Déclaration de conformité au Règlement Général sur la Protection des Données (RGPD)

Règlement de l’UE 679/2016 ou "RGPD", qu'est ce que c'est ?

A compter du 25 mai 2018, le nouveau “Règlement Général sur la Protection des Données"
(RGPD) entrera en vigueur dans tous les pays de l’Union Européenne, notamment la France.

Ce règlement modifie la loi “Loi Informatique et Libertés” (Loi n°78-17 datée du 6 janvier 1978) et impose aux entreprises d’opérer d’importants ajustements.

Que fait AMEN pour s’adapter au RGPD et aider ses clients ?

Le groupe Dada, auquel appartient AMEN (la “Société”), s’est adapté à la nouvelle législation sur la protection des données en créant le Group Data Protection Compliance Framework.

Ce programme de conformité inclut non seulement des versions actualisées de la documentation interne autorisant les employés à traiter les données personnelles et des politiques de confidentialité régissant le traitement des données personnelles en interne ainsi que dans le cadre de la relation avec la clientèle, ainsi que la mise en place des politiques et procédures faisant partie de la documentation interne générale de la Société. L’essentiel du contenu figure dans la politique de confidentialité publiée sur le site web et dans les contrats signés avec la clientèle.

Les politiques et procédures constituant le Group Data Protection Compliance Framework sont les suivantes :

- les Directives relatives à la gestion des droits d’accès, qui définissent les rôles, obligations et instructions devant être connus et respectés par les personnes en charge du traitement (les “Utilisateurs”) désignées par la Société et d’autres sociétés du Groupe. Elles englobent notamment un programme de formation destiné à tous les Utilisateurs traitant les données personnelles au sein des sociétés du Groupe, afin qu’ils connaissent les responsabilités découlant de chaque traitement de données personnelles ainsi que la nature sensible des activités qu’ils exercent ;

- les Directives pour les sous-traitants, qui s’appliquent à toutes les entités chargées de traiter des données personnelles, qu’il s’agisse de sociétés du Groupe ou de sociétés externes. Leur objectif est de veiller à ce que le traitement des données personnelles respecte les droits, les libertés fondamentales et la dignité des personnes physiques et morales, en particulier la vie privée et la protection des données personnelles ;

- la Politique de gestion des violations des données, qui a pour but de fournir aux Utilisateurs des indications pratiques à suivre en cas de violation des données personnelles. Veuillez noter que si la Société est victime d’une violation des données personnelles dont elle est le responsable du traitement, le respect des obligations résultant des lois sur la protection des données relèvera dans ces circonstances de sa responsabilité exclusive. Si le responsable du traitement des données dont la confidentialité est violée est le client, la Société s’efforcera de collaborer aussi efficacement que possible avec de dernier pour l’aider à s’acquitter de ses obligations en vertu de la loi en vigueur ;

- la Politique relative à la licéité du traitement des données personnelles, qui décrit les principes devant être respectés pour le traitement des données personnelles et énumère les motifs légaux pouvant légitimer le traitement des données personnelles par les sociétés du Groupe Dada ;

- La Politique relative à la conservation des données personnelles, qui présente les critères sur lesquels se base la Société pour déterminer la durée de conservation des données personnelles, déjà spécifiée dans la politique de confidentialité publiée sur le site web ;

- La Politique relative aux outils informatiques, qui a pour objectif de réglementer l’utilisation des outils appartenant aux sociétés du Groupe ainsi que des outils personnels des employés dont l’usage à des fins professionnelles est autorisé ;

- La Politique relative aux transferts de données personnelles, qui définit le cadre légal autorisant les sociétés du Groupe à transférer des données personnelles à des tiers, en particulier lorsque les destinataires sont situés en dehors de l’Union Européenne.

Il convient de noter que le Royaume-Uni reste un Etat-Membre de l’Union Européenne jusqu’en mars 2019, et que le transfert de données personnelles en provenance et à destination du RU ne fera l’objet d’aucune restriction, à l’instar de n’importe quel transfert de données entre la France et n’importe quel autre pays de l’UE, étant donné que le RGPD s’applique intégralement au Royaume-Uni. Par conséquent, si le “Brexit” a officiellement lieu, on peut raisonnablement s’attendre à ce que la Commission Européenne prenne une décision d’adéquation concernant la sécurité du traitement de données personnelles ayant lieu sur le territoire du Royaume-Uni. En fait, le Royaume-Uni a déclaré à ce jour son intention de se conformer en tous points à la législation européenne sur la protection des données personnelles, et de transposer le RGPD dans sa législation nationale.

Dans tous les cas, la sécurité des données est une priorité pour AMEN, qui suivra l’évolution de la procédure du "Brexit" afin de prendre les décisions appropriées.

- les Directives sur la protection des données dès la conception et sur la protection par défaut, qui ont pour but d’illustrer les contrôles internes adoptés par la Société et d’autres sociétés du Groupe (ex : politiques, procédures et mesures de sécurité) afin de s’assurer que toutes les activités de traitement des données personnelles sont conformes aux nouveaux principes de la protection des données dès la conception (privacy by design) et la protection des données personnelles par défaut (privacy by default), stipulés dans l’article 25 du RGPD ;

- les Directives relatives aux requêtes des personnes concernées, qui contiennent des instructions pratiques à suivre lorsque les personnes concernées demandent à exercer leurs droits (ex : accès aux données, portabilité des données, opposition au traitement). Pour en savoir plus sur le droit à la portabilité des données et vous permettre de l’exercer facilement, vous pouvez nous contacter via votre panneau de configuration et/ou en envoyant un courrier électronique à dpo@amen.fr;

- La Procédure sur l’évaluation de l’impact de la protection des données, qui décrit de manière détaillée la procédure et la méthodologie pour les évaluations de l’impact de la protection des données, lorsque la loi l’exige ;

- les procédures régissant la coopération avec les autorités de contrôle, qui contiennent les instructions opérationnelles que la Société a codifiées pour gérer les éventuels contrôles, demandes d’information et inspections de la part de l’autorité de contrôle italienne (Garante per la protezione dei dati personali) concernant la Société ;

- la Procédure d’évaluation des risques pour la sécurité, qui combine une norme d’évaluation des risques ISO spécifique avec une méthodologie pour contrer les menaces informatiques ;

- le Registre des activités de traitement, qui contient toutes les informations concernant les opérations de traitement des données personnelles effectuées par la Société.

Un Délégué à la Protection des Données ("DPO") a été désigné pour accomplir les tâches imposées par le règlement et coordonner les activités locales des DPO d’autres sociétés du Groupe Dada.

La sécurité de vos données est une priorité pour AMEN !

Dans le cadre de la fourniture des services de messagerie électronique, PEC, SPID, de serveur et d’hébergement, la Société applique les mesures de sécurité techniques et organisationnelles énumérées ci-dessous.

Pour en savoir plus sur les mesures de sécurité des services PEC SPID, veuillez vous référer aux modes d’emploi desdits services, établis conformément aux dispositions de l’autorité italienne compétente “Agenzia per l’Italia Digitale” applicables à de tels services, et auxquelles le Groupe Dada est assujetti.

Veuillez consulter également les informations supplémentaires suivantes, concernant les mesures de sécurité adoptées par la Société pour les autres services :

Procédures pour la sécurité des informations

Organisation interne

Des rôles et responsabilités distincts ont été définis pour la sécurité des informations et assignés aux employés de la Société en charge des activités de traitement (ci-après dénommés les "Utilisateurs") afin d’éviter les conflits d’intérêts et de prévenir des activités illicites.

Sécurité des ressources humaines

Appareils mobiles et télétravail

Une politique de sécurité régit l’utilisation de tous les terminaux de la société, en particulier les appareils mobiles, avec la mise en place de contrôles adéquats.

Cessation ou modification de la relation de travail

En cas de cessation d’emploi de l’Utilisateur ou d’évolution de poste significative, les autorisations d’accès sont immédiatement actualisées, et les équipements de l’entreprise sont restitués et réinitialisés, sur le plan physique et théorique.

Gestion des ressources de la société

Responsabilité des ressources et équipements de la société

Tous les équipements de la société sont minutieusement inventoriés, et leur attribution aux divers Utilisateurs responsables de leur sécurité est contrôlée. Une politique a été instaurée afin de garantir leur bon usage.

Classification des informations

Toutes les informations sont classifiées et cataloguées par les Utilisateurs conformément aux exigences de sécurité, et traitées de manière appropriée.

Gestion des supports

Les informations stockées sur des supports sont gérées, contrôlées, modifiées et utilisées de manière à ne pas en compromettre le contenu, et effacées de manière appropriée.

Accès contrôlé

Exigences pour le contrôle de l’accès

Les exigences organisationnelles pour contrôler l’accès aux informations sont documentées dans une politique, et mises en œuvre via une procédure qui limite l’accès au réseau et aux connexions.

Gestion de l’accès des Utilisateurs

L’attribution des droits d’accès aux Utilisateurs est contrôlée, depuis l’inscription initiale des Utilisateurs jusqu’à la révocation des droits d’accès devenus inutiles, y compris les restrictions particulières entourant les droits d’accès privilégiés et la gestion des "données secrètes d’authentification", et fait l’objet de révisions et vérifications périodiques, notamment d’une mise à jour des droits d’accès si nécessaire. Les droits d’accès sont minimisés de manière à permettre à l’Utilisateur d’accéder uniquement aux données personnelles nécessaires pour ses fonctions et son activité. Les droits d’accès additionnels nécessitent une autorisation spécifique.

Responsabilité des Utilisateurs

Les Utilisateurs connaissent leurs responsabilités, notamment grâce au maintien du contrôle efficace des accès, par exemple en choisissant un mot de passe complexe, dont la complexité est vérifiée par le système, et en préservant sa confidentialité.

Systèmes et applications pour contrôler l’accès

L’accès aux informations fait l’objet de restrictions conformément à la politique de contrôle d’accès, via un système d’accès sécurisé et de gestion des mots de passe, le contrôle des utilitaires ayant un accès privilégié, et un accès limité à tous les codes sources.

Cryptage

Contrôle cryptographique

L’utilisation du cryptage des supports et des données Utilisateurs est régie par une politique. Les authentifications sont cryptées

Mesures de sécurité physiques et environnementales

Des mesures de sécurité physiques et environnementales sont en place pour prévenir tout(e) accès, perte ou dissémination de données illicite ou accidentel(le).

Zones sécurisées : centres de données

Les services de la Société sont fournis et hébergés dans plusieurs centres de données à travers le monde. Celui stockant les données personnelles des clients fait partie des rares centres certifiés Niveau IV en Italie, offrant une garantie maximale. Tous les centres de données faisant partie de la chaîne d’approvisionnement sont dotés de circuits électriques et de refroidissement redondants. Tous les centres de données sont équipés d’un éclairage périmétrique ainsi que d’un système de détection de présence avec des caméras en circuit fermé. Les issues de secours sont munies d’une alarme et toutes les alarmes sont concentrées dans les salles de contrôle.

L’accès physique est réglementé et contrôlé par des procédures d’autorisation, de reconnaissance et d’enregistrement. Le système de contrôle d’accès limite l’accès aux zones autorisées.

Equipement

Une politique encadre la destruction de toutes les informations contenues dans les équipements mis au rebut.

Sécurité des opérations

Procédures et responsabilités opérationnelles

Les responsabilités opérationnelles dans le domaine informatique sont documentées, et les changements apportés aux installations et systèmes informatiques sont contrôlés. Il existe un cloisonnement entre les systèmes de développement, de vérification et opérationnels. Certains Utilisateurs sont responsables du bon fonctionnement des procédures, tandis que la gestion de la sécurité des systèmes d’exploitation et applications installés par le client incombe au client des services fournis par la Société (ci-après dénommé le "client").

Protection contre les logiciels malveillants

Le contrôle des virus et logiciels malveillants est actif sur les appareils de la société, et les Utilisateurs sont sensibilisés à ce problème.

En ce qui concerne les services de serveurs virtuels et dédiés, il incombe au client d’installer le logiciel antivirus et logiciel malveillant, voire un pare-feu si le service n’a pas été acheté. Pour ce qui est du service d’hébergement, une protection en temps réel des machines front-end est en place.

Quant au service de messagerie électronique, le volume de courriers électroniques est analysé en temps réel pour les ceux entrants et sortants, dans le but de détecter les virus et logiciels malveillants ainsi que d’identifier et de filtrer le courrier indésirable. L’analyse automatisée est basée sur la nature du contenu, sur l’interrogation des bases de données internationales et sur la réputation acquise en raison d’une série de paramètres.

Sauvegarde

Des sauvegardes périodiques sont effectuées, à l’exclusion des services pour lesquels le client est responsable de la gestion des sauvegardes (serveurs dédiés et virtuels). Pour les services d’hébergement et de courrier, des sauvegardes périodiques sont effectuées, auxquelles le client peut également avoir accès pour les services d’hébergement. Des sauvegardes additionnelles, inaccessibles pour les clients, sont effectuées uniquement pour la reprise après sinistre.

Authentification et suivi

Authentification et synchronisation

Chaque activité et événement lié(e) à la sécurité des informations par les Utilisateurs et administrateurs/opérateurs de systèmes survient après la saisie des identifiants ou des certificats d’identité. Les horloges de tous les équipements sont synchronisées.

Contrôle du logiciel opérationnel

L’installation du logiciel sur les systèmes d’exploitation est contrôlée et suivie.
Concernant les serveurs virtuels et dédiés, les systèmes d’exploitation sont mis à la disposition du client avec des images d’installations actualisées, même lors de l’installation par le client. Il incombe au client de mettre à jour le firmware et les applications ou le logiciel qu’il installe.

Gestion des vulnérabilités techniques

Gestion des correctifs

Chaque vulnérabilité technique est rectifiée avec des correctifs appropriés. Des procédures sont mises en place pour toutes les phases d’essai ainsi que pour l’installation du logiciel et des mises à jour, qui intervient uniquement lorsque les essais sont positifs.

Audit des systèmes d’information

Des contrôles périodiques sont effectués afin de vérifier que tout effet négatif sur les systèmes de production est minimisé et qu’aucun accès non autorisé aux données n’est possible.

Sécurité des communications

Gestion de la sécurité du réseau

La séparation des réseaux et services en ligne garantit également leur sécurisation.

Transfert d’informations

Le transfert d’informations en provenance et à destination de tiers est couvert par des contrats.

Acquisition, développement et maintenance du système

Sécurité des processus de développement et d’assistance

Les règles régissant la sécurité de développement des logiciels et systèmes sont définies dans une documentation spécifique. Les modifications apportées au système (pour les applications et les systèmes d’exploitation) sont contrôlées. La sécurité des systèmes est testée, et les critères d’éligibilité, incluant les aspects de sécurité, sont définis.

Relation avec les fournisseurs

Sécurité des informations dans les relations avec les fournisseurs

Des contrats ou accords sont établis dans le but de protéger, et de réglementer le traitement des informations de la société et des clients, accessibles à des tiers opérant dans le domaine informatique, ou à d’autres fournisseurs tiers faisant partie de la chaîne d’approvisionnement.

Gestion des services rendus par le fournisseur

La fourniture de services par les fournisseurs est contrôlée et sa conformité avec le contrat est vérifiée. Chaque changement apporté au service fait l’objet d’un contrôle.

Gestion des incidents affectant la sécurité des informations

Gestion des incidents affectant la sécurité des informations et améliorations

Des responsabilités et procédures spécifiques gèrent de manière cohérente et efficace tous les événements et incidents affectant la sécurité des informations (procédure de Violation des Données).

Aspects de la sécurité des informations liés à la continuité des opérations

Redondances

Toutes les principales installations informatiques sont redondantes afin de répondre aux exigences de disponibilité. Lorsque cette redondance n’existe pas, des mesures adéquates sont prises pour garantir la continuité du service ou la minimisation de la perte de données.

Conformité

Conformité avec les exigences légales et contractuelles

La société identifie et documente ses obligations envers les autorités et tiers en relation avec la sécurité des informations, la propriété intellectuelle, la documentation comptable et la confidentialité.

Revue de la sécurité des informations

Les projets liés à la sécurité des informations et les politiques de sécurité sont révisés, et des actions correctives sont entreprises si nécessaires.