Le RGPD et votre chaîne logistique de contenu

Le chemin vers le RGPD et son impact sur la création, la traduction, l'expérience numérique et la livraison de contenu

« L'avenir numérique de l'Europe peut se construire uniquement sur la confiance. Grâce à de solides normes communes sur la protection des données, les utilisateurs peuvent s'assurer de contrôler leurs informations personnelles », a affirmé Andrus Ansip, vice-président pour le marché unique numérique, en décembre 2015

Règlement général sur la protection des données (RGPD) de l'Union Européenne

Après les propositions de la Commission européenne pour la réforme du système de protection de données, visant à ancrer l'Europe dans « l'ère du numérique », un cadre de règlement général sur la protection des données (RGPD) a été créé et la législation entre aujourd'hui en vigueur.

Le RGPD est une législation de l'Union européenne (UE) visant à donner aux utilisateurs plus de contrôle sur leurs données personnelles, c'est-à-dire les données liées à une personne identifiée ou identifiable ou en d'autres termes les données qui, seules ou associées à d'autres données, permettent d'identifier une personne.

Le RGPD fournit un ensemble de règles définissant la façon dont les organisations de l'UE et de l'Espace économique européen (EEE) et en dehors doivent utiliser les données personnelles à des fins de commercialisation ou de vente de biens ou services, tout en garantissant la protection, le traitement et le stockage adaptés de ces informations.  Ce règlement est destiné à renforcer et unifier la confidentialité des données pour toutes les personnes au sein de l'UE/EEE et les organisations de l'UE/EEE qui traitent les données personnelles d'utilisateurs partout dans le monde. 

Les objectifs de conformité du RGPD peuvent sembler intimidants, mais ils représentent en fait une réelle occasion de construire une relation de confiance avec les clients et les prospects, en les plaçant au premier plan de votre stratégie de données et en vous permettant de prospérer dans la nouvelle ère du numérique.

Comprendre les subtilités du RGPD

À l'ère de la compréhension, il est important de connaître ces quatre concepts clés du RGPD et ce que signifie réellement les données personnelles et le traitement de ces données :

Données personnelles

Toute information concernant une personne physique identifiée ou identifiable.

Traitement

Toute opération ou ensemble d'opérations effectuées sur les données personnelles ou sur des ensembles de données personnelles.

Responsable du contrôle des données

Personne physique ou morale qui détermine les objectifs et les moyens du traitement des données personnelles.

Responsable du traitement des données

Personne physique ou morale qui traite des données personnelles pour le compte du responsable du contrôle des données.

Relever le défi du RGPD

Pour s'attaquer au défi du RGPD et vous assurer de disposer des bons outils, l'article 5 du RGPD explique clairement six principes liés aux données personnelles et à leur utilisation. Le responsable du contrôle des données est chargé de la protection des données et doit pouvoir démontrer le respect de ces principes et disposer des moyens adaptés pour répondre aux demandes des utilisateurs concernant leurs données.  Le responsable du contrôle des données doit cependant pouvoir s'appuyer sur les dispositions du RGPD pour limiter l'étendue des réponses fournies suite à ces demandes.

  • Traitement légal, juste et transparent en ce qui concerne le sujet des données.
  • Collecte de données à des finalités déterminées, explicites et légitimes et aucun traitement ultérieur incompatible avec ces finalités.
  • Vérification de l'adéquation, la pertinence et la limitation du traitement nécessaire au regard des finalités pour lesquelles les données sont traitées (« minimisation des données »).
  • Garantie de l'exactitude et, le cas échéant, mises à jour des données.
  • Identification des sujets des données pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles les données personnelles sont traitées.
  • Traitement assurant la sécurité appropriée des données personnelles.

Protection de la vie privée dès la conception et par défaut

Pour exploiter avec succès le RGPD et votre chaîne logistique de contenu, il vous faut comprendre les données personnelles que vous traitez, mettre en place des processus adaptés et garantir la transparence auprès de vos clients. Concernant votre contenu, SDL est disposé à vous guider dans la bonne voie et vous aider à mettre en place les mesures nécessaires pour respecter les normes du RGPD.

Le RGPD impose aux responsables du contrôle de données de mettre en œuvre une « protection des données dès la conception et par défaut », ce qui signifie que la gestion de la confidentialité des données personnelles est une considération fondamentale du cycle de traitement des données pour tous les projets, de la collecte à la destruction. 

Pour respecter la confidentialité lors du développement de notre logiciel, nous avons intégré un principe d'anonymat dans les processus et les systèmes enregistrant des données, conformément aux principes de développement de logiciel sécurisé. Les normes que nous avons appliquées permettent aujourd'hui à certaines des organisations les plus exigeantes au monde en termes de protection de la vie privée d'utiliser nos logiciels, notamment les services de renseignement, les banques et les organismes gouvernementaux. Elles font partie intégrante de leurs processus de protection de la confidentialité des données. 

Lors de l'utilisation du logiciel SDL, votre entreprise est considérée comme responsable du contrôle de toutes les données personnelles traitées via notre logiciel (sur site ou dans le cloud). Si vous utilisez notre offre de logiciel en tant que service (SaaS), SDL sera considéré comme le processeur de données dans le cadre du stockage ou de la transmission de données personnelles. Pour assurer une protection de la vie privée dès la conception, nous garantissons que le déploiement SaaS est effectué dans des environnements sécurisés, bénéficiant d'un niveau de sécurité approprié.

Notre promesse : vous guider à travers le RGPD et votre contenu

Chez SDL, nous nous engageons à aider nos clients à respecter le RGPD, en leur fournissant les fonctionnalités nécessaires et en les guidant à travers le processus de leur chaîne logistique de contenu, de la création, à la traduction et la livraison.  Nous fournissons des conseils sur la façon d'utiliser les fonctionnalités de nos logiciels de manière responsable et en conformité avec le RGPD.

Cliquez sur les cases ci-dessous pour afficher un aperçu de la façon dont notre logiciel peut vous aider.

Services et logiciel de traduction SDL

Pensez à tous les problèmes de confidentialité des utilisateurs de nos logiciels. 

Conformément au principe de protection de la vie privée dès la conception, notre logiciel de traduction réduit la quantité de données détenues sur les utilisateurs et leur donne le contrôle de ces données, par exemple en les laissant choisir un nom d'utilisateur qui ne permette pas de les identifier, et qui ne fasse pas référence à une information détenue ailleurs (en principe, un pseudonyme). 

Les problèmes plus complexes concernent la façon dont les données personnelles des documents à traduire sont traitées. 

Lorsqu'il est question de données personnelles, le plus simple et le plus fiable est d'appliquer le principe de protection de vie privée dès la conception, comme suit :

  1. Pseudonymiser le contenu lors de la préparation des fichiers : en d'autres termes, un chef de projet (ou rôle équivalent) doit remplacer les données personnelles du fichier de contenu source par des chaînes de pseudonyme avant de transmettre le fichier à un traducteur, un prestataire de services, ou tout autre utilisateur.
  2. Supprimer la clé lorsque la pseudonymisation est inversée : une fois le contenu traduit, finalisé et approuvé avec les pseudonymes, le chef de projet inverse le processus pour que le produit livrable final comprenne les données personnelles requises. Le chef de projet peut supprimer en toute sécurité la clé de pseudonymisation.

Le responsable du contrôle des données, c'est-à-dire la personne qui expose le contenu à nos logiciels ou traducteurs, est responsable des données de ce contenu et de la conformité au RGPD.   Cela n'est pas le rôle de nos logiciels ou processeurs de données, mais nous pouvons vous aider à respecter le RGPD avec quelques pratiques simples. 


Comment pseudonymiser le contenu ?

Il n'existe aucun moyen d'identifier les données personnelles de manière automatique afin de pseudonymiser du contenu avec une précision totale, sans supervision humaine. Mais des outils d'aide sont disponibles. Nous avons développé une application disponible gratuitement à partir de SDL AppStore, et qui vous permet : 

  • D'effectuer des recherches complexes dans le contenu source à l'aide d'expressions régulières (regex) pouvant révéler la présence de données personnelles. 
  • De remplacer les identifiants spécifiques par des jetons aléatoires. 
  • En fin de projet, d'inverser la pseudonymisation en utilisant l'application sur le fichier cible. 

Pour utiliser cette application, vous devez d'abord exporter et convertir vos fichiers au format XLIFF (selon le logiciel que vous utilisez pour préparer les fichiers à traduire). Pour protéger les données personnelles traitées par le biais des logiciels SDL, sans parler de votre propriété intellectuelle et autres informations sensibles, vous devez appliquer plusieurs niveaux et contrôles de sécurité. 

Afin de vérifier que votre chaîne logistique de traduction respecte le RGPD, réalisez l'évaluation SDL, conçue pour aider les organisations à déterminer les technologies et les mesures qui peuvent être mises en œuvre pour simplifier les efforts de conformité RGPD dans le processus de traduction et de localisation.


Traduction automatique et données personnelles

Les services SDL de traduction automatique (TA) ne stockent pas le contenu client soumis pour traduction de façon permanente. Ces services stockent le contenu tant que vous en avez besoin pour la traduction. 

Si vous achetez une solution de traduction automatique SDL adaptée avec une paire de langues alimentée grâce à votre contenu traduit, assurez-vous qu'aucune donnée personnelle n'est présente dans le contenu utilisé. Vous devrez peut-être pseudonymiser ces données pour vous assurer qu'elles ne contiennent pas de données personnelles.

SDL Tridion DX (SDL Tridion Sites et SDL Tridion Docs) et protection de la vie privée dès la conception

Tout utilisateur de SDL Tridion Sites ou SDL Tridion Docs, deux composantes de la suite SDL Tridion DX, doit revoir sa mise en œuvre pour vérifier sa conformité RGPD et garantir les meilleures pratiques en termes de protection de la vie privée, sécurité et cryptage. Concernant la documentation et le contenu, votre site Web doit inclure vos déclarations de confidentialité actuelles et informer les visiteurs lors de la collecte de données personnelles, en fournissant une autorisation explicite si nécessaire. Examinez également l'engagement de vos visiteurs dans les cas suivants :


  • Consentement au traitement de données personnelles via des processus d'enregistrement ou d'autorisation explicites.
  • Gestion des préférences par le biais d'un centre de préférences en libre-service.
  • Capacité à se désabonner, refuser, accepter le traitement des données, ou toute autre action.

L'ajout de clauses de mentions légales vous aidera à définir le ton et les attentes des visiteurs du site Web. Si vous souhaitez créer un site exploitant les nouvelles technologies ayant un impact sur la vie privée des utilisateurs ou surveillant l'activité réelle liée aux données personnelles, réalisez une évaluation de l'impact sur la protection des données afin de vous aider à mettre en place des mesures de protection de la vie privée adaptées. La transparence sur la sécurité, les codes de conduite et les certifications réduit également les risques liés aux sauvegardes de sécurité et à la formation sur la protection des données personnelles pour les principaux intervenants.

Vous pouvez exceptionnellement utiliser toutes les fonctionnalités de SDL Tridion Sites lorsque vous traitez des données personnelles. Cependant, les fonctionnalités liées au contexte du visiteur, à l'optimisation de l'expérience ou à la rationalisation doivent être utilisées avec plus d'attention. Ces fonctionnalités incluent :

  • Cadre de données ambiant
  • Context Cartridge
  • Audience Manager
  • Accélérateurs et connecteurs de CRM
  • Contenu généré par l'utilisateur
  • Blueprinting
  • Création de modèles contextuels
  • API de diffusion de contenu
  • Optimisation de l'expérience

Pour en savoir plus sur l'utilisation de ces fonctionnalités conformément au RGPD, visionnez notre conférence Web ou contactez votre assistant local Tridion.   Vous pouvez également en savoir plus sur le RGPD et SDL Tridion DX en visitant nos blogs communautaires ici.

Sécurité de la protection des données

Infrastructure sécurisée 

SDL offre une sécurité adaptée garantissant la confidentialité, l'intégrité et la sécurité des données. Nous avons mis en place un processus de sécurité strict pour assurer la sécurité de vos données.

Les déploiements sur site des logiciels SDL dans votre infrastructure est de votre responsabilité. Votre service informatique doit s'assurer que les serveurs et les ordinateurs hébergeant le logiciel SDL sont sécurisés conformément aux risques potentiels (évalués par le responsable du contrôle des données). 

Pour les logiciels et services hébergés par SDL (basés sur le cloud), SDL est considéré comme responsable du traitement des données et s'est engagé à respecter les plus hautes normes de sécurité en matière d'infrastructure. Tous les produits gérés par SDL ont été déployés sur un service de prestataire de services dans le cloud, qui assure la conformité de l'infrastructure et des services par rapport aux normes ISO27001, ISO9001, ISO27018, etc. Tous les sites SDL sont gérés en ligne conformément au code de bonnes pratiques ISO 27002 et certains sont certifiés ISO 27001. Nous étendons actuellement la certification ISO 27001 à une large partie de notre gamme. 

Nous offrons un haut degré de flexibilité pour répondre aux besoins de sécurité de nos clients. Contactez-nous pour en savoir plus. Au-delà des contrôles de sécurité de base sur lesquels nous nous accordons, nous proposons également des fonctionnalités de sécurité avancées optionnelles, par le biais d'une offre de sécurité gérée.

En cas de violation de sécurité 

Pour nos logiciels basés sur le cloud, si vous souhaitez que nous détections et vous informions de manière active des violations de sécurité qui nécessitent une déclaration en vertu du RGPD, contactez-nous au sujet de notre processus de gestion des incidents de sécurité, conçu conformément à la norme ISO 27035. 

Développement de logiciel sécurisé 

La sécurité n'est jamais une préoccupation secondaire dans notre processus de développement. Nous impliquons les ingénieurs et architectes de sécurité dès le départ, et nous suivons un plan ; celui-ci couvre l'infrastructure, ainsi que les niveaux d'application et de base de données. Ce plan comprend des évaluations des risques spécifiques, ainsi que le développement du contrôle de sécurité et de tests de sécurité, afin de garantir une sécurité appropriée et fiable dans les logiciels.

Que penser des environnements dans le cloud

L'équipe Cloud Operations de SDL travaille en étroite collaboration avec nos équipes de développement et nos architectes pour déployer des solutions respectant la sécurité et la confidentialité des données, conformément au principe de protection de la vie privée dès la conception. Pour les logiciels et services hébergés par SDL (basés sur le cloud), SDL est responsable du traitement des données et s'est engagé à respecter les plus hautes normes de sécurité en matière d'infrastructure. Tous les produits gérés par SDL ont été déployés sur un prestataire de services dans le cloud, qui assure la conformité de l'infrastructure et des services par rapport aux normes SOC (1, 2 et 3) et ISO (27001, 9001, 27018, etc..). Tous les sites SDL sont gérés en ligne conformément aux bonnes pratiques ISO-27002 et certains sont même certifiés ISO-27001. SDL étend actuellement la certification ISO 27001 à une large partie de sa gamme.

Pour se positionner de manière proactive sur la confidentialité et la sécurité des données dans votre cloud, SDL vous recommande de : 

  • Établir la certification ISO : Mettre en place des contrôles à chaque étape du processus dans le cycle de vie du contenu, protéger les données, fournir des pistes d'audit et définir des processus pour répondre à tout événement de sécurité. 
  • Établir une gestion de la configuration et une traçabilité des données appropriées : Il est important de comprendre les clients/les données liés à chaque serveur supervisé pour une transparence complète. 
  • Disposer d'une politique de sécurité, d'un ensemble d'outils et d'une feuille de route complets :
    • Moins de droits d'accès 
    • Politique complète de gestion des accès et des identités
    • Authentification multi-facteur et multi-niveau lorsque cela est nécessaire
    • Politique de mots de passe forts - Suivi régulier de tous les journaux d'accès et comptes inactifs 
    • Revue régulière des politiques et des outils avec un responsable de la confidentialité des données et le conseil de sécurité afin de définir la feuille de route en cours 
  • Établir la détection et la prévention des intrusions, le cas échéant. 
  • S'assurer que les données sont chiffrées en transit et en veille, lorsque c'est possible. 
  • S'assurer que l'ensemble des membres de l'équipe spécialisée dans le cloud suivent une formation obligatoire sur la confidentialité et la protection des données. 
  • S'assurer que tous les centres de données et fournisseurs d'hébergement gèrent tous les certificats nécessaires et offrent les fonctionnalités de sécurité requises. 
  • Comprendre et expliquer vos politiques de conservation des données et fournir des contrôles pour gérer les données stockées dans le cadre des sauvegardes.
        - Mettre en place une procédure de suppression complète et sécurisée. 
  • S'assurer que les données actives peuvent être suivies, gelées, téléchargées, modifiées et/ou supprimées.
Conférences Web et présentations
Infographies
Blogs

SDL a intégré la confidentialité des données et le RGPD au cœur de toutes ses activités

Dans le but de faciliter les expériences numériques et de défendre la création de parcours clients optimaux, SDL a intégré la confidentialité des données et le RGPD au cœur de toutes ses activités, pour veiller à :

  • Traiter les données personnelles de manière juste et légale
  • Stocker les données de façon sécurisée
  • Signaler toute violation de données
  • Conserver les informations aussi longtemps que nécessaire
  • Tenir des enregistrements des utilisateurs accédant aux données
  • Fournir des données en cas de besoin