Foire aux questions sur la confidentialité des données
Chez Smartsheet, la confidentialité est indispensable pour bâtir et entretenir une relation de confiance avec nos clients. Notre objectif : que soyez en mesure de nous confier les données de votre organisation en toute sérénité. Cette page vise à fournir les réponses aux questions fréquentes que nous recevons au sujet de la confidentialité de vos données et de l’utilisation de Smartsheet.
Elle n’est pas destinée à prodiguer des conseils juridiques ou à se substituer au représentant légal de votre organisation. Nous vous encourageons vivement à faire appel à un conseiller juridique compétent dans le cadre de votre utilisation de Smartsheet et du respect de vos obligations en matière de protection des données.
Si vous souhaitez un complément d’information, merci de contacter l’équipe Smartsheet chargée de la confidentialité à l’adresse privacy@smartsheet.com.
Sections
Avenant au traitement des données (DPA)
Règlement général sur la protection des données (RGPD)
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
Cadre de protection des données UE-États-Unis (DPF)
Questions générales
Qu’entend-on par « contenu client » ?
Comme l’explique la section 12 de l’Accord d’utilisation Smartsheet, le terme « contenu client » désigne l’ensemble des données, des pièces jointes, des écrits, des images, des rapports, des informations personnelles ou de tout autre contenu chargé ou transmis sur l’application par le client ou les utilisateurs, et traité par Smartsheet pour le compte du client.
Qui est responsable du traitement des données pour le contenu client ?
Les clients Smartsheet sont responsables du traitement des données pour le contenu qu’ils chargent dans l’application Smartsheet. Si Smartsheet agit en tant que sous-traitant, les clients contrôlent les données qu’ils transmettent dans leur contenu. Les données traitées dépendent du cas d’utilisation du client. Les clients sont systématiquement responsables de la conformité légale des données à caractère personnel relevant de catégories particulières qu’ils soumettent.
Qui sont les sous-traitants ultérieurs engagés par Smartsheet afin de traiter le contenu client ?
Retrouvez la liste des sous-traitants ultérieurs pour les applications Smartsheet sur cette page.
Comment recevoir une notification lorsque Smartsheet engage un nouveau sous-traitant ultérieur ?
Les clients qui souhaitent être tenus informés de tout changement apporté à la liste des sous-traitants ultérieurs de Smartsheet sont invités à remplir ce formulaire en ligne.
Comment Smartsheet traite-t-il le contenu client ?
Comme l’indique l’Accord d’utilisation Smartsheet, Smartsheet est autorisée à traiter le contenu client dans les limites suivantes : si la loi applicable l’exige ; si le client en fait la demande écrite ou l’autorise par l’intermédiaire des contrôles d’accès d’un service ; si cela est nécessaire pour fournir, prendre en charge ou optimiser l’application, pour prévenir ou résoudre des problèmes techniques sur l’application ou des violations au présent contrat.
Où le contenu client est-il hébergé ?
La plateforme Smartsheet est actuellement hébergée aux États-Unis ou au sein de l’Union européenne. Lorsque les clients optent pour l’Union européenne comme lieu d’hébergement, nous traitons le contenu client au sein de l’Union européenne (en Allemagne tout d’abord, avec une sauvegarde en Irlande). Pour plus d’informations sur l’accès aux données et leur transfert vers les États-Unis, merci de consulter le Trust Center Smartsheet.
Où se trouve l’assistance client ?
La plateforme Smartsheet dispose d’un hébergement Web et est disponible aux quatre coins du globe. Afin de fournir une assistance rapide, Smartsheet est susceptible de faire appel à du personnel basé en dehors de la région d’hébergement sélectionnée par le client. Cette assistance peut provenir des États-Unis, du Royaume-Uni, des Philippines, du Costa Rica ou d’Australie. Les utilisateurs sont amenés à utiliser l’application Smartsheet depuis des zones variées. Il se peut donc que les données soient traitées en dehors de la région sélectionnée, conformément aux instructions des utilisateurs. Pour plus d’informations, veuillez consulter notre Trust Center Smartsheet.
Comment Smartsheet protège-t-il le contenu client ?
Smartsheet met en place des mesures techniques, organisationnelles et administratives pour protéger les données traitées. Des auditeurs tiers indépendants ont examiné nombre de ces mesures et les ont jugées conformes aux normes SOC2, ISO 27001:2013, ISO 27018:2019 et ISO 27701:2019. Pour plus d’informations, veuillez consulter notre Trust Center Smartsheet.
Et si un incident de sécurité compromet le contenu client ?
Smartsheet gère les incidents de sécurité et communique à leur sujet conformément aux pratiques de sécurité consignées dans l’Accord d’utilisation Smartsheet ou au contrat signé entre le client et Smartsheet.
Si je décide de résilier mon abonnement/forfait Smartsheet, que devient le contenu client ?
Comme l’indique l’Accord d’utilisation Smartsheet, dans les cent quatre-vingts (180) jours suivant la résiliation ou l’expiration de tout contrat, Smartsheet supprimera et rendra irrécupérable le contenu client et, sur demande écrite du client, délivrera une certification écrite de ce processus. En dépit de ce qui précède, Smartsheet est susceptible de conserver des copies du contenu client intégré à des dossiers, des documents ou des ensembles de données plus larges, conformément aux obligations de conformité légale et financière de Smartsheet. Et ce, à condition que Smartsheet continue à se conformer à toutes les exigences du contrat en ce qui concerne le contenu client ainsi conservé.
Comment Smartsheet traite-t-elle les demandes juridiques concernant le contenu client ?
En tant qu’entreprise basée aux États-Unis, Smartsheet peut être tenue de divulguer certaines données en cas d’ordonnance légale. Néanmoins, veuillez noter qu’en ce qui concerne ces divulgations obligatoires, Smartsheet est soumise à la section 6.3 de l’Accord d’utilisation: « le receveur peut divulguer des informations confidentielles dans la mesure où la loi ou une procédure juridique l’exige, à condition, toutefois, que le receveur (sauf si la loi ou une procédure juridique l’interdit) : (a) transmette au fournisseur une notification écrite préalable de cette divulgation afin de donner au fournisseur la possibilité, dans la mesure du possible, de comparaître, de s’opposer et d’obtenir un avis motivé ou tout autre recours approprié concernant cette divulgation ; (b) fasse tout son possible pour ne divulguer que les données légalement requises ; et (c) coopère raisonnablement avec le fournisseur, aux frais de ce dernier, afin d’obtenir un avis motivé ou tout autre recours approprié ».
Avenant au traitement des données (DPA)
Smartsheet signe-t-elle des DPA avec ses clients ?
Smartsheet propose un Avenant au traitement des données (Data Processing Addendum, ou DPA) à ses clients qui exigent des conditions spécifiques pour encadrer le traitement du contenu client mentionnant des informations personnelles. Notre DPA intègre les clauses contractuelles types (« CCS ») de la Commission européenne. Nous l’avons adapté avec soin pour tenir compte des contrôles opérationnels et techniques propres à notre service d’abonnement, ainsi que pour répondre aux obligations de confidentialité applicables et aux responsabilités juridiques des deux parties, en particulier en ce qui concerne le RGPD et la loi californienne sur la protection de la vie privée des consommateurs (CCPA).
Si vous estimez nécessaire d’encadrer la relation qui vous unit à Smartsheet à l’aide d’un DPA, nous vous invitons à remplir ce formulaire en ligne. Nous enverrons ainsi une copie de notre DPA au signataire autorisé indiqué dans le formulaire en passant par la plateforme DocuSign. Une fois signée, nous enverrons également une copie à la personne qui a envoyé le formulaire pour archive.
Quel est le champ d’application d’un DPA ?
Nous avons adapté avec soin le Smartsheet DPA pour tenir compte des contrôles opérationnels et techniques propres à notre service d’abonnement. Le contenu de notre DPA dédié aux obligations applicables aux deux parties en matière de confidentialité correspond aux DPA proposés par les principaux fournisseurs de services du secteur SaaS. Nous avons rédigé ce DPA avec soin afin de répondre aux responsabilités juridiques des deux parties en vertu des lois applicables en matière de confidentialité, en particulier le RGPD et la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Ainsi, même les clients soumis à une réglementation stricte en matière de confidentialité sont en mesure d’accepter le document tel qu’il leur est présenté. Toutes les clauses juridiques et commerciales sous-jacentes (y compris celles décrivant les pratiques opérationnelles de Smartsheet) sont déjà établies dans le contrat qui encadre votre utilisation et votre accès aux services.
En outre, en tant que sous-traitants, les clients contrôlent les données qu’ils transmettent dans leur contenu. Les données traitées dépendent du cas d’utilisation du client. Les clients sont systématiquement responsables de la conformité légale des données à caractère personnel relevant de catégories particulières qu’ils soumettent. Smartsheet traite de manière homogène toutes les données transférées dans l’application. Smartsheet a également intégré dans son service d’abonnement certains contrôles afin de répondre aux exigences courantes. N’hésitez pas à nous contacter si vous avez la moindre question ou interrogation concernant notre DPA.
Quelles sont les lois auxquelles se soumet le DPA de Smartsheet ?
Nous avons rédigé le DPA Smartsheet avec soin afin de répondre aux responsabilités juridiques applicables des deux parties, en particulier celles mentionnées dans le RGPD et la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Ainsi, même les clients soumis à une réglementation stricte en matière de confidentialité sont en mesure d’accepter le document tel qu’il leur est présenté. Toutes les clauses juridiques et commerciales sous-jacentes sont déjà établies dans l’Accord d’utilisation de Smartsheet qui encadre la relation entre les deux parties. Nous avons rédigé avec attention ces clauses afin de tenir compte des obligations techniques et opérationnelles de Smartsheet en tant que fournisseur de Saas.
Smartsheet peut-elle signer le DPA de mon organisation ?
Nous avons rédigé le DPA Smartsheet avec soin afin de tenir compte des obligations techniques et opérationnelles de Smartsheet en tant que fournisseur de Saas tout en répondant aux responsabilités juridiques applicables aux deux parties, en particulier celles mentionnées dans le RGPD et la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Ainsi, même les clients soumis à une réglementation stricte en matière de confidentialité sont en mesure d’accepter le document tel qu’il leur est présenté. Si vous souhaitez que Smartsheet se penche sur le DPA de votre organisation, merci de contacter votre représentant commercial.
Règlement général sur la protection des données (RGPD)
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données (RGPD) est une réglementation européenne entrée en vigueur le 25 mai 2018 qui définit des normes pour la protection et le traitement des données à caractère personnel. Le lien ci-dessous vous permet d’en savoir plus sur Smartsheet et le RGPD, notamment sur la demande d’un contrat de traitement des données (Data Processing Agreement, ou DPA) avec Smartsheet en tant que sous-traitant.
Quelles sont les implications du RGPD pour Smartsheet ?
Smartsheet est une entreprise internationale qui prend très au sérieux la confidentialité des données de ses clients. Smartsheet et ses entités affiliées proposent des garanties de confidentialité de premier ordre, conformes aux réglementations en matière de protection des données telles que le RGPD. En tant que fournisseur SaaS agnostique de données, Smartsheet s’appuie sur un modèle de responsabilité partagée entre le client et Smartsheet, à l’instar d’autres fournisseurs Saas. Par conséquent, la conformité au RGPD est l’affaire commune du client et du fournisseur.
Nous nous impliquons dans la réussite de nos clients, notamment en les accompagnant dans leur processus de mise en conformité au RGPD. De nombreux clients sont convaincus que Smartsheet répond à leurs besoins en matière de conformité au RGPD, et nous nous réjouissons par avance de collaborer avec vous.
Pour en savoir plus sur Smartsheet et le RGPD, veuillez consulter cette fiche technique.
Smartsheet dispose-t-elle d’un(e) délégué(e) à la protection des données (DPO) ?
Smartsheet a nommé un DPO, ou délégué(e) à la protection des données. Les coordonnées des acteurs de la confidentialité chez Smartsheet sont disponibles dans la Déclaration de confidentialité de Smartsheet.
En qualité de sous-traitant des données, Smartsheet aidera-t-elle mon organisation à répondre aux demandes des personnes concernées ?
Comme l’indique l’Avenant au traitement des données de Smartsheet, Smartsheet apporte une assistance raisonnable au client en lien avec les évaluations de l’impact sur la protection des données et les consultations avec les autorités de contrôle. Dans ce cadre, Smartsheet tient compte de la nature du traitement réalisé des données personnelles du client et des informations à sa disposition.
En qualité de responsable du traitement des données, Smartsheet répond-elle aux demandes des personnes concernées ?
Oui, Smartsheet répond à toutes les demandes légitimes et raisonnables liées au droit à la protection des renseignements personnels. Veuillez remplir ce formulaire en ligne pour soumettre votre demande auprès de l’équipe Smartsheet chargée de la confidentialité.
Que sont les clauses contractuelles types ?
Les clauses contractuelles types ( « CCT ») sont un ensemble d’engagements contractuels établis par la Commission européenne pour encadrer les transferts internationaux de données à caractère personnel. Elles visent à normaliser les pratiques en matière de sécurité et de confidentialité des organisations qui transfèrent des données à caractère personnel concernant des individus basés dans l’Union européenne ( « UE ») en dehors de l’UE. Smartsheet applique des CCT à tous ses fournisseurs et à ses clients qui requièrent un mécanisme de transfert de données.
La Commission européenne a adopté le 10 juillet 2023 sa décision d’adéquation concernant le cadre de protection des données UE - États-Unis. Jusqu’à nouvel ordre, Smartsheet continuera d’opérer conformément aux CCT en vigueur, telles qu’elles sont autorisées pour les transferts de données nouveaux ou anciens. Entre-temps, Smartsheet réexaminera ses politiques ainsi que ses pratiques en matière de transferts internationaux de données et procédera à toute mise à jour qui s’impose, en attendant de nouvelles instructions de la part de la Commission.
Smartsheet signera-t-elle des clauses contractuelles types (CCT) ou des clauses modèles ?
À la suite de l’adoption de l’arrêt Schrems II, qui invalide le régime de transferts de données Privacy shield, Smartsheet a mis à jour son DPA afin d’y intégrer les clauses contractuelles types (CCT) en tant que mécanisme de transfert légal, dont la validité a été expressément confirmée par la Cour de justice de l’Union européenne.
Notre version actuelle du DPA intègre les CCT mises à jour publiées par la Commission européenne le 7 juin 2021. Smartsheet continuera d’opérer conformément aux CCT précédentes, autorisées pour les anciens transferts de données. Au cours de cette période de transition légale, nous modifierons les contrats lors de leur renouvellement et sur demande spécifique. Toute modification requise pour assurer la conformité de Smartsheet ou de ses clients aux lois applicables en matière de protection des données sera présentée aux clients sous forme d’amendements à leurs contrats existants. Veuillez écrire à l’adresse privacy@smartsheet.com si vous avez la moindre question.
La Commission européenne a adopté le 10 juillet 2023 sa décision d’adéquation concernant le cadre de protection des données UE - États-Unis. Jusqu’à nouvel ordre, Smartsheet continuera d’opérer conformément aux CCT en vigueur, telles qu’elles sont autorisées pour les transferts de données nouveaux ou anciens. Entre-temps, Smartsheet réexaminera ses politiques ainsi que ses pratiques en matière de transferts internationaux de données et procédera à toute mise à jour qui s’impose, en attendant de nouvelles instructions de la part de la Commission.
Si vous estimez nécessaire d’encadrer la relation qui vous unit à Smartsheet à l’aide d’un DPA, nous vous invitons à remplir ce formulaire en ligne. Nous enverrons ainsi une copie de notre DPA au signataire autorisé indiqué dans le formulaire en passant par la plateforme DocuSign. Une fois signée, nous enverrons également une copie à la personne qui a envoyé le formulaire pour archive.
Smartsheet propose-t-elle des dispositifs de protection renforcée pour le transfert des données personnelles issues de l’UE vers les États-Unis ?
Smartsheet met en place des mesures techniques, organisationnelles et administratives pour protéger les données traitées. Des auditeurs tiers indépendants ont examiné nombre de ces mesures et les ont jugées conformes aux normes SOC2, ISO 27001:2013, ISO 27018:2019 et ISO 27701:2019. Pour plus d’informations, veuillez consulter notre Trust Center Smartsheet.
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
Qu’est-ce que la CCPA ?
La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, ou CCPA) est la première réglementation exhaustive adoptée par un État américain en matière de protection des données. La CCPA est entrée en vigueur en janvier 2020. La loi vise à définir des règles acceptables en matière de collecte, d’utilisation et de stockage des données personnelles. La CCPA établit également des obligations de transparence pour les organisations qui vendent des données personnelles.
Quelles sont les implications de la CCPA pour Smartsheet ?
Pour en savoir plus sur les pratiques de Smartsheet en matière de confidentialité, veuillez consulter cette fiche technique.
Smartsheet vend-elle des informations personnelles ?
Non, Smartsheet ne vend pas de données personnelles.
Cadre de protection des données UE-États-Unis (DPF)
Qu’est-ce que le DPF ?
La Commission européenne a adopté le 10 juillet 2023 sa décision d’adéquation concernant le cadre de protection des données UE - États-Unis. Cette décision conclut que les États-Unis assurent un niveau approprié de protection des données personnelles — équivalent à celui de l’Union européenne — pour les données personnelles transférées depuis l’Union européenne vers les sociétés états-uniennes en vertu de ce nouveau cadre. La décision d’adéquation renforce la certitude de nos clients concernant le transfert en toute légalité des données personnelles européennes vers les États-Unis.
Quelles sont les implications du DPF pour Smartsheet ?
Smartsheet préserve sa certification Privacy Shield dans l’espoir qu’un accord soit conclu sur un nouveau cadre. En continuant de respecter nos engagements Privacy Shield, nous pouvons rapidement nous conformer au DPF. Quand bien même certaines entreprises ne s’appuient pas sur un mécanisme de transfert de données basé sur le nouveau DPF, les nouvelles garanties du gouvernement des États-Unis s’appliquent à tous les transferts de données à caractère personnel effectués dans le cadre du RGPD vers des organisations aux États-Unis, y compris celles qui utilisent des clauses contractuelles types. Pendant cette période de transition, Smartsheet réexaminera ses politiques ainsi que ses pratiques en matière de transferts internationaux de données et procédera à toute mise à jour qui s’impose, en attendant de nouvelles instructions de la part de la Commission.
Intégrations et formulaires
Pourquoi la Déclaration de confidentialité de Smartsheet apparaît-elle dans le pied de page des formulaires Smartsheet ?
L’application Smartsheet dispose d’une fonctionnalité qui permet aux clients de publier des formulaires en ligne invitant les individus à soumettre des données à l’application Smartsheet. Les données collectées par l’intermédiaire du formulaire et fournies par un individu représentent du contenu client. Lorsque les utilisateurs soumettent des formulaires, Smartsheet est susceptible de collecter des données d’utilisation (p. ex., l’adresse IP, la date et l’heure de soumission, le type de navigateur, etc.) et de les utiliser à des fins d’analyse et d’amélioration, de protection des droits légaux et de prévention des abus, ainsi que de conformité à ses obligations légales, comme l’explique en détail la Déclaration de confidentialité de Smartsheet.
Pourquoi les intégrations Microsoft de Smartsheet demandent l’autorisation de partager des données avec un service externe ?
Les connecteurs et les intégrations permettent d’extraire ou de transmettre des informations depuis ou vers l’application Smartsheet, et autorisent le tiers concerné à recevoir des notifications de la part de l’application, notamment en cas de mises à jour de feuilles. Par exemple, lorsque les clients configurent des intégrations dans les produits Microsoft (p. ex., Outlook ou Teams), Microsoft les invite (article d’aide) à autoriser le partage de données avec un service tiers. Dans ce contexte, Smartsheet est le service tiers et Microsoft demande le partage des données. De plus, si vous autorisez le transfert des données de l’application vers un partenaire d’intégration, celles-ci sont soumises à la déclaration de confidentialité du tiers. Nous vous encourageons à lire attentivement la déclaration de confidentialité de tout tiers à qui vous autorisez la réception de données provenant de l’application Smartsheet.
Audit et certifications
Smartsheet est-elle certifiée conforme au RGPD ?
Smartsheet a obtenu une certification de conformité à deux normes internationales de confidentialité, qui répondent à de nombreuses exigences du RGPD : ISO 27018:2019 et ISO 27701:2019. Pour plus d’informations, veuillez consulter notre Trust Center Smartsheet.
Mon organisation peut-elle auditer les pratiques liées à la confidentialité de Smartsheet ?
Smartsheet compte des millions d’utilisateurs à travers le monde. De manière réaliste, nous ne pouvons pas permettre à tous nos clients d’auditer nos pratiques. C’est pourquoi nous avons obtenu des certifications aux normes internationales de protection de la confidentialité : ISO 27018:2019 et ISO 27701:2019. Pour plus d’informations, veuillez consulter notre Trust Center Smartsheet.
Quelles certifications de confidentialité Smartsheet détient-elle ?
Smartsheet dispose de certifications pour deux normes internationales de protection de la confidentialité : ISO 27018:2019 et ISO 27701:2019. Pour plus d’informations, veuillez consulter notre Trust Center Smartsheet.
Quid de Privacy Shield ?
La Commission européenne a adopté le 10 juillet 2023 sa décision d’adéquation concernant le cadre de protection des données UE - États-Unis (DPF). Smartsheet conserve sa certification Privacy Shield, car nous respectons toujours les engagements que nous avons pris envers la Commission fédérale du commerce (FTC) du gouvernement des États-Unis et nos clients concernant le traitement des données personnelles dans le cadre du Privacy Shield. En continuant de respecter nos engagements Privacy Shield, nous pouvons rapidement nous conformer au DPF. Nous continuons à suivre les avancées de la Commission concernant les exigences de conformité au nouveau cadre, tout en maintenant nos pratiques actuelles en matière de confidentialité et de protection des données.