Saisie de données personnelles sous RGPD (GDPR)
Sous traiter en toute sécurité.
Le 25 mai 2017 la nouvelle loi RGPD (Règlement Général sur la Protection des Données, GDPR en Anglais) est entrée en vigueur, de nombreuses sociétés ne sont toujours pas prêtes. Ce texte bouleverse les habitudes en matière de saisie de données personnelles et modifie grandement le rapport entre le responsable de traitement et ses sous traitants.
pour rappel :
Le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
Le sous traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Par ailleurs la responsabilité du responsable de traitement est engagée avec celle du sous traitant.
Pour rappel le principe général est que les transferts de données à caractère personnel hors du territoire de l’Union européenne sont interdits à moins que le pays ou le destinataire n’assure un niveau de protection suffisant ce qui est notre cas avec nos autres centres en dehors de la Bulgarie. Dans l’immense majorité des cas, à part pour quelques pays, il sera indispensable dans le cas d’un transfert hors EU de présenter des Binding corporate Rules (BCR) & clauses contractuelles types.
En qualité de « sous traitant » en saisie de données personnelles nous sommes donc soumis à des règles strictes devant offrir plusieurs garanties au responsable de traitement à la fois contractuelles, organisationnelles et techniques.
Voici les 3 garanties que nous offrons au responsable de traitement que le traitement se fasse sur notre centre à l’intérieur de L’EU (Plovdiv en Bulgarie) ou en nearshore / offshore avec clauses adaptées.
Un contrat avec des garanties contractuelles en matière de saisie de données personnelles :
- Confidentialité des données
- Propriété intellectuelle des données
- Non diffusion des données
- Non duplication des données
- Délai de stockage des données
- Délai de destruction des données après livraison
- Garantie de non transfert des données vers un pays tiers
- Garantie de non transfert des données vers un sous traitant tiers
Un registre de traitement mise à jour et disponible sur simple demande
Sur ce registre (étant une obligation légale pour les sociétés de plus de 250 salariés) figure :
- Nom et coordonnées de l’établissement principal concerné par le traitement.
- Nom et coordonnées de notre représentant
- Nom du responsable de traitement pour lequel nous agissons (donneur d’ordre)
- Les coordonnées de son DPO (délégué à la protection des données) au sein de son organisation.
- Un historique des catégories de traitement effectués pour le compte du responsable du traitement, à savoir, pour chaque lot traité :
- Une description des catégories de données traitées (par exemple, données d’identification, données financières, données de géolocalisation, etc.
- Une description du traitement (saisie, catégorisation, enrichissement etc)
- Une description des catégories de personnes dont les données sont traitées (ex : clients, visiteurs du site web, prospects, employés, prestataires, mineurs d’âge, etc.)
- Une description générale des mesures de sécurité techniques et organisationnelles que nous avons mises en place. (voir paragraphe suivant)
Des mesures de sécurité techniques et organisationnelles adaptées à la saisie de données personnelles.
Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
Flux des données personnelles entrantes et sortantes
Support papiers :
- Reception des supports par chef de projet dédié (comptage A) dans locaux sécurisés.
- Scan des supports (option) > étape 7 ci dessous puis
- Traitement support digitaux ci dessous à partir de étape 2
- Séparation et distribution vers opérateurs des lots.
- Saisie & traitement (comptage B).
- Archivage des bases de données intermédiaires (chaque lot) et de la base de données générale compilée sur serveur sécurisé par login et mot de passe.
- Récupération des supports après traitement
- Sauvegarde des supports dans piece sécurisée suivant le délai de stockage établi préalablement.
- Livraison de la base de données générale compilée sur SFTP sécurisé selon fréquence définie à l’avance.
- Destruction des supports papiers par déchiqueteur à coupe croisée, effacement définitif des bases de données intermédiaires et archive de la base générale compilée par chef de projet (comptage C) suivant délai de destruction après livraison établi préalablement.
Support digitaux :
- Reception sur SFTP sécurisé par login / pass par chef de projet dédié (comptage A).
- Séparation et distribution vers opérateurs des lots à traiter.
- Saisie & traitement (comptage B).
- Archivage des bases de données (chaque lot) et de la base de données générale sur serveur sécurisé par mot de passe.
- Livraison de la base de données compilée sur SFTP sécurisé selon fréquence définie à l’avance.
- Destruction des supports digitaux, des bases de données intermédiaires et archive de la base générale compilée par chef de projet (comptage C) suivant délai de destruction après livraison établi préalablement.
Accès back office à distance :
- Reception des login/pass nécessaires par SFTP sécurisé vers un chef de projet dédié.
- En option : établissement d’un tunnel, liaison sécurisée VPN vers back office du donneur d’ordre avec IP’s sécurisées et autorisées.
- Distribution des login/pass unitaire vers opérateurs via un module de sauvegarde mot clé (last pass) dont le login/pass maitre n’est pas connu des opérateurs (impossibilité de connaitre les login/pass sans ce login/pass maitre)
- Saisie & traitement.
- Changement du login/pass maitre toutes les semaines
- Effacement de la base login/pass maitre après traitement finaux
Sécurité de l’environnement
Sécurité des locaux
- Business Park : Grade A, sécurité assurée par des vigiles 24X24 365X365
- Caméras de surveillance
- Carte d’accès pour chaque employé
- Matériel Anti incendie
Sécurité des serveurs
- Séparation des serveurs online et serveur offline de stockage
- Stockage a froid aucune entrée internet directe sur serveur de stockage des bases de données
- Admin par user/pass sécurisé (directeur technique)
- Firewall matériel dernière génération
- Surveillance de logs une fois par jour
- Antivirus et malware dernière génération
- Triple disque durs SSD RAID sans accès direct
Sécurité des postes de travail
Chaque station de travail n’a aucun système de sauvegarde (pas de disque dur, port USB bloqué) tout le traitement est sauvegardé sur les serveurs de stockage.
Continuité de l’activité en cas de coupure assurée par un groupe électrogène dans le bâtiment.
Nos normes
ISO 9001:2015
ISO 27001:2013
CMSP (Cisco Cloud and Managed Services Program) certified
Nos mesures de sécurité organisationnelles.
- Sensibilisation de tous nos opérateurs et opératrices de saisie sur la loi RGPD (GDPR) avec une charte informatique faisant partie du règlement intérieur.
- Signature d’un engagement de confidentialité pour chaque personne à vocation de manipuler des données à caractère personnel.
La charte est un rappel :
- Des règles de protection des données et des sanctions encourues en cas de non respect de celles-ci.
- Des modalités d’intervention des équipes chargées de la gestion des ressources informatiques.
- Des moyens d’authentification utilisés.
- Des règles de sécurité auxquelles les utilisateurs doivent se conformer
- Des modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition : postes de travail, les équipements nomades, les espaces de stockage individuel, les réseau locaux, les conditions d’utilisation des dispositifs personnels, l’Internet, la messagerie électronique et la téléphonie.
- Les conditions d’administration du système d’information, et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail.