Skip to content

Nous sommes conformes au GDPR

Nous respectons pleinement les exigences pour tous nos services.
Systèmes et politiques
Le présent site Strat décrit les raisons pour lesquelles nous traitons et protégeons les données à caractère personnel.
Sous-processeurs
itslearning fait appel à des fournisseurs tiers pour l'aider à fournir ses services.
Mesures de sécurité
Nous avons mis en place des mesures de sécurité organisationnelles et techniques.
Demande de données
Nous respectons les réglementations internationales concernant les droits des personnes à Confidentialit.

Informations à nos clients sur le GDPR

Lerèglement général sur la protection des données (RGPD) de l'UE , approuvé par le Parlement européen en 2016, est le changement le plus important au sein de la réglementation sur la protection des données depuis 20 ans. Il remplace la directive 95/46/CE sur la protection des données ainsi que les lois et réglementations locales dans l'UE/EEE. Le nouveau règlement est conçu pour renforcer les droits de l'individu sur Confidentialit et harmoniser les lois sur les données Confidentialit dans toute l'Europe.

itslearning s'est engagée à protéger les données Confidentialit depuis sa création en 1999 et se félicite de la nouvelle réglementation. Nous continuerons à faire notre part pour nous assurer que tous nos clients sont conformes au GDPR. L'utilisation de la technologie et des services dématérialisés pour améliorer les pratiques d'enseignement et les résultats de l'apprentissage recèle un énorme potentiel inexploité. L'une des clés pour libérer ce potentiel est de gagner la confiance des enseignants, des élèves et des parents. En ce sens, l'attention accrue portée à la protection des données et au site Confidentialit en raison du GDPR est bénéfique pour toutes les parties.

 

itslearning Engagement GDPR

Nous nous conformons pleinement aux exigences de tous nos services, y compris itslearning, Fronter et SkoleIntra, afin d'être prêts pour le GDPR. Nous travaillons depuis longtemps sur le GDPR afin d'analyser la nouvelle réglementation et d'apporter les changements nécessaires à nos services, nos procédures et notre organisation. Au cours des derniers mois, nous avons mis à disposition toute la documentation, les avenants aux contrats et les procédures nécessaires pour prouver votre conformité au GDPR.

Il est important de préciser que pour les services en nuage que nous fournissons à nos clients et à leurs clients finaux Utilisateurs, itslearning est ce que la réglementation européenne actuelle et nouvelle définit comme un sous-traitant. En tant que sous-traitant, nous ne décidons pas de la finalité ou de la légalité du traitement, nous nous contentons de traiter les données au nom de nos clients. Le règlement GDPR impose des exigences plus strictes à tous les sous-traitants de données.

Notre engagement envers le GDPR exige que nous travaillions pour :

  • Assurer la sécurité organisationnelle et technique de tous les services.
  • Vous aider avec la documentation nécessaire pour démontrer la conformité et informer votre Utilisateurs.
  • Vous fournir de nouveaux avenants aux contrats qui sont conformes aux exigences du GDPR en matière d'accords sur le traitement des données (DPA).
  • Vous fournir l'assistance nécessaire lorsque votre Utilisateurs exerce ses droits en tant que personne concernée. Vous trouverez plus d'informations sur Informations à lapage GDPR Data Request sur notre support site.

itslearning dispose d'un délégué à la protection des données (DPD) tel que défini par le GDPR. Outre le contrôle de notre propre conformité et la fourniture de conseils et de formations à nos propres Employ, notre DPD est à la disposition de nos clients et de leurs DPD pour discuter des questions relatives aux données Confidentialit .

Coordonnées de notre DPD :
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
Confidentialit @itslearning.com

 

Exigences des clients en matière de GDPR

En général, le GDPR exige que vous

  • Documentez et évaluez tous les traitements de données à caractère personnel et les systèmes utilisés. La finalité et la licéité du traitement doivent être définies et vous devez vous assurer que vous ne traitez pas de données à caractère personnel qui ne sont pas nécessaires à la finalité définie.
  • Assurer la sécurité organisationnelle et technique du traitement et être en mesure de le démontrer. Évaluez vos processus internes de conservation et de sécurité des données et documentez-les. Assurez-vous que votre propre technologie peut fournir une sécurité technique suffisante et documentez-la.
  • Lorsque vous utilisez des services tiers, comme les nôtres, pour traiter des données personnelles, vous devez vous assurer que les exigences en matière de traitement des données sont conformes au GDPR.
  • Lors de l'acquisition d'une nouvelle technologie susceptible d'entraîner un risque élevé pour les données à caractère personnel, vous devez procéder à une analyse des risques - une analyse d'impact sur la protection des données (DPIA). En tant que client existant, nos services ne constituent pas une nouvelle technologie pour vous. Cependant, la réalisation d'une DPIA peut être une bonne idée et vous aidera à documenter la conformité.
  • Utilisateurs (personnes concernées) ont des droits renforcés en vertu du GDPR. Nos clients doivent mettre en place un processus pour répondre aux demandes des personnes concernées et pour évaluer la validité de ces demandes.
  • Un droit particulièrement important de la personne concernée est la transparence et Informations. Assurez-vous que l'adresse Informations de votre Utilisateurs sur tout ce qui est exigé par le GDPR est facilement accessible, y compris la façon dont ils peuvent exercer leurs droits. Si vos Utilisateurs sont jeunes, vous devez vous assurer que cette Informations est également accessible aux parents.
  • Examinez l'accord sur le traitement des données itslearning , dont l'objectif est de réglementer les droits et les devoirs conformément à la législation européenne sur la protection des données, y compris les règlements GDPR, applicables au contrôleur des données dans le cadre de l'accord d'abonnement au service standard.

Téléchargez l'accord de traitement des données itslearning .

Pour les questions d'ordre général relatives aux produits et services de itslearning , vous pouvez comme toujours contacter notre service d'assistance. Pour les questions contractuelles ou commerciales, veuillez contacter votre gestionnaire de compte.

Pour les questions spécifiques de nos clients relatives au GDPR, veuillez contacter notre délégué à la protection des données via e-mail Confidentialit @itslearning.com ou appelez le +35 89 122 4791. Toute communication avec notre DPD doit se faire en anglais.

Le GDPR nous obligera-t-il à obtenir le consentement de tous nos Utilisateurs (ou de leurs parents) ?

Pour la plupart de nos clients, non. En vertu du GDPR, le consentement n'est qu'un des six motifs légitimes de traitement des données. Nos clients doivent choisir la base légale qui reflète le mieux la véritable nature de la relation entre vous et votre Utilisateurs. Pour la plupart de nos clients, le consentement n'est pas la base légale la plus appropriée pour le traitement. Pour bon nombre de nos clients, la base légale du traitement serait liée à T dans l'intérêt public ou à vos obligations légales.

Le site itslearning peut-il utiliser des données à caractère personnel à ses propres fins ?

Non. Actuellement et en vertu de la nouvelle réglementation GDPR, nous ne pouvons traiter les données que sur instruction directe de nos clients. Les données vous appartiennent, et seule une poignée de itslearning Employ a accès aux données personnelles dans le cadre d'une confidentialité et d'une sécurité strictes. Nous ne pouvons traiter les données personnelles de manière indépendante que si elles sont vitales pour l'intégrité ou la sécurité du service, ou pour analyser ou la qualité du service fourni.

Informations Quel type de renseignements sommes-nous tenus de fournir à Utilisateurs concernant le traitement des données à caractère personnel ?

Le droit à la transparence et à Informations pour les Utilisateurs (ou leurs parents) est fort en vertu du GDPR. Informations que vous devez rendre facilement disponible peut inclure :

  • Identité et coordonnées du responsable du traitement / du représentant du responsable du traitement
  • Les coordonnées du délégué à la protection des données
  • La finalité du traitement et la base juridique du traitement des données
  • Toute intention de transférer des données à caractère personnel vers un pays tiers (en dehors de l'UE/EEE) et les garanties mises en place, ainsi que les moyens d'en obtenir une copie.
  • La durée de conservation des données à caractère personnel ou les critères qui déterminent cette durée.
  • Les droits de la personne concernée (accès, rectification, effacement, etc.)
  • Le droit de déposer une plainte auprès de l'autorité de contrôle
  • Origine des données
  • Toute utilisation de la prise de décision automatique/du profilage.
L'un de nos sites Utilisateurs peut-il désormais nous demander de Supprimer ses données ("droit à l'oubli") ?

Probablement pas. Un Utilisateur ne peut exiger l'effacement de ses données que si la base légale du traitement est le consentement (voir ci-dessus) ou si la finalité ou la légalité d'origine n'est plus valable. Nos clients devront mettre en place des procédures permettant de traiter avec soin les demandes d'effacement de données émanant de personnes concernées. Vous pouvez contacter notre délégué à la protection des données pour obtenir des conseils dans les cas difficiles. Si une personne concernée se voit accorder le droit d'être effacée, itslearning sera disponible, par le biais de son logiciel ou de ses services d'assistance, pour l'aider à faire valoir ses droits.

Notre site Utilisateurs peut-il désormais exiger que nous lui fournissions une copie de toutes ses données personnelles ?

Dans une certaine mesure, oui. Tous vos Utilisateurs disposent désormais de droits solides en matière de transparence, Informations et d'accès aux données. Toute personne concernée peut exercer ses droits en demandant une copie de toutes ses données à caractère personnel, à condition que cela ne porte pas préjudice à d'autres personnes ou que ces données ne soient pas déjà à sa disposition. Toutefois, il ne s'agit pas d'un droit absolu ; d'autres lois peuvent vous obliger à protéger la personne concernée ou d'autres personnes contre l'accès à certains types de données Informations. Vous devrez soigneusement ces demandes en vertu du GDPR par rapport aux droits et obligations prévus par d'autres réglementations. Vous pouvez contacter notre délégué à la protection des données pour obtenir des conseils dans les cas difficiles. Si une personne concernée se voit accorder le droit d'accès, itslearning sera disponible, par l'intermédiaire de notre logiciel ou de nos services d'assistance, pour l'aider à faire valoir ses droits.

Un Utilisateur peut-il contacter directement itslearning (par exemple Apprenant, parent, Enseignant) pour exercer ses droits en vertu du GDPR ?

Non. En vertu du GDPR, les droits de la personne concernée (Utilisateur) se situent entre elle et le responsable du traitement (nos clients). Toute demande de la personne concernée émanant de l'utilisateur final Utilisateurs et adressée à itslearning sera transmise au client. itslearning coopérera de bonne foi avec les clients pour s'assurer qu'ils peuvent exercer les droits des personnes concernées dans les plus brefs délais.

Quand le site itslearning Supprimer traite-t-il des données à caractère personnel ?

itslearning supprime les données à caractère personnel sur instruction de nos clients ou si le contrat entre nous et le client est résilié. Les procédures relatives à la suppression des données des clients en cas de résiliation du service doivent être fournies par écrit ou dans un accord avec le responsable du traitement des données.

L'instruction de Supprimer une Utilisateur dans nos services peut être effectuée manuellement dans la plateforme par un représentant du client, automatiquement par une intégration avec un système administratif Apprenant (ou similaire) ou sur demande à notre organisation de soutien.

Lorsque Utilisateurs est supprimé dans nos systèmes, des mesures de protection sont mises en place pour éviter que des erreurs n'entraînent une perte irremplaçable de données. Dans de nombreux cas, les clients devront confirmer manuellement la suppression de leurs données, y compris de leurs données personnelles.

itslearning doit-il informer Utilisateurs s'il a été affecté par une violation de données ?

En fonction de la nature de la violation de données, nos clients peuvent être tenus d'informer rapidement les Utilisateurs concernés et les autorités de contrôle. itslearning est tenu d'informer indûment ses clients lorsqu'il a connaissance d'une violation de données, et de les aider à remplir leurs obligations en matière de notification à Utilisateurs.

Dois-je désigner un délégué à la protection des données ?

Dans de nombreux cas, oui. Vous êtes tenu de désigner un DPD si :
a) vous êtes une institution publique ou gouvernementale
b) vous traitez certains types de données sensibles à grande échelle
c) le traitement implique un contrôle ou une surveillance à grande échelle.

Veuillez consulter le site Page pour comprendre que c'est l'organisation, et non le système, qui a besoin d'un DPD. Dans de nombreux cas, votre organisation peut déjà disposer d'un DPD. Le DPD peut avoir un rôle contractuel. De nombreuses institutions gouvernementales proposent des services de DPD à d'autres institutions.

 
Puis-je exiger d'un fournisseur de services en nuage, tel que itslearning, qu'il n'héberge des données personnelles que dans mon pays ?

L'un des principaux objectifs du nouveau GDPR est la libre circulation des données personnelles au sein de l'Espace économique européen Zone (EEE), dans le cadre d'une réglementation commune. Dans la plupart des cas, le GDPR n'autorise pas les fournisseurs à restreindre le traitement des données dans l'EEE.

itslearning traite-t-il des données en dehors de l'EEE ? Est-il autorisé à traiter des données en dehors de l'EEE ?

Le GDPR n'interdit pas la circulation des données personnelles en dehors de l'EEE, mais il met en place des garanties solides pour s'assurer que tout traitement de données en dehors de l'EEE est effectué conformément aux principes du GDPR. En outre, les responsables du traitement ou les sous-traitants qui traitent des données en dehors de l'EEE doivent fournir des informations détaillées sur la nature du traitement à l'adresse Informations et, dans certains cas, permettre aux clients ou à Utilisateurs d'accepter le traitement à l'adresse Objet .

Pour la plupart de nos clients européens, itslearning traite toutes les données personnelles au sein de l'EEE. Il existe quelques exceptions dans les cas où itslearning facilite l'intégration facultative à des outils ou services tiers basés en dehors de l'EEE. Dans ces cas, itslearning et nos clients doivent respecter les exigences définies par le GDPR.

J'ai entendu dire que itslearning n'est pas assez sûr pour le GDPR ! Est-ce vrai ?

Le GDPR ne définit pas d'exigences détaillées sur ce qui constitue un service "sécurisé" basé sur l'informatique en nuage. Il est de la responsabilité conjointe de nos clients (responsables du traitement) et de itslearning (le sous-traitant) de fournir une sécurité organisationnelle et technique appropriée pour les données à caractère personnel traitées, et d'être en mesure de le démontrer. Le principal changement par rapport à la réglementation actuelle est le renforcement de la responsabilité des organisations qui ne fournissent pas une sécurité appropriée.
Depuis deux décennies, itslearning protège avec succès le traitement des données à caractère personnel de millions de personnes Utilisateurs. Cependant, les performances passées ne sont pas toujours indicatives des résultats futurs. C'est pourquoi nous investissons continuellement dans la sécurité organisationnelle, la sécurité du réseau et de l'infrastructure, et la sécurité des applications, afin de nous assurer que nous pouvons offrir une sécurité supérieure à celle qui est appropriée pour nos clients finaux Utilisateurs. Nous autorisons régulièrement des tiers à contrôler notre sécurité et nous invitons nos clients à effectuer leurs propres contrôles.

Comme la plupart des éditeurs de logiciels, itslearning n'entre pas dans le détail des mesures de sécurité mises en place. Mais parmi les mesures de protection et les processus mis en place pour se prémunir contre les menaces connues, on peut citer

  • La sécurité des applications, comme le cryptage de tout le trafic, les mots de passe fortement hachés, la protection contre les vulnérabilités telles que le Cross site scripting, les injections SQL, l'hameçonnage et autres.
  • Sécurité du réseau, pare-feu et systèmes permettant de détecter les sites suspects Comportement, ou d'arrêter les tentatives malveillantes d'accès ou de compromettre la résilience du service (par exemple, les attaques DDOS).
  • La sécurité organisationnelle, comme les politiques d'accès, les journaux d'audit et les accords de confidentialité.
  • Sécurité physique afin d'empêcher tout accès non autorisé à l'infrastructure traitant les données à caractère personnel.
  • Sécurité procédurale - processus de gestion informatique visant à minimiser le risque d'erreurs humaines, ou régimes de test visant à identifier les faiblesses des logiciels avant d'introduire de nouvelles fonctionnalités dans nos services en nuage, ou politiques visant à garantir que les données ne sont traitées que sur instruction de nos clients.
Où itslearning obtient-il des données à caractère personnel concernant Utilisateurs?

itslearning n'obtient pas de manière indépendante les données Utilisateur pour nos services. Les données Utilisateur peuvent être soumises manuellement à la plateforme par les représentants des clients, par le biais d'une intégration avec un système tiers ou, dans certains cas, par les Utilisateurs eux-mêmes.

Le plus souvent, les données personnelles contenues dans itslearning proviennent de "Apprenant Informations systems " sous le contrôle de nos clients. Nous n'importons des données de systèmes tiers que sur instruction de nos clients.

Est-ce que itslearning envoie des données à des tiers ?

itslearning ne transmet pas de manière indépendante des données à des tiers sans instruction de la part de ses clients ou sans obligation légale de le faire. Une instruction d'un client peut prendre la forme d'un accord d'intégration avec un outil ou un service tiers, ou bien les représentants du client peuvent eux-mêmes mettre en place une intégration avec un outil ou un service tiers. itslearning prend des mesures pour empêcher les clients d'envoyer des données à des tiers sans se conformer aux réglementations en matière de protection des données. Toutefois, il est important que nos clients mettent en œuvre des mesures de sauvegarde pour s'assurer que les données ne sont pas transférées à des tiers sans respecter leurs obligations légales.

Le GDPR a-t-il un impact sur les clients américains ou sur le site Utilisateurs?

Pas sur le plan juridique. L'UE n'a évidemment aucun pouvoir législatif sur le sol américain. Le GDPR n'offre aucun droit ou liberté aux personnes concernées situées aux États-Unis. Il n'impose pas non plus d'obligations aux clients américains qui ne traitent pas de données concernant des personnes de l'UE ou de l'EEE. Les droits et obligations des personnes concernées et des organisations américaines sont garantis par des réglementations nationales ou fédérales, ou par des accords contractuels ou volontaires.

Mais itslearning offre, pour l'essentiel, les mêmes services et le même niveau de sécurité à ses clients américains qu'à ses clients européens. Les clients américains bénéficieront de l'approche et de la culture de itslearning en matière de sécurisation des données à caractère personnel dans le cadre du GDPR. Les principes fondamentaux de la protection des données personnelles en Europe font partie du tissu et de l'engagement contractuel que nous offrons à nos clients américains.