Règles de confidentialité dans le monde
Une protection des données mondiale
La confidentialité est au cœur de la législation de nombreux pays, notamment avec l'entrée en vigueur du Règlement général sur la protection des données (RGPD) au sein de l'Union européenne, l'élan continu en faveur d'une législation semblable aux États-Unis et les nouvelles lois votées en Asie et en Amérique latine. Chez Workday, nous pensons que ce renforcement des règles est bienvenu, car le respect de votre confidentialité est l'un de nos piliers depuis le début de notre histoire. Nous savons également que la confidentialité est une responsabilité partagée entre nous et nos clients.
Workday et ses clients doivent être prêts à respecter des réglementations et des lois complexes sur la protection de la vie privée. Nous gardons une longueur d'avance sur les réglementations internationales en matière de confidentialité en maintenant un programme global de protection des données qui contient des garanties techniques, administratives et organisationnelles complètes. Nos clients peuvent être assurés que nous nous engageons à respecter les normes mondiales en matière de protection de la confidentialité, comme en témoigne notre mise en œuvre des Règles d'entreprise contraignantes (BCR) pour les sous-traitants et le fait que nous soyons la première entreprise à être certifiée conforme aux règles de confidentialité de la Coopération économique Asie-Pacifique pour les sous-traitants.
La confidentialité des données au sein de l'UE
Pour souligner la façon dont Workday se prépare à l'évolution des réglementations, le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a considérablement modifié le paysage européen de la confidentialité des données en harmonisant le patchwork de lois sur la protection des données en Europe. Après l'entrée en vigueur du RGPD, nous sommes restés confiants dans notre capacité à traiter les données personnelles de nos clients dans le respect de celui-ci. À titre d'exemple, peu de choses ont changé pour les clients Workday en ce qui concerne les transferts hors frontières de données personnelles vers l'application Workday en vue de leur traitement. Nous avions déjà des conditions de protection des données robustes, mais nous les avons mises à jour de manière proactive pour répondre aux exigences du RGPD.
Voici notamment comment nous nous assurons que les pratiques de sécurité et de confidentialité de ses applications demeurent conformes au RGPD :
- Organisation de formations de rappel pour les collaborateurs en fonction des rôles aux procédures de sécurité et de confidentialité des données
- Mise en place de processus pour collecter les évaluations des dispositifs de protection des données
- Mise en place de mécanismes de transfert afin de légaliser les transmissions de données à caractère personnel à l'extérieur de l'Espace économique européen, dont les BCR de Workday
- Tenue de registres pour les traitements
- Mise à disposition de nos clients de fonctionnalités de protection des données et de conformité configurables.
- Mise en correspondance des exigences du RGPD avec nos contrôles SOC2
De plus, les concepts de « Privacy by Design » et de protection des données par défaut sont profondément intégrés dans Workday. Nous suivons en permanence les nouvelles directives publiées par les autorités de contrôle de l'UE afin de nous assurer que notre programme de conformité reste à jour.
Workday a également conscience de l'importance pour elle-même du respect du RGPD en tant que sous-traitant, mais aussi pour ses clients de pouvoir utiliser Workday tout en respectant leurs propres exigences de conformité. C'est pourquoi Workday conçoit ses applications en tenant compte de la configurabilité afin de vous aider à respecter vos obligations en matière de RGPD.
Transferts de données transfrontaliers
Bien que les flux de données internationaux aient connu de nombreux défis au fil des ans, Workday est resté confiant dans sa capacité à soutenir ses clients. Nous avons très tôt élaboré un programme qui propose à nos clients de nombreux mécanismes de transfert des données. Notre contrat inclut les clauses contractuelles types (CCT) de la Commission européenne permettant le transfert de données personnelles de l'Espace économique européen vers les États-Unis. En outre, Workday propose à ses clients les règles d'entreprise contraignantes pour les sous-traitants (BCR) comme mécanisme de transfert supplémentaires. Les BCR de Workday sont disponibles ici.
Nous collaborons avec nos clients internationaux lorsqu'ils réalisent des anayses d'impact de transfert (TIA – Transfer Impact Assessments) avant de transférer des données personnelles européennes vers des pays tiers. Nous partageons proactivement des informations, telles que des FAQ et des livres blancs, pour les aider à s'orienter dans ces évaluations. En outre, Workday s'engage à être transparent envers ses clients dans le cas où nous serions rappelés par une autorité chargée de l'application de la loi ou toute autre agence gouvernementale pour accéder aux informations électroniques que les clients soumettent dans les applications Software-as-a-Service (SaaS) de Workday.
Démonstration de conformité
Nous investissons dans la certification aux normes et cadres de référence du secteur afin que nos clients puissent facilement vérifier nos pratiques en matière de confidentialité. Nous sommes souvent les premiers à le faire.
Workday a adhéré au Bouclier de Protection des Données (« Privacy Shield ») dès la mise en place par le ministère américain du Commerce du processus de certification, ce qui témoigne de notre engagement infaillible et permanent à garantir la confidentialité et la protection des données de chacun. Même si le Bouclier de Protection des Données (« Privacy Shield ») ne représente plus un cadre de transfert des données valable, Workday continue de certifier sa conformité aux principes du Bouclier de Protection des Données (« Privacy Shield ») auprès du ministère américain du Commerce. Malgré la possibilité donnée aux entreprises de s'auto-certifier, Workday fait appel à TRUSTe en tant qu'agent de vérification tiers pour plus de conformité. En savoir plus sur la vérification par TRUSTe de notre conformité au Bouclier de Protection des Données (« Privacy Shield »).
Workday était le premier prestataire de services Cloud à adhérer au Code de conduite de l'UE sur le Cloud (CCoC), qui propose un ensemble d'exigences permettant aux prestataires de services Cloud de démontrer leur capacité à se conformer au RGPD. Les vérifications annuelles sont mises en place par un organisme de surveillance indépendant. Consulter l'adhésion de Workday au CCoC.
Workday est certifié conforme aux règles de confidentialité transfrontalières (CBPR) et aux règles de confidentialité pour les sous-traitants (PRP) de la Coopération économique Asie-Pacifique (APEC). Ces certifications désignent un ensemble de normes de confidentialité pensé pour les responsables du traitement et les sous-traitants, afin de faciliter les transferts de données entre les pays de l'APEC. Ces certifications attestent de la conformité aux normes strictes de confidentialité des pays de la région Asie-Pacifique.
Workday a été l'une des premières entreprises à être certifiée conforme aux CBPR APEC en mars 2014 et la première à être certifiée conforme aux PRP APEC en septembre 2018. Nous avons reçu une certification de TRUSTe, spécialiste de la gestion de la confidentialité des données de l'APEC pour les Etats-Unis.