Programme de conformité RGPD
Mis à jour le
Notre programme de conformité des données personnelles couvre les deux rôles que Roomee peut occuper au sens du Règlement Général sur la Protection des Données (RGPD) : sous-traitant — lorsque nous traitons les données de vos utilisateurs pour votre compte — et responsable de traitement — pour nos propres traitements. Il est construit autour des piliers de conformité ci-dessous, établis par référence au RGPD et aux recommandations des autorités européennes.
Ce livret a pour objet de décrire le programme et les actions mises en œuvre pour assurer la conformité, et d’apporter des réponses aux questions les plus fréquentes. Il s’appuie sur six chapitres de référence, disponibles en PDF et synthétisés ci-après.
Pour toute question relative aux données à caractère personnel et aux traitements de Roomee, y compris une demande d’accès : contact@roomee.io. Une équipe / un référent chargé de la protection des données est joignable à cette adresse ; aucun délégué à la protection des données (DPO) n’a été formellement désigné à ce jour.
Piliers de conformité
Notre socle commun est une politique générale de protection des données, qui décrit nos engagements en matière de conformité. Elle est accessible via notre politique de confidentialité.
En qualité de sous-traitant :
- la mise en œuvre d’un programme de conformité RGPD de notre plateforme, continuellement amélioré ;
- un accord de traitement des données (DPA) fondé sur le modèle standard de la Commission européenne, en conformité avec le RGPD et les recommandations de la CNIL ;
- une documentation technique détaillant nos mesures de sécurité.
En qualité de responsable de traitement :
- la cartographie et la tenue de deux registres de traitements (responsable de traitement et sous-traitant) ;
- des procédures et politiques : politique de gouvernance, politique de conservation, procédure de notification de violation de sécurité, procédure d’accès aux droits individuels ;
- une notice d’information des traitements ;
- une charte informatique ;
- un programme de formation interne à la protection des données personnelles ;
- un département de sécurité informatique chargé des mesures techniques et organisationnelles et du plan d’assurance sécurité.
Roomee en qualité de sous-traitant
Lorsque vous utilisez la plateforme Roomee pour traiter les données personnelles de vos propres utilisateurs (salariés, partenaires, prestataires), Roomee agit en qualité de sous-traitant et vous êtes responsable de traitement.
Conformité de la plateforme
Référence : Chapitre 1 — Conformité de la plateforme Roomee (PDF).
La plateforme est conçue et évolue selon deux principes clés : Privacy by Design et Privacy by Default. Elle met à votre disposition, en tant que responsable de traitement, des fonctionnalités pour remplir vos obligations RGPD :
- l’ajout de votre propre politique de confidentialité et de vos procédures (dont les demandes d’exercice de droits) ;
- une case à cocher pour recueillir le consentement de vos utilisateurs (opt-in) ;
- la maîtrise par les utilisateurs de leurs données (accès, rectification) ;
- la possibilité de pseudonymiser un utilisateur, conformément à votre politique de conservation ;
- le dépôt de cookies techniques et fonctionnels uniquement, nécessaires au fonctionnement de la plateforme.
L’administrateur que vous désignez peut, en cours de contrat, supprimer un utilisateur (ses informations de profil ne sont alors plus visibles des autres utilisateurs et il ne peut plus se connecter ; les mots de passe chiffrés sont supprimés et le compte ne peut être réactivé — la suppression d’un utilisateur n’efface toutefois pas les contenus qu’il a publiés) ou pseudonymiser un utilisateur supprimé. La pseudonymisation est irréversible : elle supprime définitivement la photo et les données personnelles du compte, et remplace nom, prénom et adresse e-mail par des chaînes aléatoires, y compris dans les messages postés ; les données statistiques globales sont conservées mais ne sont plus reliées à une personne identifiable.
Mesures de sécurité. Chiffrement en transit et au repos, pseudonymisation des données personnelles, et mesures techniques, organisationnelles et physiques (contrôles d’accès, formation, sécurisation des serveurs). Le détail figure dans notre documentation technique. L’infrastructure produit de Roomee est hébergée chez Digital Ocean (Francfort et Londres). Certains sous-traitants techniques sont situés aux États-Unis ; leurs transferts sont encadrés par le cadre EU-U.S. Data Privacy Framework et par des clauses contractuelles types (CCT). Pour la cartographie à jour, voir la page Sous-traitants et notre politique de confidentialité.
Finalités et bases légales des traitements
Référence : Chapitre 2 — Activités, finalités, catégories de données et bases légales (PDF).
Roomee fournit une plateforme SaaS et ses services associés (hébergement, sauvegarde, maintenance, support, analyse d’usage) pour les finalités déterminées par le client : apprentissage collaboratif, communication interne et connaissance de l’entreprise. Les catégories de données sont notamment des données d’identification, de vie professionnelle, de formation et, plus généralement, les données générées par les utilisateurs sur la plateforme — étant précisé que l’utilisateur peut choisir de ne pas renseigner certaines d’entre elles (initiales, photo, profils externes).
Les principaux traitements (fil d’actualités, bibliothèque de formations, organigramme et gestion des membres, messagerie instantanée) reposent sur l’exécution du contrat de travail (RGPD, article 6(1)(b)) et sont conservés, sauf demande expresse du client, 2 ans à compter de la fin du contrat.
Le détail des finalités, des catégories de données et des bases légales est présenté dans notre politique de confidentialité.
Rôles des parties
Référence : Chapitre 3 — Rôles des parties (PDF).
Le RGPD qualifie chaque partie selon son rôle, conformément aux lignes directrices du CEPD (11/2019) :
| Critère | Client | Roomee |
|---|---|---|
| Détermine les finalités et les moyens du traitement | Responsable de traitement | — |
| Décide des fonctionnalités activées, crée les utilisateurs et leurs habilitations | Responsable de traitement | — |
| Agit sur instructions, fournit et héberge le service SaaS, met à disposition les ressources techniques | — | Sous-traitant |
En qualité de sous-traitant, Roomee met en œuvre :
- un DPA conforme à l’article 28 du RGPD, fondé sur les clauses contractuelles types de la Commission européenne (voir la page DPA) ;
- une obligation d’assistance au client pour l’aider à respecter les articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d’impact, consultation préalable) ;
- un registre des activités de traitement réalisées pour le compte de chaque client, remis sur simple demande à contact@roomee.io ;
- une liste de sous-traitants ultérieurs tenue à jour, dont les changements sont notifiés aux clients (voir la page Sous-traitants).
Accès aux droits et violations de données
Référence : Chapitre 5 — Procédure d’accès aux données et procédure de violation (PDF).
Exercice des droits des personnes. La plateforme permet au client de communiquer sa propre politique de confidentialité et sa procédure, de désactiver un utilisateur de façon autonome, et de déléguer à l’administrateur la gestion des droits d’accès aux ressources internes. En tant que sous-traitant, Roomee ne devrait pas recevoir directement de demandes d’exercice des droits ; le cas échéant, nous transférons la demande au client dans les meilleurs délais (article 28 du RGPD et clause 8(a) des clauses contractuelles types) sans y donner suite nous-mêmes, sauf autorisation du responsable de traitement, et nous l’assistons si besoin.
Violation de données. Conformément à l’article 33 du RGPD et à la clause 9.2 des clauses contractuelles types, Roomee notifie au responsable de traitement toute violation de données en lien avec les données qu’il traite, dans les meilleurs délais après en avoir pris connaissance. La notification précise notamment les catégories et le nombre approximatif de personnes et de registres concernés, les coordonnées du personnel Roomee en charge de la réponse, les conséquences probables et les mesures de remédiation ou d’atténuation. Si toutes les informations ne peuvent être fournies simultanément, elles sont transmises par étapes, sans retard excessif.
Demandes d’une autorité de contrôle. Une procédure dédiée serait mise en œuvre si Roomee recevait une demande d’une autorité de contrôle (telle que la CNIL) ; elle est déclinée dans les contrats avec la majorité de nos sous-traitants ultérieurs.
Roomee en qualité de responsable de traitement
Référence : Chapitre 6 — Nos politiques internes (PDF).
Pour ses propres traitements, Roomee est responsable de traitement. Notre politique générale de protection des données (consultable via notre politique de confidentialité) se décline en politiques internes et outils de conformité.
Programme de conformité documenté
- une politique générale de protection des données ;
- une cartographie des traitements s’appuyant sur des outils dédiés ;
- des registres des activités de traitement (responsable de traitement et sous-traitant) ;
- des outils de traçabilité et de fiabilité des informations, en lien avec notre CTO ;
- des procédures par obligation RGPD (droit d’accès, faille de sécurité, charte informatique, conservation des données…), partagées avec l’ensemble des collaborateurs ;
- un programme de formations internes ;
- une veille juridique par abonnement à des alertes spécialisées ;
- une adresse dédiée aux questions sur les données personnelles : contact@roomee.io.
Mesures organisationnelles
La sécurité de l’information est prise en compte dès l’embauche. Les contrats de travail prévoient des obligations de confidentialité, de respect de la propriété intellectuelle et industrielle, ainsi que des règles d’utilisation d’Internet et de la messagerie liées à la sécurité des réseaux. Les collaborateurs bénéficient d’une sensibilisation continue et de formations à la sécurité dès leur arrivée, avec des formations ciblées pour les développeurs. Les politiques et procédures sont mises à jour et notifiées aux collaborateurs concernés via notre outil collaboratif, et accessibles dans notre bibliothèque de procédures internes (Confluence). Une charte informatique complète ce dispositif.
Pour plus d’informations sur nos politiques internes, consultez notre politique de confidentialité. Pour la liste des sous-traitants ultérieurs, voir la page Sous-traitants ; pour l’encadrement de la sous-traitance, la page DPA.
Autres documents légaux
- Accord de traitement des données (DPA)
- Conditions générales d'utilisation
- Liste des sous-traitants
- Mentions légales
- Politique de confidentialité
- Politique de gestion des cookies
Une question sur vos données ? Écrivez-nous à contact@roomee.io.