Esri s’engage à respecter la loi européenne sur la protection de la vie privée (RGPD pour Règlement général sur la protection des données ou GDPR pour General Data Protection Regulation), qui est entrée en vigueur en mai 2018. Le RGPD impose de nouvelles règles aux sociétés, agences gouvernementales, organismes à but non lucratif et autres organisations situées à l’extérieur de l’Union européenne qui traitent des données personnelles associées à l’offre de biens et services destinée aux résidents de l’Union européenne (EU), ou qui surveillent le comportement des citoyens européens au sein de l’Union européenne.
Services Esri concernés
Esri traite des informations personnelles pour le compte d’autres organisations de contrôle (ses clients) qui l’ont chargé de traiter les informations personnelles qu’elles contrôlent. ArcGIS Online, les données chargées dans le cadre d’un cas envoyé au support technique et les coordonnées qui nous sont communiquées pour une organisation cliente en sont des exemples.
Actions d’Esri
- Engagements énoncés par l’addendum relatif au traitement des données (DPA) : Esri a élaboré un addendum relatif au traitement des données qui énonce les conditions ayant trait à la vie privée, la confidentialité et la sécurité des données personnelles des citoyens des pays de l’Union européenne associées aux services en ligne et à la maintenance que nous proposons aux clients dans le cadre d’un contrat principal, du contrat de licence que les clients ont actuellement conclu avec Esri ou du contrat par clic alors en vigueur. Après que la garantie fournie par le bouclier de confidentialité a été déclaré inadéquate en 2020, Esri a ajouté des clauses contractuelles standard à son addendum relatif au traitement des données (DPA). Plus récemment, en 2021, nous avons ajouté des mesures supplémentaires dans notre DPA pour garantir la conformité aux directives récentes de l’Union européenne.
- Cookies et consentement : Esri évite d’utiliser des cookies de « ciblage » pour faciliter les processus marketing/commerciaux lors de l’utilisation de produits payants.
- Conservation des données : les utilisateurs de ArcGIS Online n’ont pas besoin de stocker les données personnelles dans l’application et les jeux de données qu’ils téléchargent dans ArcGIS Online peuvent être supprimés par les clients à tout moment. Les jeux de données client stockés dans les organisations ArcGIS Online sont supprimés dans un délai de 60 jours après l’arrêt d’un service. Les clients peuvent demander la suppression de leurs jeux de données plus tôt si nécessaire. Les jeux de données de support sont supprimés dans un délai de 90 jours après la fin d’un incident de support, sauf accord/spécification contraire.
- Emplacement des données : les clients ArcGIS Online qui travaillent avec un distributeur Esri dans la région Union européenne ou Asie-Pacifique stockent par défaut leurs données d’organisation dans la région Union européenne ou Asie-Pacifique associée (emplacements des centres de données régionaux spécifiés dans le CAIQ [Consensus Assessments Initiative Questionnaire]). Toutes les autres données et métadonnées des clients ArcGIS Online pour les nouvelles organisations sont stockées par défaut aux États-Unis.
- Chiffrement : les données client sont chiffrées lorsqu’elles sont entreposées et lorsqu’elles sont en transit pour ArcGIS Online.
- Experts en confidentialité : Esri est membre de l’IAPP (International Association of Privacy Professionals) et dispose de ressources de confidentialité certifiées au sein de l’équipe Esri chargée de la sécurité et de la confidentialité des logiciels pour assurer une constante évolution des pratiques en matière de confidentialité dès la conception.
Actions des clients
- Signature de l’addendum relatif au traitement des données (DPA) d’Esri : les clients peuvent télécharger, contresigner et conserver une copie du fichier [PDF] à titre d’information. Il n’est pas nécessaire d’en renvoyer un exemplaire à Esri.
- Révision des pratiques conseillées d’ArcGIS relatives à la confidentialité : l’article technique de 50 pages sur la confidentialité du suivi de la localisation avec ArcGIS intitulé ArcGIS Location Sharing Privacy est l’un des guides les plus complets d’Esri sur la confidentialité. Il présente succinctement l’architecture ainsi que les paramètres de configuration individuels. De nombreux autres guides et présentations traitant de la confidentialité sont disponibles dans la section Documents de Trust Center.
- Validation : vérifiez régulièrement votre déploiement avec à l’esprit les recommandations de l’outil ArcGIS Security Advisor (bouton bleu dans la partie supérieure du Trust Center). Des recommandations de configuration de produit ArcGIS encore plus complètes sont synthétisées dans l’article technique sur la confidentialité dans un tableau avec code couleur (représenté ci-dessous).
Ressources
- Vue d’ensemble de l’addendum relatif au traitement des données (DPA) d’Esri (page publique du Trust Center)
- ArcGIS Location Sharing Privacy (document public du Trust Center)
- Où sont mes données ? CAIQ sur ArcGIS Online (document public du Trust Center)
Vous avez un commentaire à formuler concernant cette rubrique ?