Guide RGDP de Cheetah Digital

Mis à jour : 25 mai 2018

Les questions et les réponses dans ce guide sont destinées à vous permettre de comprendre comment les réglementations européennes relatives à la confidentialité, le Règlement général sur la protection des données (« RGPD ») de l’Union européenne et l’ePrivacy Directive (« ePD »), s’appliquent à Cheetah Digital, la façon dont Cheetah assure la conformité, et comment l’approche européenne de la confidentialité informe l’utilisation par nos clients de nos plateformes marketing et de nos services (« Services »).

La confidentialité dépend forcément du contexte.  Chaque entreprise étant différente, de ces objectifs commerciaux à ses réalités opérationnelles, une pratique de confidentialité pour une organisation peut ne pas l’être pour une autre. En proposant notre propre point de vue sur ce sujet complexe, Cheetah Digital n’offre aucune garantie quant à la conformité des lois et des règlements, européens ou autres. 

Bien que nous espérions que ce guide soit informatif, nous n’avons pas l’intention qu’il soit interprété comme un avis juridique. 

Si vous avez des questions supplémentaires à propos de Cheetah Digital après avoir examiné les informations et nos politiques de confidentialité, veuillez contacter notre responsable de la confidentialité à privacy@cheetahdigital.com.

 

Qu’est-ce que le Règlement général sur la protection des données (« RGPD ») de l’Union européenne ?

Conçu pour remplacer la Directive sur la protection des données de l’Union européenne 95/46/EC, le Règlement général sur la protection des données cherche à mettre à jour et à harmoniser les lois sur la confidentialité en Europe tout en offrant aux particuliers en Europe (les « Personnes concernées ») un meilleur contrôle de leurs données personnelles. Fondamentalement, le RGPD incite les organisations à faire de la confidentialité un facteur clé dans les décisions des clients, des produits et des partenaires.

Le RGPD charge les organisations de : 

  • « réduire les risques, notamment les précautions, les mesures de sécurité et les mécanismes pour assurer la protection des données personnelles » ;
  • « démontrer la conformité avec ce règlement » ; et
  • « [prendre] en compte les droits et les intérêts légitimes des personnes concernées et d’autres personnes intéressées. »

Le RGDP mettra aussi en œuvre la directive ePrivacy 200258/EC existante (et son remplacement proposé, le Règlement ePrivacy) qui fixe les règles et les obligations spécifiques pour la façon dont les organisations réagissent avec des individus en ligne situés dans l’Union européenne. Le RGDP entrera en vigueur le 25 mai 2018.

 

Comment Cheetah Digital satisfait-elle aux exigences du RGDP ?

Une équipe RGDP pluridisciplinaire travaille de façon proactive pour s’assurer que nous sommes prêts dans notre organisation internationale pour le 25 mai et après.  Nous avons complété une évaluation de nos systèmes et de nos procédures liés aux données personnelles et nous mettons en place des mécanismes pour veiller à la responsabilité, à la transparence et à la proportionnalité de l’utilisation de nos données personnelles en tant qu’entreprise et prestataire de service.   

Cheetah Digital s’engage à respecter la sécurité de l’information, la conservation des dossiers et les exigences de notification du RGDP, et aidera nos clients en leur permettant d’avoir accès à leurs droits répertoriés en vertu du règlement. Nous avons désigné un responsable de la protection des données pour surveiller de façon indépendante le programme RGDP et pour représenter les intérêts des particuliers de l’UE dont nous gérons les données personnelles, à la fois en tant qu’entreprise et en tant que prestataire de services.  

 

Services Cheetah Digital

Nos plateformes et nos services sont conçus en gardant la confidentialité à l’esprit, en utilisant la transparence, la minimisation des données et des politiques basées sur la permission.  Notre objectif est la distribution de courrier électronique et la gestion de campagne multicanale qui permettent à nos clients de communiquer directement et efficacement avec leurs propres clients et leurs abonnés. Cheetah Digital ne recueille ou ne partage pas les données de nos clients unilatéralement, n’effectue pas une surveillance en ligne ou des profils d’audience de courtiers à des fins de ciblage publicitaire.  Pour plus d’informations sur nos pratiques de confidentialité en lien avec nos offres de produits, veuillez consulter notre Politique de confidentialité des services.

 

Obtenir le consentement de l’utilisateur final qui est la personne concernée

En tant que participants à l’écosystème du marketing numérique, nos services sont couverts par la directive ePrivacy, qui nécessite une transparence et un/des consentement(s) supplémentaires pour la distribution de messages commerciaux électroniques, le placement de certains cookies, la collecte de données de dispositif mobile et d’autres identifiants uniques, et la gestion responsable des données des communications électroniques en général.  En tant que prestataire de services basé sur des permissions, nous comptons sur la coopération de nos clients et de leurs tiers pour assurer que les destinataires finaux des messages sont suffisamment informés et que le(s) consentement(s) approprié(s) a/ont été obtenu(s) pour permettre la distribution du message et la recommercialisation des cas d’emploi, ainsi que l’analyse stimulant les mesures d’engagement critique et de signalement.  Nous encourageons nos clients à évaluer s’ils peuvent obtenir les normes les plus élevées pour le consentement selon le RGDP et comme anticipé dans nos conditions de services et notre Politique anti-spam globale.

Nous suivons attentivement la question du consentement pour les utilisations multicanales, notamment la réponse du secteur adtech à ces normes évolutives selon l’ePrivacy directive habilitée par le RGDP, et nous sommes prêts à avancer rapidement en tant que fournisseur, le cas échéant.

 

Honorer les demandes de droits des personnes concernées

En vertu du RGPD, les personnes concernées ont le droit de demander l’accès à leurs données personnelles, la capacité de corriger ou d’effacer les données les concernant, le droit de s’opposer à et de demander l’arrêt des activités de traitement qui comprennent le profilage et la prise de décision automatisée, et dans certains contextes, la portabilité correcte de données personnelles venant du système d’une entreprise à un autre. En tant que processeur de données, Cheetah Digital a développé des processus techniques et procéduraux pour soutenir les efforts de nos clients à honorer les droits des personnes concernées les plus applicables à nos services. Nos plateformes supportent déjà d’origine des droits qui ne nécessitent pas de vérification supplémentaire d’identité et demandent la prise de mesures de validation par nos clients. Ceci comprend la capacité des individus à s’opposer au marketing électronique (grâce à la possibilité dans les e-mails de se désinscrire), de mettre à jour leurs coordonnées en utilisant des centres de préférence que nous pouvons héberger pour nos clients) et de déposer une plainte concernant les communications indésirables ou non sollicitées (à l’aide de dispositif de rétroaction des abus automatisés et gérés). Nos efforts pour soutenir les objectifs de conformité de nos clients avec ces aspects et d’autres du RGPD sont constants et continueront à évoluer pour répondre à nos besoins mutuels.

 

Notification de violation de la confidentialité

Cheetah Digital dispose d’un processus de gestion de réponse aux incidents liés au risque établi. Celui-ci satisfait aux exigences de violation de données en vertu du RGDP et de la loi précédente sur la protection des données de l’UE. Signaler la violation aux clients (et aux régulateurs nationaux appropriés) se fera en coordination avec nos équipes Sécurité, Confidentialité et Juridique, ainsi qu’avec notre responsable de la protection des données le cas échéant. 

Nous informerons nos clients dès que cela sera raisonnablement possible, mais au minimum dans un délai de 72 heures après la confirmation d’une violation affectant les données personnelles du client.

 

Protection et conservation des données

Nous avons un programme global complet de sécurité de l’information régissant la confidentialité, l’accessibilité et l’intégrité des données des clients. Notre positionnement sur la sécurité est modélisé selon les normes ISO 27001/2 et est soumis aux audits SOC 2 Type II annuels par des examinateurs indépendants. En ce qui concerne les systèmes informatiques, nous veillons à ce que tous les composants de notre infrastructure technologique soient convenablement sécurisés.  Ceci commence par le chiffrage de l’ordinateur portable de l’utilisateur final et les solutions de protection des postes de travail (Data Loss Prevention, DLP). En outre, en conformité avec l’article 35 du RGPD, nous avons amélioré le développement de nos produits et les processus de gouvernance pour évaluer les risques liés à la confidentialité des produits nouveaux et existants. Grâce à cet exercice, nous identifions, classons et gérons notre utilisation et protégeons les données personnelles qui nous sont confiées. 

Nous conservons les données personnelles qui nous sont fournies par nos clients ou que nous recueillons pour le compte de nos clients pendant la durée nécessaire pour exécuter nos services, tel qu’indiqué dans notre Politique de confidentialité des services. C’est en général pour toute la durée d’un contrat sauf si une période de conservation plus courte est demandée par le client, comme établi dans nos calendriers de conservation des plateformes. Nous estimons que notre conservation des données des clients est nécessaire, minime et proportionnelle à nos besoins opérationnels et à nos intérêts.

 

Transferts de données transfrontaliers

Cheetah Digital est un prestataire de service mondial et suit un modèle de soutien Follow the Sun. Les données personnelles des résidents de l’UE peuvent être transférées ou accessibles depuis l’extérieur de l’UE/EEE par les membres du personnel de Cheetah dans nos sites de soutien international, notamment aux États-Unis.


Les clauses contractuelles standards (modèles) de la Commission européenne sont en place dans nos contrats entre les entreprises du groupe Cheetah Digital et nos clients pour sécuriser les données conformément aux normes européennes. En accord avec notre modèle de service mondial, toute entreprise du groupe Cheetah Digital peut avoir accès aux données personnelles des résidents de l’UE et les clauses dans ces contrats assurent la protection convenable des données personnelles exportées en dehors de l’UE/EEE.