Conformité RGPD & Sécurité | Adictiz Support

Le 25 mai 2018 est entré en vigueur le RGPD, Réglement Général de Protection des Données Personnelles, au sein de l'Union Européenne (règlement Européen n°2016/679 du 27 avril 2016).

Depuis la création de la plateforme Adictiz Box, nos équipes n'ont cessé de mettre tous les moyens en oeuvre pour assurer la protection des données de nos clients.
Aujourd'hui certaines règles évoluent et grâce à notre préoccupation constante sur ce sujet, nous sommes prêts pour l'échéance du 25 mai. Afin de vous démontrer notre conformité, nous vous proposons de découvrir toutes les mesures que nous avons prises au travers de 7 thématiques : gouvernance, sécurités physique, organisationnelle et technique, traitement des atteintes à la sécurité des données, audibilité et exercice des droits des personnes.

Codes	Sujet
1	Gouvernance
1.1	Politique de confidentialité	Il y a une politique de confidentialité claire, écrite et communiquée en interne
1.2	Politique sécurité de l'information	Une politique formelle de sécurité de l'information est documentée et mise en œuvre.
1.3	Règles internes	Des règles éthiques sur l'usage, l'exploitation et la sécurité des données personnelles sont définies, partagées et appliquées en interne: Charte utilisateurs, Politique de sécurité, engagement de confidentialité, règlement intérieur. Le personnel est sensibilisé régulièrement.
1.4	Règles sous-traitants	Les contrats avec les sous-traitants incluent le cas échéant des consignes concernant les données sensibles, confidentielles et personnelles: - hébergement des données : Google Cloud Platform (GCP). Voir : https://cloud.google.com/security/gdpr?hl=fr). - développements informatiques: Adictiz développe sa plateforme SaaS en interne, mais il peut y avoir des recours ponctuels à des sous-traitants pour la création et le développement d'applications tierces interconnectées à la plateforme. Ceux-ci ne sont en aucun cas en contact avec des données personnelles.
1.5	Contrôleur	Il existe dans notre organisation un employé spécifique nommé pour le respect de la législation sur la protection des données personnels (DPO, [email protected] ).
1.6	Clauses contractuelles	Il existe une clause intégrant les exigences du règlement européen sur la protection des données "RGPD" dans les CGV d'Adictiz, y compris en ce qui concerne la sous-traitance et l'auditabilité des process. Tout recours à des sous-traitants (hors hébergement) fait l'objet d'un consentement du client, étant précisé qu'Adictiz assure l'exploitation des développements faits par ses sous-traitants et que ceux-ci ne sont en aucun cas en contact avec des données personnelles.
2	Sécurité physique
2.1	Interne	L'accès physique aux locaux est sécurisé par badges nominatifs (3 sas et vidéo surveillance). Pas de vue directe depuis l'extérieur, grilles physiques sur chaque ouverture, traçage et journalisation des entrées/sorties.
2.2	Sous-traitance	L'hébergement auprès de Google Cloud Platform GCP, situé en Union Européenne (Belgique), assure un niveau de sécurité physique de haut niveau - voir: https://cloud.google.com/security?hl=fr L'accès aux datacenters est conforme aux normes de sécurité internationales (installation en datacenter sécurisé par des systèmes de détection/extinction d'incendie, surveillance vidéo 24/7, inscription des visiteurs, système d'accès par badge, onduleurs, alimentation électrique d'urgence, etc.).
2.3	Données	Il n'y a jamais de stockage de données des clients sur PC ni support externe (disque, clé USB,...). S'il y a sauvegarde, celles-ci restent chez l'hébergeur, sont cryptées, isolées et peuvent être effacées lorsque la relation commerciale est terminée.
3	Sécurité organisationnelle
3.1	Habilitations internes	Les droits d'accès des administrateurs sont évalués au cas par cas et sont modifiés si nécessaire La vérification est réalisée à l'aide de mots de passe forts à double facteurs d'authentification. Il existe un process de revue des habilitations (départs / arrivées / revues annuelles) et de limitation des accès au strict nécessaire (plateforme/serveurs/gdrive).
3.2	Habilitations externe	Il existe des comptes administrateur individuels différents pour chaque client utilisateur de la plateforme
3.3	Infrastructure d'Adictiz	Il n'y a pas de données personnelles hébergées dans les locaux d'Adictiz hormis les données du personnel (contrats et paie). Toutes les données personnelles des clients sont localisées chez l'hébergeur GCP.
3.4	Infrastructure de l'hébergeur	La sécurité des données personnelles des clients est assurée et managée par GCP. Toutes les actions sur la plateforme sont historisées et consultables en cas d'incident quelconque. voir: https://cloud.google.com/security?hl=fr
3.5	Privacy by design	Le privacy by design fait partie de la conception même de la plateforme : elle donne tous les moyens nécessaires au responsable du traitement de garantir la protection des données personnelles.
4	Sécurité technique
4.1	Accès aux données personnelles	Les accès et actions principales sur la plateforme sont historisées.
4.2	Cloisonnement des environnements	Les environnements de développement, de test, d'acceptation et de production sont dans des environnements séparés physiquement de la plateforme en production. les environnements de développement sont locaux sur les machines de développeurs. Les environnements de préproduction et production sont isolés de manières logiques. (Virtualisation).
4.3	Réseaux internes	Sur le réseau local, les serveurs, wifi interne et public, postes de travail, sont séparés via des VLANs distincts.
4.4	Réseaux externes	Les données confidentielles sont cryptées pendant les communications en ligne avec les clients. Des mots de passe forts sont exigés pour les clients. Il y a un verrouillage de compte après un certain nombre de tentatives d'ouverture de session échouées.
4.5	Infrastructure interne	L'accès aux postes personnels nécessitent une authentification. Les accès réseaux nécessitent une authentification. Les réseaux et postes de travail sont surveillés à distance (MDM) Les postes de travail peuvent être éffacés et verouillés à distance.
4.6	Infrastructure externe	La responsabilité de l'hébergeur couvre la sécurité de la plateforme (PaaS) La responsabilité d'Adictiz est limitée à la sécurité applicative. Toute la donnée générée par la plateforme est stockée sur des supports de stockages chiffrés à l'état de l'art. Il existe des outils de monitoring pour audit.
4.7	Disponibilité	Des mesures sont en place afin d'assurer une disponiblité maximale de la plateforme: redondances, backups etc... (Cf PAS)
4.8	Gestion de la continuité	La reprise après sinistre chez l'hébergeur s'effectue grâce à des datacenters jumelés, identiques et en réplication permanente.
5	Atteinte à la sécurité
5.1	Notification des violations	En cas d'incident ou de violation de données à caratère personnel, nous mesurons l'impact sur nos clients concernés et nous les notifions dans les meilleurs délais conformément à l'article 33.3. du règlement stipulant un délai maximal de 72h.
5.2	Gestion des incidents	Dès qu'un incident est détecté sur notre plateforme, il est pris en charge sans délai. Nous avons en place un système de ticket incident interne, avec engagement de résolution, toujours prioritaire vis à vis du développement de la plateforme.
6	Audit et conformité
6.1	Audits de la sécurité de l'information	L'entreprise et ses infrastructures sont auditables avec un préavis de 1 mois. Elle est transparente concernant les traitement, stockage et purge des données personnelles
6.2	Contrôle interne	Le respect des process est contrôlé régulièrement par les responsables d'équipe.
6.3	Contrôle sous-traitants	Aucun des sous-traitants, hors hébergement (GCP disposant d'une politique de sécurité fiable), n'accèdent aux données personnelles.
7	Traitement des données et exercice des droits
7.1	Analyse d'impact (DPIA : Data Protection Impact Assessment)	Il n'y a pas d'analyse d'impact formalisée aujourd'hui car notre niveau de risque est considéré comme "négligeable à limité" au sens du règlement.
7.2	Traitements sensibles	Il n'y a pas de "traitement sensible" au sens RGDP (profilage,...) entraînant un risque critique pour les droits et libertés des personnes.
7.3	Registre des traitements	Un registre des traitements des données personnelles ("Registre sous-traitant") est mis en place pour chaque client, conformément à l'article 30.2 du RGPD. Il reprend notamment : la description des finalités du traitement, des catégories, la localisation des données personnelles utilisées (GCP Belgique), les règles en matière de conservation et de purge des données (purge automatique à la fin du contrat), des éventuels transferts de données (pas de transfert) et de la sensibilité des traitements pour les personnes concernées (niveau de risque négligeable à limité)
7.4	Lieux de stockage	Les données sont hébergées chez un prestataire GCP (Google Cloud Platform) sur le territoire de l'Union Européenne. Par contrat, elles ne sont ni transférées ni transférables.
7.5	Durée de conservation	La plateforme dispose d'une procédure de purge automatique des données personnelles, personnalisable par le client. Nous effectuons également une purge des données des clients dont les contrats sont résiliés.
7.6	Droits d'accès, correction	La plateforme donne au responsable de traitement (le client) les moyens aux personnes d'exercer leurs droits d'accès et de correction.
7.7	Portabilité, effacement	La plateforme donne au responsable de traitement (le client) les moyens aux personnes d'exercer leurs droits, portabilité, limitation de traitement, effacement.

Vous avez besoin d'aide ?

Obtenez de l'aide auprès du support en ligne en cliquant sur la bulle 💬