Centre d'aide

Explorer notre base de connaissance
article

Le RGPD et iAdvize

Voici les différentes actions et opérations que nous avons mis en place pour vous aider à être conforme au RGPD. 

Le règlement général sur la protection des données est un nouvel ensemble de législations dont le but est de renforcer la protection des données à caractère personnel des citoyens de l’UE tout en renforçant les obligations des organisations de traiter ces données de manière transparente et sécurisée. Le RGPD s’applique non seulement pour les entreprises établies au sein de l’UE mais également à toute entreprise contrôlant ou traitant les données de citoyens de l’UE. 

Chez iAdvize, dès 2017 nous avons créé une équipe dédiée au sujet du RGPD pour travailler à l’amélioration de nos processus et de notre solution pour vous aider à être conforme au RGPD. 
 
Cette page est l’endroit où vous retrouverez toutes les informations concernant les mises à jour produit iAdvize liées au RGPD. 

1. Quelles informations et données collectons-nous ?

1.1 Données collectées avant Conversation :

Données des Visiteurs :

Données associées à un Visiteur et stockées dans le navigateur du Visiteur 

Données collectées par des traceurs :
  • L'identifiant unique du Visiteur (VUID) par stockage local
  • Le nombre de visites (<identification du site>vvc) et la durée depuis la dernière visite (<identification du site>last) par le biais des cookies
Ces traceurs ne stockent aucune information permettant d'identifier une personne.

Données associées à un Visiteur et enregistrées avec le VUID

Les
Données ne sont pas collectées par le biais de cookies mais sont associées au VUID. 
Objectif : Le traitement de ces Données permet de garantir le bon fonctionnement des règles de ciblage
Ce sont des exemples de critères de ciblage qui peuvent être pris en compte par le Client pour affiner sa stratégie de ciblage : 
  • Le nombre de pages vues par le Visiteur (Page View)
  • La date / heure de la nouvelle session  (Connection Time) 
  • La langue du navigateur pour contextualiser la langue du chat (Lang) 
  • La durée de navigation sur le site (NavTime)  

1.2 Données collectées pendant la Conversation:

Données d’identification des Utilisateurs :
  • Nom, prénom, pseudonyme, identifiant
  • Poste occupé au sein du client
  • Données de connexion, logs : Access-token (identifiant de connexion à la plateforme), refresh_token (identifiant de connexion à la plateforme), Platform (plateforme concernée)
Données des Visiteurs :
  • Adresse IP 
  • Contenu des conversations (nombre de conversations, durée, date, réponse au questionnaire de satisfaction)
  • Si transmis par le Visiteur : identité, e-mail, téléphone

2. Pour quelle(s) finalité(s) les Données sont-elles collectées ?

Données identification des Utilisateurs de la solution iAdvize : Collecte des données personnelles des Utilisateurs, à des fins de gestion et d'authentification.
Données de connexion des Visiteurs : Collecte des Données personnelles des Visiteurs des sites e-commerce lors de conversations en temps réel entre les conseillers clients et les Visiteurs, via une plateforme conversationnelle d’engagement et de relations clients.
Conversations Visiteurs : Collecte des conversations des Visiteurs afin de permettre aux agents des sites e-commerce d’interagir directement avec les Visiteurs.
Traceurs/Cookies Visiteurs : Collecte de Données permettant de proposer aux Visiteurs une fenêtre de conversation.


3. Durant combien de temps les Données sont-elles conservées ?

La durée de conservation des conversations et données associées varie en fonction du canal utilisé :
  • Canal Chat/Réseaux sociaux : 3 ans par défaut en base active, sauf autre durée définie par le client.
  • Call/SMS : 12 mois en base active
  • Archivage intermédiaire
  • La durée de conservation de l’archivage intermédiaire est de 5 ans. Les données personnelles stockées ne peuvent plus être traitées par les services opérationnels. Elle ne sont désormais stockées qu’à des fins contentieuses et font l’objet d’un accès restreint (3 Administrateurs AWS chez iAdvize + VP Engineering).
NB : Le canal Vidéo n'est pas enregistrée.

 

ARCHIVAGE INTERMEDIAIRE
Base légale : Obligation légale de conserver les données ou intérêt légitime du responsable du traitement (intérêt de conserver des éléments de preuve) pendant la durée du délai de prescription/forclusion applicable. 
Finalité : Les données personnelles ainsi stockées ne peuvent plus être traitées par les services opérationnels d’iAdvize. Elles ne sont désormais stockées qu'à des fins contentieuses et ne sont accessibles que de manière limitée.
Durée de conservation : 5 ans 
Hébergement : Amazon Web Services - Serveurs situés dans la région de Dublin (Irlande) 
Accès ultra-restreint : Uniquement les administrateurs AWS chez iAdvize (3 personnes) + VP Engineering 
Chiffrement des données : Toutes les données sont chiffrées - Clé AES 256 
Accès aux données : L’accès ne se fait que dans 2 cas de figure : 
  • Pour restaurer les données et la base de données en cas de crash ou d'incidents entraînant une perte de données. La restauration n'aura lieu que sur la dernière sauvegarde. 
  • Pour des raisons juridiques : Uniquement dans le cas où nous recevons une réquisition judiciaire. Cela signifie que nous n'aurons pas accès aux données et que nous ne les traiterons (communiquerons) pas sans une décision de justice ou autre injonction.


4. Anonymisation et suppression des
Données

A l’échéance de la durée de conservation des conversations, les données personnelles uniquement sont supprimées et nous procédons à la sauvegarde des données anonymisées.

Supprimées
Sauvegardées
Adresse IP du visiteur 
Statistiques agrégées 
  • Le nombre de conversations 
  • Temps de traitement des conversations (temps de réponse; durée des conversations…) 
  • Identifiant unique du Visiteur (VUID)
Le contenu des conversations Chat
 
Les données personnelles contenues dans la fiche Visiteur 
Ex : Prénom/Nom, Adresse email, numéro de téléphone… 
 
Conversations Call
 

 

5. Qui a accès aux Données ?

Les personnes ayant accès aux Données sont les suivantes :
  1. Les Utilisateurs : Il y a trois types de profils: Conseiller, Manager, Admin et le cas échant les Experts ibbü 
Le profil Admin a accès l'intégralité de la Solution iAdvize  :
  • Consulter l'ensemble des Données stockées dans la Solution (Performances, KPI, Conversations)
  • Créer/supprimer/modifier des profils : un nouvel Admin, un Manager, un Conseiller, un bot
  • Modifier les paramètres de votre compte, par exemple : activer/désactiver la demande de consentement RGPD, modifier les règles d'engagement de vos visiteurs, modifier l'UX de votre chatbox et notification de chat,...
Le profil Manager n'a accès qu'aux reportings et conseiller faisant partie de son groupe :
  • Consulter l'ensemble des reportings mais avec seulement les données de son groupe de répondants (KPI, historique des conversations,...)
  • Créer/supprimer/modifier des profils Conseillers qui ne pourront être associés qu'à son groupe
Le profil Conseiller / Expert n'a accès qu'au pupitre de chat.
  1. Le service support iAdvize

6. Les Données sont-elles partagées à des tiers ?

Non. Vos données personnelles ne seront en aucun cas transmises à des tiers.


7. Où sont stockées les Données ?

Pour les conversations Chats : les Données sont hébergées au sein de l’Union Européen (Frankfurt (Allemagne) avec backup à Dublin (Irlande)) en accord avec le contrat de traitement des données signé avec notre fournisseur de service, AWS. 
 
Pour le Call : Les Données sont stockées aux Etats-Unis pendant la durée de la conversation. Dès la fin de cette dernière, les Données sont supprimées des serveurs aux Etats-Unis puis transférées et hébergées sur les serveurs AWS régions de Frankfurt (Allemagne) avec backup à Dublin (Irlande).
Pour les SMS : les Données sont hébergées aux Etats-Unis, en accord avec le contrat de traitement des données signé avec Twilio. 
 
Pour les Réseaux sociaux (Facebook, Messenger, Twitter) : Clever Cloud, région de Paris (France). 
Pour les tiers (Facebook, Messenger et Twitter) les hébergent au sein de l’Union Européenne (Irlande) et USA (voir conditions particulières relatives à la protection de la vie privée définies par ces tiers).


Invalidation du Privacy Shield le 16/07/2020 par la CJUE :

Conformément à la décision de CJUE, pour assurer la conformité d’un transfert de l’UE aux Etats-Unis, l’exportateur doit s’assurer que l’importateur a mis en place les meilleures garanties
(mesures techniques et opérationnelles appropriées). 

iAdvize a assuré les actions suivantes pour garantir un niveau de protection suffisant aux transferts des Données :
  • Nous avons signé avec nos sous-traitants un Data Processing Agreement qui inclut des clauses contractuelles types telles que validées par la CJUE.
  • Nous avons vérifié les nombreuses mesures de sécurité mises en place par nos sous-traitants, telles que la certification ISO 27001 ou l’encryption des données. 
  • Nous avons également conservé tous les livres blancs techniques de nos sous-traitants précisant en détails ces mesures techniques.
  • Pour rappel, les Données de nos Clients sont bien hébergées dans des data centers AWS Europe à Frankfurt (Allemagne), avec des backups à Dublin (Irlande).

8. Privacy By Design

La Solution iAdvize est développée en respectant une approche de “Privacy By Design” qui permet d’assurer la conformité des traitements de Données à Caractère Personnel. Elle consiste à adapter dès la conception de projets et par défaut, des mesures organisationnelles et techniques appropriées pour garantir la protection de la vie privée et des libertés fondamentales.

Ainsi et à titre d’exemple, la Solution iAdvize inclut des fonctionnalités avancées de confidentialité permettant notamment :
  • de masquer dans le pupitre du Conseiller des champs de formulaires que le Client estime sensibles (ex. numéro de carte bancaire dans un espace de paiement du site du Client) en ajoutant le code « idz_hide » au champs en question
    OU
  • de désactiver la fonctionnalité de mirroring (possibilité pour le Conseiller de visualiser le contenu de la page sur laquelle se trouve le Visiteur)
 
Il appartient au Client, en tant que responsable du traitement, d’activer ou non ces fonctionnalités de sécurité mise à sa disposition. Ces fonctionnalités sont décrites dans la documentation d’implémentation technique de la Solution iAdvize ainsi que dans la base de connaissances iAdvize à laquelle le Client a accès.

  

9. Data Processing Agreement (Accord de traitement sur les données personnelles)

Les contrats iAdvize incluent en annexe un Data Processing Agreement.
Lorsque vous travaillez avec des fournisseurs qui traiteront des données à caractère personnel (des clients, des prospects, des employées,…) dans le cadre de la prestation de services, il est obligatoire de conclure un accord de traitement ou DPA.

Dans le cadre du RGPD, les implications sont les suivantes :
  • Vous, en tant que Client, êtes responsable du traitement (data controller) de ces données. Vous décidez notamment quelles données sont traitées, ce que vous en faites et pourquoi vous les utilisez. Le RGPD assortit ce rôle d’une série d'obligations et de responsabilités
  • dans ce contexte, iAdvize est le sous-traitant (data processor) de ces données. iAdvize traite vos données uniquement pour votre compte.
Le RGPD impose à tous les responsables et processeurs des données la signature d'un DPA.
Outre le fait que le DPA soit imposé par la loi, la signature de cet accord est importante pour les deux parties. 

 

10. Fonctionnalité Recueil du consentement  

Vous pouvez consulter l’article de la base de connaissance sur le recueil de consentement. 

 

11. Prévisualisation des chats - Mirroring - Cobrowsing 

  • Prévisualisation des chats
Il s’agit de la fonctionnalité permettant à un Agent de prévisualiser et donc d’anticiper la question du Visiteur sur le site de la Marque. Cette fonctionnalité est uniquement activée lorsque le Visiteur consent expressément à converser avec l’Agent. 
  • Mirroring
Il s’agit de la fonctionnalité qui permet à l’Agent, lors d’une discussion avec un Visiteur, de visualiser la page sur laquelle il navigue en arrière-plan de son pupitre.
Le consentement du Visiteur au Mirroring est lié au consentement RGPD (lorsque la fonctionnalité recueil du consentement est activée) : Ainsi, lorsque le Visiteur donne son consentement pour chatter, il donne son consentement au mirroring en même temps.
iAdvize recueille la preuve du consentement du Visiteur et peut la fournir sur demande. 
  • Cobrowsing
Il s’agit de la fonctionnalité qui permet à l’Agent, lors d’une discussion avec un Visiteur, de prendre la main sur la navigation du Visiteur pour le guider au sein du site.
L’agent peut faire une demande au Visiteur de prise en main de sa navigation. Cette demande s’affiche au sein du fil de discussion de la fenêtre de dialogue côté Visiteur, et fait l’objet d’un recueil du consentement spécifique. Le Visiteur peut ainsi accepter ou refuser la demande de prise en main. 

Le
Visiteur a la possibilité de mettre fin à la prise en main dès lors qu'il ferme la fenêtre de dialogue de son côté.
 

 Articles liés : Demande de suppression des données personnelles