Guide abrégé : Programme mondial de confidentialité de Coupa

Aperçu

Nous avons conçu notre programme de confidentialité en gardant à l'esprit les objectifs suivants :

• Soutenir les efforts de conformité de nos clients et refléter l'empreinte internationale de nos clients et de nos propres opérations ;
• S'aligner sur des cadres de gouvernance et de confidentialité des données fiables et testés pour assurer la robustesse de nos efforts en matière de confidentialité
• Aller au-delà des obligations légales et répondre aux attentes de groupes plus larges de parties prenantes

Dans ce document, vous trouverez plus d'informations sur notre programme de confidentialité.

La portée mondiale de notre programme de confidentialité

Le programme de confidentialité de Coupa est mis en correspondance avec le RGPD, la CCPA, la CPRA, la VCDPA, la CPA, l'UCPA, la CTDPA, la FedRAMP, la HIPAA, la LPRPDE et les lois sur la confidentialité du Mexique, du Brésil, de la Colombie, de l'Afrique du Sud, de l'Australie, de Singapour, du Japon, de la Chine, de l'Inde et du Royaume-Uni.

Nous avons analysé à partir de quels pays les utilisateurs de nos clients accèdent à notre plateforme, et ces juridictions représentent plus de 90 % de nos utilisateurs. Nous surveillons les développements réglementaires à l'échelle mondiale et évaluons leur impact sur nos propres opérations et celles de nos clients.

Notre programme de confidentialité est revu et mis à jour régulièrement pour maintenir sa pertinence. Toutes les modifications apportées à nos produits passent par un processus d'examen rigoureux pour s'assurer que les exigences de confidentialité sont intégrées.

Cadres de gouvernance et de confidentialité des données fiables et testés

Le programme de confidentialité de Coupa est certifié ISO27701 et APEC PRP, et il est intégré dans notre processus de gestion des risques d'entreprise avec tous les autres domaines de conformité importants. De cette façon, tous les efforts de conformité sont coordonnés, et il y a à la fois un flux d'informations de haut en bas et de bas en haut de manière interfonctionnelle pour gérer les exigences et les attentes en matière de conformité.

De plus, nous suivons une approche holistique pour avoir un programme de confidentialité basé sur les risques qui aborde plus que de simples risques réglementaires. Pour y parvenir, nous avons adopté des pratiques de cadres de gouvernance matures tels que la loi Sarbanes-Oxley afin de créer une matrice complète de risque et de contrôle pour nos activités de protection de la vie privée. Cette approche garantit la responsabilité, la conception et l'efficacité opérationnelle de notre programme de protection de la vie privée sur une base continue où les contrôles de confidentialité sont documentés avec la même rigueur qu'à des fins de rapport financier.

Répondre aux attentes des parties prenantes au-delà des obligations légales

Le programme de confidentialité de Coupa est aligné sur les normes de durabilité GRI et SASB car nous pensons que la confidentialité des données est plus qu'une simple conformité réglementaire. Nous considérons la vie privée comme un droit humain fondamental qui a un impact à la fois sur les personnes concernées et sur notre société.

Nous prévoyons que les normes ESG feront partie des pratiques de signalement externes obligatoires, et nous avons conçu notre programme de confidentialité en conséquence pour répondre à ces exigences.

Nous comparons régulièrement notre programme de protection de la vie privée à l'aide de divers modèles de maturité et de meilleures pratiques pour le maintenir à jour et le maintenir au sommet de sa catégorie. Le modèle ComplOrg, présenté ci-dessous, décrit comment les domaines de conformité évoluent généralement au fil du temps au sein des organisations :

Niveaux de maturité	Description sommaire
01      Sporadique et ad-hoc	L'accent est mis sur les domaines les plus apparents/critiques, mais cela peut exposer l'organisation à de nombreuses vulnérabilités de conformité
02      Prévu mais pas complet/documenté	On se concentre délibérément sur les domaines les plus importants, mais le programme de conformité peut ne pas être complet et/ou l'organisation peut ne pas être en mesure de démontrer la conformité en l'absence de documentation appropriée
03      Complet et documenté	Le programme de conformité est complet et les activités de conformité sont documentées
04      Aligné sur l'ESG volontaire	La conformité peut soutenir les rapports ESG volontaires avec les données et les mesures pertinentes pour répondre aux attentes des principales parties prenantes
05      Fonction de conformité intégrée	Tous les domaines de conformité sont pris en compte et une évaluation formelle des risques est effectuée pour justifier pourquoi des domaines individuels ne sont pas considérés comme importants et pourquoi ils sont exclus du champ d'application de la fonction de conformité intégrée
06      Intégré dans l'ERM	Les domaines de conformité sont liés à la fonction ERM de l'organisation
07      Intégré dans les rapports externes	Les domaines de conformité contribuent aux rapports externes obligatoires de l'organisation

Publications :

Nous avons préparé un certain nombre de documents sur des sujets spécifiques liés à la confidentialité que vous pourriez trouver utiles pour vos efforts de conformité.

• Évaluation du risque de transfert du RGPD
• Relevé FISA
• Politique relative aux demandes et demandes de renseignements des personnes concernées
• Livre blanc sur la confidentialité et la sécurité en Chine

Ces documents sont disponibles sur demande. Contactez votre contact Coupa pour les obtenir.