rgpd

Services RGPD et TinyMDM
Que signifie le RGPD pour moi en tant que client TinyMDM ?

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est une loi sur la protection des données qui a été créée pour protéger les consommateurs et leurs données à « caractère personnel ». Elle a remplacé l’ancienne directive européenne sur la protection des données, renforçant les droits des individus et définissant la manière dont les entreprises et les particuliers peuvent recueillir, stocker, transférer, utiliser et supprimer les données personnelles des personnes. En tant que client TinyMDM, vous pouvez demander à ce que vos informations personnelles soient exportées ou supprimées et/ou à ce que votre compte soit supprimé.

Qu'est-ce que les données à « caractère personnel » ?

Le terme “données à caractère personnel” est la porte d’entrée de l’application du RGPD : il s’applique dès qu’un traitement de données concerne des données personnelles. Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (Art.4 du RGPD).

Sont concernées les personnes pouvant être directement ou indirectement identifiées, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou des caractéristiques particulières, qui exprime l’identité physique, physiologique, génétique, mentale, commerciale, culturelle ou sociale de ces personnes physiques. En pratique, il s’agit également de toutes les données qui sont ou peuvent être attribuées à une personne de quelque manière que ce soit.

Quelles sont les mesures prises par Ars Nova Systems pour se conformer à la RGPD?

La protection des données et la confidentialité des utilisateurs sont essentielles dans la gestion des appareils mobiles et ces préoccupations sont au centre de notre mission. Chez Ars Nova Systems, nous avons travaillé dur pour fournir à nos clients une plate-forme conforme aux normes RGPD pour la gestion de leurs appareils mobiles. A tout moment, à la demande d’un titulaire de compte, tinymdm.net, tinymdm.fr, et autres services B2B de TinyMDM s’engagent, dans un délai de 30 jours :

  • Exporter leurs données utilisateur.
  • Supprimer les données utilisateur.
  • Mettre à jour les données utilisateur.
  • Supprimer le compte.

Nous nous engageons également à informer nos clients de tout dysfonctionnement entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel dans les 72h suivant le moment où nous en avons eu connaissance (Art. 33 du RGPD), sauf si ce dysfonctionnement n’est pas susceptible d’entraîner un risque pour les droits et libertés ou les personnes physiques.

Quelles sont les informations que nous recueillons sur vous et qu'en faisons-nous ?

Nous ne recueillons que les informations que vous nous fournissez en vous inscrivant ou en nous contactant pour demander des informations, de type : nom, adresse, adresse électronique, données relatives à la localisation, fonction, entreprise, et toute autre information envoyée ou fournie. Pour une liste détaillée, référez-vous à la politique de confidentialité TinyMDM.

Vous comprenez qu’en utilisant le service TinyMDM, vous consentez à la collecte, l’utilisation et la divulgation de vos informations personnelles et des données agrégées comme indiqué dans notre politique de confidentialité, et à ce que vos informations personnelles soient collectées, utilisées, transférées et traitées sur nos serveurs en Europe.

Nous ne divulguerons jamais aucune des informations privées communiquées sans votre consentement. Vos données personnelles ne seront utilisées que pour la facturation, le paiement, le service de courrier électronique de la plate-forme (dans ce cas, vos informations pourraient être utilisées avec des logiciels tiers qui garantissent le respect de votre confidentialité).

Les informations soumises à TinyMDM seront transférées à ses serveurs pour traitement. Les informations peuvent rester sur les serveurs de TinyMDM, afin d’aider TinyMDM à améliorer son service. Ars Nova Systems tient un registre ou des activités de traitement sous sa responsabilité (Art.33 RGPD).

Comment puis-je demander que mes données clients soient supprimées de TinyMDM?

Selon le RGPD, les données à caractère personnel doivent être immédiatement effacées sur demande lorsque les données ne sont plus nécessaires à leur finalité de traitement initiale, ou lorsque la personne concernée a retiré son consentement et qu’il n’existe pas d’autre motif légal de traitement (article 17 du RGPD).

Pour supprimer votre compte, veuillez consulter la console d’administration TinyMDM, onglet Mon Compte et cliquer sur Supprimer mon compte. Pour demander l’effacement de vos données, faites une demande écrite à rgpd[at]arsnovasystems.com. Si aucune exception ne s’applique, nous prendrons des mesures dans un délai d’un mois pour assurer l’effacement des données des systèmes de sauvegarde ainsi que des systèmes actifs. Si nous avons des doutes sur l’identité de la personne qui fait la demande, nous sommes dans le droit de demander plus d’informations.

Où mes informations personnelles sont-elles stockées ?

TinyMDM et les sites associés utilisent Amazon Web Services pour le stockage des bases de données, et nos serveurs sont basés en Union Européenne, conformément au RGPD.

RGPD Vs. Cloud Act

AWS et la conformité au RGPD suivent l’arrêt Schrems II et les recommandations du Comité européen de la protection des données (EDPB). Le 23 mars 2018, le Congrès des États-Unis a adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), qui met à jour le cadre juridique des demandes judiciaires de données détenues par les fournisseurs de services de communication. Clarifiant la législation antérieure, le CLOUD Act prévoit un mécanisme limité permettant aux services de maintien de l’ordre des États-Unis de demander des données stockées aux États-Unis et à l’étranger. Chose importante, le CLOUD Act crée également des garanties supplémentaires pour le contenu cloud, notamment en reconnaissant le droit des fournisseurs à contester les demandes qui entrent en conflit avec les lois ou les intérêts d’un autre pays et en exigeant que les gouvernements respectent le droit local.

Le CLOUD Act clarifie également la portée géographique des demandes d’application de la loi des États-Unis et offre aux fournisseurs de services un nouveau moyen de contester les demandes contraires aux lois ou aux intérêts nationaux d’un autre pays. Toujours dans le cadre du RGPD, il est d’une part possible de continuer d’utiliser les services AWS pour transférer des données client depuis l’EEE vers des pays non membres de l’EEE n’ayant pas reçu une décision d’adéquation de la part de la Commission européenne (États-Unis inclus), et d’autre part, AWS a toujours contesté les demandes d’informations des clients émanant du gouvernement qui sont excessives ou inappropriées. En effet, le CLOUD Act ne donne pas aux forces de l’ordre des États-Unis un accès illimité ou sans entrave aux données. Les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances :

  • avec le consentement du client
  • avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Pour qu’un mandat soit émis, un tribunal américain doit être convaincu qu’il existe des motifs probables de croire qu’un crime a été commis et que les preuves demandées en vertu du mandat sont directement liées à ce crime.

Si AWS est tenu de divulguer le contenu du client, AWS avertit les clients avant la divulgation afin de leur donner la possibilité de demander la protection de la divulgation, y compris lorsque la demande est en conflit avec la règlementation de l’Union européenne. Autre élément majeur, selon la Déclaration conjointe de la Commission européenne et des États-Unis en date du 25 mars 2022, un nouveau cadre transatlantique de protection des données personnelles a été trouvé, qui favorise les flux de données transatlantiques et répond aux préoccupations exprimées par la Cour de justice de l’Union européenne dans l’arrêt Schrems II de juillet 2020. Ce “Trans-Atlantic Data Privacy Framework”, qui va très prochainement être validé par un texte de loi, comprend:

  • un nouvel ensemble de règles et de garanties contraignantes visant à limiter l’accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale (les agences de renseignement américaines adopteront des procédures visant à garantir un contrôle efficace des nouvelles normes en matière de protection de la vie privée et des libertés civiles).
  • un nouveau système de recours à deux niveaux pour examiner et résoudre les plaintes des Européens concernant l’accès aux données par les services de renseignement américains, qui comprend une Cour de contrôle de la protection des données. Vous pouvez lire les règles de protection des données d’AWS ici.

Pour finir, le CLOUD Act ne modifie pas les lois locales d’un autre pays. En fait, le CLOUD Act reconnaît aux prestataires de services le droit de contester les demandes contraires aux lois ou aux intérêts nationaux d’un autre pays.

Où puis-je en savoir plus sur le RGPD?

Un aperçu officiel du RGPD est disponible sur le site gdpr.eu.

Si vous avez des questions spécifiques sur le RGPD, veuillez nous contacter à :

ARS NOVA SYSTEMS
9 rue des Olivettes
44000 NANTES
FRANCE
Ou envoyer un email à rgpd[at]arsnovasystems.com