Comment l'organisation Brevo se conforme-t-elle au RGPD ?

Cet article offre un aperçu des initiatives initiales et en cours pour garantir la conformité de Brevo au RGPD en tant que sous-traitant, ainsi que des efforts déployés pour soutenir la conformité des utilisateurs en tant que responsables du traitement.  

Pour en savoir plus sur le RGPD et son importance pour vous, consultez notre page dédiée Soyez prêt pour le RGPD avec Brevo.

Ces initiatives se concentrent sur cinq domaines clés détaillés ci-dessous :

  1. Éléments principaux 
  2. Sécurité 
  3. Gestion des partenaires et des sous-traitants 
  4. Documentation juridique
  5. Organisation

Adaptation des éléments clés

Nous avons identifié les étapes clés du RGPD à respecter en collaborant avec un échantillon de nos utilisateurs, nos gestionnaires de comptes, l'équipe produit, l'équipe technique et notre conseiller juridique. 

Obligation d'information dans un contexte de responsabilité

Plusieurs ressources sont disponibles sur notre site web et notre blog concernant les droits des spécialistes du marketing par email en vertu du RGPD et les meilleures pratiques pour se conformer à la loi.

Ces ressources sont disponibles sur la plateforme pour aider les utilisateurs à se conformer aux étapes clés de l'utilisation de notre plateforme :

  • Importer des contacts
  • Créer des formulaires d'abonnement par email pour obtenir le consentement des contacts
  • Créer des campagnes email à envoyer aux abonnés

Une section spécifique au RGPD a été ajoutée au centre d'aide et nous organisons régulièrement des webinaires d'information à ce sujet.

Droit à la rectification, à la portabilité et à l'oubli

Les droits à la rectification, à la portabilité et à l'oubli sont bien établis depuis plusieurs années. Par conséquent, nous n'avons pas de changements opérationnels liés à ces droits. Cependant, comme indiqué ci-dessus, nous avons fourni plus de détails sur les modalités d'exercice de ces droits.

Formulaires d'inscription par email

Nous avons accordé une attention particulière aux formulaires d'inscription par email lors du processus de mise en conformité, car ils font partie intégrante de la mise en conformité pour nos utilisateurs.

Il est désormais possible de gérer les préférences des abonnés en matière d'email en les ajoutant à des listes spécifiques en fonction de leurs choix au moment de l'inscription. Nous permettons également aux utilisateurs d'ajouter une note standardisée au bas des formulaires d'inscription qui donne aux abonnés l'accès à la politique de confidentialité de la marque.

Preuve du consentement

Une fois les informations de contact collectées, la preuve du consentement est disponible sur le profil du contact.

Chaque profil de contact comprend le moment exact de l'inscription et l'identifiant du formulaire utilisé lors de l'inscription. Ces informations sont exportables pour permettre aux utilisateurs de Brevo de fournir aisément la preuve du consentement si nécessaire.

Notification de violation des données à caractère personnel

En cas de violation accidentelle ou illégale de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel traitées par Brevo, ou l'accès non autorisé à de telles données, Brevo s'engage à en informer immédiatement l'utilisateur dans les 72 heures suivant la détection de l'incident.

Dans de telles circonstances, et en accord avec l'utilisateur, Brevo s'engage à prendre les mesures nécessaires en matière de protection des données et à limiter les effets négatifs sur les personnes concernées.

Brevo s'engage à fournir à l'utilisateur toute l'information et l'assistance dont il a besoin pour lui permettre de respecter ses obligations de notification aux autorités de protection des données et, le cas échéant, aux personnes concernées.

Examen de sécurité approfondi

Nous savons que la sécurité des données est une question sensible pour beaucoup, c'est pourquoi nous l'avons toujours placée en tête de nos priorités. Le RGPD nous a permis d'aller encore plus loin dans cet objectif : en garantissant des transferts et un stockage des données hermétiques, ainsi qu'en améliorant le suivi et le contrôle des données pour offrir aux utilisateurs un accès plus simple et plus sécurisé.

Pour éviter les violations de données, il est nécessaire de contrôler de manière rigoureuse le traitement des données sur notre plateforme.

Grâce au suivi des données et à l'identification des logs, nous avons instauré un système de traçabilité des données pour toutes les procédures de traitement des données sur notre plateforme.

En outre, nous avons cherché à maximiser la sécurité des données archivées de nos utilisateurs. Ces données sont désormais stockées dans des bases de données distinctes et les données à caractère personnel ont été chiffrées.

Ces archives sont stockées à des fins juridiques uniquement. Une fois la période de conservation terminée, les données sont supprimées de la base de données.

Gestion de nos partenaires et sous-traitants

La responsabilité partagée figure parmi les grands principes du RGPD. Cela signifie que toutes les parties prenantes, qu'il s'agisse du responsable du traitement (la partie qui détermine les fins et les moyens du traitement des données) ou de l'un des sous-traitants situés en aval de la chaîne, ont une part de responsabilité juridique, puisque le traitement est effectué sur des données à caractère personnel.

Occupant à la fois le rôle de responsable du traitement et de sous-traitant, Brevo doit aborder le principe de responsabilité des deux côtés.

En tant que sous-traitant, nous avons mis en place des moyens pour garantir la conformité au RGPD tout au long de la chaîne de traitement des données avec l'ensemble de nos fournisseurs de logiciels partenaires.

En tant que responsable du traitement, nous devons également garantir la conformité de nos propres sous-traitants aux nouvelles réglementations. Par conséquent, nous avons interrogé les sous-traitants au sujet de leurs méthodes de traitement des données. Cela nous a permis de nous assurer que leurs procédures en matière de traitement de nos données étaient conformes au RGPD et à nos engagements envers nos clients.

Nous avons cessé de collaborer avec les sous-traitants qui n'étaient pas en mesure de fournir des réponses satisfaisantes à nos questions.

Une fois que nous avons reçu des réponses satisfaisantes de la part de nos autres sous-traitants, nous avons contractualisé nos exigences dans des accords sur le traitement des données (DPA, Data Processing Agreements).

Le DPA est un document qui spécifie le type et les méthodes de traitement des données effectué par le sous-traitant pour le compte de Brevo, ce qui permet de garantir un cadre juridique et la traçabilité des données.

Pour nos sous-traitants situés aux États-Unis, nous avons également vérifié leur certification Privacy Shield, qui constitue une condition indispensable pour le traitement des données des citoyens européens.

Documentation juridique

À la lumière des nouvelles exigences imposées par le RGPD, nous avons tout naturellement mis à jour notre documentation juridique. Plus précisément, nous avons apporté des modifications à nos conditions générales et à notre politique de confidentialité, toutes deux disponibles sur notre site web.

Nous avons ajouté une annexe concernant les sous-traitants à nos conditions générales afin de détailler le rôle et les responsabilités de Brevo vis-à-vis des utilisateurs en tant que fournisseur de services tiers.

Implications internes du RGPD au sein de l'organisation Brevo

Le RGPD nous a également contraints à optimiser notre organisation interne et à élaborer des bonnes pratiques et des procédures pour soutenir les grands principes de cette réglementation.

Sensibilisation des collaborateurs

Certains collaborateurs de Brevo jouent un rôle qui nécessite un accès privilégié aux données à caractère personnel.

Par exemple, les gestionnaires de comptes peuvent avoir besoin d'accéder à certains éléments du compte d'un utilisateur pour répondre à une question d'assistance.

Nous avons commencé par étendre la clause de confidentialité des contrats de nos salariés et par animer des sessions de formation.

La formation comprend un cours général sur les exigences du RGPD, ainsi que des cours spécialisés visant à compléter la formation initiale pour les équipes spécifiques qui traitent régulièrement des données sensibles.

Cela permet à l'ensemble du personnel de comprendre clairement ses obligations en ce qui concerne les nouvelles réglementations.

Procédures et contrôles internes

Afin de garantir la bonne application de nos mesures de conformité, nous avons revu l'ensemble de nos procédures internes en matière de gestion de l'accès des collaborateurs aux données à caractère personnel, le traitement des demandes des personnes souhaitant exercer leurs droits en matière de données à caractère personnel et les processus de conservation et de suppression des données.

Un plan de contrôle a été mis en place pour vérifier régulièrement la bonne application de ces procédures et la mise à jour de la documentation correspondante.

Nomination de personnes chargées de veiller à la conformité

La mise en œuvre de nos mesures de conformité a été gérée par notre directeur des opérations. Parallèlement, notre DPO (délégué à la protection des données) est chargé de veiller à ce que Brevo reste conforme au RGPD.

Il incombe également au DPO de surveiller l'application des différents aspects de la réglementation et de garantir le respect des grands principes du RGPD, en particulier le principe de “confidentialité dès la conception”, qui fait référence à la conformité d'une procédure de traitement des données avant qu'elle ne soit réellement mise en place.

Notre DPO est assisté d'un SecOps pour les aspects spécifiquement liés à la sécurité et à la traçabilité des données. Si vous souhaitez contacter notre DPO, vous pouvez le joindre directement par email à l'adresse dpo@brevo.com.

Situation actuelle et prochaines étapes

La mise en conformité avec le RGPD nécessite un travail régulier. Il s'agit d'un processus continu qui nécessite un suivi régulier et la confirmation que les principes de la loi sont respectés en interne dans le cadre de notre traitement actuel des données, ainsi qu'une évaluation continue tenant compte du critère de “confidentialité dès la conception” pour chaque nouvelle procédure impliquant le traitement de données à caractère personnel.

Chez Brevo, nous sommes fiers d'avoir relevé la première partie du défi. Nous allons maintenir notre engagement en matière de conformité afin de rester un fournisseur de logiciels tiers de confiance pour nos utilisateurs.

La mise en œuvre de cette vaste opération de mise en conformité a permis à Brevo de bénéficier de plusieurs avantages, dont les suivants :

  • Le ralliement de l'ensemble de l'organisation autour d'un objectif commun et la collaboration entre les différentes équipes pour l'atteindre
  • La mise en œuvre de procédures encore plus rigoureuses en matière de gestion et de traitement des données pour renforcer la sécurité
  • La mise en conformité rapide grâce à nos partenaires externes
  • La mise en place d'une évaluation innovante de la sécurité de notre réseau et de mesures de correction nécessaires
  • Le renforcement du lien entre Brevo et les utilisateurs en fournissant les outils nécessaires à la conformité au RGPD sur notre plateforme

Brevo est une organisation composée de plus de 400 personnes, toutes engagées à garantir la sécurité et la confidentialité des données à caractère personnel qui nous sont confiées. Nous prenons cette responsabilité au sérieux dans le cadre de notre mission principale, qui consiste à fournir une plateforme de marketing numérique tout-en-un aux petites et moyennes entreprises, pour leur permettre de se développer et de prospérer.

🤔 Vous avez des questions ?

Pour toute question, n’hésitez pas à contacter notre service client en créant un ticket à partir de votre compte. Si vous n’avez pas encore de compte, vous pouvez nous contacter ici.

💬 Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 6 sur 18