Le RGPD et iAdvize

Voici les différentes actions et opérations que nous avons mis en place pour vous aider dans votre conformité au RGPD.

Le règlement général sur la protection des données est un ensemble de législations dont le but est de renforcer la protection des données à caractère personnel des résidents de l’UE tout en renforçant les obligations des organisations de traiter ces données de manière transparente et sécurisée. Le RGPD s’applique non seulement pour les entreprises établies au sein de l’UE mais également à toute entreprise contrôlant ou traitant les données de résidents de l’UE.

Cette page est l’endroit où vous retrouverez toutes les informations concernant les mises à jour produit iAdvize liées au RGPD. 

1. Quelles informations et données collectons-nous ?

1.1 Données collectées avant Conversation :

Données collectées : 
  • L'identifiant unique du Visiteur (VUID) par cookie
Donnée associée à un visiteur et stockée sur son navigateur

Les d
onnées ne sont pas collectées par le biais de cookies mais sont associées au VUID. 

Finalité
: Le traitement de ces Données permet de garantir le bon fonctionnement des règles d'engagement.

  • Données rattachées à ce VUID :
    • Type de Navigateur (12 mois)
    • Type de terminal (12 mois)
    • URL de la page (12 mois)
  • Données liées à la session (expirent après 30 minutes d’inactivité) :
    • Le nombre de pages vues par le Visiteur (Page View)
    • La date / heure de la nouvelle session (Connection Time) 
    • La langue du navigateur pour contextualiser la langue du chat (Lang) 
    • La durée de navigation sur le site (NavTime)

1.2 Données collectées pendant la Conversation :

Pour collecter les données personnelles des Visiteurs, iAdvize recommande ces 2 options :
1) Activation du recueil du consentement de la fenêtre de chat iAdvize pour demander au Visiteur son consentement
(mode opt-in avec information claire et transparente), ou
2) Le Client se base sur l’intérêt légitime

Données d’identification des Utilisateurs :

Finalité :
Collecte des données Utilisateurs permettant la gestion et l’authentification des rôles des Utilisateurs.
  • Nom, prénom, pseudonyme, identifiant (durée du contrat avec iAdvize)
  • Poste occupé au sein du Client (durée du contrat avec iAdvize)
  • Données de connexion, logs : Access-token (identifiant de connexion à la plateforme) refresh_token (identifiant de connexion à la plateforme)
  • Platform (plateforme concernée) (1 journée)
Données des Visiteurs :

Finalité : Collecte et stockage des conversations des Visiteurs afin de permettre aux Utilisateurs d'interagir directement avec ces Visiteurs
  • Conversations (contenu de la conversation, nombre de conversations, durée, date, réponse au questionnaire de satisfaction le cas échéant)
  • Adresse IP du Visiteur
  • Si transmis par le Visiteur : identité, e-mail, téléphone

2. Pour quelle(s) finalité(s) les données sont-elles collectées ?

Données identification des Utilisateurs de la solution iAdvize : Collecte des données personnelles des Utilisateurs, à des fins de gestion et d'authentification.

Données de connexion des Visiteurs
: Le VUID (cookie) est utilisé afin d’adapter les méthodes d’engagement en fonction du parcours du Visiteur, pour les besoins
de personnalisation de l’interface utilisateur.
Il permet également d’enregistrer le recueil du consentement des Visiteurs via la Chatbox (RGPD), afin de ne re-demander le consentement qu’au bout de 12 mois.

Conversations Visiteurs
: Collecte des conversations des Visiteurs afin de permettre aux agents des sites e-commerce d’interagir directement avec les Visiteurs.

3. Durant combien de temps les données sont-elles conservées ?

La durée de conservation des conversations et données associées varie en fonction du canal utilisé :
  • Canal Chat/Réseaux sociaux : 3 ans par défaut en base active, sauf autre durée définie par le client.
  • Call/SMS : 12 mois en base active
  • Archivage intermédiaire : La durée de conservation de l’archivage intermédiaire est de 5 ans. Les données personnelles stockées ne peuvent plus être traitées par les services opérationnels. Elle ne sont désormais stockées qu’à des fins contentieuses et font l’objet d’un accès restreint (3 Administrateurs AWS chez iAdvize + VP Engineering).
NB : Le canal Vidéo n'est pas enregistré.

 

ARCHIVAGE INTERMEDIAIRE
Base légale : Obligation légale de conserver les données ou intérêt légitime du responsable du traitement (intérêt de conserver des éléments de preuve) pendant la durée du délai de prescription/forclusion applicable. 
Finalité : Les données personnelles ainsi stockées ne peuvent plus être traitées par les services opérationnels d’iAdvize. Elles ne sont désormais stockées qu'à des fins contentieuses et ne sont accessibles que de manière limitée.
Durée de conservation : 5 ans 
Hébergement : Amazon Web Services - Serveurs situés dans la région de Dublin (Irlande) 
Accès ultra-restreint : Uniquement les administrateurs AWS chez iAdvize (3 personnes) + VP Engineering 
Chiffrement des données : Toutes les données sont chiffrées - Clé AES 256 
Accès aux données : L’accès ne se fait que dans 2 cas de figure : 
  • Pour restaurer les données et la base de données en cas de crash ou d'incidents entraînant une perte de données. La restauration n'aura lieu que sur la dernière sauvegarde. 
  • Pour des raisons juridiques : Uniquement dans le cas où nous recevons une réquisition judiciaire. Cela signifie que nous n'aurons pas accès aux données et que nous ne les traiterons (communiquerons) pas sans une décision de justice ou autre injonction.

4. Anonymisation et suppression des Données

A l’échéance de la durée de conservation des conversations, les données personnelles uniquement sont supprimées et nous procédons à la sauvegarde des données anonymisées.

Supprimées
Sauvegardées
Adresse IP du visiteur 
Statistiques agrégées 
  • Le nombre de conversations 
  • Temps de traitement des conversations (temps de réponse; durée des conversations…) 
  • Identifiant unique du Visiteur (VUID)
Le contenu des conversations Chat
 
Les données personnelles contenues dans la fiche Visiteur 
Ex : Prénom/Nom, Adresse email, numéro de téléphone… 
 
Conversations Call
 

 

5. Qui a accès aux Données ?

Les personnes ayant accès aux Données sont les suivantes :
  1. Les Utilisateurs : Il y a trois types de profils: Conseiller, Manager, Admin et le cas échant les Experts ibbü 
Le profil Admin a accès l'intégralité de la Solution iAdvize  :
  • Consulter l'ensemble des Données stockées dans la Solution (Performances, KPI, Conversations)
  • Créer/supprimer/modifier des profils : un nouvel Admin, un Manager, un Conseiller, un bot
  • Modifier les paramètres de votre compte, par exemple : activer/désactiver la demande de consentement RGPD, modifier les règles d'engagement de vos visiteurs, modifier l'UX de votre chatbox et notification de chat,...
Le profil Manager n'a accès qu'aux reportings et conseiller faisant partie de son groupe :
  • Consulter l'ensemble des reportings mais avec seulement les données de son groupe de répondants (KPI, historique des conversations,...)
  • Créer/supprimer/modifier des profils Conseillers qui ne pourront être associés qu'à son groupe
Le profil Conseiller / Expert n'a accès qu'au pupitre de chat.
  1. Le service support iAdvize

6. Les Données sont-elles partagées à des tiers ?

Non. Vos données personnelles ne seront en aucun cas transmises à des tiers.


7. Où sont stockées les Données ?

Pour les conversations Chat : les données sont hébergées au sein de l’Union Européen (Frankfurt (Allemagne) avec backup à Dublin (Irlande)) en accord avec le contrat de traitement des données signé avec notre fournisseur de service, AWS.
 
Pour le Call : Les Données sont stockées aux Etats-Unis pendant la durée de la conversation. Dès la fin de cette dernière, les Données sont supprimées des serveurs aux Etats-Unis puis transférées et hébergées sur les serveurs AWS régions de Frankfurt (Allemagne) avec backup à Dublin (Irlande).

Pour les SMS
:
les données sont hébergées aux Etats-Unis, en accord avec le contrat de traitement des données signé avec Twilio.

Pour les Réseaux sociaux (Facebook, Messenger, Twitter, WhatsApp)
:
Côté iAdvize, Clever Cloud, Paris (France).
Côté tiers (Facebook, Messenger, Twitter) les données sont hébergées au sein de l’Union Européenne (Irlande) et USA (voir conditions particulières relatives à la protection de la vie privée définies par ces tiers).

Pour la vidéo : les métadonnées (données non personnelles) sont hébergées au sein de l’Union Européen (Frankfurt (Allemagne) avec backup à Dublin (Irlande)) en accord avec le contrat de traitement des données signé avec notre fournisseur de service, AWS.

NB : Le flux Vidéo n'est pas enregistré (peer-to-peer entre agents et visiteurs).

Invalidation du Privacy Shield le 16/07/2020 par la CJUE :

Conformément à la décision de CJUE, pour assurer la conformité d’un transfert de l’UE aux Etats-Unis, l’exportateur doit s’assurer que l’importateur a mis en place les meilleures garanties
(mesures techniques et opérationnelles appropriées). 

iAdvize a assuré les actions suivantes pour garantir un niveau de protection suffisant aux transferts des Données :
  • Nous avons signé avec nos sous-traitants un Data Processing Agreement qui inclut des clauses contractuelles types telles que validées par la CJUE.
  • Nous avons vérifié les nombreuses mesures de sécurité mises en place par nos sous-traitants, telles que la certification ISO 27001 ou l’encryption des données. 
  • Nous avons également conservé tous les livres blancs techniques de nos sous-traitants précisant en détails ces mesures techniques.

8. Privacy By Design

La Solution iAdvize est développée en respectant une approche de “Privacy By Design” qui permet d’assurer la conformité des traitements de Données à Caractère Personnel. Elle consiste à adapter dès la conception de projets et par défaut, des mesures organisationnelles et techniques appropriées pour garantir la protection de la vie privée et des libertés fondamentales.

Ainsi et à titre d’exemple, la Solution iAdvize inclut des fonctionnalités avancées de confidentialité permettant notamment :
  • de masquer dans le pupitre du Conseiller des champs de formulaires que le Client estime sensibles (ex. numéro de carte bancaire dans un espace de paiement du site du Client) en ajoutant le code « idz_hide » au champs en question
    OU
  • de désactiver la fonctionnalité de mirroring (possibilité pour le Conseiller de visualiser le contenu de la page sur laquelle se trouve le Visiteur)
  • d'activer le recueil du consentement du visiteur directement depuis la fenêtre de chat
 
Il appartient au Client, en tant que responsable du traitement, d’activer ou non ces fonctionnalités de sécurité mise à sa disposition. Ces fonctionnalités sont décrites dans la documentation d’implémentation technique de la Solution iAdvize ainsi que dans la base de connaissances iAdvize à laquelle le Client a accès.

  

9. Data Processing Agreement (Accord de traitement sur les données personnelles)

Les contrats iAdvize incluent en annexe un Data Processing Agreement.
Lorsque vous travaillez avec des fournisseurs qui traiteront des données à caractère personnel (des clients, des prospects, des employées,…) dans le cadre de la prestation de services, il est obligatoire de conclure un accord de traitement ou DPA.

Dans le cadre du RGPD, les implications sont les suivantes :
  • Vous, en tant que Client, êtes responsable du traitement (data controller) de ces données. Vous décidez notamment quelles données sont traitées, ce que vous en faites et pourquoi vous les utilisez. Le RGPD assortit ce rôle d’une série d'obligations et de responsabilités
  • dans ce contexte, iAdvize est le sous-traitant (data processor) de ces données. iAdvize traite vos données uniquement pour votre compte.
Le RGPD impose à tous les responsables et processeurs des données la signature d'un DPA.
Outre le fait que le DPA soit imposé par la loi, la signature de cet accord est importante pour les deux parties. 

 

10. Fonctionnalité Recueil du consentement  

Vous pouvez consulter l’article de la base de connaissance sur le recueil de consentement. 

 

11. Prévisualisation des chats - Mirroring - Cobrowsing 

  • Prévisualisation des chats
Il s’agit de la fonctionnalité permettant à un Agent de prévisualiser et donc d’anticiper la question du Visiteur sur le site de la Marque. Cette fonctionnalité est uniquement activée lorsque le Visiteur consent expressément à converser avec l’Agent. 
  • Mirroring
Il s’agit de la fonctionnalité qui permet à l’Agent, lors d’une discussion avec un Visiteur, de visualiser la page sur laquelle il navigue en arrière-plan de son pupitre.
Le consentement du Visiteur au Mirroring est lié au consentement RGPD (lorsque la fonctionnalité recueil du consentement est activée) : Ainsi, lorsque le Visiteur donne son consentement pour chatter, il donne son consentement au mirroring en même temps.
iAdvize recueille la preuve du consentement du Visiteur et peut la fournir sur demande. 
  • Cobrowsing
Il s’agit de la fonctionnalité qui permet à l’Agent, lors d’une discussion avec un Visiteur, de prendre la main sur la navigation du Visiteur pour le guider au sein du site.
L’agent peut faire une demande au Visiteur de prise en main de sa navigation. Cette demande s’affiche au sein du fil de discussion de la fenêtre de dialogue côté Visiteur, et fait l’objet d’un recueil du consentement spécifique. Le Visiteur peut ainsi accepter ou refuser la demande de prise en main. 

Le
Visiteur a la possibilité de mettre fin à la prise en main dès lors qu'il ferme la fenêtre de dialogue de son côté.
 

 Articles liés : Demande de suppression des données personnelles