Skip to main content

Traitement des demandes de respect de la vie privée dans le Centre de confidentialité

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Identifier comment traiter les demandes de respect de la vie privée dans le Centre de confidentialité Salesforce
  • Créer et exécuter une politique de droit à l’oubli
  • Créer et exécuter une politique pour gérer les demandes d’accès des personnes concernées

Introduction

Dans cette unité, vous découvrirez comment le Centre de confidentialité traite les demandes de respect de la vie privée, les principes de protection de la vie privée pour lesquels le Centre de confidentialité peut vous aider, ainsi que le cycle de vie des demandes d’accès aux données.

Conformité des demandes de personnes concernées dans le Centre de confidentialité

Le Centre de confidentialité peut vous aider directement à appliquer les principes suivants, qui sont communs à de nombreuses lois sur la confidentialité :

Portabilité des données : droit d’une personne de demander à un responsable du traitement de lui fournir ses données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine. Par exemple, les informations peuvent être transmises à la personne dans un fichier CSV ou JSON.

Droit à l’effacement ou droit à l’oubli : droit d’une personne de demander à un responsable du traitement des données d’effacer ou de supprimer ses données à caractère personnel lorsqu’elles ne sont plus nécessaires pour l’objectif initial et lorsque la personne concernée retire son consentement ou qu’elle s’oppose au traitement et que le responsable du traitement ne peut justifier d’un intérêt légitime requérant le traitement.

Droit de retrait : droit d’une personne de demander à tout moment aux entreprises de cesser de vendre ses informations personnelles.

Voyons maintenant comment le Centre de confidentialité peut vous aider à gérer l’ensemble du cycle de vie des demandes d’accès aux données.

Quel est le cycle de vie des demandes de personnes concernées ?

Lorsqu’une entreprise reçoit des demandes d’accès de personnes concernées, elle doit veiller à recevoir, vérifier, exécuter et répondre à toutes les demandes avec précision et en temps voulu. Nous passerons en revue ces quatre étapes une par une et verrons comment utiliser le Centre de confidentialité pour gérer le cycle de vie.

Vue d’ensemble du cycle de vie des demandes de personnes concernées.

Réception

L’étape de réception a lieu lorsque vous recevez une demande de la part d’une personne concernée. Le Centre de confidentialité vous permet d’assurer le suivi des demandes à l’aide de l’objet Demandes de respect de la vie privée. Chaque entreprise étant unique, cet objet est flexible de par sa conception et vous pouvez l’adapter à vos processus internes. Par exemple, vous pourriez avoir besoin de surveiller votre conformité aux exigences sectorielles ou régionales en matière de confidentialité.

Matt a développé l’objet Demandes de respect de la vie privée pour s’assurer que Cumulus respecte son exigence de traiter les demandes dans un délai de 30 jours. Lorsqu’il traite la demande, il met à jour les champs pertinents de l’enregistrement, tels que Status (Statut), Start Date (Date de début) et Time of the request (Moment de la demande).

Vérification

L’étape de vérification confirme que le demandeur est bien la personne concernée, que la demande est valide et que les données ne sont pas retenues pour des raisons juridiques ou autres. Comme pour l’étape de réception, vous devez établir les étapes de vérification en fonction des besoins de votre organisation.

Par exemple, Cumulus Cloud doit vérifier la validité de chaque demande qu’elle reçoit et s’assurer que les données ne font pas l’objet d’une rétention légale ou opérationnelle avant de se conformer à la demande. Matt développe donc l’objet Demandes de respect de la vie privée pour retrouver l’état d’approbation des vérifications.

Comme nous l’avons mentionné, le processus est personnalisable. Les entreprises peuvent authentifier la validité d’une demande auprès du Centre de confidentialité de différentes manières, par exemple par e-mail ou par l’intermédiaire d’un portail.

Exécution

L’étape d’exécution consiste à traiter la demande avec le type de politique approprié.

Pour Cumulus Cloud, une fois le processus de vérification terminé, la demande peut être traitée. En fonction de la nature de la demande, Cumulus Cloud peut exécuter différentes politiques. Si la demande émane d’une personne concernée qui souhaite obtenir une copie de ses données, l’entreprise exécute une politique de portabilité. Si la personne concernée souhaite un masquage ou un effacement, Cumulus Cloud peut exécuter une politique de droit à l’oubli (nous reviendrons sur la manière dont Cumulus Cloud configure ces politiques dans un instant). Bien que le processus soit assez simple pour Cumulus Cloud, certaines entreprises peuvent faire face à des cas de figure plus complexes, notamment si elles ont des fournisseurs externes qui gèrent des données en leur nom.

Réponse

L’étape de réponse indique à la personne concernée que sa demande a été traitée et lui communique tout fichier pertinent qu’elle a demandé, ou lui indique pourquoi sa demande n’a pas été traitée.

Pour l’étape de réponse, Cumulus fournit un lien URL vers un fichier PDF contenant les informations demandées par la personne concernée.

Protection de la vie privée

En cas de litige ou d’audit en cours, les entreprises sont souvent tenues de préserver toute information pertinente et d’empêcher qu’elle ne soit supprimée ou anonymisée. L’option Protection de la vie privée et les motifs de conservation vous permettent de marquer les enregistrements Individu, Compte personnel, Piste, Contact ou Utilisateur comme étant mis en retenue et d’en documenter le motif. Cette information peut être utilisée dans les filtres des politiques de confidentialité pour bloquer le traitement des enregistrements.

L’option Protection de la vie privée garantit que les données sensibles restent intactes tout en permettant de contrôler leur cycle de vie en toute transparence.

Politiques de portabilité et politiques de droit à l’oubli

Revenons maintenant à l’étape d’exécution du cycle de vie des demandes d’accès aux données, et voyons comment Matt utilise deux fonctionnalités du Centre de confidentialité pour aider Cumulus Cloud à honorer les demandes de données des clients.

  • Les politiques de droit à l’oubli honorent les demandes des clients en supprimant ou en masquant leurs données dans des enregistrements spécifiques.
  • Les politiques de portabilité compilent et fournissent des données à caractère personnel aux clients qui font des demandes d’accès en tant que personnes concernées.

Création d’une politique de droit à l’oubli

Lorsque Matt entreprend de créer une politique de droit à l’oubli, la première étape consiste à définir les informations clients pertinentes à traiter en vue de leur suppression.

Comme nous l’avons mentionné précédemment, la procédure à suivre pour mettre en place une politique de droit à l’oubli dans le Centre de confidentialité est semblable à celle de création d’une politique de gestion des données. Mais il existe une différence importante : vous ne pouvez choisir qu’un seul objet de niveau supérieur pour les demandes de portabilité des données et de droit à l’oubli. En effet, les demandes de droit à l’oubli sont liées à un seul être humain par le biais d’un ID d’enregistrement et non d’un filtre. Malgré cela, les politiques de droit à l’oubli permettent de traiter une empreinte d’informations personnelles identifiables (PII) de données définie de manière granulaire en prenant en charge les requêtes interobjet et portant sur des objets enfants.

Pour créer une politique de droit à l’oubli, Matt :

  1. définit un objet parent (par exemple, un objet Individu dans l’onglet RTBF Requests (Demandes de droit à l’oubli) ;
  2. inclut plusieurs niveaux d’objets enfants associés. Par exemple, il sélectionne l’objet Individu en tant qu’objet parent, puis regroupe tous les enregistrements de compte personnel, de contact, de piste, d’utilisateur et d’autres enregistrements associés.

Nous recommandons de tester votre politique de droit à l’oubli dans un sandbox avec des données afin de cerner pleinement l’impact de la politique avant de l’appliquer dans votre organisation.

Réponse aux demandes de droit à l’oubli

Matt peut traiter les demandes individuelles de droit à l’oubli à partir de l’onglet RTBF Request (Demande de droit à l’oubli) dans le Centre de confidentialité, ou il peut configurer une tâche quotidienne pour exécuter les demandes de droit à l’oubli automatiquement. S’il utilise l’objet Demandes de respect de la vie privée, il peut également suivre la progression de sa réponse, en utilisant les champs Status (Statut), Date et tout autre champ personnalisé qu’il aura configuré.

Création d’une politique de portabilité

Matt s’attelle ensuite à la définition d’une politique de portabilité. Cette politique fournit une copie des PII de la personne concernée et génère des fichiers personnalisés en réponse à une demande d’accès aux données d’une personne concernée (DSAR).

Pour créer une politique de portabilité, Matt :

  • définit un objet parent ;
  • inclut, si nécessaire, plusieurs niveaux d’objets enfants associés.

Réponse aux demandes d’accès de personnes concernées (DSAR) pour la portabilité

Une fois que Matt a configuré une politique de portabilité, il est facile pour Cumulus Cloud de fournir aux clients individuels une copie de leurs données personnelles s’ils en font la demande. Procédez comme suit :

  • Sélectionnez la politique de portabilité que vous souhaitez exécuter à partir du Gestionnaire de politique de demande d’accès aux données dans Setup (Configuration).
  • Saisissez un ID d’enregistrement (par exemple, un ID d’enregistrement individuel) pour générer le fichier PII.
  • Accédez au fichier JSON en utilisant le lien du journal de portabilité dans Setup (Configuration) pendant 60 jours.
  • Si vous utilisez l’objet Demandes de respect de la vie privée, suivez l’état de la réponse.

Remarque : les exigences spécifiques de votre organisation déterminent la manière dont vous communiquez et envoyez les fichiers de portabilité à votre client. En effet, la récupération des demandes DSAR dépend de la manière dont votre organisation reçoit la demande au départ.

Conclusion

Dans cette unité, vous avez découvert le cycle de vie des demandes d’accès aux données dans le Centre de confidentialité, ses fonctions de protection de la vie privée et la manière dont vous pouvez utiliser le Centre de confidentialité pour vous conformer aux principes de confidentialité des données. Vous avez également vu comment créer des politiques de droit à l’oubli. Il est maintenant temps de répondre au dernier quiz et de gagner un nouveau badge !

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires