Commencer ici
Home Confidentialité
Dernière mise à jour: août 04, 2024

monday.com et le RGPD

Dernière mise à jour: août 04, 2024
gdprready1

Chez monday.com, notre priorité est la réussite de nos clients et la protection de leurs données. Parce que nos clients sont présents dans le monde entier, nous nous engageons à respecter scrupuleusement toutes les réglementations en matière de confidentialité et de protection des données.

En tant qu’organisation proposant des services et traitant les données personnelles de résidents de l’Union européenne, monday.com a mis en place un programme de confidentialité solide, conforme aux exigences des lois européennes sur la protection des données, notamment le Règlement général sur la protection des données (RGPD).

Depuis le Brexit, le RGPD a été transposé dans la législation britannique sous le nom de « RGPD britannique ». Sous sa forme actuelle, le RGPD britannique reprend en grande partie les obligations du RGPD européen. Toute référence au RGPD dans les présentes inclut à la fois le RGPD européen et le RGPD britannique.

Rôles et responsabilités

Le RGPD distingue deux rôles en matière de traitement des données personnelles. En vertu du RGPD, ces rôles sont définis comme le « Responsable du traitement » et le « Sous-traitant ». Le Responsable du traitement définit les objectifs et les modalités du traitement des données personnelles, tandis que le Sous-traitant agit pour le compte de celui-ci, conformément à ses directives.

Les clients qui utilisent les services de monday.com pour traiter des données personnelles à leurs propres fins et selon leurs propres moyens sont généralement considérés comme les « Responsables du traitement » et sont principalement tenus de respecter l’ensemble des exigences du RGPD applicables. monday.com agit en tant que Sous-traitant pour le compte de ses clients en ce qui concerne le traitement des données personnelles déposées sur sa plateforme (par exemple, via les tableaux monday.com). L’étendue de nos rôles et responsabilités vis-à-vis de chaque personne concernée et de nos clients est précisée dans nos Conditions générales, notre Politique de confidentialité et notre Annexe relative au traitement des données.

Quelles mesures monday.com met-elle en œuvre pour respecter le RGPD ?

Afin de garantir notre conformité durable au RGPD, nous évaluons et ajustons régulièrement nos pratiques, notamment :

  • Au moyen d’un programme de confidentialité solide et par une mise à jour régulière de nos politiques et procédures afin de garantir que ce programme reste pertinent et adapté à ses objectifs.
  • En appliquant un processus d’intégration des prestataires qui impose le respect des obligations légales en matière de protection des données.
  • En révisant et en renforçant notre infrastructure et nos processus de sécurité, en chiffrant les données en transit et au repos, et via la sauvegarde, les journaux et les alertes de sécurité.
  • En menant régulièrement des analyses de risques et des opérations de cartographie des données pour garantir une gestion conforme des données personnelles en vertu du RGPD.
  • En suivant de près les recommandations relatives au RGPD et en maintenant une conformité durable via des procédures, des processus et des contrôles internes et des formations régulières.
  • En faisant appel chaque année à des auditeurs indépendants pour examiner nos différentes certifications de conformité, notamment notre certification de sécurité SOC 2 Type II délivrée par l’AICPA (American Institute of Certified Public Accountants), notre certification ISO 27001 relative aux systèmes de gestion de la sécurité de l’information (ISMS), ainsi que notre certification ISO 27018, relative à la protection des données personnelles dans le cloud.
  • En garantissant une transparence totale vis-à-vis de la collecte, l’utilisation et la communication des données conformément à notre Politique de confidentialité et notre Notice de confidentialité destinée aux candidats.
  • En informant les clients et les personnes concernées de toute modification substantielle apportée à nos politiques publiques, afin de refléter l’évolution de nos pratiques en matière de traitement des données et de nos obligations réglementaires.
  • Par la mise en place d’un avenant relatif au traitement des données (DPA) robuste, garantissant la protection des données personnelles en accord avec les normes du secteur et les exigences légales du RGPD, aux mécanismes juridiques requis et aux dispositions contractuelles prévues par le RGPD. Ces DPA nous permettent d’assumer notre rôle de sous-traitant auprès de nos clients, et des DPA équivalents sont mis en œuvre lorsque nous agissons en tant que responsable du traitement vis-à-vis de nos prestataires.
  • En procédant régulièrement à des audits de sécurité et de confidentialité auprès de nos sous-traitants pour nous assurer qu’ils respectent les principes du RGPD.
  • En mettant en place des clauses contractuelles types (SCC) avec nos clients et nos fournisseurs pour encadrer les transferts de données personnelles internationaux, conformément aux réglementations européennes, britanniques et suisses. Afin de mieux protéger les droits des personnes concernées, nous avons enrichi les SCC fournies par monday.com avec des mesures de protection additionnelles.
  • En mettant à disposition de nos clients les moyens nécessaires pour répondre aux demandes des personnes concernées souhaitant exercer leurs droits en matière de protection de la vie privée, et nous avons mis en place un processus interne pour gérer ces demandes lorsque nous agissons en tant que responsable du traitement.
  • En désignant un représentant dans l’UE et au Royaume-Uni, et en nommant un délégué à la protection des données (DPO) chargés de surveiller notre conformité vis-à-vis de la réglementation en matière de protection des données et de confidentialité, et agissant en tant qu’interlocuteurs auprès des personnes concernées et des autorités de contrôle.
  • En mettant en place des procédures pour gérer les incidents liés aux données personnelles, encadrer leur usage, leur partage et leur durée de conservation, et assurer une formation régulière à la confidentialité pour les membres de notre personnel concernés.

Transferts de données soumis au RGPD

monday.com est basé en Israël, une juridiction qui est considérée par la Commission européenne, le Secrétaire d’État britannique et le Préposé fédéral à la protection des données et à la transparence (PFPDT) suisse comme offrant un niveau adéquat de protection des données personnelles des personnes résidant dans les États membres de l’EEE, au Royaume-Uni et en Suisse, respectivement. En conséquence, les transferts de données personnelles depuis l’Europe vers monday.com Israël s’appuient sur ce statut d’adéquation en tant que mécanisme de transfert licite, sans qu’il soit nécessaire d’apporter des garanties supplémentaires.

La filiale américaine de monday.com, monday.com, Inc., est certifiée dans le cadre du Data Privacy Framework (DPF) du Département du Commerce des États-Unis, ce qui l’autorise à recevoir des transferts de données en provenance de l’EEE, du Royaume-Uni et de la Suisse vers les États-Unis. Les transferts effectués depuis l’EEE, le Royaume-Uni et la Suisse vers notre filiale américaine monday.com, Inc. s’appuient principalement sur cette certification dans le cadre du DPF.

monday.com veille à ce que tout transfert de données personnelles soumis au RGPD ou à la Loi fédérale suisse sur la protection des données vers un pays non reconnu par la Commission européenne, le Secrétaire d’État du Royaume-Uni ou le Préposé fédéral à la protection des données et à la transparence (PFPDT) (selon le cas), comme offrant un niveau de protection « adéquat » soit encadré par des garanties contractuelles appropriées. Dans ce contexte, nous nous appuyons sur les clauses contractuelles types (SCC), intégrées à nos accords, consultables ici et ici. En complément des protections offertes par lesdits SCC, nous renforçons nos engagements contractuels par des garanties supplémentaires visant à protéger les droits et libertés des personnes concernées au-delà de ce que prévoient les SCC, et incluons des clauses spécifiques dans nos contrats avec les clients et prestataires afin d’empêcher le transfert de données personnelles en cas de demande d’accès par les autorités.

Si vous avez des questions concernant notre programme de confidentialité ou notre conformité au RGPD, vous pouvez contacter notre délégué à la protection des données et notre équipe chargée de la confidentialité en envoyant un e-mail à : dpo@monday.com.

AVERTISSEMENT : Cette version est une traduction de la version originale en anglais et elle est fournie uniquement à des fins de commodité. La version originale anglaise est la version officielle et juridiquement contraignante et c'est elle qui prévaudra en cas de litige.

Donner aux équipes les moyens d'accomplir davantage, ensemble.

Essai gratuit de 14 jours | Aucune carte de crédit requise