PARTIE A : Généralités
Applicabilité
Ce document est la version opérationnelle actuelle de la politique de conformité RGPD en vigueur à compter du 25 mai 2021 et s'applique aux activités d'InfoBytes Daily qui se composent de l'entité suivante.
2 International Drive, Rye Brook, New York 10573, États-Unis
Introduction
L'activité principale d'InfoBytes Daily est d'accompagner ses clients en générant des leads efficaces auprès des marchés cibles.
La génération de leads se fait grâce à des études de marché intelligentes collectant des données pertinentes pour identifier les intentions d'achat fiables des entreprises via différents canaux, y compris via des partenaires commerciaux utilisant une technologie pertinente dans le marketing des médias sociaux, le marketing Web, le marketing par courrier électronique et le télémarketing.
Dans le cadre de ces activités, InfoBytes Daily agit comme un intermédiaire qui ajoute de la valeur à la chaîne marketing B2B. Les informations sur la campagne sont fournies par les clients, qui sont affinées et converties en matériel de campagne à distribuer sur l'espace de marché potentiel.
La distribution aux clients cibles finaux par le placement du matériel de campagne dans les médias pertinents se fait par l'intermédiaire d'éditeurs externes qui génèrent des prospects. Une partie des leads est générée par l'activité de publication interne et l'utilisation d'outils innovants de marketing d'intention d'entreprise développés par l'équipe R&D d'InfoBytes Daily.
Les leads générés par les éditeurs sont intelligemment filtrés pour améliorer leur qualité et convertis en cibles marketing exploitables avant d'être transmis aux clients.
InfoBytes Daily a développé des produits, des processus et des systèmes de génération d'informations exclusifs qui incluent le développement de fournisseurs fiables et de main-d'œuvre formée, qui reflètent ensemble la proposition de valeur qu'InfoBytes Daily apporte à l'écosystème marketing B2B à travers le monde. Maintenir et entretenir cette expertise et l’utiliser pour exploiter des opportunités commerciales représente un intérêt légitime d’InfoBytes Daily.
Ce code de conformité au RGPD adopté par InfoBytes Daily déclare qu'InfoBytes Daily s'engage envers le concept de « La vie privée en tant que droit fondamental d'un citoyen d'une société démocratique » à travers le monde et mettra en œuvre de bonne foi tous les principes de confidentialité prescrits par le RGPD lorsque c'est applicable.
InfoBytes Daily révèle cependant qu'il est dans son intérêt légitime d'exercer une activité commerciale légitime à travers le monde en tant qu'intermédiaire de marché B2B et que c'est le droit démocratique d'InfoBytes Daily d'exercer ses activités de bonne foi sans être en conflit avec les droits. des personnes physiques individuelles dont la vie privée doit être protégée en vertu du RGPD.
InfoBytes Daily révèle également que son modèle commercial nécessite la collecte uniquement des données d'entités commerciales qui ne relèvent pas du RGPD et des données de contacts professionnels qui ne sont pas des données personnelles mais peuvent inclure en partie des informations personnellement identifiables, mais n'incluent pas de données personnelles d'enfants. et les données personnelles classées comme « catégories spéciales » en vertu du RGPD.
Exposition au RGPD
InfoBytes Daily Group est essentiellement un « intermédiaire marketing B2B » qui opère dans le monde entier, générant des prospects marketing et servant des clients dans de nombreux pays. InfoBytes Daily n'opère pas sur le marché de la consommation et ne collecte donc pas directement ou indirectement d'informations personnelles sur les personnes concernées par les données de l'UE. Les données collectées par InfoBytes Daily appartiennent généralement à la catégorie des données de contact professionnel des employés de l'entreprise qui contiennent entre autres le nom, l'adresse e-mail professionnelle et le numéro de téléphone professionnel.
Une partie des leads marketing B2B est générée dans les pays de l’UE et au Royaume-Uni. Certains clients situés dans l'UE/Royaume-Uni peuvent également bénéficier des services d'InfoBytes Daily. Actuellement, la majorité des interactions avec les clients ont lieu aux États-Unis et la majorité des interactions avec les partenaires commerciaux générateurs de leads ont lieu en Inde.
L'exposition d'InfoBytes Daily au RGPD est donc reconnue lorsque les données de contacts professionnels sont collectées auprès d'organisations commerciales opérant dans les régions de l'UE et du Royaume-Uni.
Approche de la conformité au RGPD
Afin de permettre l'application d'une norme aussi stricte que possible au traitement des données exposées au risque de conformité au RGPD, InfoBytes Daily adopte une politique visant à traiter les données sensibles au RGPD (GSD) comme des « données sensibles » circulant via les ressources d'InfoBytes Daily en marquer les données entrantes avec une balise appropriée pour les classer comme GSD, le cas échéant.
La protection de la vie privée des personnes concernées et la sécurité des informations liées à la protection de la vie privée en ce qui concerne les données marquées GSD sont prises en compte dans la conception de la structure de support.
Bien que les données soient traitées dans des endroits spécifiques et que l'infrastructure technique pour le traitement des DGS soit située dans ces endroits spécifiés, une sensibilisation au RGPD au niveau de l'entreprise a été créée et continuera à être poursuivie afin que les principes de ce code de conduite RGPD s'infiltrent dans l'ensemble de l'entreprise. l'organisation au-delà du traitement GSD pour inclure les fonctions marketing, financières et de gestion qui peuvent être situées dans différents endroits avec leur propre infrastructure technique et administrative.
Afin de mettre en œuvre efficacement la sécurité de l'ensemble de l'infrastructure de traitement des données, la Société a adopté une politique complète de sécurité de l'information qui comprend plusieurs sous-politiques concernant l'accès aux données, le stockage du traitement, la transmission, etc.
Engagement de confidentialité
InfoBytes Daily reconnaît que la « vie privée » est un droit démocratique important dans la société civile. En tant qu'entreprise responsable, InfoBytes Daily s'engage à protéger la vie privée de toutes les personnes physiques dont les données personnelles entrent dans le référentiel de données de l'entreprise pour traitement.
Compte tenu de la présence de clients dans l'UE/Royaume-Uni et de la surveillance des activités des employés de l'entreprise résidant dans l'UE/Royaume-Uni, InfoBytes Daily a choisi d'adopter les normes de conformité RGPD pour la protection de la vie privée des personnes physiques susceptibles d'interagir avec le groupe même lorsque cette interaction concerne uniquement leur qualité d'employés de différentes entités commerciales poursuivant les objectifs commerciaux de leurs organisations commerciales respectives.
Intérêt légitime
L'activité principale d'InfoBytes Daily implique le traitement de données liées à l'achat de différents produits destinés à un usage professionnel. Le spectre d'activités comprend la collecte, l'agrégation, l'analyse, la segmentation et la surveillance des intentions. Au cours de ce traitement, InfoBytes Daily ajoute de la valeur aux données brutes collectées dans l'environnement commercial et les convertit en informations d'aide à la décision commerciale à valeur ajoutée.
Les Données Brutes collectées sont reconnues comme des données appartenant à la Personne concernée et auxquelles sont applicables les droits de la Personne Concernée au titre du RGPD. La valeur ajoutée aux données qui se produit au cours du processus découle des capacités de traitement de données exclusives d'InfoBytes Daily sur lesquelles InfoBytes Daily revendique un certain niveau de droits de propriété intellectuelle.
Si des données ont été pseudonymisées, les données pseudonymisées à valeur ajoutée seront considérées comme des données sur lesquelles InfoBytes Daily a un intérêt légitime à utiliser pour des recherches ultérieures. Les données non pseudonymisées, même à l'état de valeur ajoutée, sont soumises à l'exercice des droits de la personne concernée tels que l'accès, la rectification, la restriction, la portabilité et l'effacement. Les données pseudonymisées, le cas échéant, ne seront pas classées comme sensibles au RGPD.
InfoBytes Daily possède un intérêt commercial légitime, tel que reconnu par l'article 6(1)(f) de la réglementation RGPD de l'UE, dans la collecte et le traitement de données commerciales telles que les données firmographiques et les données de contacts professionnels des décideurs des entités commerciales.
En outre, les activités d'InfoBytes Daily impliquent des opérations à l'intérieur et à l'extérieur des pays de l'UE et sont donc exposées aux obligations légales de différents pays liées au traitement des données ainsi qu'à d'autres lois applicables aux entreprises en général et aux activités informatiques en particulier, comme prévu à l'article 6(1)(c) du règlement RGPD de l’UE.
En outre, InfoBytes Daily a adopté des pratiques commerciales pour un traitement licite intégrant les principes du RGPD de l'UE énoncés à l'article 6, notamment l'obtention d'un consentement explicite et éclairé lorsque cela est requis et le respect des exigences des obligations contractuelles avec les personnes concernées, le cas échéant.
Les politiques d'InfoBytes Daily en matière de confidentialité et de protection des données sont donc structurées avec des contrôles spécifiques de confidentialité et de sécurité de l'information qui abordent la question de l'identification des données sensibles RGPD au stade de leur origine et de leur entrée dans le système InfoBytes Daily et de leur marquage tout au long de leur cycle de vie. traitement.
Élargir la portée de la conformité à l'écosystème du traitement des données
En outre, conformément à l'intention législative de protéger le droit fondamental à la vie privée des individus, énoncé dans le RGPD de l'UE, des contrôles techniques, organisationnels et administratifs appropriés sont maintenus pour garantir que tous les associés commerciaux en aval qui peuvent avoir accès aux données sensibles du RGPD à des fins de traitement pour le compte de InfoBytes Daily est également conforme au RGPD.
InfoBytes Daily reconnaît que dans la plupart des aspects de ses opérations, il n'est pas un « Contrôleur de données » mais un « Sous-traitant » aux fins du RGPD. Il peut assumer le rôle de « Responsable du traitement conjoint » lorsqu’il utilise les services de sous-traitants pour toute partie de son traitement.
En gardant ces rôles à l'esprit, les politiques et contrôles d'InfoBytes Daily sont structurés pour garantir la conformité au RGPD, y compris le maintien de contrôles techniques et organisationnels/administratifs appropriés pour se tenir dûment informé des activités de conformité au RGPD de ses partenaires commerciaux et également partager avec eux ceux d'InfoBytes Daily. Mesures de conformité au RGPD si nécessaire.
Limites de ce document
Les paragraphes suivants présentent la politique générale d'InfoBytes Daily pour la conformité au RGPD au niveau de l'entreprise, mettant en évidence l'approche d'InfoBytes Daily pour atteindre un niveau satisfaisant de conformité aux principes du RGPD dans ses opérations.
Ce document de politique est destiné à un partage limité avec les parties prenantes, y compris les entités commerciales en dehors d'InfoBytes Daily et exclut donc les informations exclusives sur le traitement lorsqu'il est essentiel de protéger la propriété intellectuelle de l'organisation.
Toute demande de divulgation d'informations au-delà de ce qui est indiqué ici sera traitée dans le cadre de la politique de divulgation de données d'InfoBytes Daily et ces demandes peuvent être adressées au gestionnaire de confidentialité via un e-mail authentifié non fiable.
Partie B : grandes lignes politiques spécifiques
1. Responsabilité assignée
InfoBytes Daily a désigné un responsable de la confidentialité qui sera la personne de contact pour traiter toutes les demandes et plaintes des personnes concernées. Compte tenu du niveau actuel d'exposition aux risques liés aux données sensibles du RGPD dans InfoBytes Daily, il est considéré que l'activité principale d'InfoBytes Daily n'implique pas une surveillance systématique et à grande échelle des personnes concernées par les données de l'UE ni l'offre de services aux individus dans l'UE et donc il n’y a aucune obligation de désigner un « délégué à la protection des données » comme le prévoit le RGPD.
Un comité de gouvernance de la sécurité de l'information (ISGC) sera globalement responsable de la sécurité de l'information, y compris de la conformité au RGPD. Il sera l'organe décisionnel suprême d'InfoBytes Daily, chargé d'établir toutes les politiques de sécurité de l'information, y compris la politique RGPD, et surveillera la nécessité de désigner toute personne ou consultant en tant que délégué à la protection des données en temps utile.
2. Classification des données
InfoBytes Daily n'est pas impliqué dans le marketing auprès de personnes physiques et ne collecte donc normalement pas de données personnelles identifiables relevant des dispositions réglementaires du RGPD. Cependant, toutes les données personnelles potentiellement identifiables, telles que l'adresse e-mail et le numéro de téléphone d'un employé d'une organisation, sont classées comme « sensibles au RGPD » si l'unité commerciale ou l'employé est situé dans l'UE/au Royaume-Uni.
En conséquence, l’ensemble des données de contacts professionnels associées à une adresse physique dans l’UE/Royaume-Uni est identifié comme données sensibles au RGPD (GSD) et étiqueté lors du traitement ultérieur au sein de l’organisation.
En l’absence d’informations sur l’emplacement physique de la personne concernée, l’emplacement physique de l’organisation commerciale associée serait considéré comme pertinent.
3. Audit des données
Une fois avant le 25 mai 2018 et par la suite à intervalles mensuels ou tel que déterminé autrement par l'ISGC, les ensembles de données stockés seront vérifiés pour localiser tout GSD et vérifier les exigences de conformité qui lui sont associées, par exemple si les données doivent être archivées, supprimées ou autrement. spécialement sécurisé.
Tout ensemble de données GSD non accompagné d'un « consentement » ou d'une « note d'intérêt légitime » approprié sera recommandé pour la suppression.
Après confirmation, ces données seront supprimées de manière médico-légale.
4. Analyse d'impact du RGPD
Une évaluation des lacunes du RGPD a été entreprise et des mesures correctives ont été mises en œuvre comme requis avant le 25 mai 2018. Après le 25 mai 2018, une évaluation d'impact sur la protection des données (DPIA) sera entreprise chaque fois qu'un nouveau projet important est entrepris au fur et à mesure que l'ISGC identifie le nécessité.
5. Politique d'acceptation des nouvelles affaires
À compter du 25 mai 2018, tout nouvel engagement commercial impliquant le traitement de données sera soumis à l'approbation de l'ISGC avec une note d'évaluation d'impact spécifique au RGPD soumise par le DPO en consultation avec l'équipe technique en charge du traitement.
6. Politique de stockage des données GSD
Les GSD doivent être stockés dans des systèmes accessibles uniquement par des personnes désignées sur la stricte base du « besoin de savoir ».
Chaque ensemble GSD doit être étiqueté avec le contrôleur de données auprès duquel il provient et qui est responsable de la collecte des données sous consentement ou contrat.
Toutes les restrictions spécifiques associées à un tel ensemble de données doivent également être étiquetées avec l'ensemble de données.
Le stockage des données doit permettre de localiser et de traiter un ensemble de données individuelles pour l'exécution des droits de toute personne concernée, tels qu'une demande de rectification des données, de portabilité des données, d'effacement des données ou d'accès aux données à tout moment au cours de leur cycle de vie.
7. Politique d'accès aux données GSD
GSD doit être accessible conformément à la politique de contrôle d'accès qui garantit que chaque ensemble de données GSD doit avoir des paramètres d'accès spécifiques qui définissent qui peut accéder aux données et comment ils y accèdent. Seules les personnes désignées comme membres du personnel du GSD seront autorisées à accéder à l'ensemble de données du GSD.
L'utilisation des paramètres d'accès tels que les mots de passe doit être définie avec un degré de complexité et d'unicité selon les besoins et complétée par des balises de cryptage et d'identification de machine afin que les données GSD ne soient accessibles qu'à partir d'un matériel spécifique attribué au personnel autorisé de GSD.
Lorsque le stockage des données est dans le cloud, seuls les services cloud conformes au RGPD doivent être utilisés, ainsi que les contrôles supplémentaires qui peuvent être nécessaires pour garantir que les données stockées et en transit soient protégées contre tout accès non autorisé.
Les GSD spécifiques au projet doivent être stockés de manière à ce que seuls les employés associés à un projet donné aient accès aux données. L’accès entre projets sera réglementé en fonction des besoins.
8. Politique de conservation des données GSD
Les GSD doivent être conservés dans un environnement de processus actif uniquement pendant la période minimale pendant laquelle ils sont nécessaires au traitement. Par la suite, les données seront archivées en toute sécurité conformément à l'exigence identifiée sous l'intérêt légitime, par exemple jusqu'à ce que le cycle de facturation du projet soit terminé.
Par la suite, les données seront conservées dans un archivage sécurisé ou détruites conformément aux exigences d’intérêt légitime identifiées de la Société.
Un examen mensuel des données archivées sera entrepris pour identifier les données qui ne sont plus nécessaires et qui seront transmises à l'ISGC pour instructions d'élimination.
Les obligations légales en matière de conservation des données qui peuvent découler de tout chevauchement de législations doivent être prises en compte dans l'évaluation de l'intérêt légitime.
9. Politique de divulgation des données GSD
Toute demande de divulgation de GSD doit généralement être reçue uniquement du contrôleur de données source.
Il est reconnu que les demandes reçues directement des personnes concernées sont soumises à un risque de phishing et que ces demandes, le cas échéant, doivent être transmises au contrôleur de données correspondant qui a collecté les données de la personne concernée dans le cadre du consentement ou du contrat qui peut exister entre elles.
Les données à divulguer seront envoyées uniquement au responsable du traitement pour transmission ultérieure à la personne concernée après avoir correctement authentifié l'identité du représentant du responsable du traitement qui fait la demande.
Dans des circonstances exceptionnelles où les données doivent être divulguées directement soit à une personne concernée, soit à son représentant autorisé ou à une autorité chargée de l'application de la loi, une authentification adéquate de l'identité de la personne qui fait la demande doit être assurée.
Toutes les demandes de divulgation de données doivent être approuvées par l'ISGC avant la publication des données et la demande, ainsi que les documents d'évaluation, doivent être considérés comme la documentation requise pour la conformité au RGPD.
10. Politique de gestion des incidents liés aux données GSD
Un « incident » selon ce code doit être toute observation susceptible d'indiquer que le code de conformité GSD ou toute politique ou procédure qui en découle a été violé, que des données soient soupçonnées ou non d'avoir été compromises.
Une politique de dénonciation peut être utilisée pour garantir que les incidents sont signalés rapidement par tout observateur au sein de la Société ou à l'extérieur.
Tout incident de ce type dont InfoBytes Daily a connaissance doit être enregistré dans un registre de gestion des incidents GSD et renvoyé au DPO pour une action immédiate.
Le DPO doit examiner le rapport d'incident et prendre des mesures immédiates pour résoudre l'incident et également pour signaler l'incident à l'ISGC.
L'ISGC convoquera une réunion dans les plus brefs délais et évaluera l'incident pour identifier s'il implique une violation présumée des données. Si nécessaire, l'ISGC peut ordonner un audit technico-juridique immédiat pour une évaluation des risques liés à l'incident. Sur la base de l'évaluation des risques, ISGC décidera de la nécessité d'actions supplémentaires, notamment l'envoi d'une notification de violation de données au contrôleur de données associé aux données.
Un incident au cours duquel un autre employé de l'organisation a accédé à GSD est considéré comme un incident de sécurité et pas nécessairement comme une « brèche ». Cependant, de tels incidents doivent faire l'objet d'une enquête quant à la cause de l'accès non autorisé et s'il s'agit d'un accès accidentel involontaire, il peut être résolu par une mesure disciplinaire interne appropriée conformément à la politique RH. Si les données n’ont pas été déplacées ou consultées par une personne extérieure, l’incident peut être qualifié d’accident de données internes ne constituant pas une violation.
Dans le cas où l'accès ou les données déplacées sont connus comme étant sous forme cryptée et se trouvaient dans un état dans lequel ils étaient indéchiffrables par le destinataire, sous réserve d'une enquête interne appropriée quant à la sécurité de la clé de déchiffrement associée, l'accès peut être classifié. comme un accident de données interne ne constituant pas une violation.
11. Politique de notification de violation de données GSD
Un incident de « violation de données » est un incident dans lequel InfoBytes Daily, après une enquête nécessaire, a appris que l'accès à un ensemble de données spécifique sous GSD a été compromis et qu'une entité externe est parvenue à accéder ou à envoyer un ensemble GSD.
Un tel incident de violation de données doit être immédiatement signalé à l'ISGC qui doit, sans plus tarder, informer le contrôleur de données associé à l'ensemble de données ainsi que les détails pertinents de l'incident.
Un tel rapport doit préciser la nature et l'étendue de la violation, l'heure et la date de la violation, les détails des personnes concernées, les mesures prises suite à la constatation de la violation, etc. Si nécessaire, la violation des données peut également être signalée. à une autorité de contrôle.
12. Politique de gestion des droits de la personne concernée par GSD
Le système de traitement de données InfoBytes Daily a intégré « Confidentialité et sécurité dès la conception » afin de permettre la conformité aux exigences du RGPD, notamment en ce qui concerne les droits de la personne concernée prévus par le RGPD.
Afin de respecter ces droits de la personne concernée tels que « Accès », « Rectification », « Effacement », « Portabilité » et Droit d'imposer des « Restrictions », InfoBytes Daily a activé ses systèmes de stockage et d'accès GSD de telle manière que un ensemble de données appartenant à une personne concernée spécifiée peut être extrait séparément et traité.
Le système a donc été conçu pour être conforme aux exigences les plus strictes du RGPD.
Chaque fois qu'une demande d'exercice de ces droits est reçue d'une personne concernée, conformément à la politique de divulgation des données, la demande est d'abord validée, puis si les données ont été reçues d'un contrôleur de données, le contrôleur de données sera invité à confirmer la divulgation de données.
Habituellement, la demande est traitée en communication avec le responsable du traitement et si elle doit être portée, elle est renvoyée au responsable du traitement.
Dans des circonstances exceptionnelles où InfoBytes Daily doit traiter la demande d'une personne concernée sans la coopération du responsable du traitement, des précautions appropriées seront prises pour empêcher une divulgation illicite, car il serait dans l'intérêt légitime d'InfoBytes Daily d'être indemnisé contre tout éventuel divulgation injustifiée.
13. Politique de transmission des données GSD
Les données GSD peuvent généralement circuler dans le système via une interface d'application (API). L'accès à l'interface se fait via un système d'accès par mot de passe sécurisé complété par une authentification à deuxième facteur appropriée où un risque GSD important est identifié.
La transmission des données s'effectue sur une base de cryptage soumise à la gestion de la sécurité de la transmission couvrant les vulnérabilités connues.
L'application elle-même ainsi que ses éléments de stockage et de traitement inhérents et l'API sont protégés contre les accès non autorisés et les attaques malveillantes par un logiciel malveillant approprié et un système de gestion des accès sécurisés.
Lorsqu'un ensemble GSD est également transmis au Client ou au Sous-traitant, la transmission est gérée via des canaux de communication cryptés soit via une API, soit par e-mail crypté.
14. Politique d'utilisation marketing de GSD
Lorsqu'InfoBytes Daily utilise GSD à des fins de marketing, que ce soit par courrier électronique, par téléphone ou autrement, des précautions sont prises pour s'assurer qu'il existe un consentement ou un contrat approprié pour permettre une telle communication.
InfoBytes Daily insiste également sur le fait que ses partenaires, à la fois les générateurs de leads, les sous-traitants et les clients, n'utilisent pas le GSD sauf dans le cadre des autorisations disponibles.
En l’absence de consentement sans ambiguïté, aucune donnée de contact professionnel n’est collectée auprès des générateurs de leads, ni transmise aux clients, ni traitée par les sous-traitants.
Ces données sont supprimées dans un premier temps lorsqu'elles entrent dans le système InfoBytes Daily et sont identifiées comme un « GSD sans consentement de traitement approprié ».
15. Politique de consentement GSD
Toutes les informations classées GSD en raison du fait que la personne concernée se trouve dans l'UE/au Royaume-Uni ou que son employeur est situé dans l'UE/au Royaume-Uni ne seront acceptées que si la personne concernée a fourni un consentement explicite basé sur le format requis par le RGPD.
Dans le scénario pré-RGPD, ces consentements étaient généralement collectés selon les principes de traitement des données personnelles qui comprenaient un avis de confidentialité. Cet avis de confidentialité indiquait quelles informations étaient collectées, le but de la collecte, la durée pendant laquelle elles seraient conservées, comment elles seraient sécurisées, si les informations étaient exactes, si elles seraient transférées hors de l'UE pour traitement, etc. Certains consentements étaient basés sur le principe « Opt-in » comme paramètre par défaut.
En vertu du RGPD, il est essentiel que les données personnelles soient collectées uniquement sur la base d'un consentement explicite, où « Opt-Out » est l'option par défaut et uniquement sur la base d'une action positive indiquant l'acceptation, le consentement serait accepté.
En outre, la déclaration de confidentialité doit également indiquer que la personne concernée dispose de certains droits tels que « Droit d'être informé de l'identité des sous-traitants en aval », « Droit d'accès et de rectification », « Droit à la portabilité et à l'effacement ».
Compte tenu des nouvelles exigences, tous les consentements obtenus dans le format pré-RGPD seront considérés comme invalides et ces données seront supprimées par InfoBytes Daily.
Les éditeurs externes qui génèrent des leads pour InfoBytes Daily doivent confirmer dans leurs contrats qu'ils fourniront uniquement les leads générés avec le nouveau formulaire de consentement dans le cas où la personne concernée se trouve dans l'UE/au Royaume-Uni.
16. Politique de communication avec les parties prenantes du GSD
InfoBytes Daily opère par l'intermédiaire de nombreuses organisations externes qui sont parties prenantes du programme de conformité RGPD d'InfoBytes Daily. Ces organisations incluent ses clients, ses générateurs de leads, ses sous-traitants, etc.
Pour une conformité efficace, aucune donnée GSD ne doit être échangée dans aucune communication avec les parties prenantes, sauf par transmission sécurisée et uniquement avec des représentants autorisés.
Bien que la communication via l'API soit contrôlée par la politique d'accès, toute autre communication par courrier électronique doit être contrôlée par une politique de communication par courrier électronique.
Essentiellement, une politique de communication par courrier électronique doit définir que le partage de toute information de conformité GSD ou GDPR avec une partie prenante doit se faire uniquement via une adresse e-mail de contact notifiée qui sera dans la plupart des cas le DPO de l'autre organisation, si nécessaire. La communication par courrier électronique peut être cryptée et authentifiée. avec une signature numérique.
17. Politique d’identification des intérêts légitimes de GSD
InfoBytes Daily reconnaît que certains droits des personnes concernées, tels que l'effacement ou la rectification des données, pourraient être en conflit avec les exigences d'intérêt légitime d'InfoBytes Daily ou pourraient être en conflit avec les lois sur la conservation des données qui pourraient autrement s'appliquer aux données en raison de d'autres obligations législatives.
Dans tous les cas de mise en œuvre des droits de la personne concernée, InfoBytes Daily évaluera la demande avant de prendre d'autres mesures. Dans le cas où InfoBytes Daily reconnaît la nécessité de refuser la demande ou de la modifier pour l'acceptation, les raisons seraient documentées et une note d'intérêt légitime GSD serait élaborée par l'ISGC.
Lorsqu'il n'est pas nécessaire que les données soient actives, elles peuvent être archivées en toute sécurité jusqu'à l'expiration de l'intérêt légitime.
Les raisons justifiant l'exercice d'un intérêt légitime pour le traitement de la demande de la personne concernée doivent être transmises au responsable du traitement qui est responsable de la personne concernée pour transmission ultérieure à la personne concernée.
18. Politique de gestion des personnes de GSD
GSD sera considéré comme un ensemble de données qui nécessite une attention exclusive et particulière en termes de sécurité des informations tant qu'il est sous la garde d'InfoBytes Daily.
Par conséquent, les GSD seraient correctement étiquetés et traités en fonction du besoin de connaître par un groupe d'employés spécialement formés.
Ces employés et les systèmes dans lesquels les GSD seraient stockés, consultés et traités seraient gérés en toute sécurité compte tenu du niveau de risque associé aux GSD.
L'affectation des personnes à ce traitement GSD et leur suppression doivent être gérées avec les mesures de sécurité appropriées, notamment un niveau plus élevé de vérification des antécédents, une formation, des identités d'accès physique, des politiques de sanctions, etc.
Les politiques RH doivent être mises à niveau de manière appropriée pour le personnel du GSD, selon les besoins.
19. Politique de pseudonymisation GSD
Il est reconnu que la pseudonymisation est une stratégie visant à réduire les risques liés au traitement des GSD.
Les données personnelles pseudonymisées ne sont pas considérées comme des « Données personnelles » aux fins de la réglementation RGPD, à condition que le processus de pseudonymisation soit correctement structuré.
Compte tenu du niveau actuel d’exposition de ses opérations aux risques RGPD ; InfoBytes Daily n'a pas jugé nécessaire à l'heure actuelle d'utiliser la pseudonymisation comme stratégie d'atténuation des risques.
20. Politique GSD DRP-BCP
InfoBytes Daily reconnaît l'importance d'un plan efficace de reprise après sinistre et de continuité des activités pour ses opérations, y compris les opérations impliquant le traitement GSD.
InfoBytes Daily conservera une sauvegarde adéquate des données GSD et une capacité raisonnable à maintenir la continuité des activités en cas d'urgence.
21. Politique de documentation de conformité GSD
Les mesures de conformité au RGPD doivent être documentées afin qu'elles soient disponibles pour examen. La documentation de Conformité doit être conservée pendant une période minimale de 6 ans à compter de sa création.
Dans le cas où un document constituerait une preuve potentielle pour les exigences de l'application de la loi ou pour la défense des intérêts légitimes d'InfoBytes Daily, un tel document serait conservé aussi longtemps que l'exigence persisterait.
22. Politique d'audit GSD
Une équipe d'audit de sécurité interne d'InfoBytes Daily auditera les actifs informationnels d'InfoBytes Daily au moins une fois par an pour évaluer le niveau de sécurité et de conformité au RGPD et aux autres exigences réglementaires.
Des audits externes peuvent être envisagés sur la base d’une évaluation de l’ISGC chaque fois qu’un changement substantiel se produit dans le profil de l’entreprise.
InfoBytes Daily se réserve le droit de procéder à un audit des installations de l'un de ses sous-traitants pour garantir le respect des obligations contractuelles.
InfoBytes Daily reconnaît cependant que le pouvoir d'auditer les installations d'un sous-traitant constitue une habilitation et ne doit être utilisé que dans des circonstances exceptionnelles. Cela ne réduit en rien la responsabilité du sous-traitant de répondre aux exigences de conformité de son côté, conformément aux assurances contractuelles fournies.
23. Politique de règlement des griefs GSD
InfoBytes Daily fournira une politique de règlement des griefs à plusieurs niveaux pour régler les éventuels litiges avec une personne concernée. Ces griefs seront traités par le DPO au premier niveau, l'ISGC au deuxième niveau et un comité de résolution des litiges en ligne mis en place à cet effet par le Conseil d'administration au troisième niveau.
Toute question émanant d'une autorité de contrôle du RGPD doit être traitée par le DPO et transmise à l'ISGC si nécessaire.
Tout litige avec les clients, éditeurs ou sous-traitants sera traité conformément aux accords contractuels respectifs.
24. Politique de sécurité du réseau
Afin de garantir la sécurité de l'infrastructure informatique utilisée par la Société, InfoBytes Daily adoptera une politique de sécurité des informations robuste comprenant des pare-feu, des systèmes de détection d'intrusion, un système de prévention des logiciels malveillants et des correctifs système, etc., selon les besoins.
Un responsable de la sécurité de l’information désigné sera responsable du maintien de la sécurité du réseau.
PS : Ce code est sujet à révision de temps à autre.