Sécurisation des données

Article 1 –  Introduction

La mise en application du Règlement Général sur la Protection des Données en mai 2018 a amené de nouvelles obligations imposables aux entreprises et aux sous-traitants.

Afin de répondre à ses obligations réglementaires, d’améliorer ses processus pour y intégrer en permanence l’aspect sécurité de l’information, et ainsi améliorer les pratiques de l’ensemble des équipes techniques, Goovee a mis en place la présente La Politique de Sécurisation et de Traitement des Données (notés PSTD dans la suite de ce document), qui est révisée régulièrement.

La PSTD est diffusée à l’ensemble des personnes concernées, et Goovee met en œuvre les formations et informations nécessaires à sa compréhension, sa bonne mise en œuvre et son respect.

La PSTD permet de décrire les engagements pris par Goovee en termes de sécurité des données et applications hébergées sur ses serveurs chez OVH.

La PSTD s’applique à tous les services fournis aux clients.

Les documents de référence sont les suivants :

  • Conditions d’Utilisation de Goovee
  • Les règlementations relatives à la Protection des Données Personnelles :
    • Loi n°78- 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la Loi n° 2018-493 du 20 juin 2018.
    • Le Règlement Général sur la Protection des Données (RGPD)

 

Article 2 –  Enjeux et objectifs

La sécurité de la plateforme d’hébergement et des applications Goovee représente un enjeu majeur pour Goovee afin de garantir la protection des intérêts propres de la société, ainsi que celle de ses clients.

La PSTD est donc mise en œuvre pour prendre en compte les principaux risques encourus et identifiés :

  • Risque d’indisponibilité des informations et applications, et des systèmes les traitant.
  • Risque de divulgation, ou perte de confidentialité des informations fournies par nos clients et pour lesquelles nous agissons en tant que sous-traitant.
  • Risque d’altération, ou perte d’intégrité, qui pourrait amener à une perte d’information pour nos clients.

Les objectifs de mise en œuvre de la PSTD sont :

  • Améliorer et formaliser la gestion de la sécurité des applications et de leur hébergement.
  • Etendre les bonnes pratiques à tous les services proposés par Goovee.
  • S’assurer du respect par Goovee de ses obligations légales en ce qui concerne la gestion des Données Personnelles (Loi Informatique et Libertés, RGPD) en tant que sous-traitant.
  • Créer une culture de la sécurité auprès des équipes de Goovee, et de ses clients.

 

Article 3 –  Organisation de la sécurité de l’information

Chaque salarié possède une fiche de poste qui décrit ses missions, son positionnement au sein de l’organisation d’Goovee, ses principales activités, et les savoir-faire et savoir-être qu’il doit maîtriser pour mener à bien ses missions.

La sécurité est pilotée :

– Au niveau stratégique au minimum une fois par an lors d’une revue de direction dédiée à la sécurité.

– Au niveau opérationnel lors d’une revue mensuelle.

Les chefs de service sont les responsables du respect par leurs équipes de la PSTD mise en place.

 

Article 4 –  La sécurité des ressources humaines

4.1 Embauche

Un processus d’intégration structuré est mis en place pour chaque nouveau salarié. Les droits d’accès aux informations et aux applications peuvent évoluer selon le statut de l’intégration (durée minimale de présence, période d’essai terminée, …).

4.2 Confidentialité

Tout collaborateur de Goovee a signé une clause de confidentialité dans son contrat de travail et a pris connaissance de la PSTD et s’est engagé à la respecter et à la faire respecter.

Goovee mettra ainsi tout en œuvre pour respecter la confidentialité des données et des documents qui lui seront transmis.

4.3 Sensibilisation à la sécurité

Le processus d’accompagnement d’un nouveau collaborateur prévoit une sensibilisation à la sécurité. Des sessions de sensibilisation sont également organisées de façon annuelle.

4.4 Compétence et formation

La gestion des compétences permet à Goovee d’identifier les besoins de formation.

Les chefs de services définissent les besoins de formation pour leurs équipes, et les transmettent au service RH pour consolidation et validation d’un plan de formation annuel.

4.5 Départ

Un processus formalisé permet de structurer les actions à mener au départ de tout collaborateur, et en particulier la fermeture de ses comptes d’accès aux différentes ressources auxquelles il avait droit.

 

Article 5 –  Authentification – Contrôle d’accès

5.1 Politique de mot de passe

Chaque utilisateur est identifié par un identifiant unique et un mot de passe fort.

La politique de mot de passe pour les utilisateurs des services hébergés est la suivante :

–              Personnalisation par l’utilisateur lors de sa 1ère connexion sur l’environnement de production.

–              Taille minimale : 8 caractères.

–              Complexité : au moins 3 types de caractères différents parmi : minuscules, majuscules, chiffres et caractères spéciaux.

Les mots de passe sont personnels et confidentiels, ils ne sont donc pas stockés par les équipes techniques.

Si pour quelque raison que ce soit un intervenant technique a besoin de connaître le mot de passe d’un utilisateur, il sera demandé à ce dernier de le changer avant de le communiquer au technicien, et il sera obligé de le réinitialiser lors de sa connexion suivante.

Les comptes d’administration suivent les mêmes règles que celles des utilisateurs. Ces mots de passe sont stockés dans une base sécurisée et chiffrée.

5.2 Gestion des droits d’accès

L’administration courante des environnements hébergés est réalisée l’équipe technique de Goovee par l’intermédiaire de comptes d’administration aux droits limités. L’accès par les autres personnels techniques n’est autorisé que pour la durée d’affectation ou d’intervention prévue.

5.3 Revue des droits d’accès

Les droits d’accès d’administration à l’ensemble du Système d’Information d’Goovee sont revus au minimum une fois par an.

 

Article 6 –  Sécurité physique et environnementale

6.1 Hébergement et localisation

L’ensemble de nos serveurs sont hébergés chez OVH sur des serveurs dédiés offrants des configurations et des performances supplémentaires comparées au Cloud. Les serveurs sont intégralement gérés par les équipes de Goovee.

Les données (stockés sur les serveurs) sont hébergées en France sur les sites de Gravelines, Roubaix ou Strasbourg.

La bande passante des serveurs est à 1 Gbps (BP sortante et entrantes).

6.2 Sécurité des datacenters OVH

–        Localisation : centres de données distants de plus de 200 km afin d’assurer redondance et continuité de service. Possibilité de PRA/PCA

–        Sécurité électrique : double alimentation électrique systématique, onduleurs de 250KVA chacun, groupes électrogènes d’une autonomie initiale de 48h, 2 arrivées réseau minimum jusqu’au datacenter ; à l’intérieur, 2 salles réseau jumelles capables de prendre le relai l’une de l’autre.

–        Sécurité physique : présence sur site, accès contrôlés par badge, surveillance vidéo, détection de mouvement et gardiennage 24h /7 ; salles équipées de systèmes de détection de fumée, accès autorisés seulement au personnel d’OVH, avec pour chaque employé un badge RFID nominatif auquel sont associés ses droits d’accès.

–        Sécurité incendie : système de détection et d’extinction d’incendie, portes coupe-feu. Respect de la règle APSAD R4 pour l’installation des extincteurs portatifs et mobiles, et possession du certificat N4 pour tous les centres.

–        Protection anti-DDoS : mise en place de 9 infrastructures anti DDoS d’une capacité de 6x600Gps + 1x 240Gbps + 2x120Gbps dans les centres de données d’OVH.

–        Service 365j x 24h : management, maintenance et supervision des services.

–        Ecoresponsable : 98% des salles d’hébergement dépourvues de climatiseurs, watercooling permettant de dissiper 70% de la chaleur émise par le processeur, l’aircooling permettant d’évacuer les 30% restants. PUE inférieure à 1.2.

–        Conformité aux exigences internationales : OVH est certifié ISO 27001 :2005 pour la fourniture et l’exploitation d’infrastructures dédiées de cloud computing. La société s’appuie sur les normes ISO 27002 et ISO 27005 pour la gestion de la sécurité et l’appréciation des risques et traitements associés, et a reçu les attestations SOC 1 et 2 type II.

 

Article 7 –  Infrastructure Saas, sauvegardes et monitoring

7.1 Sauvegardes

Les applications et leurs données sont sauvegardées quotidiennement. Deux sauvegardes journalières à 03h00 et à 13h00 sont réalisées.

Les données sauvegardées sont les suivantes : base de données et pièces jointes.

Ces données sont stockées sur un serveur dédié isolé des serveurs de production.

7.2 Monitoring

Les serveurs et applications sont monitorés 24h/24, 7j/7 par notre monitoring interne Nagios.

Les composants suivants sont surveillés : PING / CPU / RAM / Espace Disque / Temps de réponse de la page de connexion / Nombre de connexions à la base de données.

En cas de défaillance, des alertes par emails/Chat sont émis aux équipes pour une intervention (en cas de défaillance critique) ou pour surveillance (dans le cas de simple warning).

 

Article 8 –  Respect des exigences européennes

8.1 Droit d’accès à vos données personnelles

Conformément à la règlementation européenne, vous détenez un droit d’accès, de rectification, de suppression, et de limitation du traitement de vos données personnelles. Vous avez également le droit de vous opposer au traitement de vos information sou d’exporter ces dernières vers un autre service. Il vous suffit de contacter Goovee pour exercer votre droit (comment ?).

8.2 Responsable de traitement

Goovee est le responsable de traitement de vos données personnelles, c’est-à-dire que Goovee est chargée de traiter vos informations et de respecter les lois applicables en matière de respect de la vie privée.

 

8.3 Finalités et fondements juridiques

Goovee traite vos données personnelles aux finalités décrites dans la Politique de Confidentialité des données.

Votre consentement est recueilli pour le traitement de vos données personnelles, et vous êtes libre de revenir sur votre consentement à tout moment, dans vos paramètres de confidentialité.

Goovee traite vos données personnelles conformément à ses intérêts légitimes, ainsi qu’à ceux de tiers, tout en appliquant les mesures de protection décrites dans la présente PSTD, et notamment pour effectuer les opérations suivantes :

  • Proposer ses services, en assurer le fonctionnement et les améliorer pour répondre aux besoins de nos utilisateurs ;
  • Développer de nouveaux produits et de nouvelles fonctionnalités ;
  • Comprendre la façon dont ses services sont utilisés afin d’en assurer et d’en améliorer les performances ;
  • Personnaliser ses services afin d’offrir une meilleure expérience utilisateur
  • Mener des actions de marketing en vue de faire connaître ses services auprès des utilisateurs ;
  • Avoir recours à la publicité afin de rendre un grand nombre de ses services disponibles gratuitement pour les utilisateurs ;
  • Déceler, éviter ou traiter des activités frauduleuses, des abus, des atteintes à la sécurité ou tout problème d’ordre technique rencontré par ses services ;
  • Se prémunir contre toute atteinte aux droits, aux biens ou à la sécurité de ses applications, ainsi qu’à ceux de ses utilisateurs, en application et dans le respect de la loi ;
  • Faire respecter des décisions de justice, y compris pour constater d’éventuels cas de non-respect des conditions d’utilisation applicables.

Goovee traite également vos données tout simplement afin de vous fournir un accès à ses applications, ou bien un service auquel vous avez souscrit, un contrat étant conclu entre vous et Goovee dans les deux cas.

Enfin, Goovee traite vos données personnelles pour répondre à une obligation légale de le faire, par exemple pour se conformer à des obligations judiciaires ou administratives.

 

Article 9 –  Traitement des données en tant que Sous-traitant

9.1 Définition

Pour l’application du présent article, les termes suivants doivent être entendus dans le sens défini ci-dessous

Responsable du traitement : désigne une personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel, en l’espèce « vous », lorsque vous ouvrez un espace pro sur une application Goovee.

Personne concernée : personne à laquelle se rapportent les Données personnelles.

Instruction : instruction écrite et documentée, émise par le Responsable du traitement à l’intention du Sous-traitant, lui demandant d’effectuer une action spécifique en ce qui concerne les Données personnelles (y compris, mais sans s’y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition).

Données à caractère personnel : toute information relative à une personne identifiée ou identifiable contenant de telles informations dans les Données des Clients, et protégée de la même manière que les données à caractère personnel ou les informations personnellement identifiables conformément à la Loi sur la protection des données.

Traitement : toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, par exemple la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction de données.

Sous-traitant : personne physique ou morale, autorité publique, service ou autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement, en l’espèce « Goovee ».

9.2 Objet

Le présent article a pour objet de définir les conditions dans lesquelles Goovee s’engage à effectuer pour votre compte des opérations de traitement de données à caractère personnel définies ci-après.

 

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le RGPD »).

9.3 Description du traitement faisant l’objet de la sous-traitance.

Vous autorisez Goovee à traiter les données à caractère personnel nécessaires pour vous fournir le service suivant : hébergement de données sur vos espaces pro.

Dans le cadre de ces services, la nature des opérations réalisées sur les données sont les suivantes : enregistrement, conservation.

Les finalités du traitement sont les suivantes : gestion de la relation client, gestion de la relation fournisseur, gestion de la prise de RDV, gestion et planification de projets.

Les données à caractère personnel traitées sont les suivantes :

  • Nom
  • Prénom
  • Email
  • Téléphone
  • Adresse
  • Achats et informations sur les transactions
  • Contenu d’échanges physique, téléphonique ou électronique
  • Agenda

Ces données à caractère personnel peuvent concerner les catégories de personne suivantes : client, prospect, fournisseur, salarié.

Vous ne devez pas utiliser les applications Goovee et ouvrir un espace pro pour une autre finalité de traitement que celles listées précédemment et vous vous engagez à être l’interlocuteur de Goovee en ce qui concerne la protection des données.

9.4 Durée du service

Le présent article s’applique pour toute la durée de votre utilisation des applications Goovee.

9.5 Obligation de Goovee vis-à-vis du Client.

9.5.1 Goovee s’engage à traiter les données uniquement pour les seules finalités listées au point 9.3.

9.5.2 Vous ne pouvez pas émettre d’instructions. La seule instruction d’ordre général et tacite prise en compte par Goovee sera celle de stocker et d’héberger les données. Goovee considère que le traitement opéré selon cette instruction tacite ne constitue pas une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données. En outre, si Goovee est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit vous informer de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

9.5.3 Goovee s’engage à garantir la confidentialité des données à caractère personnel traitées dans le cadre du Contrat.

9.5.4 Goovee s’engage à veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du Contrat :

  • S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • Reçoivent la formation nécessaire en matière de protection des données par défaut

9.5.5 Goovee s’engage à prendre en compte, s’agissant de ses outils, produits applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

9.5.6 Vous reconnaissez avoir autorisé Goovee à faire appel à l’Hébergeur OVH RCS LILLE METROPOLE 424 761 419 00045 pour mener les activités de traitement relative à la conservation des données dans le cadre du service d’hébergement proposé par Goovee.

En cas de recrutement d’autres sous-traitants ultérieurs, Goovee doit recueillir votre autorisation préalable et spécifique en tant que Owner d’un ou plusieurs espaces pros.

L’Hébergeur ou tout autre sous-traitant ultérieur est tenu de respecter les obligations du présent article pour le compte et selon vos instructions. Il appartient à Goovee de s’assurer que l’Hébergeur ou tout autre sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si l’Hébergeur ou tout autre sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Goovee demeure pleinement responsable devant vous de l’exécution par l’Hébergeur ou tout autre sous-traitant ultérieur de ses obligations.

9.5.7 Il vous appartient de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte de leurs données.

9.5.8 Dans la mesure du possible, Goovee s’engage à vous aider à vous acquitter de votre obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès de Goovee des demandes d’exercice de leurs droits, Goovee doit adresser ces demandes dès réception par courrier électronique à l’interlocuteur que vous avez désigné.

9.5.9 Goovee vous notifie toute violation de données à caractère personnel dans un délai maximum de 36 heures après en avoir pris connaissance par tout moyen. Cette notification est accompagnée de toute documentation utile afin de vous permettre, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

9.5.10 Aide de Goovee dans le cadre du respect de vos obligations. Goovee vous aide pour la réalisation d’analyses d’impact relative à la protection des données.
Goovee vous aide pour la réalisation de la consultation préalable de l’autorité de contrôle.

9.5.11 Les mesures de sécurité que Goovee s’engage à mettre en place sont décrites dans les précédents points de la présente PSTD .

9.5.12 Au terme de la prestation de services relatifs au traitement de ces données, Goovee s’engage à détruire toutes les données à caractères personnel. Une fois détruites, Goovee justifie par écrit de la destruction.

9.5.13 Goovee n’a pas désigné de délégué à la protection des données.

9.5.14 Goovee déclare tenir par écrit un registre qui recense les clients pour lesquels il conserve et enregistre des données dans le cadre de la création d’espaces pros. Aucun autre traitement de données que celui-ci n’est effectué par Goovee pour aucun de ses clients.

9.5.15 Documentation. Goovee met à votre disposition la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par vous ou un autre auditeur que vous avez mandaté, et contribuer à ces audits.

9.6 Obligation du Client vis-à-vis de Goovee.

9.6.16 Vous vous engagez à veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part de Goovee.

9.6.17 Vous vous engagez à superviser le traitement, y compris réaliser les audits et les inspections auprès de Goovee.