Pour démontrer son engagement envers les normes mondiales de confidentialité, Asana a obtenu des certifications de conformité aux normes ISO 27018:2019 (Protection des données personnelles dans le cloud) et ISO 27701:2019 (Gestion de l’information en matière de confidentialité).
Nous veillons également à ce que nos accords avec nos clients soient à jour : notre addendum sur le traitement des données intègre les cadres les plus récents en matière de confidentialité des données entre les États-Unis et l’UE, le Royaume-Uni et la Suisse, ainsi que les clauses contractuelles types de l’UE et du Royaume-Uni, qui décrivent nos obligations contractuelles en matière de confidentialité et facilitent le transfert des données à l’échelle mondiale.
UE/Royaume-Uni
Asana a mis en place un programme complet de conformité au RGPD/RGPD du Royaume-Uni et s’engage à coordonner ses efforts de mise en conformité avec ceux de ses clients et fournisseurs. Voici quelques-unes des mesures clés prises par Asana pour faire correspondre ses pratiques aux exigences du RGPD/RGPD du Royaume-Uni :
Des révisions des politiques et contrats conclus avec ses partenaires, fournisseurs et utilisateurs pour tenir compte des évolutions législatives ;
Une amélioration de ses pratiques et procédures de sécurité ;
Une surveillance et un inventaire étroits des données recueillies, utilisées et partagées par Asana ;
La garantie d’une documentation fiable concernant la politique de confidentialité et de sécurité d’Asana ;
La formation des employés aux exigences mondiales de confidentialité et aux bonnes pratiques de confidentialité et de sécurité ; et
L’élaboration avec soin d’une politique concernant les droits des personnes sur les données, ainsi que du processus de réponse associé.
APAC
L’APPI est la principale loi sur la protection des données en vigueur au Japon. Elle régit la protection des données personnelles des individus et s’applique aux exploitants économiques qui traitent les données personnelles de tiers au Japon. Depuis sa promulgation initiale en 2003, l’APPI a été amendée et les modifications les plus récentes sont entrées en vigueur le 1er avril 2022.
En vertu du RGPD, une distinction est établie entre les « contrôleurs de données » et les « processeurs de données ». De la même façon, l’APPI distingue les « exploitants économiques » (les entités ayant le pouvoir de contrôler et de prendre des décisions concernant les données personnelles conservées, c’est-à-dire les clients d’Asana), des fournisseurs de service tiers qui traitent les données personnelles pour le compte d’un exploitant économique (c’est-à-dire Asana).
L’APPI impose également des restrictions pour les transferts transfrontaliers des données personnelles en dehors du Japon. Les données personnelles peuvent être transférées à des destinataires étrangers, à condition qu’il existe des accords contractuels afin de garantir le respect des normes de protection des données au Japon.
Asana s’engage à traiter et à protéger les données personnelles des utilisateurs comme l’exigent l’APPI et ses amendements. L’addendum sur le traitement des données d’Asana couvre
Nos engagements en matière de protection des données pour assurer le respect de l’APPI ;
Comment nous aiderons nos clients à remplir leurs obligations en vertu de l’APPI ; et
Les mesures techniques et organisationnelles mises en place pour protéger les données personnelles.
Pour en savoir plus sur les pratiques d’Asana en matière de sécurité et de protection des données, veuillez consulter notre Centre de gestion de la confidentialité.
États-Unis (fédéral et États)
Californie
Le CCPA (tel que modifié par le CPRA) est une loi qui accorde aux consommateurs californiens certains droits quant à leurs informations personnelles. Cette loi exige notamment que les entreprises soumises au CCPA accordent aux consommateurs un droit d’accès à leurs données et de suppression de ces dernières, mais aussi un droit d’opposition afin de refuser certains types de divulgations de leurs données personnelles. En outre, cette loi encadre et limite l’utilisation des données personnelles par les fournisseurs de services au nom d’une entreprise tierce.
Lorsqu’une entreprise soumise au CCPA conclut un accord de service ou achète un abonnement auprès d’Asana, Asana agit en tant que fournisseur de services pour cette entreprise. Le cas échéant, Asana traite les données personnelles de ces clients uniquement aux fins énoncées dans le contrat applicable et s’engage à s’acquitter de ses obligations en matière de suppression ou de demande d’accès.
L’ addendum sur le traitement des données d’Asana fait spécifiquement référence à nos obligations en vertu de la CCPA. Si votre entreprise est cliente d’Asana et souhaite recevoir un addendum, veuillez contacter dpa@asana.com.
Réglementation HIPAA
La loi de 1996 sur la portabilité et la responsabilité des assurances maladie (« Health Insurance Portability and Accountability Act », HIPAA) est une loi fédérale des États-Unis qui exige la création de normes nationales pour empêcher la divulgation d’informations sensibles sur la santé des patients sans leur consentement et à leur insu. Les entreprises qui sont soumises à cette loi peuvent utiliser Asana pour optimiser la gestion de leur travail conformément à la réglementation HIPAA.
Le respect de la réglementation HIPAA pour Asana est régi par l’Accord de partenariat d’Asana (BAA). Pour plus de détails sur la réglementation HIPAA et Asana, veuillez consulter la fiche technique HIPAA.
Loi Gramm-Leach-Bliley (GLBA)
La loi Gramm-Leach-Bliley (loi fédérale américaine sur la modernisation des services financiers ou GLBA) exige des institutions financières (toute entreprise offrant aux consommateurs des produits ou services financiers tels que des prêts, des conseils financiers ou en investissement, ou encore des assurances) qu’elles informent leurs clients de leurs pratiques en matière de partage des informations personnelles et de protection des données sensibles. Les prestataires de services autorisés par les institutions financières à accéder aux informations personnelles de leurs clients non-rendues publiques doivent également se conformer à la GLBA. Asana est conforme à la GLBA et aligne ses pratiques conformément à la règle de confidentialité et de protection de la GLBA. Outre la mise en œuvre de mesures de sécurité, Asana utilise uniquement les informations liées au travail de ses clients, et ce, afin de fournir ses services, et à aucune autre fin. Les utilisateurs ne doivent pas stocker de données personnelles sensibles (notamment leurs coordonnées bancaires ou leur numéro de sécurité sociale) sur Asana.
Loi FERPA
La loi fédérale américaine relative à la confidentialité et aux droits des familles en matière d’éducation (« Family Educational Rights and Privacy Act », FERPA) exige que les institutions académiques, comme les établissements universitaires, protègent la confidentialité des dossiers scolaires des étudiants. Asana permet à ses clients de se conformer à la loi FERPA : à cette fin, Asana garantit que les données personnelles des utilisateurs sont conservées en toute sécurité et utilisées uniquement pour fournir ses services, conformément aux dispositions de ses conditions de service et de sa déclaration de confidentialité. Asana s’engage contractuellement à ne pas divulguer les données des utilisateurs, excepté si l’établissement universitaire contractant l’y autorise ou bien si les conditions générales d’Asana le permettent, ou encore dans les situations où la loi l’exige.
Au fur et à mesure que les lois, réglementations et directives établies par les autorités chargées de la protection des données et autres organismes de réglementation évoluent et que des pays promulguent de nouvelles lois et réglementations en la matière, nous continuerons à suivre de près ces évolutions et à évaluer notre programme pour appliquer tout changement ou amélioration nécessaire.