Asana s’engage à protéger et honorer le droit au respect de votre vie privée. Compte tenu des nombreuses juridictions ayant promulgué des lois qui conditionnent la façon dont les entreprises traitent vos informations personnelles, nous souhaitons présenter en détail certaines des mesures prises par Asana pour se conformer aux lois et réglementations mondiales en lien avec la confidentialité et souligner l’engagement continu d’Asana en la matière.

Engagement continu pour la communication et le respect des réglementations

Au fur et à mesure que les lois, réglementations et directives établies par les autorités chargées de la protection des données et autres organismes de réglementation évoluent et que des pays promulguent de nouvelles lois et réglementations en la matière, nous continuerons à suivre de près ces évolutions et à évaluer notre programme pour appliquer tout changement ou amélioration nécessaire.

Asana est particulièrement attaché à la communication avec ses clients. Pour toute question concernant les pratiques d’Asana en matière de protection des données, n’hésitez pas à nous contacter à l’adresse privacy@asana.com.

Règlement général sur la protection des données (RGPD)

Entré en vigueur le 25 mai 2018, le RGPD est un règlement européen relatif à la protection des données personnelles des résidents de l’Union européenne. En vertu du RGPD, quelle que soit leur localisation, les organisations qui recueillent, conservent, utilisent ou traitent des données personnelles appartenant à des résidents européens doivent mettre en œuvre un certain nombre de mesures pour garantir la confidentialité et la sécurité de ces données. Asana a mis en place un programme complet de conformité au RGPD et s’engage à coordonner ses efforts de mise en conformité avec ceux de ses clients et fournisseurs. Voici quelques-unes des mesures clés prises par Asana pour faire correspondre ses pratiques aux exigences du RGPD :

• Révisions des politiques et contrats conclus avec nos partenaires, fournisseurs et utilisateurs selon l’évolution des exigences

• Amélioration de nos pratiques et procédures de sécurité

• Surveillance et inventaire étroits des données recueillies, utilisées et partagées par Asana

• Création d’une documentation plus fiable concernant la politique de confidentialité et de sécurité d’Asana

• Formation des employés d’Asana aux exigences mondiales en matière de confidentialité, et plus généralement aux bonnes pratiques de confidentialité et de sécurité

• Création consciencieuse d’une politique concernant les droits des personnes sur les données, ainsi que du processus de réponse associé

Consultez la section ci-dessous pour en savoir plus sur les grands axes du programme de conformité au RGPD adopté par Asana et sur la façon dont les clients peuvent s’appuyer sur Asana pour leurs propres initiatives de conformité au RGPD.

Accords relatifs au traitement des données

En vertu du RGPD, les « contrôleurs de données » (les entités qui déterminent les buts et moyens de traitement des données) doivent conclure des accords avec d’autres entités (les « processeurs de données »), qui traitent les données en leur nom. Asana offre à ses clients contrôlant des données personnelles européennes la possibilité de signer un addendum sur le traitement des données, selon lequel Asana s’engage à traiter et assurer la sécurité des données personnelles conformément aux exigences du RGPD. À ce même titre, Asana s’engage également à traiter les données personnelles suivant les instructions du contrôleur de données.

Transferts internationaux de données

Cadre de protection des données (Data Privacy Framework, DPF) UE-États-Unis, extension britannique du DPF et cadre de protection des données Suisse-États-Unis

Asana respecte le cadre de protection des données UE-États-Unis (DPF UE-États-Unis), l’extension britannique du DPF UE-États-Unis et le cadre de protection des données Suisse-États-Unis, tels que définis par le département du Commerce des États-Unis. Asana a certifié au département du Commerce des États-Unis qu’elle adhère aux principes du cadre de protection des données UE-États-Unis (Principes du DPF UE-États-Unis) en ce qui concerne le traitement des données à caractère personnel reçues de l’Union européenne en vertu du DPF UE-États-Unis et reçues du Royaume-Uni (et de Gibraltar) en vertu de l’extension britannique du DPF UE-États-Unis. Asana a certifié au département du Commerce des États-Unis qu’elle adhère aux principes du cadre de protection des données Suisse-États-Unis (Principes du DPF Suisse-États-Unis) en ce qui concerne le traitement des données à caractère personnel reçues de la Suisse en vertu du DPF Suisse-États-Unis.

Conformément au DPF UE-États-Unis, à l’extension du DPF UE-États-Unis au Royaume-Uni et au DPF Suisse-États-Unis, Asana s’engage à référer les plaintes non résolues concernant le traitement des données personnelles reçues dans le cadre du DPF UE-États-Unis, de l’extension du DPF UE-États-Unis au Royaume-Uni et du DPF Suisse-États-Unis aux Programmes nationaux du BBB, qui proposent des services externes de résolution des litiges aux États-Unis. Si vous ne recevez pas de réponse de notre part à votre plainte relative aux Principes du DPF dans un délai raisonnable, ou si vous n’êtes pas satisfait(e) de la réponse que nous avons apportée à votre plainte relative aux principes du DPF, veuillez consulter le Processus de résolution des litiges des Programmes nationaux du BBB sur le site https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers, pour en savoir plus ou pour formuler une réclamation. Les services relevant des Programmes nationaux du BBB vous seront fournis gratuitement.

Veuillez noter que si votre plainte n’est pas résolue de cette manière, dans certaines circonstances spécifiques, il sera possible d’envisager un arbitrage contraignant, comme indiqué en Annexe I des Principes du DPF. Asana est subordonnée aux pouvoirs d’investigation et de mise en œuvre de la Federal Trade Commission (FTC) en vertu de son obligation de conformité au DPF UE-États-Unis, à l’extension du DPF UE-États-Unis au Royaume-Uni et au DPF Suisse-États-Unis.

Asana effectuera les démarches raisonnables et appropriées pour faire en sorte que toute tierce partie agissant en qualité de « sous-traitant des données » en vertu de la terminologie adoptée par l’UE, le RU et la Suisse, traite les données personnelles qu’Asana lui confie dans le respect des Principes du DPF. Asana sera éventuellement responsable en cas de transfert à des tiers des données de ressortissants de l’UE, du RU ou de Suisse qui auront été reçues dans le cadre du DPF UE-États-Unis, de l’extension du DPF UE-États-Unis au Royaume-Uni et du DPF Suisse-États-Unis, selon le cas.

En cas de divergence entre les dispositions de la présente politique de confidentialité et les Principes du DPF UE-États-Unis ou les Principes du DPF Suisse-États-Unis, les Principes prévaudront.

Pour en savoir plus sur le programme du cadre de protection des données (DPF) et pour consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.

Si le DPF UE-États-Unis, l’extension britannique du DPF UE-États-Unis et le DPF Suisse-États-Unis ne s’appliquent pas, Asana se fonde sur d’autres mécanismes de transfert de données pour transférer des données à caractère personnel en dehors de l’EEE, du Royaume-Uni et de la Suisse, notamment les Clauses contractuelles types.

Accès aux données, gestion et outils de portabilité

Le RGPD accorde aux individus concernés, notamment mais sans s’y limiter, et sous certaines conditions, le droit d’accéder à leurs données personnelles, de les supprimer et de les modifier. Asana s’engage répondre aux demandes des personnes concernées en vertu du RGPD, comme décrit dans notre déclaration de confidentialité.

Documentation relative à la confidentialité

Le RGPD repose principalement sur les notions de transparence, d’équité et de responsabilité. Par conséquent, les législations des différents pays exigent des organisations qu’elles conservent des documents à propos de leurs pratiques en matière de confidentialité et de leurs choix quant au traitement des données personnelles des individus. Asana adhère aux principes du RGPD et s’engage à les respecter. Dans cette optique, Asana a intégré à son programme de respect du RGPD actuellement en vigueur un ensemble de documents portant sur la collecte et le traitement des données, ainsi que sur les diverses politiques et directives auxquelles Asana se conforme en vertu du RGPD. Pour en savoir plus sur la manière dont Asana collecte, utilise et divulgue les données personnelles des utilisateurs, consultez la déclaration de confidentialité d’Asana.

Sécurité des données

Le RGPD exige des organisations qu’elles fassent usage des mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité et l’intégrité des données personnelles. La sécurité continue d’être une priorité pour Asana. Entre autres, nos certifications ISO 27018 (Protection des données personnelles dans le cloud) et ISO 27701 (Gestion de la protection de la vie privée) démontrent notre engagement envers les normes mondiales en matière de confidentialité. En outre, Asana a réussi son audit SOC 2 (Type I) et (Type II) pour les contrôles en lien avec la sécurité, la disponibilité et la confidentialité. Cela signifie qu’un tiers indépendant a validé nos processus et pratiques relatifs à ces critères de services de confiance et confirmé notre capacité à respecter ces normes au travers des contrôles que nous avons mis en œuvre. Asana a également mis en place toute une série de mesures de protection pour assurer la sécurité de sa plateforme, notamment le cryptage des connexions pour protéger la transmission des données, mais aussi la réplication de nos bases de données pour garantir la fiabilité de la plateforme et le contrôle de l’accès à nos installations et au réseau de nos bureaux. Asana offre également à ses clients la possibilité d’utiliser des contrôles de sécurité supplémentaires pour renforcer davantage la sécurité des données de leurs équipes. Pour en savoir plus, consultez notre page dédiée à la sécurité.

Exercer vos droits en vertu du règlement général sur la protection des données

Si vous souhaitez exercer vos droits, veuillez envoyer une demande en remplissant notre formulaire de demande en lien avec le règlement général sur la protection des données. Pour en savoir plus sur la façon dont Asana permet aux utilisateurs individuels d’accéder à leurs données personnelles et de demander la suppression de celles-ci en vertu du CCPA, veuillez consulter la section dédiée aux informations sur la confidentialité pour les résidents de Californie dans notre déclaration de confidentialité.

« California Consumer Privacy Act » (loi sur la protection du consommateur de Californie ou CCPA)

Le CCPA (tel que modifié par le CPRA) est une loi qui accorde aux consommateurs californiens certains droits quant à leurs informations personnelles. Cette loi exige notamment que les entreprises soumises au CCPA accordent aux consommateurs un droit d’accès à leurs données et de suppression de ces dernières, mais aussi un droit d’opposition afin de refuser certains types de divulgations de leurs données personnelles. En outre, cette loi encadre et limite l’utilisation des données personnelles par les fournisseurs de services au nom d’une entreprise tierce.

Lorsqu’une entreprise soumise au CCPA conclut un accord de services ou achète un abonnement auprès d’Asana, Asana agit en tant que fournisseur de services pour cette entreprise. Le cas échéant, Asana traite les données personnelles de ces clients uniquement aux fins énoncées dans le contrat applicable et s’engage à coopérer avec eux pour répondre à toute demande de suppression ou d’accès.

Addendum au CCPA sur le traitement des données

Asana a mis à jour son addendum relatif au traitement des données pour faire explicitement référence aux obligations énoncées dans le CCPA (tel que modifié par le CPRA). Si votre organisation est cliente d’Asana et souhaite recevoir un addendum, veuillez contacter dpa@asana.com.

Loi Gramm-Leach-Bliley (GLBA)

La loi Gramm-Leach-Bliley (loi fédérale américaine sur la modernisation des services financiers ou GLBA) exige des institutions financières (toute entreprise offrant aux consommateurs des produits ou services financiers tels que des prêts, des conseils financiers ou en investissement, ou encore des assurances) qu’elles informent leurs clients de leurs pratiques en matière de partage des informations personnelles et de protection des données sensibles. Les prestataires de services autorisés par les institutions financières à accéder aux informations personnelles de leurs clients non-rendues publiques doivent également se conformer à la GLBA. Asana se conforme à la règle de confidentialité et de protection, conformément à la GLBA. Outre la mise en œuvre de mesures de sécurité, Asana utilise uniquement les informations liées au travail de ses clients, et ce, afin de fournir ses services, et à aucune autre fin. Les utilisateurs ne doivent pas stocker de données personnelles sensibles (notamment leurs coordonnées bancaires ou leur numéro de sécurité sociale) sur Asana.

Loi FERPA

La loi fédérale américaine relative à la confidentialité et aux droits des familles en matière d’éducation («  Family Educational Rights and Privacy Act », FERPA) exige que les institutions académiques, comme les établissements universitaires, protègent la confidentialité des dossiers scolaires des étudiants. Asana permet à ses clients de se conformer à la loi FERPA : à cette fin, Asana garantit que les données personnelles des utilisateurs sont conservées en toute sécurité et utilisées uniquement pour fournir ses services, conformément aux dispositions de ses conditions de service et de sa déclaration de confidentialité. Asana s’engage contractuellement à ne pas divulguer les données des utilisateurs, excepté si l’établissement universitaire contractant l’y autorise ou bien si les conditions générales d’Asana le permettent, ou encore dans les situations où la loi l’exige.

Réglementation HIPAA

La loi de 1996 sur la portabilité et la responsabilité des assurances maladie (« Health Insurance Portability and Accountability Act », HIPAA) est une loi fédérale des États-Unis qui exige la création de normes nationales pour empêcher la divulgation d’informations sensibles sur la santé des patients sans leur consentement et à leur insu. Les entreprises qui sont soumises à cette loi peuvent utiliser Asana pour optimiser la gestion de leur travail conformément à la réglementation HIPAA.

Le respect de la réglementation HIPAA pour Asana est régi par l’Accord de partenariat d’Asana (BAA). Pour plus de détails sur la réglementation HIPAA et Asana, veuillez consulter la fiche technique HIPAA.

« Act on the Protection of Personal Information » (loi japonaise sur la protection des informations personnelles ou APPI)

L’APPI est la principale loi sur la protection des données en vigueur au Japon. Elle régit la protection des données personnelles des individus et s’applique aux exploitants économiques qui traitent les données personnelles de tiers au Japon. Depuis sa promulgation initiale en 2003, l’APPI a été amendée et les modifications les plus récentes sont entrées en vigueur le 1er avril 2022.

En vertu du RGPD, une distinction est établie entre les « contrôleurs de données » et les « processeurs de données ». De la même façon, l’APPI distingue les « exploitants économiques » (les entités ayant le pouvoir de contrôler et de prendre des décisions concernant les données personnelles conservées, c’est-à-dire les clients d’Asana), des fournisseurs de service tiers qui traitent les données personnelles pour le compte d’un exploitant économique (c’est-à-dire Asana).

L’APPI impose également des restrictions pour les transferts transfrontaliers des données personnelles en dehors du Japon. Les données personnelles peuvent être transférées à des destinataires étrangers, à condition qu’il existe des accords contractuels afin de garantir le respect des normes de protection des données au Japon.

Asana s’engage à traiter et à protéger les données personnelles des utilisateurs comme l’exigent l’APPI et ses amendements. L’addendum d’Asana sur le traitement des données porte sur (1) les engagements d’Asana en matière de protection des données, et ce, pour garantir qu’Asana se conforme à l’APPI ; (2) la démarche mise en place par Asana pour aider ses clients à remplir leurs obligations en vertu de l’APPI ; et (3) les mesures techniques et organisationnelles mises en œuvre pour protéger les données personnelles des utilisateurs. Pour en savoir plus sur les pratiques d’Asana en matière de sécurité et de protection des données, veuillez consulter notre page dédiée à la sécurité.

Ressources associées

• Déclaration de confidentialité d’Asana

• Addendum d’Asana sur le traitement des données

• Page Asana dédiée à la sécurité

• Certification d’adhésion d’Asana aux boucliers de protection des données UE - États-Unis et Suisse - États-Unis

• Texte intégral du RGPD

• Texte intégral du CCPA (tel que modifié par le CPRA)