Articles dans cette section

Conformité RGPD : quel traitement de vos données personnelles ?

Avatar
administratif
  • Mise à jour
S’abonner

Compilatio accorde une grande importance à la protection de vos données personnelles, conformément au nouveau Règlement Général sur la Protection des Données (RGPD).

Important :
Pour recevoir les mises à jour de cet article, nous vous invitons à vous abonner en cliquant sur le bouton “S’abonner”.

Définitions

Données personnelles 

Une donnée à caractère personnel représente toute information se rapportant à une personne physique identifiée ou identifiable.

Responsable du traitement

Le responsable de traitement est la personne physique ou morale responsable du traitement de données à caractère personnel qu’il collecte pour une ou plusieurs finalités.
Il est le garant du respect de son ou ses traitements vis-à-vis de la législation en vigueur.

Service

Un ou plusieurs service(s), fourni(s) par Compilatio SAS

Utilisateur

Un individu avec un accès individuel et personnel à un (ou plusieurs) service fourni par Compilatio.

Toutes les définitions sur le site de la CNIL : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4


Engagements de Compilatio

Conformément à l'article 28 du RGPD, Compilatio s’engage à :
  • faire appel à des sous-traitants disposant de garanties suffisantes (mesures techniques et organisationnelles) pour effectuer les activités de traitement de Données à Caractère Personnel (DCP). 
  • assumer toute responsabilité en lien avec les sous-traitants et s'engage à informer le client un mois à l'avance en cas de modification de la liste de ceux-ci.
  • traiter uniquement les données à caractère personnel à partir d'une instruction du responsable de traitement (transferts compris) ;
  • s'assurer que toutes personnes pouvant être amenées à traiter les DCPs s'engagent à respecter la confidentialité de ces DCPs ;  
  • s'assurer que les traitements des DCPs, garantissent des mesures de sécurité (techniques et organisationnelles) appropriées et adaptées aux risques ;
  • assister le responsable de traitement pour ses obligations de réponses aux demandes d'exercice de droit des personnes concernées ;
  • se conformer aux exigences du RGPD lors d'un risque de violation de données (communication et assistance au responsable de traitement) ;
  • accompagner le responsable de traitement sur les analyses d'impact relatives à la protection des données et les échanges avec les autorités de contrôle ;
  • supprimer (ou retourner sur demande) les DCPs dans un délai de 6 mois après la fin de la relation d'affaires sur les services ;
  • assister le responsable de traitement pour la justification à la conformité au RGPD.

Responsabilité de l’utilisateur

L’utilisateur est considéré comme le responsable du traitement de ses données personnelles.
A ce titre, Compilatio lui fournit des interfaces, des outils et/ou des procédures lui permettant de consulter, modifier, exporter ou supprimer l’ensemble de ses données.

En tant qu’utilisateur d’un service, vous définissez seul dans quelle finalité vous demandez un traitement de vos données personnelles par un service Compilatio.
C’est pourquoi vous êtes seul responsable des conséquences que ce traitement pourrait avoir, en cas de non respect des droits et des libertés d’un tiers. 

Réalisation d’un traitement

En tant que sous-traitant, Compilatio effectue les traitements uniquement sur demande explicite et documentée de l’utilisateur.
La documentation se fait par l’utilisation d’une fonctionnalité prévue dans l’interface, par la rédaction d’une demande de support, par un email de l’utilisateur, ou dans un compte rendu d’appel téléphonique rédigé par un membre de l’équipe Compilatio.

Hébergement et traitement des données personnelles

Les données personnelles des utilisateurs sont hébergées sur des centres de serveurs gérés par les sociétés suivantes. Liste des prestataires d’hébergements et de traitement de données, utilisés par Compilatio pour :

Fonctionnement des services

OVH

Conformité RGPD :
https://www.ovh.com/fr/protection-donnees-personnelles/gdpr.xml
Localisation des centres de serveurs :
https://www.ovh.com/fr/apropos/datacentres.xml
Data Centers spécifiquement utilisés : “France”

Echanges de données et documents par moyens électroniques (notamment e-mail) pour les échanges avec le service support

ZENDESK

Conformité RGPD :
https://www.zendesk.fr/company/customers-partners/eu-data-protection/

Centres de serveurs spécifiquement utilisés : “Europe”

A propos des centres de serveurs :
https://www.zendesk.com/company/policies-procedures/regional-data-hosting-policy/

Echanges des données et de documents avec les membres de l’entreprise Compilatio

GOOGLE – SERVICE G-SUITE

Conformité RGPD :
https://gsuite.google.fr/intl/fr/terms/dpa_terms.html
Localisation des centres de serveurs :
https://www.google.com/about/datacenters/inside/locations/index.html

ZOHO CORP. – SERVICE ZOHO ONE

Conformité RGPD :
https://www.zoho.eu/fr/gdpr.html
Centres de serveurs spécifiquement utilisés : “Europe”
A propos des centres de serveurs

:
https://www.zoho.com/general/blog/zoho-data-centers-in-europe.html
Security Policy :
https://www.zoho.eu/security.html

Note concernant la mise à jour de la liste des fournisseurs

Cette page est mise à jour à chaque évolution de la liste des sous-traitants. Les changements de prestataires y sont annoncés 1 mois à l’avance.

 

Confidentialité des données

Tous les employés de la société Compilatio SAS qui sont susceptibles de manipuler des données à caractère personnel sont tenus à la plus stricte confidentialité par une clause contractuelle de confidentialité. Compilatio s’engage à ne pas utiliser ni céder les données des utilisateurs à d’autres fins que pour les besoins de conception, d’exécution, de maintenance et d’amélioration des services de l’entreprise.

 

Sécurité des données

Une attention particulière est portée sur les aspects suivants de la sécurité :

La résilience – rester opérationnelle et performante, même en cas de défaillance d’un ou plusieurs serveurs
La disponibilité – les données sont accessibles en permanence, même en cas de défaillance d’un ou plusieurs serveurs
La pérennité – la capacité de récupérer des données corrompues ou accidentellement perdues suite à un incident
Le contrôle d’accès – les données ne sont accessibles que pour les utilisateurs et les traitements autorisés

En vue d'assurer un niveau de sécurité adapté à la nature des données, et aux risques d'atteinte aux droits et libertés des utilisateurs, Compilatio SAS met notamment en oeuvre les mesures suivantes :

  • Restriction des accès aux outils via des comptes nominatifs nécessitants login et mot de passe

  • Restriction des accès ssh serveur via login / mot de passe

  • Ajout d'un système bloquant l'adresse IP d'un utilisateur ayant effectué trop de tentatives infructueuses

  • Sauvegarde journalière des bases de données

  • Backup journalier des serveurs web

  • Mise en cluster de la base de données contenant les documents des utilisateurs

  • Chiffrement TLS des communications client/serveur (https)

  • Monitoring des serveurs avec remontée automatique d'erreur

  • Protocole de gestion des incidents serveurs

  • Eléments de sécurité organisationnelle tels que la restriction des accès aux bâtiments par badge, ou encore une clause de confidentialité pour l'ensemble des employés

Auto-évaluation CSA STAR CAIQ v3.1 du service SaaS Magister : https://cloudsecurityalliance.org/star/registry/compilatio

 

Procédure pour l’exercice des droits de l’utilisateur

Rappel des droits de l’utilisateur en matière de données personnelles : 

  • Accès aux données
  • Rectification des données
  • Suppression des données
  • Exportation des données disponibles sur un support numérique, sous un format “structuré” (ex : fichier .xls, .csv, .xml)
  • Limitation et opposition aux traitements des données

Procédures

Toutes les données personnelles collectées lors de l’utilisation des services Compilatio sont consultables et modifiables grâce aux fonctionnalités proposées dans les interfaces des services.

Le Responsable des traitements de Compilatio SAS est M. Frédéric AGNES. Si vous souhaitez adresser une demande particulière pour faire valoir vos droits sur vos données personnelles, envoyez votre demande via le formulaire à l’adresse : https://support.compilatio.net/hc/fr/requests/new, ou écrivez à l’adresse gdpr@compilatio.net

Propriété des données personnelles

L’utilisateur conserve la propriété intellectuelle de ses données personnelles. A échéance du contrat entre l’utilisateur et Compilatio ou entre l’organisation à laquelle appartient l’utilisateur et Compilatio, toutes les données à caractère personnel sont supprimées dans les délais prévus contractuellement.

Dans le cas d’un abonnement à un service Compilatio souscrit par une organisation, qui met le service à disposition de ses membres : après suppression d’un compte utilisateur, l’organisation cliente ne peut conserver les documents de l’utilisateur que si elle atteste contractuellement être propriétaire des droits de ces documents. L’organisation cliente assume seule les conséquences d’une éventuelle atteinte aux droits relatifs aux documents.

 
 
 

Articles associés