Règlement général sur la protection des données (RGPD)
Présentation du RGPD pour Nuance
Le Règlement général sur la protection des données (RGPD) a de grandes répercussions sur la collecte et l’utilisation des données personnelles des personnes concernées dans l’UE (individus au sein de l’UE). Il renforce les droits des personnes concernées au sein de l’UE, accroît les obligations en matière de protection des données et offre aux autorités de réglementation la possibilité d’imposer des amendes pouvant aller jusqu'à quatre pour cent du chiffre d’affaires annuel mondial. Concrètement, le RGPD s'applique à toute personne qui collecte et traite les données personnelles de résidents de l'UE, même si ce traitement s'effectue en dehors de l'UE. Les nouvelles exigences s'appuient sur la directive existante de l'UE sur la protection des données et nécessitent d'apporter des améliorations aux politiques et procédures relatives au traitement des données personnelles des personnes concernées au sein de l'UE.
Nuance s’engage à se conformer au RGPD. Ce document présente l'approche de Nuance par rapport aux principales exigences du RGPD et décrit comment Nuance soutient ses clients dans leurs propres efforts de conformité au RGPD.
Responsables du traitement et sous-traitants :
Pour utiliser la terminologie du RGPD, lorsque Nuance fournit des produits et services basés dans le Cloud qui utilisent des données personnelles, nous agissons en tant que sous-traitant de données personnelles pour le compte de nos partenaires responsables du traitement des données. Le RGPD impose des obligations tant aux responsables du traitement des données qu'aux sous-traitants. En tant que sous-traitant, Nuance est tenue d'utiliser les données personnelles de l'UE aux fins spécifiques qui ont été décrites aux personnes concernées. Pour de plus amples informations sur la manière dont Nuance utilise les données personnelles de l'UE pour un produit particulier, veuillez consulter votre contrat client et l'Avis de confidentialité de Nuance. Pour en savoir plus, vous pouvez également nous contacter à l'adresse suivante : (privacy@nuance.com).
Données personnelles traitées par Nuance :
Nuance traite généralement les informations vocales fournies par des partenaires pour les services de reconnaissance vocale. Nuance ne stocke pas d'identifiants personnels spécifiques après le traitement d'un message, à l'exception du fichier audio lui-même. Les coordonnées, les noms des personnes concernées ou encore les identifiants des partenaires ne sont pas conservés une fois le traitement initial du fichier audio terminé.
Les enregistrements vocaux sont recueillis dans des extraits de quelques secondes et ne sont pas stockés de manière contiguë ou consécutive. Il n'est donc pas possible de récupérer ou d'isoler un enregistrement vocal individuel dans son intégralité. Les extraits individuels sont trop courts pour permettre l’identification de l’individu auquel appartient le fichier ou pour récupérer des fichiers pour une personne en particulier dans la plupart de nos systèmes.
Nuance vend une variété de produits et services qui stockent des identifiants personnels, notamment des logiciels médicaux et des services de transcription. Les services d'assistance produit et d'assistance client fournis par l’ensemble des divisions de Nuance impliquent aussi souvent le traitement d'informations personnelles. Lorsque Nuance détient des données à caractère personnel, nous collaborons avec les clients pour les aider à respecter les obligations du RGPD en matière de droits des personnes concernées. Nuance n'utilise pas les données fournies par les clients à des fins autres que les services contractuels et l'amélioration des produits (par exemple, la conservation des enregistrements vocaux d'un médecin pour améliorer l'exactitude des futures transcriptions).
Pour plus d'informations sur la façon dont Nuance traite les informations personnelles, consultez l'Avis de confidentialité de Nuance.
Que fait Nuance pour se conformer au RGPD ?
Comme de nombreuses entreprises qui opéraient dans l'UE avant le RGPD, Nuance se conformait déjà à la directive européenne sur la protection des données et intégrait des dispositifs de protection de la vie privée et d'anonymisation dans ses produits depuis de nombreuses années. En 2017, Nuance a procédé à une évaluation complète de la nouvelle réglementation du RGPD et a évalué ses pratiques en matière de sécurité et de protection des données afin de déterminer si elles répondaient aux exigences prescrites ou s'il fallait les améliorer. Les réponses de Nuance à certaines exigences clés du RGPD sont décrites ci-dessous :
Quelles sont les exigences du RGPD ?
Surveillance de la protection des informations personnelles
Les sociétés qui collectent des données personnelles dans l'UE doivent s'attendre à ce que les régulateurs soient de plus en plus actifs. Elles doivent aussi être en mesure de démontrer qu'elles respectent le RGPD, car les amendes ont considérablement augmenté dans le cadre de ce dernier.
Réponse de Nuance
Nuance dispose d'une équipe dédiée d'experts en matière de protection des renseignements personnels qui supervise et gère son programme, et elle possède des politiques destinées à protéger les données personnelles provenant de l'UE, conformément aux exigences du RGPD. En outre, Nuance a nommé un responsable de la protection des renseignements et des données personnels sous la supervision du RGPD.
De plus, nous effectuerons des vérifications de routine en matière de protection des renseignements personnels qui comprendront des vérifications de la conformité au RGPD. Enfin, tous les membres du personnel de Nuance qui traitent des informations personnelles issues de l'UE reçoivent une formation adéquate sur la protection des informations personnelles dans le cadre du RGPD.
Sécurité des données
Toutes les données doivent être protégées par des mesures techniques adéquates afin d'assurer un niveau de sécurité approprié au risque qu'elles comportent.
Réponse de Nuance
Nuance a mis en place un ensemble robuste de contrôles de sécurité, conformément aux différentes normes de l'industrie. Des contrôles techniques, physiques et administratifs sont mis en œuvre au niveau des applications et des serveurs afin d'assurer la sécurité, la confidentialité, la disponibilité, l'intégrité du traitement et les contrôles de protection des informations personnelles. Par exemple, Nuance a mis en place des contrôles de sécurité techniques pour limiter l'accès aux données personnelles aux seules personnes qui ont besoin de connaître et de conserver ces informations pendant des périodes spécifiques et limitées ; et pour de nombreux produits, Nuance anonymise les informations une fois leur traitement terminé.
Violations de la sécurité
Le RGPD exige que les violations de données soient notifiées à l'autorité de contrôle dans les 72 heures suivant le moment où le responsable du traitement en a connaissance, avec notification aux personnes concernées si le risque le justifie.
Réponse de Nuance
Nuance a mis en place des processus de signalement des incidents critiques et des violations, qu'elle revoit régulièrement pour répondre aux exigences réglementaires. Nuance connaît bien les exigences en matière de signalement des atteintes à la vie privée en raison de ses nombreuses années d'expérience en tant que sous-traitant de données médicales auprès d'organismes de soins de santé aux États-Unis, dans le cadre de la loi HIPAA. Nous avons également mis en place des processus pour fournir les renseignements nécessaires pour générer un avis d'atteinte à la vie privée et un rapport complet à l'intention des partenaires. Ces processus peuvent être utilisés de concert avec un processus externe spécifique de gestion des violations et un plan de communication élaboré conjointement avec des partenaires spécifiques.
Délégué à la protection des données
Les responsables et les sous-traitants du traitement des données sont tenus de nommer un délégué à la protection des données dans certaines circonstances, par exemple s'ils effectuent régulièrement des traitements de données à grande échelle.
Réponse de Nuance
Nuance a nommé un délégué à la protection des données pour le compte de Nuance Communications, Inc. et de ses sociétés affiliées. Ses coordonnées se trouvent dans notre Déclaration de confidentialité.
Gouvernance des données personnelles et protection de la vie privée dès la conception
Le respect d'un certain nombre d'exigences du RGPD, notamment la protection des renseignements personnels dès la conception et la réalisation d'évaluations de l'impact de la protection des données, exige une solide structure de gouvernance des données.
Réponse de Nuance
Nuance a mis en place une équipe dirigée par le responsable de la protection des renseignements personnels, qui comprend un responsable du programme de protection de la vie privée et des avocats spécialisés dans les divisions et départements de Nuance, y compris les divisions Santé, Entreprise et Automobile, ainsi que dans divers départements tels que le marketing et les ressources humaines.
Nuance dispose d'une équipe dédiée à la protection des renseignements personnels qui fournit une assistance à toutes les étapes du développement des produits. Nous avons identifié des exigences majeures dans le cadre du RGPD, qui se sont traduites par des exigences de conception spécifiques. Les contrôles de conception qui en résultent sont donc incorporés aux étapes appropriées du développement des produits.
L'équipe de protection de la vie privée effectue des analyses d'impact relatives à la protection des données (PIA), consulte sur les questions contractuelles qui touchent à l'utilisation et à la protection des données, et conseille sur un large éventail de questions relatives à la protection des renseignements personnels.
Minimisation des données et conservation limitée des données
La minimisation des données doit être assurée à toutes les étapes de leur traitement :
Au point de collecte : la collecte de données personnelles sera limitée à la quantité minimale de données personnelles (en nature et en volume) strictement nécessaires à la réalisation des finalités pour lesquelles le consentement a été obtenu.
Lors de la génération de données personnelles : lorsque des données personnelles seront observées, dérivées ou déduites par le système, elles seront limitées à la quantité minimale de données personnelles strictement nécessaires à la réalisation des finalités pour lesquelles le consentement a été obtenu.
En outre, les données personnelles ne doivent être traitées et conservées que pendant la période nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, et non pour une période plus longue.
Réponse de Nuance
Bien que les données collectées relèvent en grande partie du responsable du traitement, Nuance a mis en place un processus d’examen de la protection des renseignements personnels qui prend en compte la collecte et l’utilisation des données.
Registres de traitement
En tant que sous-traitant pour le compte de ses clients, Nuance est tenue par le RGPD de tenir des registres des activités de traitement des données, y compris la finalité du traitement, les catégories de personnes concernées et tout transfert transfrontalier.
Réponse de Nuance
Nuance documente toutes les principales activités de traitement des données affectant les données personnelles de l'UE, et ce, en vue de fournir des registres appropriés du traitement des données par Nuance.
Si les partenaires ont besoin d'informations complémentaires de la part de Nuance pour compléter leurs bibliothèques de mappage et de traitement des données, nous veillerons à ce que toutes les données nécessaires soient fournies par Nuance.
Droits des personnes concernées
Le RGPD donne aux personnes concernées des droits plus importants pour contrôler leurs données, y compris des droits d'accès aux données, de correction des données inexactes et, dans certains cas, d'effacement des données.
Réponse de Nuance
Nuance s’engage à répondre rapidement à toutes les demandes qu'elle reçoit d'individus exerçant leurs droits de personnes concernées. Les clients doivent savoir que la plupart des données que nous détenons ne sont pas imputables à une personne en particulier.
Lorsque Nuance détient des données à caractère personnel, nous collaborons avec les clients pour les aider à respecter les obligations du RGPD en matière de droits des personnes concernées.
Tierces parties
Des exigences supplémentaires s'appliqueront aux contrats conclus entre Nuance et ses clients, étant donné que l'article 28 du RGPD exige l'ajout de dispositions spécifiques en matière de traitement des données dans les contrats conclus entre les responsables du traitement et les sous-traitants.
Réponse de Nuance
Lorsque l'hébergement des données personnelles est effectué par un fournisseur tiers, Nuance examine les politiques, procédures et contrôles du fournisseur afin de s'assurer que celui-ci offre un niveau de sécurité adéquat.
Nuance a révisé ses contrats types pour les clients européens afin d'y inclure les nouvelles dispositions relatives au traitement des données qui répondent aux exigences de l'article 28, y compris le contrôle de la sous-traitance, l'assistance en matière de droits des personnes concernées, ainsi que l'audit et les inspections.
Légalité du traitement
Le traitement des données personnelles n'est légal que si l'une des six conditions énumérées dans le RGPD est respectée (par exemple, s'il existe des intérêts légitimes, s'il est nécessaire à l'exécution d'un contrat ou s'il est requis pour une autre raison légale ou réglementaire). Le consentement est l'un des six facteurs, mais en vertu du RGPD, les exigences en matière de consentement sont devenues plus strictes. Parmi les autres changements clés, le RGPD offre aux personnes concernées davantage de moyens de retirer leur consentement à tout moment.
Réponse de Nuance
En leur qualité de Responsables du traitement, c'est à nos clients de déterminer la légalité du traitement des données. En tant que Sous-traitant, Nuance est tenue de se conformer aux décisions des clients en matière de légalité et de traiter les données conformément aux exigences contractuelles.
Transferts transfrontaliers
Les transferts de données personnelles vers des pays en dehors de l'EEE sont généralement autorisés (a) vers des pays qui sont considérés par la Commission européenne comme assurant un niveau « adéquat » de protection des données personnelles, (b) par l'utilisation de clauses contractuelles types, (c) par le biais de règles internes contraignantes, ou (d) vers les États-Unis, sous réserve du respect des principes du Bouclier de protection de la vie privée.
Réponse de Nuance
Nuance dispose d'accords standard de protection des données qui comprennent des clauses contractuelles types permettant le transfert de données de l'UE vers les États-Unis. Nous possédons également la certification du Bouclier de Protection des Données (ou « Privacy Shield ») . Enfin, lorsque nos clients ont adopté des règles internes contraignantes, nous sommes prêts à signer des contrats de traitement des données qui lient Nuance aux dispositions de ces règles.
Offres Cloud et produits on-premise
Nuance propose de nombreux produits qui stockent des données dans le Cloud. Dans ces cas, Nuance a accès aux données et agit en tant que sous-traitant du traitement des données. Nuance propose également un certain nombre de produits on-premise qui stockent des données sur des serveurs détenus ou exploités par nos clients. Dans ces cas, Nuance n’a généralement pas accès aux données, n’est pas un sous-traitant du traitement des données et ne joue aucun rôle dans les activités de conformité au RGPD. Toutefois, Nuance fournit des services d'assistance client pour ses produits on-premise et nos activités en la matière impliquent parfois d’accéder à des données personnelles. Dans la mesure où Nuance reçoit des données personnelles en provenance de l’UE lorsqu'elle fournit des services d'assistance client, elle respecte pleinement les exigences du RGPD.
À quoi devez-vous vous attendre désormais ?
Les exigences du RGPD devenant plus claires grâce à des directives réglementaires et à travers son application, Nuance pense pouvoir renforcer davantage son programme RGPD pour ses clients. Nous mettrons à jour ce guide et le compléterons au fil des améliorations du programme.
Si vous avez des questions spécifiques sur la manière dont Nuance vous aidera à remplir vos obligations dans le cadre du RGPD, veuillez envoyer un e-mail à l'adresse suivante : (privacy@nuance.com).