Politique de confidentialité
Notions contractuelles
Les présentes clauses ont pour objet de définir les conditions dans lesquelles ITEA s’engage à effectuer pour le compte de ses clients le traitement de données à caractère personnel.
Dans le cadre de notre relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.
Voici une synthèse des clauses contractuelles liant ITEA à ses clients et inversement.
ARTICLE 10 – TRAITEMENT DES DONNÉES PERSONNELLES
10.1. Données personnelles
Le Client garantit au Prestataire qu’il s’est conformé à la réglementation tant française, que européenne en matière de protection des données personnelles, et qu’il n’a fait l’objet d’aucune action, procédure ou réclamation de la part des autorités de contrôle.
Afin d’être en conformité avec le Règlement Général pour la Protection des Données (RGPD) en date du 14 avril 2016, le Client déclare traiter de manière licite et loyale les données déterminées qui ne sont collectées que pour des finalités déterminées. Ainsi, seules les données adéquates et pertinentes au regard de l’activité du Client sont concernées par la finalité du traitement.
Ces dernières sont exactes, tenues à jour et conservées sous une forme qui doit permettre une identification des personnes concernées pendant la durée nécessaire à leur traitement.
Le Client déclare par ailleurs qu’il a informé les personnes physiques concernées de l’usage qui est fait desdites données personnelles. A ce titre, Le Client garantit Le Prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient reproduites et hébergées via le Service applicatif.
Le Prestataire s’engage à informer Le Client de la localisation des Données et plus généralement, à communiquer toutes les informations utiles et nécessaires pour réaliser les déclarations légales.
10.2. Exploitation des données
Le Client assume seul la responsabilité de l’utilisation des Services Applicatifs.
Le Client est seul responsable de la qualité, de la licéité, de la pertinence des Données et contenus qu’il transmet aux fins d’utilisation des Services applicatifs. Il garantit en outre être titulaire des droits de propriété intellectuelle lui permettant d’utiliser les Données et contenus. En conséquence, le Client décharge le Prestataire de toute responsabilité en cas de non conformité des Données et/ou des contenus au regard de la loi et des règlements, de l’ordre public ou encore des besoins du Client.
Le Client garantit le Prestataire à première demande contre tout préjudice qui résulterait de sa mise en cause par un tiers pour une violation de cette décharge de responsabilité.
Le Client demeure le seul propriétaire des Données constituant le contenu des Solutions.
Utilisation des données dans les flux :
Voici l’extrait de l’article du devis précisant la responsabilité de chacune des parties vis-à-vis du traitement des données personnelles dans le cadre de l’ouverture de flux.
FLUX XML GESTREL - GESTLOC - GESTHEB Module de Flux GESTREL-GESTLOC-GESTHEB Mise à disposition de service web
ATTENTION :
- Chaque propriétaire de données GESTLOC doit notifier par écrit à ITEA toute demande de création de Login. Il est de la responsabilité du propriétaire de la base de données de prendre les garanties auprès du prestataire de l'utilisation qu'il fera de vos données après les avoir copiées par flux
- La restriction d'accès aux disponibilités n'est pas une fonctionnalité du flux, elle nécessite l'acquisition du module "robinet" (ou planning d'ouverture)
Les employés d’ITEA
Sensibilisation à la RGPD :
La formation RGPD "Apprendre à mettre en oeuvre le système de gestion de la protection des données à caractère personnel" (Action collective FAFIEC "RGPD" ref 27864) a été dispensée par l'ENI le 15/06/2018 aux membres suivant d’ITEA :
-Henry Kerloch (Directeur)
-Vincent Lesbordes (Directeur Système d’Information)
-Marc Verdoni (Chef de projet Système)
-Christophe Durand (Chef de projet Système/Téléphonie)
-Cyril Gervais (Chef projet Web)
-Christophe Doublet (Chef de projet Développement)
Cette formation a permis à ces intervenants de mettre en place dans leurs domaines de compétences les mesures nécessaires au respect des directives européennes sur la protection des données personnelles. Les autres employés d’ITEA ont été sensibilisés en interne à ce sujet.
Depuis 2018 la sensibilisation à la RGPD fait partie du cursus de formation classique des personnes exerçant un emploi dans le domaine des sociétés de services informatiques et nous veillons lors des embauches de nos futures collaborateurs à nous assurer de cette sensibilisation.
Procédure d’accueil
Lors de l’arrivée d’un nouveau collaborateur, nous commençons par présenter l’ensemble des règles de confidentialité et de sécurité de l’entreprise en s’assurant que les éléments du contrat de travail et du règlement intérieur ont été compris par le nouvel arrivant.
Il lui est ensuite remis une clef d’accès à l’entreprise ITEA. Cette clef est non reproductible sans l’accord écrit d’Henry Kerloch (directeur). Il est mentionné dans un registre le numéro de la clef qui lui remise en main propre. Le code de l’alarme protégeant l’entreprise peut éventuellement lui être transmis. Il n’est pas donné à l’ensemble des employés.
Ensuite, nous procédons à la création des identifiants personnels uniques qui lui permettront d’avoir un accès sécurisé aux outils nécessaires à son travail. Nous veillons à limiter le droit d’accès de chaque employé à son périmètre de travail et à sa fonction au sein de l’entreprise.
Voici une liste non exhaustive des identifiants qui peuvent être créés :
- Accès à une boîte email d’entreprise,
- Création d’un accès à l’assistance client,
- Création d’un accès à notre outil de développement NetBeans,
- Création d’une clé personnelle SSH pour accéder aux serveurs sur lesquels il doit travailler.
- Création d’un accès à notre système de téléphonie Jitsi.
- etc...
Procédure de départ
Lors du départ d’un collaborateur, nous commençons par récupérer l’ensemble du matériel qui lui a été mis à disposition dans le cadre de sa fonction. Nous récupérons par la même occasion la clef d’accès à ITEA qui lui a été transmise lors de son arrivée.
Nous procédons ensuite à la suppression de l’ensemble de ses accès :
- Verrouillage du compte email
- Suppression de l’ accès à l’assistance client,
- Suppression de l’accès à NetBeans,
- Suppression de la clé personnelle SSH
- Suppression du compte de téléphonie Jitsi.
- etc...
Le contrat de travail d’un employé stipule que celui-ci doit même après la fin du contrat respecter la confidentialité des données sur lesquelles il a travaillé.
Délégué à la protection des données (DPO)
Le délégué à la protection des données (DPO) au sein d’ITEA est Christophe Doublet. Il est l’interlocuteur à privilégier pour les questions de gestion des données personnelles.
Email : christophe.doublet@itea.fr
Téléphone : 02-40-16-16-00
Les données clients
Dans le cadre des contrats qui nous lient avec nos clients et afin de nous permettre de tenir nos engagements envers eux, nous devons collecter un certain nombre d’informations personnelles à leur sujet. La liste de ces donnée et leurs utilisations sont détaillées dans le registre de données disponible sur simple demande par email à equipe@itea.fr
Procédure de sécurisation et de récupération des données
Sécurisation et accès aux ressources
Chaque salarié est identifié sur le réseau informatique de l’entreprise et possède un accès unique aux ressources (documents, Bases de donnée, serveurs,...), que cela soit depuis les locaux de la société, ou depuis l'extérieur (via VPN).
Ces accès sont limités en fonction du rôle du salarié au sein de la société.
Les salariés sont sensibilisés sur le fait qu’aucune donnée (Entreprise ou Client) ne doit être stockée sur leur poste de travail en local.
Les postes de travail des salariés sont équipés d’antivirus.
Stockage et Sauvegarde
Les ressources sont stockées sur différents supports.
Documents interne simple (word,excel,..) :
- Serveur bureautique
- Stockage sur différentes technologies cloud.
Bases de données : disque redondant , haute disponibilité
Sauvegardes quotidiennes sur plusieurs supports différents (Stockage cloud, Disque USB, Serveurs de stockage).
Seuls les membres de l’équipe système ont accès à ces sauvegardes.
Nos sous-traitant
OVH
Il s’engage à traiter les données à caractère personnel du client aux seules fins de la bonne exécution des services et selon ses seules instructions. Les informations hébergées dans le cadre de leurs services restent la propriété du client. ils interdisent toute revente desdites données, de même que toute utilisation à des fins commerciales (telles des activités de profilage ou de marketing direct).
il s’engage également sur une sécurité optimale de leurs infrastructures, notamment en ayant mis en place une politique de sécurité des systèmes d’information et en répondant aux exigences de plusieurs normes et certifications (certification PCI-DSS, certification ISO/IEC 27001, attestations SOC 1 TYPE II et SOC 2 TYPE II, etc.). OVH dispose également d’un agrément hébergement de données de santé (HDS) pour son offre Healthcare.
Pour l’ensemble de ses services, OVH s’engage à mettre en place :
• des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures par des personnes non autorisées ;
• un personnel de sécurité chargé de veiller à la sécurité physique de nos locaux 24 heures sur 24 et 7 jours sur 7 ;
• un système de gestion des permissions permettant de limiter l’accès aux locaux et aux données aux seules personnes habilitées, dans le cadre de leurs fonctions et de leurs périmètres d’activité ;
• un système d’isolation physique et/ou logique (selon les services) des clients entre eux ;
• des processus d’authentification forts des utilisateurs et administrateurs grâce, notamment, à une politique stricte de gestion des mots de passe et au déploiement de certaines mesures de double authentification comme YubiKey ;
• des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur notre système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données de nos clients.
Centralpay
La société CentralPay est agréée auprès de l’autorité de contrôle prudentiel et de résolution (ACPR) en tant qu'établissement de monnaie électronique enregistrée sous le numéro 17138.
CentralPay s’engage à respecter la confidentialité des données qui lui sont confiées dans le cadre de l’exécution du contrat liant les deux sociétés. Les parties restent tenues à cette obligation de confidentialité pendant la durée du contrat et pendant les cinq ans qui suivent la fin de ce contrat.
Centralpay garanti de son respect de la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 (règlement général sur la protection des données ou “RGPD”) applicable à compter du 25 mai 2018 et la loi française N°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
CentralPay est conforme PCI-DSS niveau 1
Important : En cas de changement de sous-traitant, ITEA s’engage à informer l’ensemble de ses clients et à fournir l’ensemble des garanties du nouveau sous-traitant concernant la RGPD.