Évaluation de l'impact de la protection des données
Ce document est une traduction. Les documents originaux et juridiquement contraignants sont en anglais et peuvent être consultés ici.
1. Nécessité d'une DPIA
Nom du projet : Gamban
Date de l'évaluation : 02/11/2024
Évaluateur(s) : Nick Michalopoulos
Cette AIPD est nécessaire en raison de changements dans les pratiques de gestion des données, plus précisément des données clients étant classées comme données de catégorie spéciale. Cela crée la nécessité d'une analyse d'impact relative à la protection des données (AIPD) pour tout type de traitement susceptible de présenter un risque élevé.
2. Description de la transformation
Quelles données seront traitées ?
- Données d'identité : inclut le nom d'utilisateur ;
- Données de contact : inclut l'adresse email et le numéro de téléphone de l'utilisateur ;
- Données sur les appareils : inclut des informations sur les différents appareils couverts par notre licence de blocage.
- Données marketing : préférences de l'utilisateur concernant la réception de notre newsletter.
- Données de profil : inclut le statut de dépendance au jeu, y compris le niveau de jeu, le moment de la dernière session de jeu, le nom d'utilisateur ;
- Données techniques : inclut l'adresse de protocole Internet (IP), le type et la version du navigateur, le réglage du fuseau horaire et la localisation, les types et versions des plug-ins du navigateur, le système d'exploitation et la plateforme, ainsi que d'autres technologies utilisées par les utilisateurs pour accéder au site Web de Gamban.
- Données de transaction : inclut les détails des paiements effectués ou reçus par l'utilisateur et d'autres détails sur les services achetés par l'utilisateur ;
- Données d'utilisation : inclut des informations sur les tendances d'utilisation de notre site Web et de nos produits
But du traitement des données :
- Services logiciels
- Notifications importantes concernant le produit, les fonctions d'assistance et la fin prochaine de l'abonnement
- Maintien des dossiers internes
- Analyse statistique pour des raisons de développement produit
Qui aura accès aux données :
- Organismes de réglementation
- Organismes statutaires
- La police
- Toute autre autorité compétente ayant des fonctions spécifiques stipulées par la loi
- Tiers lorsque l'utilisateur a expressément accepté que nous partagions ses informations personnelles
- Partenaires commerciaux et prestataires de services
Flux de données :
- Collecte des données : Les données des utilisateurs sont collectées lorsque les individus s'inscrivent via le site Web ou l'application Gamban.
- Transmission des données : Les données sont transmises de manière sécurisée via HTTPS vers les serveurs de Gamban. Les données spécifiques à l'appareil sont communiquées entre l'appareil de l'utilisateur et le système de Gamban pour permettre la fonctionnalité de blocage.
- Stockage des données : Les données collectées sont stockées dans des bases de données cryptées hébergées sur Azure (Microsoft Corporation).
- Utilisation des données : Les données sont traitées comme indiqué précédemment.
- Partage des données : Les données ne sont pas partagées avec des tiers sauf si les utilisateurs y consentent explicitement ou si la loi l'exige.
- Suppression des données : Les utilisateurs peuvent demander la suppression de leurs données via l'application ou le support. Les données supprimées sont définitivement retirées des serveurs actifs et des sauvegardes dans un délai de 12 mois.
Où les données sont-elles traitées ?
- Emplacements principaux de traitement des données : Les données sont traitées et stockées sur des serveurs hébergés par Azure au Royaume-Uni et dans l'UE. Un traitement localisé des données se produit sur les appareils des utilisateurs pour permettre la fonctionnalité de blocage.
- Emplacements de sauvegarde et de reprise après sinistre : Les sauvegardes cryptées sont stockées au Royaume-Uni et dans l'UE.
- Services tiers : Des données limitées (par exemple, pour les notifications par email ou le support utilisateur) ou des données spécifiques à la plateforme peuvent être traitées par des prestataires tiers de confiance :
- Zendesk, Inc.
- Braintree (une société PayPal)
- Apple Inc.
- Google LLC, avec leur localisation et leurs conditions de traitement telles qu'indiquées dans chacun de leurs accords de traitement des données.
3. Nécessité et proportionnalité
Gamban s’appuie sur les bases légales suivantes pour le traitement des données des utilisateurs :
- Consentement (Article 6(1)(a) et Article 9(2)(a)) : Les utilisateurs donnent leur consentement explicite pour le traitement de leurs données personnelles et de catégorie spéciale lors de leur inscription au service.
- Exécution d’un contrat (Article 6(1)(b)) : Le traitement des données est nécessaire pour remplir l’obligation contractuelle de fournir un service de blocage des jeux d’argent.
- Intérêt public important (Article 9(2)(g)) : Le traitement des données de catégorie spéciale soutient l’objectif de santé publique visant à réduire les dommages liés aux jeux d’argent, en conformité avec les lois nationales.
Le traitement des données est essentiel pour fournir la fonctionnalité principale de Gamban : bloquer le contenu lié aux jeux d’argent sur les appareils des utilisateurs. Par exemple :
- Données personnelles : Les adresses email et les identifiants des appareils sont nécessaires pour authentifier les utilisateurs, configurer le blocage spécifique à chaque appareil et fournir un support.
- Données de catégorie spéciale : Les données comportementales liées à l’auto-exclusion du jeu garantissent que le service est adapté pour répondre aux dommages liés aux jeux d’argent.
Sans cela, Gamban ne peut pas fournir ses services de manière efficace ni soutenir sa mission de réduire les dommages liés aux jeux d’argent. Les données collectées sont minimisées dans la mesure nécessaire pour atteindre les objectifs du service. Les mesures incluent :
- Uniquement les données essentielles : Gamban ne collecte pas de données personnelles ou sensibles excessives.
- Anonymisation : Des données agrégées et anonymisées sont utilisées pour les analyses lorsque cela est possible.
Gamban garantit la conformité avec le RGPD britannique en mettant en œuvre des mesures robustes pour respecter les droits des personnes concernées, notamment :
Droit d’accès (Article 15) :
- Les utilisateurs peuvent demander l’accès à leurs données personnelles par email ou via l’application.
- Gamban fournit une copie des données, généralement dans un délai d’un mois, dans un format clair et couramment utilisé.
Droit de rectification (Article 16) :
- Les utilisateurs peuvent demander des corrections concernant des données personnelles inexactes ou incomplètes.
- Les modifications sont mises en œuvre rapidement, et les utilisateurs sont informés une fois la rectification effectuée.
Droit à l’effacement (Article 17) :
- Les utilisateurs peuvent demander la suppression de leurs données lorsqu’elles ne sont plus nécessaires ou lorsqu’ils retirent leur consentement.
- À réception d’une demande valide, les données sont définitivement supprimées des systèmes actifs et des sauvegardes dans un délai spécifié (par exemple, 30 jours).
Droit à la limitation du traitement (Article 18) :
- Les utilisateurs peuvent demander que Gamban limite temporairement le traitement de leurs données pendant la résolution de problèmes tels que l’exactitude ou des réclamations légales.
- Les données restent stockées mais ne sont pas activement traitées tant que la limitation est en vigueur.
Droit à la portabilité des données (Article 20) :
- Les utilisateurs peuvent demander une copie de leurs données dans un format structuré et lisible par machine pour les transférer à un autre service.
Droit d’opposition (Article 21) :
- Les utilisateurs peuvent s’opposer au traitement basé sur des intérêts légitimes ou sur le marketing direct.
- En cas d’opposition, Gamban cesse le traitement sauf si des motifs légitimes impérieux existent.
Droit de retirer son consentement (Article 7(3)) :
- Les utilisateurs peuvent retirer leur consentement à tout moment via les paramètres de leur compte ou en contactant le support.
Prise de décision automatisée (Article 22) :
- Gamban ne pratique pas de prise de décision automatisée ou de profilage produisant des effets juridiques ou similaires.
Pour faciliter ces droits, Gamban a mis en place :
- Politique de confidentialité et politique sur les cookies : Instructions claires sur la manière dont les utilisateurs peuvent exercer leurs droits.
- Support utilisateur : Une équipe dédiée pour assister les utilisateurs avec leurs demandes et questions.
- Politique de protection des données : Des processus internes garantissent un traitement rapide et conforme des demandes.
4. Identification et évaluation des risques
| Risque | Probabilité | Impact | Description |
|---|---|---|---|
| Accès non autorisé aux données | Moyenne | Élevé | Un accès non autorisé aux données sensibles des utilisateurs par des acteurs malveillants pourrait entraîner des violations de confidentialité, des dommages à la réputation et des amendes légales. |
| Violation de données | Faible | Élevé | Une violation exposant des données de catégorie spéciale (par exemple, des données comportementales liées aux jeux) pourrait causer un préjudice important aux utilisateurs et entraîner des sanctions réglementaires. |
| Mécanismes de consentement inadéquats | Faible | Moyenne | Le défaut d’obtenir un consentement valide pourrait rendre le traitement illégal, entraînant des amendes et une perte de confiance des utilisateurs. |
| Insuffisance de minimisation des données | Faible | Moyenne | La collecte de plus de données que nécessaire pourrait augmenter l’exposition aux risques et enfreindre les principes du RGPD. |
| Non-respect des droits des données | Faible | Moyenne | Le non-respect des droits des personnes concernées (par exemple, accès, rectification, suppression) pourrait entraîner des actions réglementaires ou des plaintes des utilisateurs. |
| Mauvaise utilisation des données par des tiers | Faible | Élevé | Une utilisation abusive des données par des sous-traitants tiers pourrait nuire aux utilisateurs et entraîner une responsabilité pour Gamban. |
| Interruptions de service | Moyenne | Moyenne | Les pannes ou interruptions pourraient empêcher les utilisateurs d'accéder au service de Gamban, sapant la confiance et augmentant les demandes de support. |
5. Atténuation des risques
| Risque | Mesure d’atténuation | Responsable |
|---|---|---|
| Accès non autorisé aux données | - Mettre en œuvre une authentification multifactorielle (MFA) pour l’accès au système. | Équipe de sécurité informatique |
| - Chiffrer les données au repos et en transit en utilisant des protocoles standard de l’industrie. | Équipe de sécurité informatique | |
| - Effectuer des tests de pénétration réguliers et des évaluations de vulnérabilité. | Équipe de sécurité informatique | |
| Violation de données | - Maintenir un plan complet de réponse aux incidents (IRP). | Responsable de la protection des données (DPO), Équipe informatique |
| - Organiser des formations régulières pour les employés sur la prévention et la gestion des violations de données. | DPO, RH | |
| Mécanismes de consentement inadéquats | - Utiliser une plateforme de gestion des consentements conforme au RGPD pour collecter, enregistrer et gérer les consentements des utilisateurs. | Équipe produit, Équipe juridique |
| - Réviser régulièrement les formulaires de consentement pour garantir leur clarté et leur conformité. | Équipe juridique | |
| Minimisation insuffisante des données | - Réaliser des analyses d’impact sur la protection des données (AIPD) pour toutes les nouvelles activités de traitement des données. | DPO |
| - Réviser régulièrement les pratiques de collecte des données pour assurer leur conformité avec le principe de minimisation des données. | DPO, Équipe produit | |
| Non-respect des droits des données | - Établir des flux de travail internes pour gérer rapidement les demandes d’accès, de rectification et de suppression. | Équipe support, DPO |
| - Mettre en place des outils conviviaux pour permettre aux utilisateurs de gérer leurs préférences et leurs droits en matière de données. | Équipe produit | |
| Utilisation abusive des données par des tiers | - S’assurer que tous les sous-traitants tiers signent des accords de traitement des données (DPA). | Équipe juridique, DPO |
| - Effectuer des audits réguliers de la conformité des tiers aux exigences contractuelles et réglementaires. | DPO, Équipe des achats | |
| Interruptions de service | - Mettre en place des systèmes redondants et des plans de reprise après sinistre pour minimiser les temps d’arrêt. | Équipe informatique |
| - Tester régulièrement la résilience et les capacités de réponse du système. | Équipe informatique |
6. Processus de consultation
- Les parties prenantes ont-elles été consultées lors de l'AIPD ? Oui
- Qui a été consulté ?
- Jack Symons : Co-fondateur
- Matt Zarb-Cousin : Co-fondateur
- Nick Michalopoulos : Responsable de la protection des données
- Résumé de la consultation : Lors du processus d'AIPD, Jack Symons, Matt Zarb-Cousin et Nick Michalopoulos ont été consultés pour fournir des informations sur les activités de traitement des données de Gamban et sur l'alignement de ces processus avec la mission de l'entreprise visant à réduire les dommages liés aux jeux d'argent. Leurs retours ont permis :
- D’identifier les principaux risques liés à la gestion des données de catégorie spéciale.
- De valider la nécessité de la collecte et du traitement des données pour fournir les services principaux.
- De revoir les mesures existantes de protection des données et de proposer des améliorations lorsque cela est nécessaire.
- De s'assurer que l'AIPD reflète l'engagement de Gamban envers la confidentialité des utilisateurs et la conformité aux exigences du RGPD britannique.
Leur contribution a été essentielle pour élaborer une AIPD complète et efficace.
7. Résultat de l'EIDP
L'AIPD a été jugée acceptable avec les mesures d'atténuation des risques proposées et a été approuvée par la direction. À ce jour, aucun risque élevé ne subsiste qui ne puisse être atténué par les mesures proposées. Cependant, si des risques venaient à apparaître à l'avenir, les étapes suivantes seront prises pour les résoudre ou les atténuer :
- Mesures de sécurité renforcées : Mise en œuvre de cryptages supplémentaires ou de scans de vulnérabilités plus fréquents.
- Revisions régulières : Réalisation de révisions périodiques des pratiques de traitement des données, en particulier lors de l'introduction de nouveaux services ou fonctionnalités.
- Notification des utilisateurs : Si une situation à haut risque est identifiée, les utilisateurs seront rapidement informés et des mesures correctives appropriées seront mises en œuvre.
8. Compte rendu de l'AIPD
Date d'achèvement : 14/11/2024
Examiné par (direction) : Jack Symons
Tenue des registres : Nick Michalopoulos