Conformité au RGPD

Le Règlement général sur la protection des données (RGPD) (UE) 2016/679 constitue le principal cadre juridique régissant la protection des données à caractère personnel des personnes physiques au sein de l'Union européenne et de l'Espace économique européen. En Turquie, la loi n° 6698 relative à la protection des données à caractère personnel (KVKK) établit un cadre équivalent. Pinet Bilişim A.Ş. (« nous », « notre », « la Société »), exploitant de Meet2Be, s'engage pleinement à respecter à la fois le RGPD et le KVKK dans tous les aspects de ses activités de traitement des données.

Cette page fournit un compte rendu détaillé de notre cadre de conformité au RGPD et au KVKK, y compris nos rôles en tant que responsable du traitement et sous-traitant, les bases juridiques sur lesquelles nous nous appuyons, les droits dont disposent les personnes concernées, nos mesures de sécurité techniques et organisationnelles, notre cadre relatif aux sous-traitants ultérieurs, et nos procédures de réponse aux violations de données.

Le KVKK turc, promulgué en 2016, a été élaboré sur le modèle de la directive 95/46/CE de l'UE relative à la protection des données et s'aligne substantiellement sur les principes du RGPD. Les deux cadres partagent les mêmes principes fondamentaux : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité.

En cas de divergences, nous appliquons la plus stricte des deux normes. Cela signifie que les utilisateurs de l'UE/EEE bénéficient de la pleine protection du RGPD, tandis que tous les utilisateurs — y compris les utilisateurs turcs — bénéficient de droits équivalents ou supérieurs à ceux prévus par le KVKK. Notre programme de conformité est conçu pour satisfaire simultanément les deux cadres, sans nécessiter de processus de traitement des données distincts pour différentes catégories d'utilisateurs.

Alors que le KVKK Kurumu turc poursuit l'obtention d'une décision d'adéquation de la part de la Commission européenne, nous continuons de suivre les évolutions et adapterons nos procédures de conformité en conséquence. Nos clauses contractuelles types (CCT) relatives aux flux de données transfrontaliers sont déjà en place afin de combler toute lacune dans l'intervalle.

Meet2Be agit en une double qualité au titre du RGPD et du KVKK, selon la nature de l'activité de traitement des données :

En vertu de l'article 6 du RGPD et de l'article 5 du KVKK, toute activité de traitement doit reposer sur une base licite. Nous documentons la base applicable à chaque activité de traitement dans notre Registre des activités de traitement (RoPA). Les six bases disponibles et leur application à nos opérations sont les suivantes :

En vertu des articles 15 à 22 du RGPD et de l'article 11 du KVKK, vous disposez de droits étendus sur vos données à caractère personnel. Ces droits sont absolus dans certains cas et conditionnels dans d'autres (sous réserve d'exceptions légales). Adressez toutes les demandes d'exercice de droits à privacy@meet2be.com, accompagnées d'une preuve d'identité. Nous répondons dans un délai de 30 jours ; les demandes complexes peuvent être prolongées de deux mois supplémentaires au maximum, moyennant un préavis.

Nous ne facturerons aucuns frais pour l'exercice de vos droits, sauf si les demandes sont manifestement infondées ou excessives. Nous pouvons suspendre une fois le délai de réponse afin de vérifier votre identité. Si nous refusons une demande, nous vous en exposerons les motifs ainsi que votre droit de réclamation auprès d'une autorité de contrôle.

Nous exerçons nos activités à l'échelle mondiale, ce qui signifie que vos données peuvent être conservées ou traitées dans des pays situés en dehors de la Turquie et de l'EEE — y compris des pays ne faisant pas l'objet d'une décision d'adéquation de l'UE. Nous veillons à ce que tous les transferts internationaux soient conformes au chapitre V du RGPD et à l'article 9 du KVKK au moyen des mécanismes suivants :

Nous tenons à jour une liste de tous les pays tiers vers lesquels nous transférons des données à caractère personnel, ainsi que le mécanisme de transfert applicable. Cette liste est disponible sur demande à privacy@meet2be.com.

Lorsque nous agissons en qualité de sous-traitant pour les organisateurs d'événements, nous faisons appel à des sous-traitants ultérieurs susceptibles d'accéder aux données à caractère personnel soumises via la plateforme. Nous tenons une liste complète et à jour de nos sous-traitants ultérieurs, disponible à privacy@meet2be.com.

Tous les sous-traitants ultérieurs interviennent dans le cadre d'un accord de sous-traitance écrit imposant des obligations en matière de protection des données équivalentes à celles prévues dans notre DPA (article 28/4 du RGPD). Nous procédons à une diligence raisonnable à l'égard de tous les sous-traitants ultérieurs avant leur engagement, puis à intervalles réguliers par la suite.

Nous informons nos clients responsables du traitement (organisateurs d'événements) de tout changement envisagé concernant les sous-traitants ultérieurs moyennant un préavis d'au moins 30 jours, leur offrant ainsi la possibilité de s'y opposer. Si un client s'y oppose et que le désaccord ne peut être résolu, le client peut résilier les services concernés sans pénalité.

Conformément à l'article 25 du RGPD et au principe de protection des données dès la conception et par défaut, nous intégrons les considérations relatives à la protection des données dans l'ensemble des activités de développement des systèmes, de conception des fonctionnalités et des processus métier dès leur origine, plutôt qu'a posteriori.

Nos engagements en matière de protection dès la conception comprennent : la collecte du minimum de données à caractère personnel nécessaires à chaque finalité spécifique (minimisation des données) ; la pseudonymisation et le chiffrement des données à caractère personnel par défaut lorsque cela est techniquement possible ; le fait de garantir que, par défaut, seules les données à caractère personnel strictement nécessaires à chaque finalité sont traitées (paramètres de protection par défaut) ; la réalisation d'examens d'impact sur la vie privée avant le lancement de nouvelles fonctionnalités impliquant des données à caractère personnel ; et la tenue de registres documentés de toutes les activités de traitement des données (RoPA), conformément à l'article 30 du RGPD.

Nos pratiques d'ingénierie incluent des exigences de revue de code pour les fonctionnalités touchant aux données à caractère personnel, des protocoles de tests de sécurité tenant compte de la protection de la vie privée, et une formation obligatoire à la protection des données pour l'ensemble du personnel d'ingénierie.

En vertu de l'article 35 du RGPD, une Analyse d'impact relative à la protection des données (AIPD) est requise avant d'entreprendre un traitement susceptible d'engendrer un risque élevé pour les libertés et droits des personnes physiques. Nous réalisons des AIPD pour toutes les nouvelles activités de traitement impliquant : le traitement à grande échelle de données relevant de catégories particulières ; le profilage systématique produisant des effets importants ; l'utilisation de nouvelles technologies aux implications incertaines pour la vie privée ; ou tout traitement susceptible d'engendrer un risque élevé par tout autre moyen.

Chaque AIPD comprend : une description du traitement et de ses finalités ; une évaluation de la nécessité et de la proportionnalité ; l'identification des risques pour les personnes concernées ; et les mesures envisagées pour faire face à ces risques. Lorsqu'une AIPD révèle un risque résiduel élevé ne pouvant être atténué par des mesures techniques ou organisationnelles, nous consultons l'autorité de contrôle compétente avant de commencer le traitement (article 36 du RGPD).

La documentation des AIPD est conservée pendant toute la durée de l'activité de traitement et pendant au minimum cinq (5) ans par la suite. Les AIPD sont réexaminées chaque fois qu'intervient une modification de la nature, de la portée, du contexte ou des finalités du traitement.

Nous avons mis en place une Procédure documentée de réponse aux violations de données à caractère personnel, conforme aux articles 33 et 34 du RGPD et aux exigences du KVKK. Notre procédure garantit que les violations sont détectées, contenues, évaluées et signalées de manière rapide et systématique.

Les notifications de violation comprendront : la nature de la violation ; les catégories et le nombre approximatif de personnes concernées affectées ; les conséquences probables ; et les mesures prises ou proposées pour remédier à la violation et en atténuer les effets. Toutes les violations — qu'une notification à une autorité de contrôle soit requise ou non — sont consignées dans notre registre interne des violations.

Conformément au principe de limitation de la conservation (article 5/1-e du RGPD ; article 4/2-ç du KVKK), nous ne conservons les données à caractère personnel que le temps nécessaire à la finalité initiale et à toute obligation légale applicable. Notre calendrier de conservation des données est documenté et réexaminé annuellement.

Principales durées de conservation : Données de compte — conservées pendant la durée de l'abonnement et pendant 3 ans après sa résiliation, afin de traiter tout litige ou réclamation. Registres financiers et de facturation — conservés pendant 10 ans, conformément à la loi turque relative à la procédure fiscale (VUK). Données d'événement et de participant — conservées pendant la durée de l'abonnement de l'organisateur et supprimées dans un délai de 90 jours suivant la résiliation de l'abonnement ; nous ne conservons pas les données de participant après la clôture du compte au-delà de ce qui est nécessaire. Journaux de serveur — conservés pendant 90 jours à des fins de sécurité. Enregistrements de consentement marketing — conservés pendant la durée du consentement et pendant 3 ans par la suite, à titre de preuve du consentement.

À l'expiration des durées de conservation, les données à caractère personnel sont supprimées de manière sécurisée selon des méthodes de suppression conformes aux normes du secteur (écrasement ou effacement cryptographique pour les données chiffrées) ou anonymisées de manière irréversible. Nous n'archivons pas les données à caractère personnel sous une forme permettant l'identification au-delà de la durée de conservation applicable.

Nous mettons en œuvre des mesures techniques et organisationnelles (MTO) appropriées au titre de l'article 32 du RGPD et de l'article 12 du KVKK, en tenant compte de l'état de l'art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement. Nos MTO actuelles comprennent :

• Le chiffrement de toutes les données à caractère personnel en transit au moyen du protocole TLS 1.2 ou supérieur, avec HSTS et épinglage de certificat.
• Le chiffrement des données à caractère personnel sensibles au repos au moyen de la norme AES-256.
• La pseudonymisation des données à caractère personnel lorsque l'identification complète n'est pas nécessaire à la finalité du traitement.
• Des contrôles d'accès fondés sur les rôles (RBAC) garantissant que les employés n'accèdent qu'aux données à caractère personnel nécessaires à l'accomplissement de leurs missions spécifiques.
• L'authentification multifacteur (MFA) requise pour tout accès administratif et à privilèges aux systèmes contenant des données à caractère personnel.
• Des évaluations de vulnérabilités, des tests d'intrusion et des revues de code de sécurité réguliers.
• Une journalisation d'audit exhaustive de tous les accès aux données à caractère personnel et de toutes les modifications de celles-ci.
• Une formation annuelle obligatoire à la protection des données pour l'ensemble du personnel ayant accès aux données à caractère personnel.
• Un processus formel de diligence raisonnable à l'égard de tous les fournisseurs traitant des données à caractère personnel.
• Un plan de réponse aux incidents testé au moins une fois par an au moyen d'exercices de simulation.

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle en matière de protection des données si vous estimez que notre traitement de vos données à caractère personnel enfreint la loi applicable. Vous pouvez introduire votre réclamation auprès de l'autorité de votre pays de résidence habituelle, de votre lieu de travail ou du lieu où la violation alléguée a été commise.

Nous vous demandons de nous contacter au préalable à privacy@meet2be.com avant de soumettre une réclamation formelle à une autorité de contrôle. Nous nous engageons à résoudre les réclamations rapidement et de manière informelle dans la mesure du possible. Nous répondrons dans un délai de 5 jours ouvrés à compter de la réception d'une réclamation.