RGPD

Notre engagement envers vous et la protection de vos données

TalentLMS a un devoir éthique, légal et professionnel de s'assurer que les informations qu'il détient soient conformes aux principes de confidentialité, d'intégrité, de respect de la vie privée et de disponibilité. Autrement dit, les informations dont nous sommes responsables sont protégées lorsque c'est nécessaire contre une divulgation inappropriée, sont précises, opportunes, attribuables, et sont accessibles à ceux qui doivent pouvoir y accéder. TalentLMS respecte les lois nationales et la réglementation internationale en vigueur sur les questions de confidentialité et de sécurité. Nous avons suivi avec succès un programme de conformité au RGPD en interne de façon à être entièrement conforme au RGPD avant l'entrée en vigueur de la nouvelle législation (le 25 mai 2018).

Nous avons mis en ligne une petite section questions et réponses sur le RGPD pour vous aider à établir votre feuille de route de mise en conformité, en vous apportant un aperçu de haut niveau sur la réglementation, en vous présentant son principal impact et en vous aidant à éviter les erreurs et les pièges courants du RGPD.

En plus de renforcer et de standardiser la confidentialité des données des utilisateurs dans les pays de l'U.E., le RGPD impose des obligations nouvelles ou supplémentaires à toutes les organisations qui traitent les données personnelles des citoyens de l'U.E., quel que soit l'emplacement réel des organisations. Sur cette page, nous expliquerons nos méthodes et les moyens que nous emploierons pour nous conformer au RGPD, à la fois pour notre société et pour nos clients.

Se préparer au RGPD

Les nouvelles exigences du RGPD sont importantes et notre équipe a travaillé dur pour veiller à ce que TalentLMS les respecte intégralement avant le 25 mai 2018. Voici quelques-unes des mesures que nous avons prises pour nous y conformer :

  • Nous avons continué d'investir dans notre infrastructure de sécurité ainsi que dans nos efforts techniques et organisationnels afin que le niveau de sécurité proposé soit approprié pour le risque, incluant sans s'y limiter les fonctionnalités du service annoncé sur notre page Sécurité et la base de connaissance.
  • Nous avons veillé à mettre en place les clauses contractuelles appropriées. Nous nous sommes assurés de pouvoir prendre en charge les transferts de données internationaux en maintenant nos auto-certifications de bouclier de protection des données et en proposant un Addendum de Traitement des Données (DPA) mis à jour conforme au RGPD. Nous avons veillé à ce que les services tiers pouvant être utilisés par TalentLMS, figurant dans la pièce jointe n° 3 de notre Addendum de Traitement des Données, respectent intégralement les exigences des clients de TalentLMS en matière de confidentialité et de sécurité, comme en témoignent leurs programmes de conformité au RGPD, leurs certifications du bouclier de protection des données et leurs DPA – que nous avons mutuellement signés.
  • Nous avons veillé à ce que des conditions relatives à la confidentialité figurent dans les contrats de nos employés impliqués dans le traitement des données personnelles.
  • Nous avons veillé à ce que le personnel responsable de la confidentialité des données de TalentLMS puisse être facilement contacté à l'adresse e-mail privacy@talentlms.com pour que les utilisateurs puissent poser des questions, déposer une plainte ou exercer leurs droits.
  • Nous avons amélioré nos politiques, nos contrôles et nos offres de produits, en incluant de nouveaux outils et fonctionnalités de produit permettant la portabilité et la gestion des données afin d'aider nos clients à exercer les droits des personnes concernées.
  • Nous proposons des informations suffisantes sur le service TalentLMS dans la politique de confidentialité, les conditions du service et le DPA.
  • Dans le cas très improbable d'une violation des données, nous avons mis en place une politique et un plan d'action pour notifier les autorités de surveillance et les personnes concernées par la violation des données sous 72 heures.

Nous surveillons également en permanence les conseils des organismes de réglementation et des codes de conduite en matière de conformité avec le RGPD, et nous avons récemment rejoint le code de conduite EU Cloud, un code de conduite pour la protection des données dans l'U.E. destiné aux fournisseurs de services dans le cloud qui contient des garanties exigeantes pour la protection des données dans les services de cloud.

Notre infrastructure de sécurité

Nous attachons une très grande importance à la protection des informations de nos clients et de la vie privée de leurs utilisateurs. En tant que société basée dans le cloud à laquelle nos clients ont confié certaines de leurs données les plus précieuses, nous avons défini des standards de sécurité élevés.

Notre infrastructure dans le cloud utilise des serveurs Rackspace et un stockage Amazon S3 avec chiffrement AES-256. Rackspace et Amazon participent activement au programme du bouclier de protection des données. Ce sont des fournisseurs de stockage dans le cloud chefs de file de l'industrie qui ont obtenu de nombreuses certifications en terme de confidentialité et de vie privée, en proposant également des DPA conformes au RGPD. Toutes les communications de TalentLMS sont chiffrées avec une version hautement sécurisée de SSL-TLS munie de cryptogrammes robustes, qui lui permettent d'atteindre une note de sécurité de A+.

En outre, nous avons investi dans la constitution d'une équipe solide pour les questions de confidentialité et de sécurité, qui adhère aux recommandations du NIST et qui est actuellement en train d'améliorer notre ensemble d'outils pour détecter les vulnérabilités du logiciel avant la mise en production, en évaluant notre logiciel et nos déploiements, en mettant en œuvre un programme bug bounty, en surveillant notre infrastructure, en protégeant les données des clients, en assurant la récupération après sinistre, la continuité des opérations et une disponibilité élevée. Conformément aux exigences du RGPD sur les notifications en cas d'incident de sécurité, TalentLMS continuera de respecter ses engagements et de proposer des garanties contractuelles.

Veuillez consulter notre politique de confidentialité, nos conditions de service, ainsi que notre page de sécurité si vous souhaitez en savoir plus sur nos politiques, nos procédures et nos fonctionnalités en matière de confidentialité et de sécurité.

Transferts de données internationaux : bouclier de protection des données et conditions contractuelles

Pour respecter les lois de l'U.E. sur la protection des données relatives aux mécanismes des transferts de données internationaux, nous participons déjà au programme du bouclier de protection des données transatlantique qui veille à ce que les données des clients de l'U.E. soient traitées de manière appropriée lorsqu'elles sont stockées sur des serveurs aux États-Unis. Vous pouvez consultez notre inscription pour TalentLMS ici.

TalentLMS n'aura jamais recours à des sous-traitants qui possèdent des installations ou qui sont susceptibles de réaliser des opérations de traitement dans des pays ne figurant pas dans la liste des pays dont la Commission européenne a explicitement indiqué l'adéquation de la protection des données personnelles.

Soutien aux droits renforcés des clients de TalentLMS en tant que personnes concernées

Nous accordons une grande importance aux droits de nos clients TalentLMS en tant que personnes concernées. Nous nous engageons à soutenir les nouveaux droits des personnes concernées améliorés dans le RGPD pour tous les clients de TalentLMS, quel que soit leur emplacement ou leur nationalité. Nous expliquerons également comment TalentLMS aide ses clients à soutenir les droits renforcés des utilisateurs finaux de leurs domaines dans l'avant-dernière section de cette page.

Droit d'accès: notre politique de confidentialité définit les données que nous collectons et l'utilisation que nous en faisons. Si vous avez des questions spécifiques sur des données particulières, vous pouvez nous contacter à l'adresse privacy@talentlms.com à tout moment pour obtenir les précisions ou les données dont vous avez besoin. Des informations vous seront fournies gratuitement sans retard indu et généralement beaucoup plus rapidement que le délai d'un mois après la réception de la requête que prévoit le RGPD.

Droit de rectification: vous pouvez accéder aux paramètres de votre compte TalentLMS et les modifier à tout moment pour corriger ou compléter les informations de votre compte depuis votre profil en sélectionnant l'élément « Mes infos » dans le menu de votre compte en haut de l'interface TalentLMS. Vous pouvez aussi contacter TalentLMS à tout moment si vous avez besoin d'aide pour accéder aux informations que nous possédons sur vous, les corriger, les modifier ou les supprimer, comme indiqué dans notre politique de confidentialité.

Droit à l'effacement: vous pouvez clôturer votre compte TalentLMS à tout moment, auquel cas nous supprimerons de façon permanente votre compte et l'ensemble des données qui y sont associées conformément à la politique de conservation des données de TalentLMS. En particulier, la clôture de votre compte d'administrateur entraînera la désactivation du domaine. Toutes les données du compte sont conservées pendant 12 mois à l'issue de la clôture de compte pour permettre une reconnexion du service aussi fluide que possible. Les domaines inactifs depuis 12 mois ou plus sont supprimés par le système. Vous pouvez également nous contacter à l'adresse privacy@talentlms.com si vous souhaitez que vos données soient supprimées lors de la clôture de votre compte. Nous supprimerons de façon permanente votre compte et l'ensemble des données qui y sont associées dans un délai maximum de trente jours.

Restriction de traitement: TalentLMS soutient le droit de demander une restriction de traitement en donnant la possibilité à l'administrateur de rendre n'importe quel utilisateur « inactif ». Il est également possible de rendre de vastes groupes d'utilisateurs inactifs en les sélectionnant et en utilisant l'action de masse « Rendre actif/inactif ».

Droit d'opposition: i vous refusez de recevoir les notifications par e-mail de TalentLMS, vous pouvez les désactiver pour vous-même – ou pour n'importe quel utilisateur final de votre domaine – en suivant ces étapes. Vous pouvez refuser l'utilisation de vos données à des fins de marketing en vous retirant des listes de diffusion depuis le pied de page dans les lettres d'information et les e-mails de marketing que vous recevez.

Droit à la portabilité des données: vous pouvez exporter vos données à tout moment depuis le panneau d'administration de l'application. Le processus est très simple et également expliqué ici. TalentLMS soutient entièrement votre droit à recevoir les données de votre domaine dans un format structuré, courant et informatisé. En particulier, TalentLMS prend en charge par nature l'exportation dans de multiples formats, incluant les formats CSV, XLS et SCORM. De plus, nous serons ravis d'exporter les données de votre compte vers un service tiers à tout moment sur demande de votre part, que vous pouvez envoyer à l'adresse privacy@talentlms.com.

Soutien aux droits renforcés des utilisateurs finaux de TalentLMS en tant que personnes concernées

Nous comprenons parfaitement que les clients de TalentLMS aient besoin de notre aide pour se conformer au RGPD. Et nous sommes ravis d'annoncer que nous avons conçu ces outils et ces fonctionnalités pour permettre à TalentLMS d'être entièrement conforme à la réglementation du RGPD en ce qui concerne la prise en charge des droits des personnes concernées renforcés par le RGPD pour les utilisateurs finaux des domaines de TalentLMS que nos clients créent et gèrent :

Droit d'accès: les données collectées pour chaque utilisateur final de TalentLMS sont définies dans notre politique de confidentialité. Chaque administrateur de domaine peut collecter des données supplémentaires sur les utilisateurs finaux à travers les champs personnalisés qu'il peut prévoir pour les utilisateurs finaux de son domaine. Toutes les données sont également affichées sur la page du profil de l'utilisateur respectif, tandis que l'activité des utilisateurs finaux dans le système peuvent aussi être récupérées depuis la fonction calendrier étendu du LMS. Dans le cas où les utilisateurs finaux ont des questions spécifiques sur des données particulières que l'administrateur du domaine ne peut pas fournir, ils peuvent nous contacter à tout moment à l'adresse privacy@talentlms.com pour obtenir les précisions ou les données dont ils ont besoin. Les informations seront fournies gratuitement sans retard indu et généralement beaucoup plus rapidement que le délai d'un mois après la réception de la requête que prévoit le RGPD.

Droit de rectification: les utilisateurs finaux peuvent accéder aux paramètres de leur compte TalentLMS et les modifier à tout moment pour corriger ou compléter les informations de leur compte depuis leur profil en sélectionnant l'élément « Mes infos » dans le menu de leur compte depuis l'interface TalentLMS. Les utilisateurs finaux peuvent aussi contacter directement leur administrateur de domaine ou même l'équipe de TalentLMS chargée de la confidentialité à tout moment en cas de problème afin d'accéder aux informations possédées à leur sujet, pour les corriger, les modifier ou les supprimer, comme indiqué dans la politique de confidentialité de TalentLMS.

Droit à l'effacement: TalentLMS permet une gestion sophistiquée des utilisateurs finaux, qui inclut la possibilité de rendre un utilisateur inactif ou de le supprimer du système de façon permanente.

  • La procédure permettant de supprimer de façon permanente un utilisateur individuel, en raison par exemple d'une demande de la personne concernée, est expliquée ici.
  • La suppression en masse des utilisateurs qui sont par exemple inactifs ou qui ne se sont pas connectés depuis un certain temps ou selon toute une variété de règles prises en charge par TalentLMS est également possible. Cette approche basée sur les règles du droit à l'oubli pour une quantité importante d'utilisateurs, où la suppression manuelle de chaque utilisateur serait fastidieuse, est déjà possible pour l'administrateur en créant un rapport personnalisé puis en effectuant une action de masse pour supprimer les utilisateurs de la liste, comme expliqué ici.

Ces deux fonctionnalités complémentaires de TalentLMS permettent à nos clients de respecter intégralement le RGPD en ce qui concerne le droit à l'oubli et à l'effacement de TalentLMS des utilisateurs finaux de leurs domaines. De plus, dans le cas où l'administrateur du domaine active cette fonctionnalité pour les utilisateurs de son domaine en paramétrant l'option « Générique / Profil / Mise à jour », l'utilisateur final pourra directement se supprimer lui-même du service TalentLMS grâce à l'option « Supprimer mon compte » disponible sous le bouton « Plus » du profil de l'utilisateur. Cette option supplémentaire permet aux utilisateurs finaux de se supprimer eux-mêmes du service sans aucune intervention de l'administrateur du domaine TalentLMS respectif.

Restriction de traitement: TalentLMS soutient le droit de demander une restriction de traitement en donnant la possibilité à l'administrateur de rendre n'importe quel utilisateur « inactif ». Cette fonction est également possible pour de grands groupes d'utilisateurs en suivant la même procédure que pour la suppression en masse des utilisateurs expliquée dans le paragraphe « Droit à l'effacement » et en utilisant l'action de masse « Rendre actif/inactif » au lieu de la suppression.

Droit d'opposition: le cas où l'utilisateur final refuse le traitement à des fins de formation en ligne est prévu dans la partie « Droit à l'effacement ». Dans le cas où l'utilisateur refuse les notifications par e-mail de TalentLMS, il peut contacter son administrateur de domaine, qui peut exclure le ou les utilisateurs respectifs des notifications par e-mail en suivant les étapes indiquées ici.

Droit à la portabilité des données: comme expliqué précédemment sur cette page, ce droit est pris en charge grâce à la fonctionnalité d'exportation de l'application. La progression de l'utilisateur peut également être exportée en utilisant la fonctionnalité de création de rapports personnalisés de TalentLMS.

Consentement : TalentLMS permet à ses clients de demander et d'enregistrer explicitement le consentement des utilisateurs à l'aide du service TalentLMS. En particulier, chaque administrateur de domaine peut mettre en place une page « conditions du service » personnalisée depuis l'onglet « Utilisateurs » de la page d'administration Accueil / Compte et paramètres qui sera affichée à chaque utilisateur final lors de sa première connexion au système. Il est nécessaire d'accepter cette page pour continuer vers le LMS. C'est ainsi un moyen pratique d'obtenir le consentement des utilisateurs finaux depuis TalentLMS. Notez qu'une fois qu'un utilisateur final accepte de donner son consentement, cette information est également enregistrée par TalentLMS et apparaît dans le calendrier étendu de l'application, permettant de l'utiliser facilement à des fins de conformité ou de création de rapport si nécessaire. Si les utilisateurs finaux choisissent de retirer leur consentement pour la formation en ligne, cette décision est essentiellement équivalente au retrait de l'utilisateur du service. L'administrateur du domaine peut donc suivre le processus du « droit à l'effacement » expliqué précédemment sur cette page afin de satisfaire la demande de la personne concernée et supprimer l'utilisateur final de TalentLMS.

De plus, TalentLMS prend en charge l'importation/exportation des utilisateurs au niveau le plus précis grâce à une colonne « Conditions », si tant est que le domaine respectif ait précisé des « conditions de service ».

Pour les utilisateurs qui ont été insérés dans le système avant la date de la demande du consentement et qui n'ont pas accepté les conditions, TalentLMS permet également à l'administrateur de sélectionner ces utilisateurs n'ayant pas accepté les conditions du service et de les supprimer en masse. Il s'agit de la même procédure de suppression en masse indiquée dans la partie « Droit à l'effacement », qui peut également être appliquée par l'administrateur aux « anciens » utilisateurs qui sont inactifs depuis un certain temps. Elle permet ainsi aux clients de TalentLMS d'appliquer leur politique de conservation des données conforme au RGPD pour leur domaine.

Pas de prise de décision individuelle automatique: par nature, TalentLMS respecte entièrement le droit de ses utilisateurs à ne pas faire l'objet d'une décision basée uniquement sur un traitement automatique, incluant le profilage, qui produit des effets juridiques à son égard ou qui l'affecte de manière similaire.

Restez informé

Nous accordons une grande importance à nos obligations en matière de confidentialité et de sécurité des données. Nous sommes donc ravis de vous aider à vous préparer à tous les changements apportés par le RGPD. Si vous avez des questions sur les moyens par lesquels TalentLMS peut vous accompagner dans votre mise en conformité, ou si vous avez des préoccupations relatives à la confidentialité, veuillez nous contacter à l'adresse : privacy@talentlms.com.