À propos de nous

L'engagement d'OpenText envers le RGPD

Un message de notre DPD

Chez OpenText, nous nous engageons à assurer le succès de nos clients et à protéger leurs informations. Nous reconnaissons que cet engagement ne concerne pas seulement les produits et les services que nous offrons, mais aussi la manière dont nous fonctionnons en tant qu'organisation en ce qui concerne notre propre conformité.

OpenText a accueilli le GDPR comme une opportunité de revoir son programme de gouvernance de l'information et de s'assurer que ses processus internes, ses procédures, ses systèmes de données et sa documentation étaient prêts lorsque le GDPR est entré en vigueur.

Depuis 1991, nous aidons nos clients à gérer et à protéger le patrimoine informationnel de leur entreprise. Nous utilisons les mêmes technologies pour nous aider à nous préparer au GDPR, avec nos propres experts internes.

Nous souhaitons partager les mesures que nous avons prises ainsi que les initiatives en cours dans le cadre de notre programme GDPR. Ces étapes garantissent le succès d'OpenText et de ses clients dans le cadre du GDPR.

Pieter J.L. (Berry) Wittenberg
Responsable mondial de la protection des données chez OpenText


Le règlement général sur la protection des données

Le Règlement général sur la protection des données (RGPD) est la nouvelle législation de l'Union européenne sur la confidentialité des données visant à moderniser et à réformer les lois relatives au traitement des données personnelles des résidents de l'Union européenne. Il s'agit de la plus grande révision des règles mondiales en matière de protection de la vie privée depuis plus de 20 ans.

Notre engagement envers le GDPR

En tant que leader de la gestion des informations d'entreprise, OpenText prend très au sérieux la sécurité et la confidentialité des informations. Nous appliquons depuis longtemps les meilleures pratiques du secteur pour intégrer la protection des données et de la vie privée dans nos pratiques quotidiennes, et nous aidons nos clients à mettre en œuvre nos solutions et notre expertise afin de mettre en place leurs propres programmes de conformité.

OpenText a analysé en profondeur les exigences du GDPR et leur pertinence pour nous en tant que contrôleur de données et processeur de données. En réponse, OpenText a mis en œuvre une stratégie de conformité au GDPR à l'échelle de l'organisation destinée à répondre à toutes les exigences du règlement, impliquant une équipe interfonctionnelle de ressources internes. Nous sommes fiers de dire que notre entreprise avait déjà intégré un grand nombre de ces exigences et principes avant l'entrée en vigueur du GDPR. Comme de nombreuses organisations, nous utilisons le GDPR comme une opportunité de renforcer nos pratiques.

Résumé de notre approche

Évaluer

  • L'équipe de direction a approuvé l'élaboration du programme GDPR
  • Nomination d'un délégué mondial à la protection des données
  • Évaluation diagnostique de l'entreprise en matière de GDPR menée par le cabinet mondial de conseil en gestion des risques EY LLP

Plan

  • L'équipe de direction a approuvé l'élaboration du programme GDPR
  • Nomination d'un délégué mondial à la protection des données

Exécuter

  • Recherche de données personnelles dans l'ensemble de l'entreprise
  • Registres inventoriés et documentés des activités de traitement
  • Mise en œuvre de plans d'action par chaque secteur d'activité concerné, y compris le marketing, les ressources humaines, les achats et les technologies de l'information

Maintenance

  • Tenue du registre des activités de traitement
  • Réaliser régulièrement des évaluations de l'impact sur la vie privée
  • Mise à jour régulière du cadre de risque
  • Confirmation de l'efficacité opérationnelle des contrôles des risques

OpenText en tant que contrôleur de données

En tant qu'entreprise qui collecte et traite les données personnelles de nos clients, partenaires et employés, nous avons mis en œuvre des initiatives clés de préparation au GDPR, notamment :

Gestion du consentement - Les normes en matière de consentement ont été renforcées par le GDPR. Cependant, OpenText s'est déjà conformé à des exigences existantes similaires dans le cadre de réglementations sur la confidentialité des données dans d'autres juridictions, y compris des pays d'Europe. Nos organisations de vente et de marketing ont procédé à un examen approfondi de leurs pratiques de gestion du consentement et les ont mises en conformité avec le GDPR. Cela comprend l'acceptation active de continuer à recevoir des communications de notre part ainsi que l'inclusion de déclarations sur la protection de la vie privée lorsque nous recueillons des informations personnelles, par exemple pour partager des documents de recherche.

En tant que client actuel ou potentiel, vous avez peut-être constaté certains de ces changements lors de vos interactions avec nos pages web, nos invitations à des événements et nos courriels. Les opt-ins pré-cochés ou implicites sont insuffisants - les individus doivent savoir à quoi ils consentent et qu'ils peuvent retirer leur consentement à tout moment. Chez OpenText, nous nous efforçons de créer des expériences personnalisées et agréables pour ceux qui s'engagent avec nous et de maximiser la valeur pour les clients à chaque interaction, tout en équilibrant cet objectif avec la sécurité, la confiance et le respect.

Ressources humaines - Le GDPR ne concerne pas seulement nos clients. Bien que les efforts du GDPR se concentrent sur les données externes, la nouvelle réglementation s'étend également aux données personnelles que nous détenons sur nos candidats à l'emploi et nos employés. Notre équipe des ressources humaines a mis en œuvre et continue de travailler sur plusieurs initiatives pour se conformer au GDPR, notamment :

  • Optimiser nos systèmes RH pour gérer les informations relatives aux candidats et aux employés conformément au GDPR.
  • Revoir les systèmes de ressources humaines afin de mieux gérer les informations que nous détenons, les raisons pour lesquelles nous les détenons, les personnes qui y ont accès et la durée pendant laquelle nous les détenons.
  • Élaborer des avis de consentement et de confidentialité afin d'assurer la transparence auprès de nos candidats et de nos employés en ce qui concerne les informations que nous détenons, les raisons pour lesquelles nous les détenons, les personnes qui y ont accès et la durée pendant laquelle nous les conservons.
  • Examiner les politiques et procédures liées aux ressources humaines afin de garantir la conformité de la confidentialité des données avec la nouvelle législation.

Gestion des dossiers - Nous veillons à ce que notre politique de gestion des dossiers comprenne des calendriers de conservation qui autorisent l'élimination des informations sur les clients lorsque celles-ci sont inactives, périmées ou ne sont plus nécessaires. Cela soutiendra le principe de minimisation des données et nous aidera à éviter de conserver les données personnelles de nos clients pendant une période plus longue que nécessaire.

Sécurité - La confidentialité et la sécurité des données sont deux éléments d'égale importance d'une stratégie globale de protection des données. Bien qu'OpenText suive déjà les meilleures pratiques de l'industrie en matière de sécurité de l'information et de gestion des risques, telles que définies par notre système global de gestion de la sécurité de l'information (ISMS) ISO 27001:2013, nous sommes conscients des normes de sécurité nouvelles et accrues que le GDPR introduit et nous continuerons à évaluer et à mettre à jour nos pratiques pour nous assurer qu'elles s'alignent sur les normes de l'industrie. Notre SMSI prévoit des processus de gestion des risques continus et rigoureux pour aider à soutenir la confidentialité, l'intégrité et la disponibilité de toutes les informations sous la garde d'OpenText.

Politiques, procédures et formation - Nous avons examiné les politiques et procédures pertinentes et les avons mises à jour pour refléter les nouvelles exigences en matière de protection de la vie privée, y compris celles relatives à la sécurité, à l'informatique, à la protection de la vie privée et aux ressources humaines. Ces examens sont en cours. Vous pouvez lire notre Politique de confidentialité et de sécurité d'OpenText et Politique en matière de cookies sur notre site web. OpenText a une longue pratique de la formation obligatoire Corporate Information Security and Compliance and Ethics pour tout le personnel. Les programmes d'études ont été revus afin d'intégrer le nouveau contenu nécessaire pour sensibiliser et former les employés à leurs obligations en vertu du GDPR.

OpenText en tant que processeur de données

Il est important que nous respections nos engagements au titre du GDPR en tant que processeur de données vis-à-vis de nos clients, les contrôleurs de données, qui font appel à un tiers tel que nous pour traiter les données personnelles. Voici quelques-unes de nos principales activités dans ce domaine :

Droits des personnes concernées - Le GDPR donne aux individus le droit d'accéder aux données fournies et traitées par le responsable du traitement à des fins d'effacement, de rectification, de transfert à un autre responsable du traitement et d'opposition au traitement. Les données que nous conservons pour le compte de nos clients sont la propriété du client, qui est le contrôleur des données. Nos clients conservent également le contrôle d'accès à leurs données, ce qui signifie que dans la majorité des cas, en tant que responsable du traitement des données, ils peuvent répondre aux demandes des personnes concernées et y donner suite. En tant que responsable du traitement des données, nous ne répondons pas directement aux demandes des personnes concernées. Nous continuons à améliorer nos processus et nos applications afin de permettre à nos clients de mieux répondre aux demandes légales des personnes concernées.

Engagements contractuels - Nous travaillons avec nos clients pour nous assurer que les obligations du GDPR sont incluses dans les engagements contractuels pour nos services en nuage à la satisfaction des clients, y compris l'utilisation et la gestion des sous-traitants, le soutien à la sécurité en temps opportun et les notifications de violation conformément aux nouvelles exigences. Les contrats de services en nuage comprennent des déclarations sur la manière dont les données doivent être traitées pendant que nous en avons la garde et sur la manière dont elles peuvent être rapatriées au client à la fin des services. Nous avons également revu nos accords de traitement des données (DPA) afin de normaliser l'inclusion des exigences du GDPR. OpenText a beaucoup travaillé avec les avocats de l'UE pour s'assurer que nos accords contiennent des dispositions appropriées pour un traitement légal des données personnelles.

Sécurité du cloud - Les entreprises font confiance à OpenText pour gérer leurs applications et informations critiques, en grande partie grâce à notre engagement et à notre expertise en matière de sécurité, de confidentialité et de conformité du cloud. Tous nos services en nuage ont une norme de base en matière de confidentialité et de sécurité, avec des contrôles de sécurité techniques et organisationnels régis par des tiers conformes aux normes de l'industrie et prouvés par des attestations indépendantes.

OpenText a certifié tous les niveaux (centre de données, infrastructure, plateforme - les certifications d'applications et de services peuvent varier) pour garantir à nos clients les contrôles de sécurité, les processus, les procédures et les politiques que nous avons mis en place. D'autres certifications seront obtenues au fil du temps, soit pour étendre la couverture, soit pour ajouter des certifications en fonction des besoins de l'industrie et de nos clients.

Nos produits et services EIM sont certifiés par de nombreuses normes industrielles et régionales. HIPAA, FDA 21 CFR Part 11, FINRA. Nous continuerons à faire évoluer nos contrôles en fonction de l'évolution des normes du secteur. Voici quelques-unes des certifications actuelles en matière d'informatique dématérialisée :

Nuage d'entreprise

  • ISO 27001:2013
  • SOC 1 Type II
  • SOC 2 Type II
  • SOC 3

Business Network

  • ISO 27001:2013
  • SOC 1 Type II
  • SOC 2 Type II
  • SOC 3
  • HIPAA

Réseau d'entreprises - EasyLink

  • SOC 1 Type II
  • SOC 2 Type II
  • SOC 3

Documentum (DaaS) Cloud

  • SOC 2 Type I
  • SOC 2 Type II

Notification des violations - L'opérationnalisation de la gestion des incidents et le respect de la fenêtre de notification des violations de 72 heures sont et resteront un défi pour toutes les organisations. L'équipe de sécurité de l'information d'OpenText dispose d'un processus de réponse aux violations de données bien établi qui s'étend du moment où une violation présumée s'est produite aux étapes de clôture de la réponse après l'incident. Les procédures d'OpenText en cas de violation de données comprennent cinq étapes : découverte, évaluation, réponse, protection et récupération. C'est à l'étape de la "réponse" que sont déterminés les exigences et les délais de notification des violations. OpenText a examiné les lois sur la notification des violations de données dans toutes les régions où nous opérons, y compris les exigences du GDPR, et s'engage à s'y conformer.

Aider nos clients dans leur démarche GDPR

Les technologies de gestion de l'information d'entreprise (EIM) sont la clé d'une stratégie efficace et solide de respect de la vie privée et de protection des données. En tant que leader de l'EIM, OpenText s'engage à aider ses clients tout au long de leur parcours vers la préparation et la conformité au GDPR. Cependant, il est important de reconnaître que la conformité est une responsabilité partagée. La conformité réglementaire nécessite une combinaison de processus, de politiques, d'expertise, d'éducation et de formation, ainsi que les outils technologiques adéquats. Nous pensons que la voie de la conformité passe par une compréhension et une culture communes de la protection de la vie privée.

Comment nous aidons nos clients à se préparer au GDPR :

  • Ressources GDPR - Nous avons publié des livres blancs, des vidéos, des webinaires à la demande et des articles de blog expliquant comment les organisations peuvent se conformer aux principes clés du GDPR en utilisant l'EIM et nos services.
  • OpenText Product Security Assurance Program (PSAP) - Bien avant le GDPR, OpenText a établi son programme d'assurance de la sécurité des produits. Le PSAP vise à garantir que nos produits, solutions et services sont conçus, développés et maintenus dans un souci de sécurité.
  • Protection des données dès la conception et par défaut - Selon les termes du GDPR, la protection de la vie privée doit être délibérément intégrée et adoptée par défaut dans les systèmes de traitement. Chez OpenText, nous réexaminons constamment les principes de protection de la vie privée dès la conception, tels que la sécurité de bout en bout, afin de les intégrer non seulement dans nos processus et systèmes d'entreprise, mais aussi dans les logiciels que nous développons.