Lecture 3 minutes
Magento vient de communiquer auprès de ses partenaires intégrateurs et nous donne un aperçu des actions en cours chez l’éditeur, qui prend ce sujet très au sérieux.
Le rôle de Magento dans la mise en conformité au RGPD
En tant que sous-traitant de données à caractère personnel, l’éditeur Magento est actuellement en train de revoir et d’ajuster, quand cela s’avère nécessaire, ses contrats le liant à ses clients et partenaires, mais aussi sa politique de confidentialité et ses processus de traitement des données à caractère personnel.
Actuellement, Magento travaille en étroite collaboration avec des juristes et des ingénieurs experts pour évaluer ses solutions afin d’accompagner ses clients dans l’identification des données stockées dans la plateforme et de leur localisation.
Pour les clients qui font appel à des solutions hébergées par l’éditeur, vous avez le choix de stocker ces data en Europe (Irlande pour Magento Business Intelligence, Londres, Francfort ou Irlande pour Magento Commerce Cloud). Magento ne stockera pas de données à caractère personnel ailleurs que le choix émis par l’E-commerçant.
L’équipe en charge de la sécurité est également en train de conduire des audits avancés sur tous les produits de l’offre Magento.
Les recommandations de l’éditeur
Les extensions proposées sur la marketplace de Magento étant développées par des tiers, Magento conseille fortement de procéder à un audit de celles que vous auriez installées sur votre plateforme. En effet, il se peut qu’elles stockent des données à caractère personnel à divers endroits dans votre plateforme et certaines peuvent aussi envoyer des données à d’autres services externes. Une attention particulière doit donc être portée à ces extensions dans le cadre de votre stratégie de mise en conformité.
Enfin, Magento conseille à chacun de ses clients de revoir l’ensemble des services et contrats impliquant des tiers afin de s’assurer que chaque sous-traitant soit bien conforme au RGPD.
Les engagements de Synolia en tant que sous-traitant
En tant que « sous-traitant » – Synolia traite des données personnelles pour le compte de ses clients – nous devons respecter plusieurs obligations dans le cadre des prestations de service pour lesquelles nous sommes missionnés. Nous nous engageons notamment à :
- Nommer un Délégué à la Protection des Données (DPD ou DPO en anglais)
- Garantir que l’ensemble des collaborateurs ayant accès et traitant les données personnelles qui nous sont transmises soient formés à la gestion de ces données et soient tenus d’en garantir la confidentialité et la sécurité.
- Étudier avec nos clients, dès la conception de leur application, la prise en compte de la protection des données personnelles manipulées.
- Limiter la manipulation et la conservation des données personnelles qui nous sont transmises au cadre des prestations commandées.
- Cartographier les actions entreprises, dans le cadre de nos missions, sur la manipulation des données personnelles confiées par nos clients afin d’en limiter l’accès aux seuls opérateurs des traitements.
- De plus, pour les clients que nous hébergeons, nous nous engageons à leur communiquer dans les plus brefs délais toute détection d’accès malveillant. Ils pourront ainsi déclencher leur plan d’actions associé en tant que responsables du traitement.
Pour en savoir plus sur le RGPD nous vous invitons à consulter le site de la CNIL. L’équipe Synolia se tient également à votre disposition pour répondre à vos questions, n'hésitez pas à nous contacter.
