Demande de dossier de travail en raison du règlement général sur la protection des données (RGPD)

13

J'ai eu une demande pour fournir à un client tous ses fichiers (y compris les documents InDesign) en raison du Règlement général sur la protection des données (RGPD). Mon client souhaite également que je supprime les fichiers de ma machine. Je ne suis vraiment pas à l'aise de le faire car le temps impliqué serait également perdu car ils ne voudront pas payer.

Comment dois-je répondre à une telle demande?

Feuille blanche
la source
11
Cela dépend de la nature du travail que vous avez stocké. Le RGPD s'applique uniquement aux données personnelles.
Westside
1
@WELZ Oui, c'est ce que je dis. S'il s'agit d'étiquettes pour des boîtes de soupe, cela ne relève pas du RGPD. L'OP ne dit rien dans les deux sens, nous avons donc besoin de plus d'informations pour vous aider. D'après ce que je comprends, il faudrait que ce soient des données relatives à des individus, et non à des entreprises, pour que le GDPR s'applique. Si ce n'est pas le cas, son client pourrait simplement l'essayer.
Westside
5
Je suis d'accord avec @Scott disant que votre client semble sommaire. Il me semble que vous auriez été averti AVANT d'effectuer le travail si vous aviez dû apporter un soin supplémentaire aux données et que le client aurait dû vous obliger à signer une sorte de contrat indiquant ce que vous pouvez et ne pouvez pas faire avec les données. Sinon, votre client a peut-être mal gâché la gestion des données et s'efforce maintenant de corriger son erreur, ce qui est vraiment son problème à corriger, pas le vôtre.
curieux
1
Voir également l'article 6.1 (b) "le traitement est nécessaire à l'exécution d'un contrat" ​​et 6.1 (f) "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement" - le retrait du consentement du client pour les données personnelles peut être dénué de pertinence (en ignorant le fait que la demande elle-même est discutable dans ce cas).
crunch

Réponses:

26

TL: DR Le client se trompe fondamentalement sur le type de données couvertes par le GDPR, bien qu'il y ait peut-être des choses dans les fichiers qui sont couvertes par lui. Vous ne devez pas leur envoyer les fichiers, bien que vous ayez besoin de répondre avec des informations personnelles.

Je fais une partie du travail de protection des données pour mon entreprise, j'ai donc beaucoup lu à ce sujet. Je ne suis certainement pas un avocat, donc un tas de ceci devrait être pris avec une pincée de sel. Cela dit, cet exemple a une ligne de conduite correcte assez claire:

  • Le RGPD ne couvre que les informations personnelles relatives aux individus https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Cela signifie que la seule chose affectée dans votre conception par le RGPD est les informations personnelles

  • Votre réponse ne doit donc couvrir que les informations personnelles contenues dans votre conception. Avez-vous mis une adresse e-mail personnelle dans la leur? Y a-t-il un nom ou une adresse client dans le texte? des photos de clients ou de personnes en général? Si tel est le cas, envoyez-leur un e-mail indiquant les informations personnelles que vous avez trouvées dans la conception et leur demandant s'ils souhaitent que vous supprimiez ces bits spécifiques.

  • S'ils disent oui, supprimez les adresses e-mail / tous les noms / photos des clients de toute autre information personnelle que vous pouvez trouver.

  • N'oubliez pas de le supprimer également de toutes les sauvegardes que vous avez et de l'historique du fichier. Si vous vous sentez sympathique, vous voudrez peut-être souligner que cela rendra les fichiers plus difficiles à utiliser pour eux

  • Ils ne peuvent absolument pas vous forcer à céder la propriété des fichiers dans le cadre du RGPD. Sauf indication contraire dans le contrat, ils restent votre propriété intellectuelle.

Edit: oublié un bit important. Cela ne s'applique qu'aux données personnelles de la personne qui fait la demande. Tout le reste, même les données d'un de leurs employés, n'est pas couvert, et vous ne pouvez et ne devez probablement pas remettre les données. Leurs employés devront faire leurs propres demandes pour leurs données personnelles. Cependant, pour vous protéger, il vaut probablement la peine d'examiner et de supprimer toutes les informations personnelles inutiles que vous détenez.

J'espère que c'est utile!

lupe
la source
5
Je pense que le premier point serait plus complet s'il se lisait "Le RGPD ne couvre que les informations personnelles relatives aux personnes vivantes qui ne sont pas détenues à des fins domestiques". Les informations de vos amis dans votre téléphone, que vous détenez pour vos besoins plutôt que pour ceux de votre entreprise, ne sont pas couvertes.
Andrew Leach,
15

Peu importe vraiment POURQUOI le client veut que vous supprimiez vos fichiers et leur envoyiez tout.

Il me semble que le client utilise le GDPR comme excuse et rien de plus. Je veux dire, pratiquement n'importe quelle conception est du matériel promotionnel et toute information personnelle possible - nom, adresse, contact, email, etc. - a été rendue publique via les promotions elles-mêmes. Ce ne sont pas des "données personnelles stockées". À mon avis, votre client est terriblement sommaire.

Frais pour la livraison du fichier. Après avoir reçu le paiement, envoyez les fichiers et une lettre expliquant tous les fichiers seront supprimés de vos machines et sauvegardes et vous ne conserverez plus aucun fichier lié au client, une fois que vous aurez été informé qu'il a reçu les fichiers. Ensuite, entrez et supprimez tout après avoir reçu une confirmation de réception (car ils ont payé pour cela).

N'oubliez pas que même s'ils vous paient , vous ne pouvez pas leur envoyer de polices ou d'images d'archives que vous avez achetées et utilisées. Ceux -ci sont généralement autorisés à vous et de partager ces articles mettrait vous en violation d'un accord de licence qui leur sont liées. Le client devra aller acheter toutes les polices et images nécessaires pour soutenir les conceptions.

C'est le problème du client s'il a besoin par la suite de quelque chose de modifié ou de créé. Vous devez simplement être certain d'être payé pour les fichiers.

Si le client ne veut rien payer ... ne lui donnez pas les fichiers, ne supprimez rien . Ce sont vos fichiers . Aucune partie extérieure ne peut vous forcer à faire quoi que ce soit avec les actifs de votre entreprise (autre que l'application de la loi).

Si le client commence à gaucher et devient belliqueux et demande des fichiers, refusez simplement poliment à moins que le paiement ne soit reçu.

Dans le pire des cas, vous perdez ce client (ce que vous allez faire de toute façon à cause du bruit des choses), et le client estime qu'il doit faire quelque spectacle et intenter une action en justice ou quelque chose. Le costume, à mon avis, a une faible probabilité. Cependant, ils peuvent utiliser cela comme une tactique pour vous intimider et faire ce qu'ils veulent. Bien que je ne sois pas avocat , je doute qu'ils gagneraient un procès vous forçant à retirer vos actifs commerciaux.

En bref, ma position serait:

Je suis heureux de. Le prix de tous les fichiers est de X $. Une fois le paiement reçu, je transmettrai tout ce que j'ai, puis le retirerai de mes systèmes une fois que je sais que vous l'avez reçu.

Client:

Nous ne payons pas

Moi:

Alors je suis désolé. Je ne livrerai ni ne supprimerai aucun fichier sans paiement.

Client:

Nous allons poursuivre!

Moi:

D'accord. Vous êtes libre de faire ce que vous jugez nécessaire. Le prix de mes actifs commerciaux en ce qui concerne les travaux que j'ai effectués pour [nom de l'entreprise] est de x $. Je suis très heureux de répondre à votre demande une fois le paiement reçu. Je vous remercie.


J'ai travaillé sur des projets très secrets où les données de l'entreprise étaient privées et destinées à rester privées au sein d'un petit groupe. Cela m'a toujours été présenté comme des données très sensibles qui "ne doivent être partagées avec personne". Je ne parle pas d'un accord de non-divulgation, de données plus générales que je connaissais pour mener à bien un projet (principalement des données financières d'entreprise). Les clients de ces projets toujours présenté cette question à l' avant au début des projets. Donc, j'étais conscient de la confidentialité. Mais même en traitant avec des sociétés de plusieurs millions de dollars de cette manière, ils n'ont jamais demandé que je supprime et supprime mes fichiers, ils demandent simplement que je maintienne la confidentialité des fichiers.

Si ces clients me demandaient de retirer des choses et de leur envoyer tous les fichiers, je comprendrais certainement la demande . Mais je les facturerais certainement aussi pour la livraison de fichiers.

S'ils voulaient juste que je supprime des fichiers sans les livrer, je négocierais probablement un règlement ... comme dans ... Je supprime les données privées des pièces mais garde le design intact pour l'utiliser comme échantillons de portefeuille. Leur donner l'approbation des conceptions modifiées afin qu'ils puissent vérifier que les informations privées avaient été supprimées.


Travail à forfait : si vous êtes sous contrat de travail à forfait ou "employé", alors ils possèdent tout. Répondez à leur demande sans paiement ni problème. Les fichiers ne vous appartiennent pas.

Scott
la source
Est-ce à dire que l'on a une incitation perverse à utiliser des polices et des plugins très chers;) Je dis juste.
joojaa
En fait, @Joojaa - pour moi, cela signifie que je m'en fiche. J'achète et j'utilise des polices qui fonctionnent bien, si elles coûtent 5 $ ou 500 $, peu importe. Je n'ai jamais l' intention de fournir mes fichiers de conception après coup, donc le fardeau du client n'est jamais un facteur décisif:)
Scott
oui d'accord, vous ne savez pas si le client va être problématique ou pas :) Mais vraiment son genre de situation perverse me fait me demander.
joojaa
1
J'ai également changé les polices dans une conception si une négociation pour la livraison de fichiers est venue plus tard, donnant au client des options - laisser les polices et encourir des frais supplémentaires de x $ pour prendre en charge la conception actuelle ou payer x $ pour que je modifie les polices en "gratuit" "ou" Typekit "les polices que le client possède déjà (et moi aussi).
Scott
11

Ce n'est pas un conseil juridique, alors ne le prenez pas comme tel. Vous voudrez peut-être lire sur le RGPD. Mais ne vous contentez pas de google car il va directement à la source:

  1. Ce que la Commission européenne a à dire sur le RGPD
  2. Le règlement actuel est également disponible

Maintenant, le RGPD ne dit rien sur la publication des fichiers source. Au contraire, sa portée est assez raisonnable. Ce qu'il dit essentiellement, c'est:

  • Les données personnelles sont importantes
  • Vous devez avoir une raison pour stocker des données personnelles
  • Vous devez documenter les données que vous stockez, pourquoi, dans quel but et pendant combien de temps. Le plus simplement possible, avec le document à la disposition de vos clients.
  • La personne à qui appartiennent les données personnelles a le droit de demander la révision des données. Cela peut être fait de plusieurs façons, mais cela ne spécifie pas que cela signifie que vous devez le donner sous la forme exacte que vous l'avez stockée.
  • La personne a le droit d'apporter des corrections aux données personnelles
  • La personne a le droit de demander la suppression des données personnelles
  • Il vous indique également que vous ne pouvez pas utiliser les données sans restriction
    • Vous ne pouvez donc pas simplement le donner à des tiers
  • Vous devez protéger ces données contre les tiers et les abus.

Il aborde également quelques points sur la façon de recueillir le consentement, etc.

Ainsi, votre client peut demander à revoir les données que vous avez stockées et la politique de conservation des données dont vous disposez (à des fins de paiement par exemple). Cela ne doit pas être le fichier inDesign, vous pouvez copier les parties pertinentes du texte par exemple et l'envoyer au client par exemple, si et seulement si ce sont les données des clients pour commencer.

Mais je ne suis pas avocat, je ne sais pratiquement rien sur la façon dont les définitions relativement vagues seraient interprétées par un avocat européen.

PS: Si vous pensez que le GDPR est vraiment strict et lourd. Oui, c'est juste un symptôme d'avoir à légaliser un comportement raisonnable. Quand quelque chose que vous auriez dû faire de toute façon est inscrit dans une loi, toutes sortes de comportements raisonnables sont perdus, car une loi est un instrument très brutal qui s'applique à tout le monde, raisonnable ou non.

joojaa
la source
1

Le RGPD est une situation compliquée et tout dépend du type de contrat que vous avez avec votre client. Il s'agit donc principalement d'un problème juridique avant d'accéder à la partie InDesign.

En outre, le GDPR est un problème juridique majeur pour les entreprises et qui implique plusieurs coûts et le GDPR ne vous oblige pas en tant que fournisseur tiers à donner gratuitement les fichiers.

En théorie, ils peuvent prendre des mesures pour protéger le travail propriétaire effectué par des tiers, mais dans la pratique, vous pouvez en revanche fixer un prix pour la remise des fichiers.

Cependant, si vous avez fait le travail en tant qu'employé, vous n'aurez probablement pas grand-chose à jouer et devrez tout fournir et tout supprimer de votre ordinateur personnel.

Voir aussi cette question: le client à long terme veut des fichiers de travail

Lucian
la source
C'est une de mes miennes depuis environ 3 ans. J'ai une quantité moyenne de données. La plupart dont je suppose que cela n'a rien à voir avec la protection des données, car il n'y a pas de détails sur les clients. Je leur ferai savoir que j'ai supprimé et les informations sur les clients, car ce sera une solution plus rapide que de tout collecter pour la sortie et de tout envoyer. Merci pour les conseils et avis.
Whiteleaf
@Whiteleaf: Notez que vous pouvez conserver les données client à des fins de tenue de registres. En fait, vous devez probablement conserver ces données, pour des raisons fiscales. Comme il s'agit d'une obligation légale, vous n'avez pas besoin de consentement et n'avez pas besoin d'honorer la demande de suppression. Vous devez bien sûr respecter les droits d'interroger et de corriger les données.
MSalters
0

Je ne comprends pas ce que le RGPD a à voir avec vos fichiers.

Si vous travaillez sur les données personnelles fournies par votre client, vous supprimez les fichiers et les autres qui contiennent les données (par exemple, les fichiers de travail) et émettez une déclaration au client que vous l'avez fait.

Cela protège le client en cas de problème; ils peuvent montrer que les données ont été détruites.

Leur fournir des fichiers est une chose totalement différente et nécessite des frais. Soit décrit dans le contrat ou indiqué dans un tout nouveau pour la gestion des fichiers.

Ces deux choses ne sont pas liées l'une à l'autre. Même dans le RGPD, les guides de «bonnes pratiques» indiquent que les fichiers de données doivent être détruits et non retournés au fournisseur.

SZCZERZO KŁY
la source
1
Merci pour cela. Pour être honnête, je ne m'attendais pas à ce type de demande car il ne semblait pas non plus être lié à moi. Je peux juste faire ça. Je supprimerai les données personnelles et enverrai un e-mail pour l'informer.
Whiteleaf
@Whiteleaf Vous ne pouvez probablement pas supprimer toutes les données personnelles du client car vous violeriez les lois fiscales!
Josef dit Réintégrer Monica
Concernant les lois fiscales: si vous devez conserver les données personnelles du client à cette fin ou à d'autres fins similaires, vous pouvez faire allusion à l'article 6.1 (f) "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement". Le RGPD n'exige PAS de consentement dans tous les cas.
crunch
@Josef Données personnelles uniquement si votre client est une personne privée. Si c'est une entreprise, il n'y a pas de données personnelles. Le RGPD stipule également que pour les besoins décrits dans les factures ou les accords, vous n'avez pas besoin de demander le droit de traitement.
SZCZERZO KŁY
0

En vertu du RGPD, vous devez supprimer les données personnelles. Cela ne dit rien sur vos fichiers d'entreprise ou vos produits. Ne les donnez pas. Vous n'êtes pas obligé de donner ces fichiers.

Vous n'êtes obligé que de fournir un aperçu des données collectées, il peut s'agir d'un fichier texte décrivant les données que vous avez, où. Vous êtes également obligé lorsque vous êtes invité à mettre à jour les données ou à les supprimer.

N'oubliez pas non plus les lois fiscales. En vertu de la plupart des lois fiscales, vous devez conserver les données pendant X ans si vous avez reçu de l'argent à des fins d'audit. La suppression de ces informations peut en fait être illégale / créer beaucoup de problèmes lors d'un audit.

Ce que vous devrez faire est de vérifier les informations personnelles dont vous disposez sur le client, où (que vous devriez déjà avoir)

Envoyez des captures d'écran de données personnelles dans les documents que vous avez créés. Envoyez un résumé des données dont vous disposez, où. Faites une liste des données que vous ne pouvez pas supprimer légalement (factures imprimées, extraits de compte bancaire, etc ...) mais dites-lui quand elles seront supprimées lorsque le terme d'audit aura expiré. Vous pouvez l'animer dans un logiciel d'audit, notez que les vraies informations se trouvent sur les documents archivés imprimés pour l'audit.

Documentez également la demande de suppression. Stockez-le imprimé dans un dossier quelque part, informez l'entité privée que c'est aussi un endroit où ses détails seront stockés, juste pour que vous puissiez vous couvrir le cul.

N'oubliez pas que vous pouvez anonymiser les données au lieu de les supprimer directement. Changer les e-mails à [email protected] pour préserver la stabilité du logiciel de comptabilité, etc.)

Tschallacka
la source
Sur l'e-mail anonymisé en particulier, je ne trouve aucun enregistrement de nobody.com, il peut donc très bien s'agir d'un véritable domaine de messagerie. Utilisez [email protected], car example.com est un domaine réservé (les e-mails envoyés à n'importe où example.com ne parviendront jamais à une personne)
Delioth