La Politique RGPD de PeopleSpheres

Le RGPD ou règlement général sur la protection des données aussi nommé règlement européen 2016/679 du parlement européen et du conseil du 27 Avril 2016 est entré en vigueur le 25 mai 2018. 

Ce texte poursuit l’objectif de renforcer la protection des données des citoyens européens et d’uniformiser les législations sur le sujet pour les différents pays européen.

Ce texte vient donc compléter ou renforcer différents points de notre législation nationale tel que la logique de responsabilités, l’implication des sous-traitants ou le renforcement des droits des personnes physiques à l’égard de leurs données.  

De nouveaux outils pour encadrer la protection des données sont également mis en avant par ce texte. Parmi eux nous pouvons citer le registre des traitements et l’analyse d’impact sur la vie privée.

Si vous souhaitez plus d’informations, vous pouvez consulter notre article dédié à la présentation du RGPD .

Un des principaux apports du RGPD est son périmètre d’application. Ainsi vous êtes concernés par ce règlement si vous remplissez une des deux conditions ci-dessous :  

• Vous traitez des données de citoyens européens  

• Votre organisation est établie dans l’Union Européenne 

De plus, seules les activités professionnelles sont concernées. Il faut ici entendre le terme « professionnelles » en son sens le plus large. Nous faisons ici référence à ce la CNIL nomme « l’exception domestique ». Cette exception s’applique lorsque vous traitez des données dans un but purement personnel comme votre répertoire de contact d’amis et de famille ou encore le stockage de vos photographies de vacances.  

Ainsi que vous représentiez une entreprise (GE, ETI, PME ou encore TPE), une association, une collectivité ou une administration dans le secteur public ou privée en tant que responsable ou sous-traitant ; si vous pouvez répondre « oui » à une des deux conditions précisées ci-dessus, vous êtes soumis au RGPD.  

A ce titre, PeopleSpheres est également soumis aux différentes obligations du RGPD.

Une chaîne de responsabilité revue

Le RGPD redessine la chaîne de responsabilité en attribuant une place spécifique ainsi qu’une part des responsabilités au sous-traitant.  

Aujourd’hui avec le règlement européen, le responsable de traitement a la responsabilité des éléments qu’il est en capacité de maîtriser (dont le choix et l’encadrement de ses sous-traitants), le sous-traitant prend une part de responsabilité sur les éléments dont il a la maîtrise (par exemple éléments techniques de développement, choix et encadrement des sous-traitants ultérieurs) et enfin les sous-traitants ultérieurs ont eux aussi la responsabilité des éléments dont ils sont maîtres.  

Cette répartition des responsabilités doit être clairement établit dans le contrat qui encadre la relation client/fournisseurs.  

A ce titre, PeopleSpheres a revu ses Conditions Générales de Ventes. 

L’encadrement de la sous-traitance du traitement de données personnelles

En tant que responsable de traitement vous devez encadrez votre sous-traitance. Le terme de sous-traitant englobe vos fournisseurs, prestataires et parfois même vos partenaires.
L’encadrement de cette sous-traitance sera premièrement contractuel. En effet, il est primordial de définir contractuellement certains éléments tels que la répartition des responsabilités, les transferts vers des pays tiers non reconnu par l’UE, les sous-traitants ultérieurs, la suppression des données une fois qu’elles ne sont plus nécessaires…

En revanche, vous ne pouvez pas vous limiter à un encadrement contractuel, surtout si votre traitant a accès à des données sensibles. La deuxième mesure d’encadrement est le contrôle, il peut prendre plusieurs formes : un questionnaire d’auto évaluation, un recueil de documentation, un échange direct avec le sous-traitant pour aborder les mesures de sécurité mise en place.

Audit et conception

Cette cartographie nous a permis d’identifier l’ensemble des traitements devant être audités.

Nous avons alors construit des guides d’audits en croisant les obligations des référentiels suivants AFAQ protection des données, Label CNIL gouvernance, recommandation du G29 et texte du RGPD.

Ce guide d’audit a été déployé sur l’ensemble des traitements, ce qui nous a permis d’identifier les inconformités et les axes d’amélioration.

Puis à partir de ces conclusions, nous avons conçu un plan d’action et priorisé les éléments en lien avec la conformité de nos clients.

Application

La phase d’application est la seule phase dont la date de fin n’est pas renseignée car il s’agit d’une dynamique d’amélioration continue. En revanche, PeopleSpheres est d’ores et déjà conforme et continue à améliorer ses pratiques selon les recommandations de la CNIL et de l’ANSSI.

Sécurisation technique de PeopleSpheres

Les bases actives sont hébergées chez Iguane en régions parisienne (France). Notre hébergeur est certifié ISO27001, ISO 50001, TIERS III par Uptime Institute, PCI-DSS et HDS. Il offre donc les mesures nécessaires concernant la sécurité technique et physique des serveurs et des sales de stockages physiques.

Afin de garantir un niveau de sécurité supplémentaire, PeopleSpheres dispose d’un plan de reprise d’activité en deux niveaux :

• En cas d’incident sur le serveur principal ou dans la salle principale de stockage au sein du datacenter, PeopleSpheres réplique la base quotidiennement sur une autre instance située dans une salle distincte.
• En cas d’incident majeur au sein du datacenter, la base est répliquée en temps réel sur d’autres serveurs en France. Ce qui permet en cas d’incident de connecter l’application à cette base directement au lieu de devoir attendre la restauration des données sur la base de production pour relancer les services.

Dans tous les cas, nous garantissons les éléments suivants :

• RPO (Recovery Point Objective) :1h
• RTO (Recovery Time Objective): 24h

La disponibilité des serveurs est contrôlée par des sondes passives et actives. Le taux de disponibilité est de 99,5% annuel.

L’ensemble des bases de données sont chiffrées par une clé AES. Ce sont les API qui déchiffrent et chiffrent les données au moment de la récupération et de la sauvegarde dans la base.  La connexion à la base se fait via TLS.

L’ensemble des accès et actions sont enregistrés et historisés avec des identifiants uniques dans les journaux d’évènements. Les rôles représentent des contraintes logiques d’encadrement et de restriction des visibilités.

Lors de l’ajout d’un champ dans un formulaire, chaque client peut définir pour les différents rôles s’il a droit de modifier, de voir le champ, ou si celui-ci doit être marqué.

Lors de la création d’un champ, il est également possible de définir un niveau de sensibilité du champ.

La gouvernance de la protection des données chez PeopleSpheres

L’ensemble du parc informatique de PeopleSpheres est équipé d’un antivirus mis à jour automatiquement et de manière synchrone.

Les ordinateurs disposent tous d’un système de verrouillage automatique dont la durée est d’un maximum 10 minutes. De plus, la politique de PeopleSpheres impose le verrouillage de l’ordinateur en cas d’absence. Chaque collaborateur est sensibilisé à son arrivée et durant tout le long de son contrat aux risques liés aux traitements de données et au travail sur poste informatisé.

L’utilisation d’espace de stockage nomade autre que ceux contrôlés et délivrés par PeopleSpheres est interdite. L’usage de ce type de moyen de stockage est limité au cas de nécessité.

Dans un objectif d’amélioration continu de ses pratiques, PeopleSpheres a mis en place des actions fréquentes de sensibilisation.

Notamment une sensibilisation forte durant le processus d’intégration d’un nouveau collaborateur ainsi qu’une politique concernant la protection des données remises à chaque nouveau collaborateur.

De plus, des actions récurrentes de sensibilisation sont organisées à minima mensuellement autour de la protection des données.

PeopleSpheres organise annuellement une campagne d’audit interne sur le respect des procédures et de la politique générale concernant le traitement des données personnelles.

PeopleSpheres a également créé un registre des traitements en tant que sous-traitant et en tant que responsable de traitement. Ceux-ci sont mis à jour régulièrement et à minima mensuellement.

L’ensemble des clauses contractuelles ont été revu et adaptés aux nouvelles obligations de même que nos CGV.

Notre conformité est aussi importante que celle de nos clients, en revanche elle ne fait pas tout. Afin de mieux soutenir les sociétés utilisatrices de PeopleSpheres, nous avons créé des guides opérationnels pour les accompagner dans leur propre mise en conformité.  Nous proposons notamment les aides suivantes :

• Guide opérationnel pour le respect du droit d’information tout au long de la carrière d’un collaborateur.
• Guide d’accompagnement à la création du registre des traitements dans le cadre de l’utilisation de MonPortailRH
• Explicitation des bases légales de traitement

Vous pouvez retrouver des articles sur ces thématiques dans les publications de notre blog.

Nous proposons également une analyse d’impact préremplie et une offre d’accompagnement à la mise en conformité.

Enfin, nos clients peuvent compter sur nos consultants pour les conseiller sur les bonnes pratiques en matière de protection des données.