Règlement général sur la protection des données
Qboxmail et protection des données personnelles
La protection des données personnelles est une valeur fondamentale pour Qboxmail.
Afin de garantir à ses clients la conformité avec le RGPD et les autres réglementations applicables, ainsi qu’une sécurité maximale des données, Qboxmail a adopté un modèle de gestion de la protection des données afin d’aligner ses processus commerciaux et ses systèmes d’information sur ces dispositions.
Cette page fournit des informations sur la manière dont Qboxmail traite les données personnelles, à la fois en tant que responsable du traitement et en tant que sous-traitant pour le compte de ses clients, conformément aux principes de clarté et de transparence exigés par le RGPD.
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est le règlement européen qui harmonise les lois sur la protection des données en Europe. Il est entré en vigueur le 25 mai 2018 et impose à toutes les personnes morales, dans le cadre de leurs activités commerciales, de garantir un niveau adéquat de protection des données et de se conformer à ses dispositions.
Quelques définitions et rôles du RGPD
Afin de bien comprendre les informations suivantes, nous fournissons les définitions des termes clés utilisés par le RGPD et clarifions leur signification.
Le RGPD distingue également certains rôles assumés par les personnes morales dans le traitement des données à caractère personnel. En effet, une personne morale peut traiter des données en tant que responsable du traitement, sous-traitant, responsable conjoint du traitement ou sous-traitant autorisé.
Les données à caractère personnel sont considérées comme toute information concernant une personne physique identifiée ou identifiable. Par exemple, les données à caractère personnel sont le prénom et le nom, l’adresse, le numéro de téléphone, le code fiscal, l’adresse électronique, les photographies, la profession, le salaire, les coordonnées bancaires, l’état de santé, etc.
Les données à caractère personnel ne comprennent pas les données relatives aux entreprises et autres personnes morales, telles que la raison sociale, le siège social, le numéro de TVA, les données du bilan, les adresses électroniques de l’entreprise telles que info@nomesocietà.it, etc. Toutefois, les données à caractère personnel comprennent les données relatives aux personnes physiques travaillant dans cette société, telles que les représentants légaux, les employés, les professionnels externes, etc.
Les données ne sont personnelles que lorsqu’elles peuvent être rattachées à une personne physique, même en déployant des efforts raisonnables. Les données totalement anonymes ne sont pas soumises à la réglementation.
Les données à caractère personnel peuvent être définies comme communes et spéciales (appelées « données sensibles »). Les deux types de données sont soumis au RGPD. Cependant, les données sensibles nécessitent une sécurité supplémentaire et un traitement particulier.
Les données sensibles comprennent les données relatives à la santé, à la vie et à l’orientation sexuelles, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques et aux données biométriques (art. 9 du RGPD).
Les données à caractère particulier sont également considérées comme des données relatives aux condamnations pénales et aux infractions ou liées à des mesures de sécurité.
Toutes les autres données à caractère personnel sont considérées comme des données courantes.
Le traitement désigne toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit par des moyens électroniques ou automatisés, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition des données, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
Un responsable du traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Chaque entreprise est donc responsable du traitement des données à caractère personnel relatives à ses clients, ses employés et ses fournisseurs.
Dans le cas d’une entreprise, le responsable du traitement n’est pas son représentant légal, mais l’entreprise elle-même.
Les responsables conjoints du traitement sont deux ou plusieurs responsables du traitement qui déterminent conjointement les finalités et les moyens du traitement.
Le sous-traitant est une personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Lorsqu’une entreprise externalise des activités impliquant le traitement de données à caractère personnel à un prestataire externe (par exemple, des consultants en droit du travail, des comptables, des prestataires de services informatiques, des hébergeurs, etc.), ce dernier assume le rôle de responsable du traitement.
Conformément à l’article 28 du RGPD, un responsable du traitement ne peut faire appel qu’à des sous-traitants qui offrent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. La relation entre le responsable du traitement et le sous-traitant doit également être régie par un contrat (accord de traitement des données) ou un autre acte juridique en vertu du droit de l’Union ou du droit des États membres.
L’obligation de fournir des informations aux personnes concernées et de veiller à ce qu’elles puissent exercer leurs droits n’incombe pas au sous-traitant, mais uniquement au responsable du traitement.
Les sous-traitants autorisés sont des personnes physiques qui agissent sous la direction et l’autorité du responsable du traitement ou du sous-traitant (par exemple, des employés) et qui sont tenues de traiter des données à caractère personnel afin d’accomplir les tâches et les fonctions qui leur sont assignées.
Qboxmail en tant que responsable du traitement des données
Qboxmail agit en tant que responsable du traitement des données lorsqu’il traite des données à caractère personnel pour son propre compte et à ses propres fins.
Par exemple, en tant que responsable du traitement des données, Qboxmail traite les données à caractère personnel de ses clients et fournisseurs à des fins comptables et pour l’exécution des contrats correspondants. De même, en tant que responsable du traitement des données, Qboxmail traite les données à caractère personnel de ses employés pour la bonne exécution des contrats de travail, le respect des règles de sécurité, la formation, etc.
Cliquez sur le lien suivant pour accéder aux informations relatives au traitement des données à caractère personnel par Qboxmail en sa qualité de responsable du traitement.
Outre les données de ses clients, fournisseurs et employés, Qboxmail, en tant que responsable du traitement, traite certaines données personnelles des utilisateurs de ses services, même s’ils ne sont pas directement liés par contrat à l’entreprise. Le traitement de ces données est nécessaire pour assurer le bon fonctionnement et la sécurité de ses plateformes web.
Pour savoir comment Qboxmail traite les données personnelles des utilisateurs de ses services, veuillez consulter la politique suivante.
Qboxmail en tant que sous-traitant
Qboxmail agit en tant que sous-traitant lorsqu’il traite des données à caractère personnel pour le compte et selon les instructions de ses clients. En particulier, Qboxmail agit en tant que sous-traitant lorsqu’il traite des données pour le compte de ses clients dans le cadre de la fourniture de services de gestion et d’hébergement de messagerie électronique et d’autres services connexes. Lorsque les clients de Qboxmail sont eux-mêmes des sous-traitants, Qboxmail agit en tant que sous-traitant secondaire.
Lorsque Qboxmail agit en tant que sous-traitant ou sous-traitant secondaire pour l’un de ses clients, cette relation doit être régie par un accord de traitement des données (ou un contrat désignant un sous-traitant) conformément à l’article 28 du RGPD.
Qboxmail dispose de son propre modèle d’accord sur le traitement des données, qui permet à ses clients de se conformer aux dispositions de l’article 28 du RGPD.
Délégué à la protection des données
Afin de garantir à ses clients et à elle-même une sécurité maximale dans le traitement des données à caractère personnel et le respect du RGPD, Qboxmail a nommé un délégué à la protection des données (DPD/DPO), qui peut être contacté à l’adresse électronique suivante : dpo@qboxmail.com.
Le délégué à la protection des données est le principal interlocuteur entre les personnes concernées et Qboxmail en ce qui concerne le traitement des données à caractère personnel. Par conséquent, les clients, les fournisseurs, les employés et toutes les parties intéressées peuvent contacter directement le DPD pour toute question relative au traitement de leurs données à caractère personnel.
Qboxmail et le RGPD
Qboxmail suit et met en pratique une démarche d’analyse, d’adaptation et d’amélioration continue de ses systèmes informatiques et de son modèle de gestion de la confidentialité. Elle organise des programmes de sensibilisation et de formation du personnel afin de garantir à ses clients et utilisateurs une protection maximale des données personnelles qui lui sont confiées et le respect de la réglementation.
Confidentialité par défaut et dès la conception
Notre logiciel a toujours été conçu et développé selon les principes de « protection des données par défaut et dès la conception ».
Cryptage et sécurité des données
Nous utilisons le cryptage des données en transit afin de garantir un niveau élevé de protection et de minimiser le risque de perte de confidentialité.
Stockage des journaux conformément à la loi
Nous veillons à ce que les journaux système soient conservés et stockés conformément aux dispositions de l’Autorité italienne de protection des données concernant les administrateurs système. Une procédure a également été mise en place pour signer numériquement les fichiers journaux et leur attribuer une date précise.
Exportation des données
Les fonctionnalités POP et IMAP permettent aux administrateurs d’exporter les données clients à tout moment pendant la durée du contrat. Les journaux d’accès et les audits peuvent être exportés au format CSV.
Suppression des données
Les clients peuvent supprimer leurs données à tout moment. Lorsqu’une demande de suppression définitive est envoyée (comme la suppression d’un compte de messagerie électronique), les données seront supprimées de tous les systèmes dans un délai de 60 jours, sauf si la loi en dispose autrement.
Chiffrement des données en transit
Nous mettons toujours à disposition un système de cryptage afin de protéger les données en transit. Les services Webmail, POP, IMAP et SMTP sont accessibles par défaut via TLS.
Gestion des vulnérabilités
Nous utilisons des outils développés en interne pour détecter rapidement les vulnérabilités logicielles et effectuer des tests périodiques afin de détecter d’éventuelles violations.
Registre de traitement
Nous avons mis en place un registre des opérations de traitement effectuées, tant en tant que responsable du traitement qu’en tant que sous-traitant, que nous pouvons mettre à disposition en cas de demande de l’autorité de contrôle.
Formation du personnel
Tous les employés de Qboxmail ont suivi une formation interne sur les exigences du RGPD et sont constamment informés et sensibilisés à la sécurité et à la confidentialité des données que nous traitons.
Droits de la personne concernée
La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles sont traitées, l’accès auxdites données ainsi que les informations suivantes : 2016/679.
La personne concernée a également le droit d’obtenir la rectification des données à caractère personnel inexactes la concernant et l’intégration des données incomplètes conformément à l’article 16 du règlement UE. 2016/679.
La personne concernée a le droit d’obtenir l’effacement des données qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, des données traitées sur la base de son consentement lorsque celui-ci est retiré, des données qui ont été traitées illégalement, etc. Pour connaître les autres cas dans lesquels les données peuvent être effacées, la personne concernée peut se référer à l’article 17 du règlement UE. 2016/679.
La personne concernée a le droit d’obtenir la limitation du traitement de ses données dans les cas prévus à l’article 18 du règlement UE 2016/679, la portabilité de ses données dans les cas prévus à l’article 20 du règlement UE 2016/679, ainsi que le droit de s’opposer au traitement de ses données dans l’intérêt légitime du responsable du traitement ou sur la base de l’intérêt public, comme le permet l’article 21 du règlement UE. 2016/679.
Si la personne concernée estime qu’il y a eu violation dans le traitement de ses données, elle peut déposer une plainte auprès de l’Autorité de protection des données.
La demande d’annulation ou d’opposition au traitement des données nécessaires à l’exécution du contrat peut rendre impossible pour Qboxmail de remplir ses obligations contractuelles. La personne concernée ne peut s’opposer au traitement ou demander l’effacement des données que Qboxmail doit traiter afin de remplir ses obligations comptables et fiscales ou d’autres obligations légales.
La personne concernée peut à tout moment retirer le consentement qu’elle a donné pour le traitement de ses données à caractère personnel à des fins de marketing, sans que cela n’entraîne de conséquences préjudiciables ni n’empêche l’exécution du contrat.
En tant que responsable du traitement des données, Qboxmail peut ne pas répondre aux demandes formulées par les personnes concernées pour exercer leurs droits. Dans ce cas, les personnes concernées doivent contacter le responsable du traitement des données.
Pour exercer vos droits en matière de confidentialité, envoyez un e-mail à privacy@qboxmail.com avec votre demande.