Pour rappel le 15 mai, nous avons ouvert un espace d’échanges dédié au RGPD. Nous nous étions engagés à répondre à toutes vos interrogations. Dans cette FAQ RGPD, vous trouverez, les réponses aux questions que vous nous avez posées.

Question 1 : il semble à priori que vous soyez sous-traitants des données personnelles inscrites dans les documents créés par vos clients, puisque vous les hébergez. Pouvez-vous me le confirmer ?

Notre plateforme est utilisée par nos clients pour saisir des données personnelles de citoyens européens. En ce sens nous sommes effectivement le sous-traitant des données personnelles qu’ils injectent dans l’application « Kizeo Forms ». Cependant au regard du RGPD, ceux sont bien les utilisateurs de l’application qui sont les seuls responsables des données personnelles qu’ils collectent. Notre rôle est de mettre à disposition de nos utilisateurs des outils efficaces pour garantir les droits fondamentaux définis par le Règlement Général pour la Protection des données :

  • Leur identification
  • Leur suppression
  • Leur modification

Dans l’idée, vous devez mettre en place des règles à respecter et des actions à effectuer pour identifier ce qui relève des données à caractère personnel au sein de vos formulaires.

Pour en savoir plus n’hésitez pas à consulter notre article : « Comment adapter vos formulaires pour les rendre conformes au RGPD ».

Question 2 : avez-vous des sous-traitants qui sont concernés par les données personnelles de vos clients ?

Effectivement, nous travaillons avec OVH une entreprise spécialisée dans les services de « cloud computing ». OVH est profondément engagée dans la qualité de service comme le démontre ses nombreuses certifications et récompenses.

En qualité de sous-traitant, OVH s’engage notamment à mettre en œuvre les actions suivantes :

  • traiter les données à caractère personnel aux seules fins de la bonne exécution des services : OVH ne traitera jamais nos informations à d’autres fins (marketing, etc.).
  • ne pas transférer nos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant.
  • nous informer de tout recours à des sous-traitants qui pourraient traiter les données à caractère personnel :
  • mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à ses services.
  • nous notifier dans les meilleurs délais en cas de violation de données.
  • nous assister à respecter nos obligations réglementaires en nous fournissant une documentation adéquate.
Les engagements d'OVH en qualité de sous-traitant

Question 3 : comment assurez-vous la sécurité des données saisies ?

Toutes les données transitent de bout en bout de manière sécurisée à l’aide de flux HTTPS (TLS). De plus, l’ensemble de notre plateforme Kizeo Forms est infogérée. Cette plateforme répond aux exigences du référentiel ISO/CEI 27001 qui vise spécifiquement à garantir la disponibilité, la sécurité et la durabilité de la donnée client. Un Système de Management de la Sécurité de l’Information (SMSI) recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre.

Question 4 : avez-vous mis en place un registre des activités de traitement ?

Le § 1 de l’article 30 du RGPD impose la tenue d’un registre des activités de traitement. Cependant le § 5 de ce même article précise que cette obligation ne concerne pas les entreprises ou les organisations comptant moins de 205 salariés. Kizeo comptant moins de 205 salariés n’est donc pas tenue à mettre en place un registre des activités de traitement. Néanmoins nous avons fait le choix d’en mettre un en œuvre, pour des raisons éthiques.

Question 5 : sachant que les signatures électroniques sont des données personnelles, pouvez-vous me confirmer que vous répondez sur ce sujet aux normes du Règlement Général pour la Protection des Données.

Depuis la loi n°2000-230 du 13 mars 2000, la signature électronique dispose de la même force probante que la signature manuscrite. L’article 1316-4 du Code civil prévoit en effet que la signature électronique est une preuve littérale au même titre qu’une signature manuscrite.
Dans les faits, Kizeo intervient en tant que prestataire c’est donc de votre responsabilité d’identifier les données personnelles de vos clients.
Petite astuce, vous pouvez faire accepter la collecte de données personnelles via un formulaire, en procédant comme suit :

  • 1ère partie du formulaire : saisie de la donnée ‘classique’ (comme suivi chantier, prise de contact sur un salon professionnel, etc)
  • 2ème partie du formulaire : RGPD – Acceptation de collecte de données personnelles :
    • Ajout d’un séparateur, nom : « Données personnelles – RGPD » ;
    • Ajout d’un champ « texte fixe » ou d’un champ « Pièce Jointe » expliquant que le client collecte de la donnée personnelle et souhaite avoir l’accord du prospect ;
    • Ajout d’un champ « case à cocher » pour acceptation ;
    • Ajout d’un champ « Signature » pour validation de l’acceptation.

Depuis le Back-Office vous pourrez télécharger cet exemple de formulaire dans la rubrique « ma bibliothèque ».

Question 6 : est-il possible de joindre à chaque envoi de mail, l’historique Excel de toutes les données du formulaire concerné ?

Vous pouvez effectivement créer un modèle Word/Excel personnalisé concernant la partie « RGPD » de votre formulaire. Une fois programmé, celui-ci pourra être envoyé directement à la personne de votre choix. Cette configuration peut être ajoutée sur chacun de vos formulaires. Pour en savoir plus n’hésitez pas à consulter notre article : « Comment adapter vos formulaires pour les rendre conformes au RGPD ».

Question 7 : comment identifier une donnée personnelle dans un formulaire Kizeo Forms ?

Sur une simple demande par mail de votre part, nous pouvons vous faire parvenir un export Excel CSV contenant l’ensemble des champs de votre formulaire. Ainsi vous pourrez, facilement identifier les champs susceptibles de contenir de la donnée personnelle. Depuis le début du mois de Juillet, vous pouvez désormais identifier des champs qui contiennent des données personnelles (nom, prénom, adresse) directement pendant la construction de votre formulaire (case à cocher dans les préférences du champ).Grâce à cette nouvelle mise à jour de l’application, nous allons pouvoir vous envoyer un export des champs que vous aurez tagué comme  « donnée personnelle ».

Question 8 : qui est le DPP (Délégué à la Protection des Données) au sein de Kizeo ?

Le Délégué à la Protection des Données est notre président Philippe Gellet, aidé dans cette tâche par Vincent Demonchy responsable R&D.