Conformité Genesys Cloud et GDPR

Lisez cet article pour découvrir comment Genesys Cloud aborde le RGPD et ce que votre organisation doit savoir sur la mise en œuvre du RGPD de Genesys Cloud. Pour un aperçu général du aperçu, voir aperçu.

Éducation GDPR

Le règlement général sur la protection des données (RGPD) est un changement important dans la réglementation sur la confidentialité des données. Genesys Cloud a investi une quantité importante de temps dans la formation GDPR pour l'équipe de sécurité et de conformité. Formation et certification du Association internationale des professionnels de la protection de la vie privée (IAPP) commencé début 2017. Pour plus d’informations sur le GDPR, voir Conformité GDPR.

Projet GDPR

Genesys Cloud commandé un projet GDPR pour :

  • Complétez un inventaire des données mis à jour et déterminez chaque emplacement dans lequel Genesys Cloud stocke / traite / transmet des informations personnelles
  • Concevoir et implémenter une API GDPR permettant à nos clients de mettre en œuvre les demandes de leurs clients d’exercer leurs compétences. droits fondamentaux des personnes concernées
  • Réaliser une évaluation d’impact sur la protection des données

Genesys Cloud -il conforme au RGPD ?

Les professionnels juridiques et techniques de Genesys Cloud ont examiné le RGPD et suivi la formation et la certification fournies par le Association internationale des professionnels de la protection de la vie privée (IAPP).  Dans le rôle de Genesys Cloud en tant que processeur de données, Genesys Cloud a pris des mesures pour répondre aux exigences de la réglementation.

En vertu de l’article 28 du RGPD, les responsables du traitement des données « n’utilisent que des processeurs offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées». Genesys Cloud a mis en œuvre ces mesures. Nos experts en la matière peuvent en discuter avec vous.  pour plus d'informations, contactez dataprivacy@genesys.com

Genesys Cloud -il certifié GDPR ?

Aucune certification GDPR n’existe pour un fournisseur de services cloud tel que Genesys Cloud. Cependant, Genesys Cloud a fait l’objet de plusieurs examens indépendants de nos contrôles administratifs, physiques et techniques pour d’autres réglementations de protection des données, telles que HIPAA.

En tant que sous- Genesys Cloud, Genesys Cloud met en œuvre les mesures techniques et organisationnelles appropriées. Pour plus de détails, voir À propos de la sécurité et de la conformité.

Où Genesys Cloud prend Genesys Cloud charge la conformité GDPR ?

Genesys Cloud prend en charge la conformité GDPR pour toutes les régions Amazon Web Services (AWS) déployées par Genesys Cloud.

Dois-je activer la conformité au GDPR ?

Vous n’avez pas besoin d’activer ou de configurer quoi que ce soit dans Genesys Cloud pour la conformité au RGPD. L'API GDPR est disponible pour tous les clients. Cependant, le RGPD peut exiger un accord de traitement des données (DPA) entre vous et Genesys Cloud. La DPA couvre le traitement des données personnelles.

Quelles sont les exigences du RGPD pour l'engagement prédictif ?

Si votre organisation envisage d’utiliser Altocloud pour collecter des données sur les activités des visiteurs sur votre site Web, vous devez suivre les étapes de conformité avec le règlement général. Pour plus d'informations, consultez Engagement prédictif et RGPD.

Qu’est-ce qu’un accord de DPA ou de traitement de données ?

Le GDPR stipule à l’article 28 que "Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique régi par le droit de l’Union ou le droit de chaque État membre, qui lie le responsable du traitement et définit l’objet et la durée traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement. "

Si vous pensez être soumis au RGPD, Genesys Cloud est prêt à discuter d’un DPA qui répond à ces exigences. Pour recevoir un Genesys Cloud DPA, contactez dataprivacy@genesys.com.

Comment dois-je répondre aux demandes de données GDPR ?

Genesys Cloud fournit un API GDPR en tant que solution libre-service préférée des clients Genesys Cloud pour répondre aux demandes GDPR. L’API GDPR permet de répondre aux demandes des personnes concernées d’accéder, de rectifier ou de supprimer leurs données personnelles dans Genesys Cloud. 

Limites de l'API GDPR

L'API GDPR est conçue pour les clients qui doivent répondre aux demandes individuelles des personnes concernées. L'API GDPR n'est pas conçue pour répondre à des demandes en masse telles que la suppression de données en masse. L'API GDPR est soumise à des limites de taux décrites dans la documentation de l'API . Ces limites de débit peuvent restreindre les tentatives d'opérations en masse afin de maintenir la disponibilité de la plate-forme.

Comment fonctionne le service GDPR Genesys Cloud ? 

Ce que vous devez savoir sur l’API GDPR Genesys Cloud.

Points de terminaison du service GDPR

Le service GDPR expose deux points d’extrémité, un premier point de terminaison pour identifier sujets point de terminaison correspond à un terme donné, et un deuxième point de terminaison pour lancer le GDPR. demandes. Le sujets endpoint accepte un seul terme de recherche d’un nom, d’une adresse, d’un numéro de téléphone ou d’une adresse email, ou d’une poignée de médias sociaux, et renvoie une liste de 0 sujets correspondants qui se composent d’un ID utilisateur, d’un contactid ou d’un dialerContActid. le demandes point de terminaison accepte un seul terme rechercher et un type de demande Get, Export, Update ou Delete pour répondre aux demandes relatives aux articles 15 (accès), 16 (rectification) et 17 (suppression). Le critère d’évaluation des demandes accepte un seul terme de recherche d’un nom, d’une adresse, d’un numéro de téléphone, d’une adresse email, d’une poignée de médias sociaux, d’un identifiant d’utilisateur, d’un ID de contact externe ou d’un identifiant de contact de numérotation pour l’initiation du type de demande GDPR spécifié. Si le terme est un ID, le service le résout d'abord dans la ressource correspondante (utilisateur, contact externe, contact du composeur) et inclut les champs connus dans la demande GDPR.

point de terminaison identifie les sujets et le terme rechercher correspond

le sujets point de terminaison accepte un seul terme rechercher de quatre types : nom, adresse, téléphone ou e-mail et renvoie une liste de tous les sujets qui correspondent au terme de recherche.  Un sujet peut être un userId, externalContactId ou dialerContactId. La liste renvoyée peut contenir zéro sujet, un seul ou plusieurs sujets. 

Genesys Cloud recommande d'utiliser le point de terminaison des sujets pour chaque demande RGPD potentielle afin d'identifier la ou les personnes qu'un point de terminaison de requête ultérieure affecte.  En trouvant tous les sujets correspondant à un terme de recherche, les clients Genesys Cloud peuvent réduire le risque d'effets imprévus d'une demande GDPR donnée. Les sujets point de terminaison peuvent également être utilisés pour lever l’ambiguïté des résultats quand un terme recavert donné correspond à plusieurs sujets. Plus précisément, étant donné que les sujets point de terminaison renvoient tous les sujets correspondants pour un terme recSearch donné, une API utilisateur YYTY peut découvrir des critères recumer plus précis pour une requête GDPR ultérieure. 

Pour les données stockées par certaines fonctionnalités et services Genesys Cloud, vous devez utiliser l'API GDPR avec un sujet.  Ces services qui nécessitent l'inclusion d'un sujet dans la demande d'API GDPR sont :

Requêtes point de terminaison accepte un seul terme rechercher et des types de requête spécifiques.

Le point de terminaison requests accepte un seul terme de recherche de n'importe quel type (nom, adresse, téléphone, courriel, identifiant de l'utilisateur, identifiant du contact externe, identifiant du contact du composeur) et un seul type de demande (obtenir, exporter, mettre à jour ou supprimer) et renvoie une demande GDPR qui a été créée et initiée. L’exportation correspond à une demande d’article 15 (accès), Update correspond à une demande d’article 16 (rectification) et Supprimer à une demande d’article 17 (suppression). Lorsque le type de demande est "Supprimer", certains services peuvent anonymiser les données personnelles plutôt que de les supprimer. Le traitement réel de cette demande a lieu de manière asynchrone.  Si le terme donné est un identifiant d'utilisateur ou un identifiant de contact externe, le service GDPR résout d'abord cet identifiant dans l'utilisateur, le contact externe ou le contact du composeur correspondant respectivement, et inclut tous les champs connus de l'utilisateur, du contact externe ou du contact du composeur dans la demande, en plus de l'identifiant fourni.

Les clients utilisent les demandes point de terminaison pour créer une demande GDPR réelle. Ils doivent utiliser les sujets point de terminaison en premier, afin de s’assurer que le terme recavert qu’ils utilisent n’affecte que la personne concernée. Dans le cas où plusieurs critères sont connus, ils doivent soumettre plusieurs demandes, une par terme. Il est fortement recommandé aux clients de soumettre des demandes pour chaque identifiant connu d'un individu.  Par exemple, lorsqu'un individu, ou une personne concernée, soumet une demande au client, le client doit collecter le nom, le numéro de téléphone et l'adresse e-mail de l'individu, et soumettre des demandes GDPR à Genesys Cloud pour chacun.

Limites de débit de l’API Genesys Cloud GDPR

Alors que le GDPR s’applique aux personnes concernées dans l’Union européenne, l’API Genesys Cloud GDPR est disponible pour les clients dans toutes les régions Genesys Cloud. Toutefois, l’API GDPR impose une limitation stricte du débit pour maintenir performance de solution.

Que se passe-t-il si j'utilise la vue client unique?  

Si votre organisation utilise la vue client unique, deux ou plusieurs contacts externes peuvent être fusionnés lorsqu'ils représentent la même personne. Cela a deux implications pour l'API GDPR. 

Tout d'abord, le point de terminaison sujets pourrait faire apparaître plusieurs ID de contacts externes correspondant à la même personne (en d'autres termes, appartenant au même ensemble de fusion). Lorsqu'il examine la réponse du point de terminaison sujets , l'appelant doit utiliser l'API Contacts externes pour déterminer quels ID de contacts externes appartiennent au même ensemble de fusion. Pour ce faire, récupérez chaque contact et déterminez ceux qui partagent le même canonicalContact. 

Deuxièmement, lorsque vous faites une demande au point de terminaison demandes , ne faites qu'une seule demande par ensemble de fusion pour l'identifiant de contact canonique dans cet ensemble de fusion. L'API GDPR dupliquera de manière transparente la demande pour chaque ID de contact externe dans l'ensemble de fusion de ce contact et renverra les demandes liées dans le champ "relatedRequests" du corps de la réponse. 

Les demandes liées sont des demandes indépendantes , à part entière. Chaque demande liée réussira ou échouera indépendamment des autres, et le résultat de chaque demande liée doit être inspecté individuellement. Si l'une des demandes liées échoue, attendez que toutes les demandes liées soient terminées avant de réessayer la demande. Ainsi, l'ensemble des demandes en vol reste facile à comprendre. Si vous réessayez avant la fin de toutes les demandes liées, la vérification des doublons devrait empêcher le système de générer des demandes en double, si des demandes pour d'autres contacts de l'ensemble de fusion sont toujours en cours. 

Pour plus d'informations sur le modèle de données des contacts, les contacts canoniques et les ensembles de fusion, consultez Fusion de contacts dans le centre des développeurs.

La recherche se propage-t-elle sur la base des données d'un contact externe ?

Non. Les clients peuvent utiliser un ExternalContactId comme sujet. Un contact avec un externalContactID correspondant peut inclure un ou plusieurs types de données personnelles supplémentaires, telles qu'un numéro de téléphone professionnel, un numéro de téléphone portable ou des informations sur les canaux de médias sociaux. Lorsqu'il répond à une demande API GDPR avec un sujet externalContactID, Genesys Cloud ne recherche pas automatiquement sur la plateforme les données personnelles associées à ce contact qui se trouvent dans ces champs. Dans ce scénario, Genesys Cloud recommande aux clients d'examiner un contact correspondant et toutes les données personnelles incluses dans le contact et de soumettre toute demande d'API GDPR supplémentaire avec ces sujets. Comme indiqué ci-dessus, Genesys Cloud recommande d'utiliser le point de terminaison des sujets pour chaque demande GDPR potentielle afin d'identifier la ou les personnes concernées par un point de terminaison de demande ultérieur. En trouvant tous les sujets correspondant à un terme de recherche, les clients de Genesys Cloud peuvent réduire le risque d'effets imprévus d'une demande GDPR donnée.

L'API RGPD recherche-t-elle également les pièces jointes ?

Les interactions ACD, telles que les interactions par e-mail et les interactions par message (plates-formes de messagerie tierces, telles que Facebook Messenger, WhatsApp et Twitter Direct Message, la messagerie Web Genesys Cloud et la messagerie ouverte) peuvent recevoir des données personnelles sous forme de pièces jointes. Genesys Cloud ne recherche pas dans le contenu de ces pièces jointes des données personnelles. Au lieu de cela, une demande GDPR fonctionnera avec un ID externe, et si cet ID spécifique est utilisé dans la demande, recherchez la conversation et toute pièce jointe associée. Plus tard, les pièces jointes associées sont incluses et/ou supprimées dans une réponse API GDPR à une demande ultérieure de la personne concernée.

Par exemple, lorsqu'une personne concernée télécharge une image via Facebook Messenger, Genesys Cloud utilise l'ID externe pour trouver la conversation et toutes les pièces jointes associées et les télécharge. Plus tard, si la personne concernée fait une demande d'effacement au titre de l'article 17 pour supprimer ses informations, l'API Genesys Cloud supprimera tous les fichiers téléchargés par cette personne concernée, quel que soit le contenu.  Dans l'exemple, Genesys Cloud répondrait à la demande de l'API GDPR et supprimerait l'image téléchargée par la personne concernée via Facebook Messenger, quel que soit le contenu réel de l'image. 

Toutes les interactions ACD contenant des données personnelles sous forme de pièces jointes doivent être associées à un profil de contact stocké dans Contacts externes. Il n’y a pas de méthode pour rechercher les données personnelles stockées dans les interactions de messagerie Web indépendantes des contacts externes. Si les données personnelles sont stockées dans un chat web via une variable personnalisée, elles sont introuvables via l’API GDPR, sauf si l’interaction de chat web est associée à un profil de contact.

Pouvez-vous fournir un exemple de demande de sujet soumis aux données GDPR, réponse ?

Cet exemple illustre une réponse efficace à une demande de personne concernée du RGPD à l’aide du API GDPR Genesys Cloud

Demande

Vous recevez une demande valide d’une personne concernée pour supprimer ses données. La personne concernée a fourni son nom et son adresse électronique.  

Réponse

  1. Effectuez deux appels d’API de sujet distincts avec les deux identificateurs distincts (nom et adresse électronique) fournis par la personne concernée.
  2. Examinez les résultats des demandes des sujets point de terminaison pour lever l’ambiguïté des résultats et rechercher les sujets correspondants. Seuls les sujets pouvant être corrélés avec les identifiants fournis par la personne concernée sont considérés comme des sujets correspondants.
  3. Effectuez des appels d’API de requête individuels pour chaque sujet correspondant identifié à l’étape 2. Si vos deux appels de sujet point de terminaison ont renvoyé plusieurs objets, veillez à effectuer plusieurs appels d’API de requête, un pour chaque sujet correspondant. Sinon, votre réponse sera incomplet.
  4. Vérifiez si l'API GDPR a généré des requêtes connexes comme décrit dans la section "Que faire si j'utilise la vue client unique ?".

Que faire si je ne peux pas utiliser l’API GDPR Genesys Cloud ?

Genesys Cloud recommande d'utiliser l'API GDPR comme option de libre-service pour répondre aux demandes GDPR. Si vous rencontrez une erreur en utilisant l’API GDPR, veuillez soumettre un cas via le portail MySupport. Si vous ne pouvez pas utiliser l'API GDPR et devez répondre à une demande GDPR, notre équipe de services professionnels peut vous aider. Contactez votre Customer Success Manager pour créer un énoncé de travail pour cet effort.

Combien de temps faudra-t-il à Genesys Cloud pour répondre à une demande de personne concernée du RGPD ?

Le temps de réponse typique de Genesys Cloud pour récupérer toutes les données personnelles en réponse à une demande d’accès ou de portabilité est de 1 à 2 jours. En ce qui concerne une demande de suppression ou « oubliez-moi» dans le cadre du RGPD, Genesys Cloud n’aura pas besoin de plus de 14 jours pour supprimer les données personnelles ou les rendre anonymes sur demande.

Que se passe-t-il si un employé soumet une demande d’effacement au titre de l’article 17 ? 

L'utilisation des produits Genesys nécessite le traitement des données personnelles des employés (nom de l'utilisateur, numéro de téléphone professionnel et e-mail professionnel) pour le bon fonctionnement de la solution Genesys. Sans stocker ces données personnelles associées à un employé, Genesys Cloud pourrait cesser de remplir sa fonction. Ainsi, pour les salariés actuels, le traitement de leurs données personnelles est nécessaire aux fins des intérêts légitimes poursuivis par le client. En outre, le client peut être tenu de conserver des enregistrements d'interaction avec les employés afin de répondre à d'autres exigences réglementaires. Sur la base de la licéité de ce traitement et de la conception des produits Genesys, Genesys ne recommande pas d'effacer les données personnelles associées à un utilisateur en cours.

Les clients peuvent-ils spécifier si des données personnelles sont supprimées ou rendues anonymes ?

N° Non. Certains services Genesys Cloud suppriment les données personnelles sur demande. D’autres services rendent les données personnelles anonymes sur demande.

Ai-je la responsabilité d’utiliser Genesys Cloud de manière conforme au RGPD ?

Oui. Vous pouvez configurer de manière incorrecte certains services stockant des données personnelles. Cela empêche Genesys Cloud de rechercher, d’accéder ou de supprimer ces données.

  • Plateforme Genesys Cloud  Ne stockez pas de données personnelles dans des clés d'attribut personnalisées. Ce champ ne sera pas recherché, mis à jour ou supprimé par la fonctionnalité de l'API GDPR.
  • Architect Ne stockez pas de données personnelles dans les noms de flux, les descriptions de flux, les noms d'état, les noms de tâche, les noms d'action ou les valeurs de synthèse vocale.
  • Annuaire: Ne stockez pas de données personnelles dans un statut personnel.
  • Interactions de messagerie Web : Toutes les interactions de messagerie Web contenant des données personnelles doivent être associées à un profil de contact stocké dans Contacts externes. Il n’y a pas de méthode pour rechercher les données personnelles stockées dans les interactions de messagerie Web indépendantes des contacts externes. Si les données personnelles sont stockées dans une interaction de messagerie Web via une variable personnalisée, elles sont introuvables via l’API GDPR, sauf si l’interaction de messagerie Web est associée à un profil de contact.
  • Interactions de chat Web Toutes les interactions de messagerie Web contenant des données personnelles doivent être associées à un profil de contact stocké dans Contacts externes. Il n’y a pas de méthode pour rechercher les données personnelles stockées dans les interactions de messagerie Web indépendantes des contacts externes. Si les données personnelles sont stockées dans un chat web via une variable personnalisée, elles sont introuvables via l’API GDPR, sauf si l’interaction de chat web est associée à un profil de contact.

Rôles GDPR chez Genesys

Employés de Genesys ayant des rôles liés à GDPR :

  • Chef de la protection des renseignements personnels - William Dummett
  • Responsable européen de la protection des données - Shahzad Muhammad Naveed Ahmad 
  • Genesys Cloud 2 PureCloud Directeur principal, Sécurité et conformité - Eric Cohen CISSP, CIPM, CIPP / E