?
– Comment sont elles collectées ?
– À quelles fins sont elles collectées ?
– Comment seront elles exploitées ?
– Avec qui seront elles partagées ?
– Quels effets pourraient avoir les données collectées sur les personnes concernées ?
– L’utilisation prévue est-elle susceptible de provoquer des objections ou des plaintes ?

  • À travers un enregistrement séparé des activités de traitement de données (Record of Data Processing Activities), vous devez être en mesure de pouvoir documenter quelles données sont enregistrées et conservées, qui y a accès et pourquoi ces données sont nécessaires. Cela s’applique à toutes les facettes de votre métier et de vos processus d’échanges, pas uniquement PrintSphere. Il existe des modèles Microsoft Word ou Excel disponibles en téléchargement sur Internet.
  • Dans les solutions de flux de production automatisés, les comptes d’utilisateurs peuvent être automatiquement ajoutés à PrintSphere, en fonction des données de travail transmises par un système d’information de gestion (MIS/SEG). Dans une telle configuration, la gestion des données utilisateur dans le système MIS doit également être conforme aux directives de la RGPD.

Confidentialité des données et sécurité

Il est essentiel que toutes les données personnelles soient transférées et conservées de façon sécurisée.

  • Toutes les communications et échanges de données entre le navigateur de l’utilisateur et PrintSphere utilisent le protocole crypté et sécurisé HTTPS.
  • Lorsque les utilisateurs accèdent à PrintSphere et laissent la fenêtre du navigateur ouverte, PrintSphere conservera aussi cette session ouverte. Il est impérativement recommandé aux utilisateurs de verrouiller leur compte dès lors qu’ils quittent leur ordinateur ou laissent leur appareil mobile sans surveillance.
  • Lorsqu’une faille de sécurité entraîne une perte de données, l’autorité de surveillance locale (voire également les utilisateurs) doit en être informée. Ce type de fuite pourrait par exemple, provenir d’un employé déloyal qui exporte une liste de tous les utilisateurs pour la fournir et la rendre accessible à un concurrent. Pour minimiser ces risques, désactivez immédiatement le compte des employés disposant de droits d’accès de type administrateur dès lors qu’ils quittent votre entreprise. Lorsqu’une violation de données se produit, vous devez non seulement la signaler, mais également documenter les mesures prises pour éviter qu’une telle violation ne se reproduise à l’avenir.
  • Si vous partagez ou vendez des données utilisateur à d’autres parties, les utilisateurs doivent en être informés.

Exactitude et actualisation des données personnelles

Les données personnelles doivent être exactes et tenues à jour. Cela signifie que les utilisateurs doivent non seulement être en mesure de voir leurs données personnelles mais aussi être en mesure de les corriger. La déclaration d’une politique de confidentialité devrait expliquer comment les utilisateurs peuvent demander la mise à jour ou pouvoir réaliser par eux-mêmes l’actualisation de leurs données respectives. Étant donné que les utilisateurs n’ont que des capacités d’édition limitées dans l’interface Internet utilisateur de PrintSphere, nous recommandons d’inclure une mention selon laquelle les utilisateurs peuvent demander une vue d’ensemble ou mettre à jour leurs données personnelles par courrier électronique.

Politique de conservation des données

Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Si quelqu’un n’utilise plus PrintSphere, vous devez supprimer les données de profil de cet utilisateur dans un délai raisonnable. La durée de conservation des données personnelles relève de votre seule appréciation. Il est acceptable de le faire après quelques années seulement, étant donné que les clients passent parfois d’un fournisseur à l’autre et que leurs comptes PrintSphere soient facilement accessibles. Si ils redeviennent client après un an, c’est parfaitement acceptable.
Vous êtes autorisé à archiver les données de profil utilisateur avant de les supprimer. Étant donné le peu de données contenues dans les comptes PrintSphere, cela n’a en fait pas ou peu de sens.

Droit à l’oubli

Tous les utilisateurs ont le droit de voir leurs données personnelles supprimées de PrintSphere. Comme ils ne peuvent pas supprimer eux-mêmes leurs données de profil, un administrateur PrintSphere doit le faire pour toute personne demandant à ce que son compte soit supprimé. Dans votre politique de confidentialité, il est souhaitable et recommandé de publier une procédure que les utilisateurs puissent suivre. Une opération très facile qui peut être réalisée en leur demandant simplement d’envoyer un courriel avec leur nom complet, et d’indiquer sur la ligne d’objet “Supprimer mon compte PrintSphere”.

Accord librement consenti

La législation RGPD impose certaines restrictions sur votre marge de manoeuvre et votre capacité à abonner des clients à une lettre d’information. Le marketing par courrier électronique est un moyen très efficace d’atteindre les clients, mais vous ne pouvez pas ajouter d’utilisateurs PrintSphere à votre liste de diffusion sans leur consentement explicite ou la preuve de leur intérêt légitime.

Les responsabilités d’Agfa vis-à-vis de la RGPD en tant qu’opérateur/exécutant

PrintSphere est hébergé par Agfa, qui agit comme un opérateur de traitement sécurisé des données personnelles que vous gérez. Agfa s’engage à respecter et être en parfaite conformité avec législation RGDP. Voici nos principales responsabilités en tant qu’exécutant :

  • Obligation de confidentialité
    L’opérateur doit s’assurer que les données personnelles qui sont traitées demeurent confidentielles
  • Enregistrements des opérations de traitement
    Afin de garantir d’être en parfaite conformité, la législation européenne sur la protection des données exige que les opérateurs s’assurent qu’ils conservent bien des enregistrements de leurs opérations de traitement des données ; et que les informations contenues dans ces enregistrements puissent être fournies (ou soient disponibles sur demande) à l’autorité administrative (CNIL) contrôlant les accords portant sur le traitement et la protection des données.
  • Sécurité des données
    La législation européenne sur la protection des données oblige les opérateurs de traitement à assurer la sécurité des données personnelles qu’ils sont en charge de traiter.
  • Rapport de violation ou de fuite des données
    L’un des principaux problèmes liés au maintien de la sécurisation des données à caractère personnel, consiste à veiller à ce que tous les décideurs concernés soient informés de toute violation de données afin d’être en mesure de réagir en conséquence.
  • Responsabilité des opérateurs
    La législation européenne sur la protection des données reconnaît la possibilité que les opérateurs puissent être tenus responsables de la violation ou de la fuite des données en regard de leurs obligations légales ou contractuelles. Les obligations et tâches de l’opérateur hébergeur comprennent, et ne sont pas seulement limitées :
    • Au traitement des données uniquement selon les instructions du contrôleur.
    • À utiliser et prendre toutes les mesures techniques et organisationnelles appropriées, pour protéger les données personnelles.
    • À fournir une assistance au contrôleur à propos des demandes de données.
    • À ne mandater des sous-traitants qu’avec la permission du contrôleur.
    • S’assurer que les sous-traitants concernés respectent toutes les exigences.

En ce qui concerne spécifiquement PrintSphere, les points suivants sont particulièrement importants :

  • Chaque compte PrintSphere dispose d’un administrateur principal. C’est la personne qui fut la première à avoir accès à StoreCenter, et qui eu ensuite la possibilité d’ajouter d’autres administrateurs. Ce compte utilisateur (contenant un prénom, un nom de famille, une formule de politesse ainsi qu’une adresse de courriel) est exclusivement géré par Agfa. Pour mettre ce compte à jour, veuillez contacter localement votre équipe Agfa ou votre revendeur local.
  • Le contrat de licence et de service PrintSphere a été mis à jour pour répondre aux exigences de la RGPD. Il peut être consulté en cliquant sur le lien ‘Accord de licence’ (Licence Agreement) situé dans la barre de menus en haut à gauche de SphereCenter. Si vous préférez établir un contrat séparé concernant le traitement des données avec Agfa, veuillez fournir ce type de document à votre représentation commerciale Agfa ou auprès de votre revendeur local agréé. Ils le feront valider et signer par l’équipe juridique compétente présente au siège de la société Agfa. Pour vous aider dans vos démarches, il existe des autorités administratives indépendantes, ou des associations et des organisations professionnelles spécialisées dans les Arts Graphiques qui offrent un modèle de contrat que vous pouvez utiliser comme modèle.
GDPR License Agfeement

En résumé, il est essentiel que vos utilisateurs PrintSphere puissent accéder à votre politique de confidentialité.Une publication activable directement dans PrintSphere. Vous devez également avoir un registre des activités de traitement de données en place.

Une fois ces exigences de base couvertes, vous pouvez vous concentrer sur les autres aspects de la législation GDPR. Si vous avez encore des interrogations ou questions liées à la RGPD concernant PrintSphere, veuillez contacter votre représentation commerciale Agfa en France.

Produits apparentés

Printsphere
PrintSphere
PrintSphere est une solution de logicielle à la demande (Software-as-a-Service) hébergée dans le ‘Cloud’ (informatique dans le nuage), optimisée pour échanger de manière standardisée les données et automatiser le flux de production.