RGPD: Comment Botmind s’engage à respecter la confidentialité et la sécurité des données clients.

Bref rappel sur GDPR

GDPR (General Data Protection Regulation) est une une réglementation de l’Union Européenne visant à protéger les données personnelles des citoyens européens. Cette législation, qui est apparu le 25 Mai 2018, redonne le pouvoir aux individus pour le stockage et l’utilisation de leurs données personnelles.

Chaque entreprise doit se conformer à des règles et processus garantissant qu’aucune utilisation des données récoltées ne puisse se faire sans le consentement explicite des individus. Être “GDPR compliant” sera alors une obligation pour toutes les startups du numérique et cet article décrit la façon dont nous avons géré le sujet chez Botmind.

Pourquoi se conformer au GDPR?

- Respecter un droit fondamental des citoyens européens.

- Être GDPR compliant est un prérequis à la signature des contrats (clients, partenaires, etc..)

- Laisser à nos utilisateurs la maitrise de l’utilisation de leurs données génère une confiance qui favorise l’utilisation de notre produit.

- Ne pas se conformer est passible de lourdes sanctions financières.

- Se conformer dès maintenant permet de ne pas être pris au dépourvu si les transformations à mener dans l’entreprise sont plus importantes que prévu.

Comment Botmind respecte la confidentialité et la sécurité des données personnelles

D’abord, nous avons repris les règles et les processus obligatoires définis par la législation. Voici les actions que nous avons menées :

- Nommer un DPO (Data Protection Officer) qui est chargé de réguler et de monitorer l’utilisation des données personnelles.

- Établir un registre des données stockées/utilisées qui permet de déterminer l’utilisation qui est faite de chaque type de donnée stockée.

- Demander le consentement explicite des individus concernés par le traitement de leurs données et pouvoir en apporter la preuve.

- Prévoir un processus d’effacement des données si un utilisateur formule une telle demande.

- Mettre en place une procédure d’escalade auprès de la CNIL en cas de violation de la confidentialité des données personnelles.

Ensuite, nous sommes allés un peu plus loin afin de garantir que les données de nos utilisateurs seraient protégées et confidentielles. En automatisant les réponses aux demandes clients, nous manipulons souvent des données personnelles et nous avons alors défini les bonnes pratiques suivantes :

- Les expressions des utilisateurs de nos différents clients ne sont pas partagées entre les comptes, même celles qui sont relatives à des menus propos (“Bonjour”, “Aurevoir”, “Comment ça va”, etc..)

- Nous intégrons à notre plateforme les principes de “Data Minimisation” et de “Privacy by default”: seules les données dont l’utilisation est validée par l’individu sont stockées et il est possible de marquer les données sensibles pour qu’elles soient anonymisées dans la base de données.

- Nous appliquons le principe “Protection by Design” dans le développement de notre plateforme et des autres composants.

- Nous sécurisons les accès aux à nos serveurs de données et nous hébergeons ces serveurs au sein de l’Union Européenne.