Notice d'information - Données personnelles
RGPD
Avant-propos
Blockchain Certified Data ("BCD") SAS rappelle qu’il incombe à ses Clients, responsables du traitement, de respecter l’ensemble des obligations légales qui leur incombent, notamment au titre du Règlement de (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») et de la Loi 78-17 du 6 janvier 1978 modifiée (ci-après la « Loi Informatique et Libertés »).
Dans une optique de collaboration, et dans un souci de conformité avec le RGPD et la Loi Informatique et Libertés, en qualité d’éditeur de la solution BCdiploma et de sous-traitant de données à caractère personnel de ses Clients, BCD a souhaité apporter des précisions et informations à ses Clients afin de faciliter la mise en place de la solution BCdiploma et le respect de leurs obligations en matière de protection des données à caractère personnel.
La présente documentation contient à cet effet des informations à destination de ses Clients, réalisés sur la base des éléments techniques dont dispose BCD et de l’analyse liminaire qu’elle a menée.
Ces éléments ne sauraient engager la responsabilité de BCD quant à leur exhaustivité et/ou leur exactitude.
Ils sont communiqués à titre informatif, ne peuvent suppléer l’analyse à la charge du Client, invité à effectuer appréciation préalable de leur pertinence au regard des éléments de contexte et de projet, et une adaptation éventuelle au cas par cas.
Information des personnes physiques dont les données sont traitées (RGPD)
Le recours à la solution BCdiploma a pour objet de vous permettre la délivrance d’attestations certifiées, dématérialisées, et authentifiées. C’est dans ce cadre qu’intervient le traitement des données à caractère personnel des personnes physiques concernées.
Il vous incombe donc de vous assurer que les personnes physiques concernées par ce traitement ont bien été informées de ce traitement et de ses modalités, selon les modalités de votre choix.
La collecte des données à caractère personnel nécessaire à l’établissement de l’attestation étant – a priori – réalisée directement auprès de la personne concernée, il convient de vous assurer du respect du formalisme des articles 13 du RGPD et 32 de la Loi Informatique et Liberté.
Mention type d’information complète
Voici un exemple de notice d’information complète à communiquer aux personnes physiques concernées, selon les procédés suivants :
- lien renvoyant à une page permettant d'accéder à l'information détaillée ;
- page d'information contenant des menus dépliants ;
- pop-up d'information contextuelle en cas de formulaire en ligne.
Responsable du traitement
Les informations suivantes vous sont communiquées afin que vous puissiez prendre connaissance des engagements en matière de protection des données à caractère personnel de [Nom de l’Institution] sis à [à compléter avec votre adresse], qui agit en tant que responsable du traitement pour les traitements de données à caractère personnel évoqués ci-après.
Finalités
[Nom de l’Institution] met en œuvre des traitements de données à caractère personnel ayant pour finalités :
- l’établissement et la délivrance de d’attestations certifiées relatifs à l’utilisateur final (apprenant, étudiant, salarié, etc.), notamment de manière dématérialisée ;
- leur mise à disposition de l’utilisateur final au moyen d’un lien internet dédié ;
- la gestion, l’authentification, l’enregistrement et la conservation pour la durée nécessaire de ces attestations numériques.
Base juridique
Ces traitements de données à caractère personnel ont pour base juridique les intérêts légitimes poursuivis par [Nom de l’Institution], à savoir, par exemple :
- la simplification, l’automatisation, et la réduction des coûts liés à la délivrance et à la conservation des attestations ;
- la garantie de l’authenticité des attestations délivrées par
[Nom de l’Institution]et la lutte contre leur falsification ; - autre raison…
Caractère obligatoire
Vos données d’identité que nous collectons, de même que celles qui sont recueillies ultérieurement (données relatives à l’établissement de votre attestation), sont indispensables à la réalisation des traitements susvisés.
Destinataires des données
Sont destinataires de vos données l’ensemble des services habilités [Nom de l’Institution], nos sous-traitants, et l’ensemble des personnes à qui vous aurez préalablement communiqué le lien URL qui vous est délivré, permettant l’accès au diplôme ou à l’attestation certifiée. Nous vous rappelons que cette décision de communication du lien URL vous est personnelle et sera effectuée exclusivement sous votre contrôle et votre responsabilité.
Par ailleurs, vous êtes informés que vos données personnelles sont chiffrées. Ce chiffré est enregistré dans un environnement décentralisé, et ne peut être déchiffré qu'à l'aide du lien URL qui vous a été délivré.
Durée de conservation
Vos données sont conservées par [Nom de l'Institution] pour une durée de [Durée].
Transfert
Nous attirons votre attention sur le fait que vos données sont susceptibles d’être communiquées à des destinataires situés dans des pays tiers non membres de l’Union européenne, disposant d’une protection équivalente ou n’en disposant pas.
Cela concerne notamment nos sous-traitants, en charge par exemple de prestations d’hébergement.
Le cas échéant, ces transferts de données sont encadrés par les mesures de garantie appropriées suivantes :
- des conventions de flux transfrontières établies conformément aux clauses contractuelles types de responsables à sous-traitants approuvées par la Commission européenne le 4 juin 2021 par la décision d’exécution n° 2021/914 et actuellement en vigueur ;
- la certification des sous-traitants situés aux Etats-Unis au cadre de protection des données UE - Etats-Unis et Suisse - actuellement en vigueur (Data Privacy Framework) et aux engagements qui en découlent. Vous pouvez obtenir communication des garanties prises en vous adressant à
[Adresse du DPO ou du service en charge de l’exercice des droits].
Par ailleurs et à toutes fins utiles, vous êtes informés que sont susceptibles d’être situés partout dans le monde, et donc dans un pays tiers non membres de l’Union européenne disposant d’une protection équivalente ou n’en disposant pas, toute personne à qui vous aurez préalablement communiqué (dans le cadre de vos activités personnelles) le lien URL personnel d’accès à votre attestation certifiée, celle-ci pouvant alors accéder et prendre connaissance de votre attestation.
Vos droits
Conformément à la réglementation applicable en matière de protection des données à caractère personnel, vous disposez d’un droit d’accès, d’interrogation, de rectification et d’effacement des informations vous concernant, de limitation du traitement, d’un droit à la portabilité de données vous concernant.
Vous disposez également d’un droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement des données à caractère personnel ayant comme base juridique l’intérêt légitime de [Nom de l’Institution], ainsi que d’un droit d’opposition à la prospection commerciale.
Par ailleurs, vous disposez également du droit de formuler des directives spécifiques et générales concernant la conservation, l’effacement et la communication de vos données à caractère personnel après votre décès. En ce qui concerne les directives générales, elles devront être adressées à un tiers qui sera désigné par Décret.
La communication de directives spécifiques post-mortem et l’exercice des droits s’effectuent par courrier à l’adresse [À compléter] ou par courrier électronique à l’adresse suivante [À compléter]. Vous pouvez apporter la preuve de votre identité par tout moyen. En cas de doute sur l’identité de la personne concernée, [Nom de l’Institution] pourra demander des informations supplémentaires apparaissant nécessaires, y compris la photocopie d’un titre d’identité portant votre signature.
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale Informatique et libertés.
FERPA
Lorsque le client utilisateur de la solution BCdiploma est un établissement soumis à la loi américaine FERPA (Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g), Blockchain Certified Data ("BCD") SAS reconnaît que, pour les besoins des Conditions Générales d’Utilisation accessibles ci-dessus, BCD pourra être désignée comme étant un « school official » ayant un « legitimate educational interests » dans les Données Client et les Données des Services Professionnels tels que ces termes sont définis par la loi FERPA et ses décrets d‘application. BCD convient de respecter les limitations et exigences imposées par l’Article 34 CFR 99.33(a) aux "school official".
Le Client reconnaît que BCD n’est pas habilité à utiliser les données certifiées par le Client sur la plateforme BCdiploma pour contacter les titulaires d’attestations produites via la plateforme BCdiploma, et qu’il incombe au Client de réaliser auprès desdites personnes les démarches requises par la réglementation applicable.
LPRPDE (PIPEDA)
Blockchain Certified Data ("BCD") fournit une solution SaaS à des institutions canadiennes et traite, pour leur compte, des données personnelles de citoyens canadiens. À ce titre, BCD est soumis à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE / PIPEDA), et applique des mesures techniques et organisationnelles conformes aux dix principes directeurs de cette législation. Cela inclut notamment :
- Un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO/IEC 27001
- Un hébergement sur Microsoft Azure, certifié SOC 2 Type 2, garantissant un haut niveau de sécurité et de disponibilité
- Des mesures renforcées de chiffrement, de contrôle d’accès et de minimisation des données
- Des pratiques transparentes concernant les données et un soutien aux droits des personnes concernées (accès, rectification, suppression)
- Un point de contact dédié pour toute question liée à la protection des données : dpo@bcdiploma.com
BCD s’engage à garantir une conformité totale à la LPRPDE / PIPEDA, dans le cadre de la prestation de ses services aux clients canadiens.
nLPD
Lorsque le client utilisateur de la solution BCdiploma est un établissement soumis à la nouvelle Loi fédérale sur la Protection Des Données (nLPD) en Suisse entrée en vigueur le 1er septembre 2023, Blockchain Certified Data ("BCD") SAS reconnaît que, pour les besoins des Conditions Générales d’Utilisation accessibles ci-dessus, elle s'engage à respecter les obligations et exigences imposées par la nLPD en matière de protection des données personnelles.
BCD intégre les principes de "Privacy by Design" et de "Privacy by Default" dans le développement et la mise en œuvre de ses services. Cela signifie que nous incorporons la protection et le respect de la vie privée des utilisateurs dès la conception de nos produits et services, en prenant par défaut toutes les mesures nécessaires pour protéger les données et limiter leur utilisation, sans nécessiter d'intervention de la part des utilisateurs.
En cas de violation de la sécurité des données, BCD s'engage à notifier rapidement le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT), conformément aux exigences de la nLPD.
Le Client reconnaît que BCD n’est pas habilitée à utiliser les données certifiées par le Client sur la plateforme BCdiploma pour contacter les titulaires d’attestations produites via la plateforme BCdiploma. Il incombe au Client de réaliser auprès desdites personnes les démarches requises par la réglementation applicable, notamment en matière d’information des personnes concernées et de respect de leurs droits.
POPIA
Les traitements réalisés via la solution BCdiploma satisfont aux exigences du POPIA (Protection of Personal Information Act, 2013) grâce à l’ensemble des mesures mises en œuvre pour garantir la conformité au RGPD, aux politiques internes de sécurité alignées sur l’ISO 27001, et à la couverture des écarts identifiés entre POPIA et RGPD, à savoir :
• Rôles : BCD agit en tant qu’“Operator”, ne traitant les données qu’exclusivement sur instructions documentées du client, lequel assume le rôle de “Responsible Party” conformément aux obligations POPIA.
• Transferts transfrontaliers : BCD héberge et traite les données au sein de datacenters Microsoft Azure situés dans l’Union européenne (France, Pays-Bas). Tout transfert transfrontalier, y compris tout accès à distance (support, maintenance, opérations), est réalisé uniquement vers/depuis des juridictions offrant un niveau de protection adéquat au sens de la POPIA, ou à défaut est encadré par des garanties appropriées et des engagements contractuels assurant un niveau de protection substantiellement équivalent.
• Inclusion des personnes morales : BCD reconnaît que les bénéficiaires peuvent être des personnes physiques ou morales, et leur garantit dans les deux cas le même niveau de confidentialité, de protection et de conformité.
• Notification des violations de données : En cas de violation de la sécurité des données, BCD s’engage à notifier sans délai injustifié, et au plus tard dans les 72 heures suivant la prise de connaissance de la violation, l’autorité compétente ainsi que les personnes concernées.
• Sous‑traitants (“Operators” secondaires) : Les sous‑traitants impliqués dans l’hébergement ou le traitement sont divulgués publiquement, et sont liés par des obligations équivalentes en matière de protection des données, conformément aux engagements contractuels et aux exigences POPIA.