Exigences internationales en matière de données et de consentement aux cookies : FAQ et choses à savoir
UUID-892e4c4f-cd40-c63f-cb8d-46895df6d19d
Article Content
Vous trouverez ci-dessous une foire aux questions concernant le module de consentement aux cookies de OneTrust et le traitement des données personnelles. En outre, vous trouverez des conseils sur les exigences internationales en matière de données pour la Russie, la Chine et d'autres pays d'intérêt d'Europe, d'Asie et d'Afrique.
Questions fréquemment posées
1.
OneTrust stocke-t-il des informations collectées ?
Les préférences de cookies sont stockées dans un cookie enregistré sur l'appareil du visiteur du site.
2.
Les informations collectées sont-elles envoyées vers des bases de données OneTrust ? Et si oui, où sont situées ces bases de données ?
Les préférences de cookies sont stockées dans un cookie enregistré sur le navigateur du visiteur du site. Le stockage en base de données peut être déclenché par l'activation de fonctionnalités facultatives telles que l'analyse ou par l'intégration avec la fonctionnalité de consentement.
3.
OneTrust dispose-t-il d'un outil de consentement aux cookies conforme à la norme russe ?
OneTrust inclut la Russie dans les
directives que nous fournissons aux entreprises sur les exigences relatives aux cookies. La conformité dépend d'un certain nombre de facteurs et de l'interprétation par le client de la façon dont les exigences s'appliquent à notre infrastructure de cookies. En outre, les clients qui comprennent l'exigence de localisation des données à appliquer aux cookies prennent souvent des mesures supplémentaires pour répondre à
cette exigence. Par exemple, les clients peuvent utiliser un proxy pour les données envoyées à OneTrust.
4.
OneTrust stocke-t-il les adresses IP utilisées lors de la recherche de géolocalisation ou de l'enregistrement de la preuve de consentement dans CMP ?
Non. Le script OneTrust appelle le service de géolocalisation. La demande réseau, comme pour toute demande réseau, contient l'adresse IP qui est ensuite utilisée pour rechercher les informations de localisation en fonction de la granularité configurée dans l'application (par exemple, pays, état). La réponse contient les codes ISO de 2 octets, mais aucune information d'adresse IP n'est enregistrée dans le stockage.
Point à retenir
Russie
Le Roskomnadzor a confirmé que les transferts transfrontaliers de données personnelles seront toujours autorisés après le 1er septembre 2015, à condition que les exigences applicables aux transferts transfrontaliers abordées dans la section 4 ci-dessus soient respectées et que la base de données principale contenant les données personnelles soit située en Russie. Ainsi, à partir du 1er septembre 2015, avant de transférer les données personnelles des citoyens russes hors de Russie, il est nécessaire de s'assurer que les bases de données primaires contenant ces données personnelles sont situées en Russie (par exemple, dans un centre de données russe ou sur tout autre ordinateur ou serveur russe). En outre, il est obligatoire de vérifier que les mises à jour du contenu des données personnelles sont toujours effectuées dans la base de données russe en premier et que les données personnelles des citoyens russes sont uniquement transférées dans la base de données étrangère après cette mise à jour. En d'autres termes, la base de données étrangère peut être un double de la base de données russe, mais ne peut pas être plus à jour ou complète en termes de quantité d'entrées de données que la base de données russe.
La mise en œuvre de OneTrust sur les sites Web russes doit inclure les éléments suivants :
Toutes les données des clients (citoyens) russes seront stockées séparément des autres clients et uniquement dans des bases de données situées en Fédération de Russie. Possible uniquement si un client choisit de créer l'infrastructure de prise en charge nécessaire.
Les données personnelles des clients russes doivent être accessibles et leur demande doit être traitée uniquement par le DPD MTEast. C'est l'intention de l'architecture, mais les demandes de support peuvent conduire à une demande d'accès au client par OneTrust, ce qui doit être pris en compte, éventuellement.
Chine
Voir l'annexe (fin de l'article). De manière générale, il n'y a actuellement aucune obligation générale de localisation des données en Chine. Cela signifie qu'en général, il n'est pas obligatoire de stocker des données en Chine, y compris des données personnelles. Dans le cas de données personnelles, la seule exigence selon la CSL serait d'indiquer les données personnelles qui font l'objet d'un tel transfert.
La POPIA prévoit qu'une partie responsable ne peut pas transférer des informations personnelles sur une personne concernée à un tiers dans une juridiction étrangère, sauf si :
le bénéficiaire est soumis à une loi ou à un contrat qui :
défend des principes de traitement raisonnable des informations sensiblement semblables aux principes contenus dans la POPIA ; et
comprend des dispositions sensiblement similaires à celles contenues dans la POPIA concernant le transfert ultérieur de données personnelles du destinataire à des tiers ;
la personne concernée consent au transfert ;
le transfert est nécessaire pour l'exécution d'un contrat entre la personne concernée et la partie responsable, ou pour la mise en œuvre de mesures précontractuelles prises en réponse à la demande de la personne concernée ;
le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre la partie responsable et un tiers ; ou
le transfert est destiné à l'intérêt de la personne concernée et :
il n'est pas raisonnablement possible d'obtenir le consentement de la personne concernée faisant l'objet de ce transfert ; et
s'il était raisonnablement possible d'obtenir un tel consentement, la personne concernée serait susceptible de le donner.
Les exigences en matière de localisation des données prévues par la loi turque étaient jusqu'à présent propres à chaque secteur. Les secteurs actuels qui peuvent faire l'objet de restrictions supplémentaires incluent les banques, les sociétés de technologie e-sim, la finance, la santé et l'énergie.
Les exigences relatives au traitement des données sur la santé s'appliquent. Par conséquent, en règle générale, les données sur la santé ne peuvent être transférées à l'étranger que si la personne concernée a donné son consentement. Pour transférer des données relatives à des problèmes de santé ou à la vie sexuelle vers un pays étranger sans le consentement de la personne concernée, le responsable du traitement doit être soumis à une obligation de confidentialité et ne transférer les données qu'aux fins de protection de la santé publique, de la médecine préventive, du diagnostic médical, du traitement et des soins médicaux, ou pour la planification, la gestion ou le financement des services de santé.
Les règles relatives aux technologies de l'information 2011 régissent les données personnelles et les données ou informations sensibles à caractère personnel. Il existe des exigences relatives au maintien de pratiques et procédures de sécurité raisonnables en ce qui concerne les données ou informations sensibles à caractère personnel (SPDI).
Les règles relatives aux SPDI prévoient que lorsqu'une SPDI est transférée à un tiers (en Inde ou ailleurs) :
un consentement spécifique a été obtenu de la personne concernée pour ce transfert ; et
la personne à l'origine du transfert doit veiller à ce que le bénéficiaire adhère au même niveau de protection des données, comme le prévoient les lois indiennes sur la protection des données.
La localisation se présente sous forme de facture.
La Corée du Sud n'a pas actuellement d'exigences généralisées en matière de localisation ou de résidence des données. Cela dit, certaines données sur la santé sont traitées différemment.
Le serveur cloud qui stocke les dossiers médicaux électroniques des patients créés par un hôpital (Hospital-Generated Electronic Medical Records) doit être situé en Corée du Sud. Plus précisément, la norme sur les installations et l'équipement pour la gestion et le stockage des dossiers médicaux électroniques générés par les hôpitaux (disponible uniquement en coréen ici), établit qu'une notification officielle sera émise tous les trois ans par le ministère de la Santé et du Bien-être Social (MEHW) indiquant les exigences relatives aux serveurs (y compris les serveurs de secours) sur lesquels les dossiers médicaux électroniques générés par les hôpitaux sont stockés. Actuellement ils doivent être physiquement situés en Corée du Sud, et il n'est pas permis d'accéder à ces dossiers depuis l'étranger.
Le transfert de données personnelles en dehors de la Corée du Sud est soumis à des exigences de préavis et de consentement. Comme mentionné ci-dessus dans la section 4.1, avant un tel transfert de données, les personnes concernées doivent être informés et donner leur consentement concernant :
les éléments de données personnelles à transférer ;
le pays vers lequel les données seront transférées ;
la date, l'heure et les méthodes de transfert ;
le nom du destinataire ;
l'objectif du transfert ; et
la durée de conservation et d'utilisation des données.
Ce consentement est distinct du consentement requis pour la collecte et le traitement des données personnelles requises ailleurs dans le cadre de la loi. Nonobstant la restriction ci-dessus, lorsque les données personnelles sont jugées nécessaires pour la prestation de services ou pour la promotion de la commodité de l'utilisateur, le contrôleur de données peut transférer des données personnelles en dehors de la Corée du Sud sans le consentement de l'utilisateur/la personne concernée, à condition que la personne concernée ait été informée des points ci-dessus, tels que stipulés à l'article 25 de l'ICNA.
Architecture de flux de consentement aux cookies OneTrust
Effectue une analyse du domaine et envoie le cookie du site Web et les URL du site à l'application principale.
Transfère les données de configuration du bandeau de cookies souhaitées de l'utilisateur administrateur OneTrust et les enregistre dans la base de données.
Paramètres de site Web (texte, choix de mise en page, identité visuelle) partagés avec le service de publication pour générer le code HTML.
Codes HTML, CSS et JavaScript pour le site Web transférés vers le stockage d'objets blob statique pour l'hébergement.
Le visiteur du site Web se rend sur le site Web du client (HTTPS).
Le bandeau de consentement aux cookies OneTrust est chargé à partir d'un CDN global (HTML, JS, CSS).
La recherche de géolocalisation du visiteur du site Web est effectuée en envoyant l'adresse IP du visiteur à un service de recherche. L'adresse IP est traitée par CloudFlare pour déterminer l'emplacement et n'est pas stockée.
Une fois que le visiteur du site Web a indiqué ses préférences de consentement sur le site Web, elles sont envoyées à OneTrust à des fins de stockage et de tenue de registres.
(A) - Service d'analyseur de site Web (surveille le site Web pour les besoins de consentement).
(B) - Le référentiel de données MSSQL OneTrust. Chiffré à l'aide de clés de chiffrement Azure gérées par TDE.
(C) - Console d'administration OneTrust : application Web dans laquelle le bandeau de cookies et les règles sont configurés.
(D) - Service de publication OneTrust : génère les codes HTML, CSS et JS à intégrer au site Web du client.
(E) - Azure Storage Blob : stockage statique des fichiers du site Web qui seront chargés sur le site Web.
(F) - Réseau de distribution de contenu : distribue les scripts extraits d'Azure Storage Blob.
(G) - Service de géolocalisation : détermine l'emplacement des visiteurs du site Web et applique la logique et le bandeau de consentement adaptés à leur session de navigation.
(H) - WAF/Service de réception : (Service en option). Reçoit les registres de consentement des visiteurs du site Web.
* Les données sont conservées indéfiniment si le compte OneTrust est actif. Après la résiliation du compte OneTrust, les données sont supprimées au bout de 45 jours.
** Toutes les données au repos A-E sont chiffrées au repos à l'aide des services de chiffrement Azure AES 256 bits gérés. Le contrôle d'accès et la gouvernance sont mis en œuvre conformément au livre blanc sur le programme de sécurité et de confidentialité OneTrust et indiqués dans les analyses ISO 27701 et SOC2 Type 2.
