CROSSING TELECOM - CONFORMITE RGPD et Droits du Client en matière de traitement des données personnelles
- Qu'est-ce que le RGPD?
"RGPD" est l'acronyme de Règlement Général (Européen) sur la Protection des Données. Le RGPD est la nouvelle réglementation en vigueur en matière de protection des données et remplace l'ancienne Directive 95/46/CE. Le RGPD entre en vigueur le 25 mai 2018. Bien que les grands principes du RGPD soient les mêmes que ceux des législations jusqu'ici applicables au Luxembourg, certaines nouveautés sont à prendre en compte en matière de droits accordés aux personnes dont les données sont traitées, et d'obligations dans toute la chaîne des soustraitants et fournisseurs.
- Crossing Telecom est-elle prête pour le RGPD ?
Le premier élément, et sans doutes le plus important pour garantir la confidentialité des données, concerne les collaborateurs de Crossing Telecom. Depuis sa création, Crossing Telecom a toujours assorti ses contrats de travail d'une clause relative au secret des Télécommunications (historiquement par le biais de l'acceptation de la législation sur le secret des Télécommunications : Section IX (articles 21, 22 et 23) du Règlement Grand-Ducal du 22 décembre 1997 concernant le Secret des Communications et la Sécurité Publique). Cette clause garantit juridiquement qu'aucun employé de Crossing Telecom ne peut divulguer la moindre information relative à un de nos clients, et ce sans limitation dans le temps.
Crossing Telecom a mis en place un plan d'action pour assurer au maximum son respect des règles du RGPD dans tous les aspects de ses activités et processus. Cependant, un certain nombre de zones d'ombre subsistent dans les textes pour la mise en pratique de certains points de détails en fonction du profil client notamment, et seront traités au cas par cas au fil du temps notamment en fonction les éventuelles jurisprudences qui apparaîtront. Il est des lors actuellement, à défaut de pouvoir s'adresser à une autorité de certification qui n'existe pas encore, impossible de certifier que nous sommes à 100% dans le respect du RGPD. Cependant, en tant qu'opérateur de télécommunications au Grand Duché de Luxembourg, nous avons depuis toujours une culture de la protection des données de nos clients par le biais notamment d'une application la plus restrictive possible des législations et règlements déjà existants. De même, nos processus de traitement des informations de nos clients ont toujours été très restrictifs, au point que certains de nos clients se sont toujours plaints de devoir respecter un processus strict et contraignant, mais permettant de garantir la confidentialité des données, pour disposer d'informations ou modifier des éléments de leurs abonnements. Cette politique a pourtant toujours eu comme seul et unique but de protéger nos clients. Nos processus de traitement ne sont donc pas impactés par le RGPD puisque depuis toujours respectent ses critères maintenant établis comme norme au niveau Européen.
- Traitement et protection des données
Ci-après les données dont nous disposons sur nos clients :
- Données contractuelles, incluant identification du client
- Extrait de registre de commerce dans le cas d'une personne morale
- Copie de Carte d'identité dans le cas d'une personne physique
- Données d'identification auprès de son ancien opérateur lorsque applicable, nécessaire pour la migration vers nos services
- Formulaire SEPA pour les prélèvements automatiques
- Données techniques nécessaires à la mise en place de nos services et pouvant être échangées avec nos fournisseurs et sous-traitants, par le biais d'échanges suffisamment sécurisés. Tous nos fournisseurs et sous-traitants sont situés dans l'Union Européenne. Pour certains services spécifiques, des fournisseurs ou sous-traitants peuvent avoir accès à certaines données personnelles, et ce de manière limitée. Dans ce cas, notre politique est d'exiger que ces données soient traitées dans l'Union Européenne par ces sous-traitants ou dans des conditions de protection conformes au RGPD.
- Données de communications du client (pour une période de maximum 6 mois à partir de la date d'établissement de la facture y afférent)
- Factures
En outre, de par l'obligation de remise de rapports statistiques semestriels et annuels auprès du régulateur, nous conservons pour une durée de 10 ans, toutes les données de consommation globales de l'ensemble de nos clients. Par données de consommation globales, il faut comprendre données statistiques tous clients confondus. Partant de ces données, il n'est pas possible d'identifier un client, sa consommation, son profil technique, etc… Il ne s'agit que de données statistiques portant sur la totalité des clients en un seul bloc, et non pas par client.
Crossing Telecom ne traite les données de ses clients que pour des usages purement internes, et ponctuellement pour des usages d'action marketing. Dans ce dernier cas, les données exploitées ne concernent que :
- Le nom du client
- L'adresse postale du client
- Eventuellement le numéro de téléphone du client
- Eventuellement l'adresse e-mail du client
- Eventuellement les profils techniques des abonnements souscrits par le client
Nous ne traitons en aucun cas à des fins de marketing ou publicitaires les données de consommation de nos clients. Ces données sont considérées comme confidentielles et ne sont exploitées, individuellement, que lors de démarches commerciales envers le client concerné, ou dans le cadre du support. Ces données restent donc exploitées exclusivement entre le client concerné et son délégué commercial attitré, ou entre le client et le service support. Toutes nos actions marketing sont traitées en interne et ne faisons appel à aucune entreprise extérieure. Il n'y a donc aucune sortie de données vers des tiers à des fins de prospection, de marketing ou de publicité.
En outre, l'ensemble des données et systèmes de traitement des informations de nos clients sont isolés physiquement de tout accès Internet, la meilleure garantie contre toute tentative de cyberintrusion.
Certaines données de nos clients sont cependant accessibles on-line, via un portail à accès sécurisé : notre espace clients sur notre site Internet. Les données contenues sur ce portail sont peu sensibles au regard du RGDP :
- Nom du c
- Email du client
- Services souscrits par le client
- Détails de ses communications téléphoniques facturées pour une période de 6 mois maximum
- Historique des Factures du client
Toutes ces données ainsi que l'ensemble des serveurs de Crossing Telecom sont situés exclusivement au Luxembourg dans divers centres de données hautement sécurisés. Toutes les mesures sont prises afin de restreindre et protéger l'accès à ces données et un monitoring permanent est installé pour parer à toute éventuelle cyberattaque, monitoring qui entraînerait la coupure immédiate de tous les accès vers ces données.
Enfin, nos systèmes de sauvegarde des données garantissent un stockage des données traitées dans un centre d'archivage sécurisé, et une copie régulière des données électroniques est quant à elle stockée régulièrement dans un coffre en Banque.
- Que faire pour modifier ou disposer des informations traitées par Crossing Telecom ?
Dans tous les cas, il suffit au client d'adresser à Crossing Telecom un courrier recommandé avec accusé de réception.
- Pour une modification de données personnelles tombant sous le coup du RGPD : Crossing Telecom procèdera à la modification endéans les 5 jours ouvrables suivants la réception du courrier
- Pour une modification du traitement des données à des fins marketing (comme par exemple être exempté d'une mailing list) : Crossing Telecom procèdera à la modification endéans les 5 jours ouvrables suivants la réception du courrier
- Pour une récupération des données personnelles détenues par Crossing Telecom : Crossing Telecom procèdera à la transmission sous format électronique (clé USB) de toutes les données et documents endéans les 5 jours ouvrables suivant la réception du courrier si le client est encore sous contrat actif avec Crossing Telecom, et endéans les 30 jours ouvrables dans les autres cas (pouvant nécessiter la récupération des données auprès des archives – Dans ce cas l'opération de recherche des données sera facturée)
- Pour une suppression des données personnelles tombant sous le coup du RGDP, Crossing Telecom procèdera à la suppression des données endéans les 30 jours suivants la fin du contrat entre le client et Crossing Telecom. Cependant, dans ce cas seules les données non nécessaires aux identifications judiciaires, fiscales, ou juridiques seront supprimées. Les autres données ne seront supprimées automatiquement qu'à la fin des différentes périodes légales prévues dans chaque cas.
- Violation de données :
Une violation de données concerne tous les cas où une violation de la sécurité entraîne de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Sont donc par exemple des violations de données au sens du RGPD : l'intrusion sur un serveur avec consultation des données personnelles qui s'y trouvent, la destruction accidentelle (en dehors de toutes les procédures de sécurité informatique prévues pour le faire) d'un disque dur sur lequel se trouve des données personnelles, la divulgation non autorisée de données personnelles sur notre infrastructure.
En cas de violation de données, nous effectuerons la notification obligatoire auprès de la Commission Nationale pour la Protection des Données (CNPD)