À moins d’avoir passé les dernières semaines sans internet, ni poste de télévision ou collègue de travail, vous avez forcément entendu parler du GDPR (General Data Protection Regulation).

Ces quatre petites lettres surgissent à tout bout de champ ces derniers temps : en effet, le nouveau « Règlement général sur la protection des données » doit entrer en vigueur le vendredi 25 mai 2018.

Ainsi, vous avez probablement reçu environ un milliard d’emails marketing vous demandant votre consentement à l’égard des communications, et bien qu’il soit tentant de passer outre, il est important de comprendre le GDPR – car il s’agit de vos données personnelles et de la façon dont les entreprises les utilisent.

Comme le sujet est d’importance, et que nous travaillons avec des données tous les jours, nous avons pensé qu’il était grand temps de partager notre FAQ avec vous sur la façon dont Brandwatch aborde le GDPR et la confidentialité des données en général.

La FAQ ci-dessous peut sembler sérieuse et n’être que du jargon juridique : c’est normal, c’est le cas. Lorsque nous ne vous faisons pas rêver avec du contenu sur les tétons de Super Mario, ou en examinant de près le monde virtuel des jeux Lego, nous sommes réellement, vraiment, sincèrement, follement, profondément sérieux au sujet des données. En plus, si je modifie d’un iota le texte de notre chef du service juridique, il me pourchassera sans pitié. Or ce n’est pas du tout ce que je veux : j’ai encore tant à offrir !

Si vous avez des questions auxquelles cette FAQ ne répond pas, n’hésitez pas à contacter votre représentant commercial, votre succès client ou votre account manager, ou bien faites-nous part de vos commentaires ci-dessous.

Préparez-vous à recevoir une solide formation sur le GDPR.

Votre moment de gloire à la machine à café est pour bientôt : vous allez être en mesure de clouer vos collègues grâce à votre connaissance du sujet et à votre sagacité d’esprit.

Brandwatch et le GDPR : FAQ

Q : Brandwatch se conforme-t-il au GDPR ?

R : Oui.

Q : Le GDPR s’applique-t-il aux services de Brandwatch ?

R : Le GDPR s’applique au traitement des données personnelles. Par données personnelles, nous entendons toute information concernant une personne physique identifiée ou identifiable. Brandwatch offre une variété de services, et chacun nécessite une explication différente dans le cadre du GDPR.

Analytics/Images, Audiences, et BuzzSumo (« services d’analyse »)

Les services d’analyse sont agnostiques en matière de données personnelles. Ils reposent sur l’analyse de grands ensembles de données textuelles et d’images disponibles. Cela signifie que, bien que le traitement des données personnelles ne soit pas la raison d’être des services d’analyse, il est probable que certaines d’entre elles se trouvent dans la base de données Brandwatch. Par exemple, lorsque des utilisateurs font vérifier leur compte Twitter, leur nom d’utilisateur et les tweets qui les accompagnent constituent des données personnelles. En raison de la difficulté de savoir, post par post, si les informations fournies sont des données personnelles ou non, Brandwatch choisit de considérer l’ensemble de sa base de données de mentions comme si elle ne contenait que des données personnelles.

Vizia

Avec Vizia, Brandwatch agit en tant que processeur de données et le GDPR s’applique lorsque les données au sein de Vizia sont des données personnelles.

Q : Brandwatch est-il un contrôleur de données ou un processeur de données en ce qui concerne ses services d’analyse ?

R : Pour ses services d’analyse, la plateforme Brandwatch décide des sites Web qu’elle explore, des données qu’elle recueille et comment et pourquoi ces données sont utilisées dans le cadre de ses services. Cette décision est fondée sur le fait que ces services et tous les processus qui y sont liés ne sont pas spécifiques à un client en particulier et ne peuvent donc pas être considérés comme étant « du fait » d’un tel client. Par conséquent, pour les services d’analyse qui contiennent des données personnelles, Brandwatch se considère comme un contrôleur de données dans le cadre du GDPR.

Q : Brandwatch est-il un contrôleur de données ou un processeur de données en ce qui concerne Vizia ?

R : Historiquement, Vizia n’affichait que les données d’Analytics (un autre service Brandwatch). Là où seules les données d’Analytics sont affichées, Brandwatch reste un contrôleur de données, car les données que Vizia traite constituent la source des données propres à Brandwatch (pour laquelle Brandwatch est un contrôleur de données). Cependant, Brandwatch a mis en place un écosystème de développeurs qui permet à ses clients de construire leurs propres applications logicielles qui se rattachent à Vizia et affichent les données des clients. Lorsqu’un client a construit sa propre application logicielle et que cette application contient des données personnelles, Brandwatch est un processeur de données et le client est un contrôleur de ces données personnelles. En effet, Brandwatch ne traite les données personnelles que pour le compte du client (c’est-à-dire pour exécuter et faire fonctionner l’application du client).

Q : Si Brandwatch est un contrôleur de données pour ses services d’analyse, que sont ses clients ?

R : Pour chacun des services d’analyse, les clients de Brandwatch sont également des contrôleurs de données concernant les données personnelles qu’ils traitent par le biais de ses services d’analyse. La raison en est que, dans le cadre du GDPR, chaque personne est soit un processeur de données, soit un contrôleur de données. Un processeur de données traite les données pour le compte du contrôleur de données. Sachant que les clients de Brandwatch ne traitent pas les données personnelles pour le compte de Brandwatch, ils ne peuvent qu’être des contrôleurs de données dans le cadre du GDPR lors de l’utilisation de ces services d’analyse.

Q : Sur quelle base juridique Brandwatch traite-t-il les données personnelles pour ses services d’analyse ?

R : La principale base juridique sur laquelle Brandwatch traite les données personnelles lors de l’exécution de ces services d’analyse est l’intérêt légitime du contrôleur des données. Cette base juridique exige un équilibre entre les intérêts légitimes du contrôleur de données et les intérêts ou les droits et libertés fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel. Les données que Brandwatch traite à partir des services d’analyse sont toutes accessibles au public et mises à disposition par l’auteur lui-même sur les médias sociaux. Brandwatch estime donc que les intérêts, les droits fondamentaux et les libertés des personnes concernées ne sont ni lésés ni bafoués dans le cadre du traitement des données des médias sociaux qui sont (1) accessibles au public et (2) peuvent être rendues privées à tout moment par l’auteur lui-même sur les médias sociaux. Les auteurs disposent d’un contrôle important sur la diffusion de leurs données personnelles sur les sites Web sous-jacents aux médias sociaux, notamment en basculant leur compte Twitter en mode privé.

 

Q : Où la plateforme Brandwatch stocke-t-elle les données personnelles qu’elle traite ?

R : Les données personnelles qui font partie de la base de données Analytics sont stockées sur des serveurs que Brandwatch possède et gère, hébergés chez des fournisseurs de colocation au Royaume-Uni. La politique de Brandwatch exige l’utilisation de centres de données de niveau TIER 3 dotés d’une sécurité physique et environnementale appropriée. Les fournisseurs de centres de données de Brandwatch conservent leur propre certification ISO 27001, ainsi que d’autres certifications pertinentes en matière de sécurité physique, d’environnement et de qualité. Les services Audiences et BuzzSumo de Brandwatch sont hébergés par des fournisseurs de cloud tiers, respectivement en Irlande et au Canada. Le service d’analyse d’images de Brandwatch est hébergé à la fois dans la base de données Analytics et chez un fournisseur tiers en Irlande. Les données personnelles de Vizia sont hébergées par un fournisseur de cloud au Royaume-Uni.

Q : La plateforme Brandwatch exporte-t-elle des données personnelles en dehors de l’Espace économique européen ?

R : À l’exception de BuzzSumo, qui est hébergé sur des serveurs au Canada, aucun des services de Brandwatch n’exporte actuellement de données personnelles à l’extérieur de l’Espace économique européen. Cependant, avec l’API ou la fonction d’export d’Analytics et d’Audiences, les clients peuvent techniquement exporter les données des serveurs de Brandwatch UK vers des pays non membres de l’EEE. Cet export dépendra de l’emplacement exact du dispositif du client qui exporte les données.

Q : Les systèmes de Brandwatch qui traitent les données personnelles sont-ils sécurisés ?

R : Oui. Brandwatch possède sa propre certification ISO 27001 qui couvre l’hébergement, le développement et le support de ses applications et données, y compris pour les serveurs qui hébergent les données personnelles dans Analytics et Vizia. Brandwatch a mis en place des mesures techniques et organisationnelles pour se protéger contre le traitement non autorisé ou illicite des données et contre la perte, la destruction ou l’endommagement accidentel. Les fournisseurs de cloud tiers auxquels Brandwatch fait appel, comme AWS et Google Cloud, sont à la pointe de l’industrie. En outre, Brandwatch applique sa propre politique et son propre processus de sécurité à la gestion et à la fourniture de systèmes et services provenant de tiers.

 

Q : Comment la plateforme Brandwatch s’assure-t-elle que ses services sont conformes au GDPR ?

R : Brandwatch a nommé des spécialistes de la protection de la vie privée au sein de ses équipes d’ingénierie et de produits. Ces personnes sont chargées d’intégrer les principes du respect de la vie privée dès la conception des services de Brandwatch. Si nécessaire, Brandwatch met également en œuvre des évaluations des facteurs relatifs à la vie privée, conformément au GDPR. Enfin, Brandwatch dispose d’un ingénieur en sécurité de l’information et d’un conseiller juridique qui supervise les questions liées à la protection de la vie privée.

Q : Est-ce que le « Privacy Shield » (bouclier de protection des données) de Brandwatch est certifié ?

R : Non. Brandwatch est d’avis qu’une certification Privacy Shield n’est pas nécessaire, car la plateforme n’exporte pas elle-même de données de l’Espace économique européen vers les États-Unis.

Eh bien, félicitations pour avoir lu nos explications jusqu’au bout. Vous disposez maintenant de toute l’information nécessaire, et vous savez tout ce qu’il y a à savoir sur les manières dont Brandwatch se conforme au GDPR.

Pour finir, nous vous rappelons une fois de plus que nous serons ravis de répondre à toutes vos questions plus en détail – pour cela il suffit de nous contacter via la section de commentaires ci-dessous, ou par l’intermédiaire de votre représentant commercial, de votre succès client ou de votre account manager.

Votre tranquillité d’esprit concernant les données nous tient sincèrement à cœur, et nous attendons avec impatience vos commentaires.