Aller au contenu principal
Login

Comment Brevo s’est mis en conformité avec le RGPD

La mise en conformité de Brevo au RGPD s’est faite petit à petit et a permis d’en traiter les aspects sécuritaires, légaux, techniques, organisationnels et humains.

L’adaptation de fonctionnalités clés

Nous avons lancé une grande réflexion avec certains utilisateurs, nos chargés de compte, l’équipe produit, l’équipe technique et nos avocats pour identifier les étapes clés liées au RGPD dans le parcours Brevo.

Le devoir d’information dans un contexte de co-responsabilité

Nous avons mis à disposition de nombreuses informations sur les bonnes pratiques à mettre en œuvre pour être conforme au RGPD.

Ces informations sont particulièrement présentes au sein de la plateforme pour les étapes clés que sont l’import de contacts, la création d’un formulaire de recueil du consentement ou la création d’un template emailing.

Une section spécifique a été ajoutée au centre d’aide et nous organisons régulièrement des webinars d’information sur le sujet.

Droits à la rectification, à l’oubli et à la portabilité

Il est déjà possible depuis plusieurs années d’exercer ses droits à la rectification, à l’oubli et à la portabilité. Nous n’avons donc pas eu de changements à apporter à ce niveau. En revanche nous avons détaillé les modalités d’exercice de ces droits.

Formulaire d’inscription à la newsletter

Une attention particulière a été apportée aux formulaires de collecte de contacts.

Il est désormais possible de gérer des préférences d’inscription en ajoutant les contacts à des listes spécifiques en fonction de leurs choix. Nous proposons des mentions standard d’accès à la politique de confidentialité de la marque.

Preuve du consentement

Une fois la collecte réalisée dans les règles de l’art, la preuve du consentement du contact sera intégralement disponible sur sa fiche contact.

Il y sera spécifié le moment exact de son inscription et l’identifiant du formulaire par lequel il s’est inscrit. Ces informations seront exportables pour permettre à nos utilisateurs d’apporter la preuve du consentement si besoin.

Une revue poussée de la sécurité

Sujet sensible, la sécurité des données a toujours été notre priorité. Le RGPD nous a permis d’aller encore plus loin : assurer une sécurité hermétique des transferts et du stockage des données et permettre un suivi et un contrôle des données et de l’accès à ces dernières.

L’installation de systèmes d’archivage et de traçabilité

La prévention des fuites de données nécessite un contrôle précis des traitements effectués.
Nous avons ainsi mis en place une traçabilité des données tout au long des traitements réalisés via notre plateforme grâce à un système de suivi et d’identifications des logs.

Par ailleurs, nous avons cherché à sécuriser au maximum les données archivées de nos clients. Elles sont hébergées dans des bases de données séparées et les données personnelles sont chiffrées.

L’archivage est réalisé uniquement pour des raisons légales, les bases étant ensuite purgées à l’issue du délai de conservation.

La gestion de nos partenaires et sous-traitants

Avec le RGPD apparaît la notion de co-responsabilité : désormais toutes les parties prenantes, qu’elles soient responsables du traitement ou un des sous-traitants de la chaîne, portent une part de responsabilité dès lors que le traitement s’effectue sur des données personnelles.

Portant ce double rôle, nous avons mis en œuvre pour tous nos partenaires des moyens de garantir cette conformité sur toute la chaîne de réalisation des traitements.

Dans le cadre du RGPD et de la notion de co-responsabilité, Brevo se doit de garantir la conformité de ses propres sous-traitants avec le règlement.

Nous avons donc contacté chacun de nos sous-traitants avec des questions précises sur leurs propres traitements de données. Nous nous sommes ainsi assurés que leurs processus de traitement des données étaient conformes au RGPD et à nos engagements vis-à-vis de nos clients.
Nous avons cessé la collaboration avec les sous-traitants ne présentant pas de réponses satisfaisantes à nos questions.

Lorsque les réponses étaient satisfaisantes, nous avons contractualisé ces engagements par des DPA (Data Processing Agreement).

Le DPA est un document spécifiant le type et les modalités des traitements effectués par le sous-traitant pour le compte de Brevo, ce qui permet d’assurer un cadre réglementaire et une traçabilité des données.

Pour nos sous-traitants domiciliés aux Etats-Unis, nous avons de surcroît vérifié leur certification Privacy Shield, condition nécessaire pour le traitement de données de citoyens européens.

La gestion de l’aspect légal

Nous avons adapté notre documentation légale, en particulier les Conditions Générales d’Utilisation des services de Brevo ainsi que la politique de confidentialité, toutes deux présentes sur le site à disposition des internautes.

Une clause de sous-traitance a ainsi été rédigée et accolée aux CGU, de manière à spécifier le rôle et les responsabilités de Brevo vis-à-vis de ses utilisateurs dans le cadre de la fourniture de ses services.

Les implications du règlement sur l’organisation interne de Brevo

Le RGPD nous a incité à optimiser notre organisation interne et à faire émerger au sein de notre entreprise des bonnes pratiques et des comportements respectueux des grands principes du règlement.

La sensibilisation du personnel

La mission de certains employés de Brevo requiert un accès privilégié à certaines données personnelles.

C’est par exemple le cas des chargés de compte, qui ont besoin d’accéder à certains éléments du compte de leurs clients pour répondre à leurs questions.

Nous avons commencé par approfondir la clause de confidentialité à laquelle les salariés sont tenus et avons mis en place des sessions de formation.

Une formation générale informe l’ensemble des équipes des règles du RGPD, et des sessions spécialisées viennent enrichir cette formation pour les équipes les plus concernées.

Cela permet au personnel de l’entreprise d’acquérir une connaissance éclairée de leurs obligations afférentes au nouveau règlement.

La mise en place de procédures et de contrôles internes

Afin d’assurer un suivi et une bonne application de la mise en conformité, des procédures internes ont été revues, notamment concernant la gestion des accès du personnel, la gestion des demandes d’exercice des droits des personnes concernées et la gestion de la conservation et de la purge des données.

Un plan de contrôle a été établi afin de vérifier régulièrement la bonne application des procédures mises en place et la mise à jour de la documentation.

La nomination de personnes en charge de la bonne tenue de la mise en conformité

La mise en conformité a été gérée par notre directrice des opérations.En parallèle, notre DPO (Data Protection Officer ou Délégué à la Protection des Données en français) a la responsabilité de s’assurer que la conformité de Brevo avec le RGPD est effective dans le temps.

Il s’agit pour le DPO de contrôler régulièrement l’application des différents aspects du règlement et d’assurer un respect des grands principes du RGPD, en particulier celui de Privacy by Design : la vérification de la conformité d’un traitement avant sa mise en œuvre.

Il sera secondé d’un SecOps pour les aspects concernant la sécurité et la traçabilité des données. Notre DPO est joignable directement à dpo@brevo.com

Bilan et prochaines étapes

La démarche de mise en conformité avec le RGPD n’est, en soi, jamais vraiment terminée : il s’agit en effet de vérifier régulièrement que les principes du texte sont respectés en interne et de passer chaque nouveau traitement à la loupe du Privacy by Design.

Brevo est fier d’avoir accompli la première partie du trajet. Il s’agit désormais de maintenir cette conformité dans la durée, source de confiance pour nos clients.

Cette démarche aura eu pour avantages :

  • De sensibiliser et de faire collaborer les différentes équipes de l’entreprise vers un objectif commun
  • De rendre les processus de gestion des données encore plus rigoureux
  • D’atteindre une mise en conformité rapide grâce à l’intervention de ressources externes
  • De faire un état des lieux innovant de la sécurité du SI et de mettre en place les correctifs nécessaires
  • De renforcer le lien entre Brevo et nos utilisateurs à travers la mise à disposition de moyens de mise en conformité depuis l’interface de la plateforme

Près de 150 personnes chez Brevo, engagées dans le RGPD, ont à cœur d’assurer une sécurité et une confidentialité des données qui leur sont confiées.

🤔 Vous avez des questions ?

Pour toute question, n’hésitez pas à contacter notre service client en créant un ticket à partir de votre compte. Si vous n’avez pas encore de compte, vous pouvez nous contacter ici.