La RGPD chez GetQuanty

Politique de protection des données

Avez-vous mis en place une gouvernance en matière de protection des données au sein de votre entreprise ?

  • Oui, notre démarche est documentée sur notre site rgpd-b2b.com

Avez-vous mis en place une politique interne formalisée de protection des données ?

Selon les directives de la RGPD, nous avons entrepris notre mise en conformité depuis Octobre 2017. Pour cela nous avons suivi les étapes suivantes et avons mis en oeuvre le process ci dessous:

  • 1 Data Protection Officer

Notre nouveau data protection officer (DPO) a désormais des pouvoirs élargis. Il exerce un contrôle des règles internes de protection et vérifie leur bonne exécution chez GetQuanty

  • 2 Registre des Traitements

Même si GetQuanty est une entreprise inférieure à 250 employés, nous avons entrepris de tenir un registre actualisé de tous nos traitements de données personnelles. Consultable à tout moment par la Cnil, ce registre comporte le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement (démarchage commercial, analyse statistique…).

  • 3 Données sensibles

Lorsque l’on parle de données sensibles chez GetQuanty, cela pourrait concerner des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.

Notre audit confirme que nous ne gérons aucune donnée sensible de ce type chez GetQuanty. Et si nous devions en gérer un jour, le cryptage ou la pseudonymisation sont déjà mis en oeuvre.

  • 4 Droits des personnes

GetQuanty a mis en oeuvre les procédures permettant d’obtenir :

  •  Le consentement explicite des personnes concernées par nos traitements et nous maintenons la preuve de ce consentement.
  • Le droit à l’oubli est garanti aux individus qui nous en font la demande et leurs données sont bien supprimées dans le délai fixé.
  • Le droit à la portabilité est garanti aux individus qui nous en font la demande et donne la possibilité d’obtenir les données personnelles vous concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.
  • 5 Les fuites éventuelles de données

Même si ce sont des cas extrêmes, Getquanty s’est préparé à la possibilité d’une fuite de données.

Nous avons mis en place les procédures d’escalade qui seront activées en cas de violation de données personnelles. Notre responsable du traitement devra notifier la Cnil dans les 72 heures après en avoir pris connaissance. Nous avertirons dans les meilleurs délais les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de leur mot de passe ou de leurs numéros de cartes bancaires.

Avez-vous mis en place une politique externe formalisée de protection des données ?

Conformité des prestataires : GetQuanty effectue directement la majorité des activités de traitement des données nécessaires pour fournir les services GetQuanty. Cependant, nous employons également des fournisseurs tiers pour nous aider à offrir ces services. Chacun d’entre eux est soumis à une procédure de sélection rigoureuse pour veiller à ce qu’il dispose de l’expertise technique requise et soit en mesure de fournir le niveau de sécurité et de confidentialité adéquat.

 

 

Tenez-vous un registre des traitements mis en œuvre ?

Registre des Traitements

 

 

Le registre des traitements chez GetQuanty tient à jour la documentation interne complète sur nos traitements de données personnelles pour s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Ce registre comprend :

  •  les différents traitements de données personnelles,
  •  les catégories de données personnelles traitées,
  •  les objectifs poursuivis par les opérations de traitements de données,
  •  les acteurs (internes ou externes) qui traitent ces données,
  •  les flux indiquant l’origine et la destination des données.

Qui ? les acteurs (internes ou externes) qui traitent ces données

  •  nom et les coordonnées du responsable du traitement
  •  responsables des services opérationnels traitant les données
  • liste des sous-traitants.

Quoi ? catégories de données personnelles traitées

  • données susceptibles de soulever des risques en raison de leur sensibilité particulière

Pourquoi ? catégories de données personnelles traitées et les finalités pour lesquelles nous collectons et traitons ces données

Ou ? 

  •  origine et la destination des données
  •  lieu où les données sont hébergées.
  • pays ou les données sont éventuellement transférées

Jusqu’à quand ?

  •  conservation des données
  •  temps de conservation des données

Comment ?

  •  sécurité des données

Avez-vous intégré le principe du Privacy by design dans le cadre de vos activités ?

  • Oui , le principe est documenté sur https://www.rgpd-b2b.com/synthese

Avez-vous désigné un data protection officer au sein de votre entreprise ou de votre groupe ?

 

DPO (Data Privacy Officer) : Xavier PAULIK

Notre DPO est un réel « chef d’orchestre » principalement chargé d’informer et de conseiller notre responsable de traitement et nos sous-traitants, mais aussi nos employés.

Concrètement, il s’informe sur les nouvelles obligations, assiste la direction générale sur les conséquences des traitements, en réalise l’inventaire, concoit des actions de sensibilisation et de pilotage en continu la conformité. Il est impliqué en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, toutes les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées lui ont été donnés.

Avez-vous sensibilisé vos salariés sur la protection des données ?

 

Respect de la charte de conduite : Les niveaux et droits d’accès accordés aux employés GetQuanty dépendent de leur poste et de leur rôle. Les employés ont accès aux niveaux d’informations et uniquement à celles qui sont indispensables à l’exercice de leur fonction, à la hauteur des responsabilités qui leur ont été confiées. Tous nos employés adhèrent à notre Charte de bonne conduite

 

Avez-vous mis en place une procédure de gestion des droits des personnes ?

  • Oui, nous gérons les Droits des personnes

GetQuanty a mis en oeuvre les procédures permettant d’obtenir :

  •  Le consentement explicite des personnes concernées par nos traitements et nous maintenons la preuve de ce consentement.
  •  Le droit à l’oubli est garanti aux individus qui nous en font la demande et leurs données sont bien supprimées dans le délai fixé.
  •  Le droit à la portabilité est garanti aux individus qui nous en font la demande et donne la possibilité d’obtenir les données personnelles vous concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.

Avez-vous adopté une procédure de gestion des violations de données à caractère personnel ?

  •  Les fuites éventuelles de données

Nous avons mis en place les procédures d’escalade qui seront activées en cas de violation de données personnelles. Notre responsable du traitement devra notifier la Cnil dans les 72 heures après en avoir pris connaissance. Nous avertirons dans les meilleurs délais les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de leur mot de passe ou de leurs numéros de cartes bancaires.

Avez-vous obtenu un Label délivré par une autorité de contrôle (telle que la Cnil) ?

Nous n’avons pas de label délivré pour la CNIL, mais nous travaillons dans le groupement du Turing Cllub qui travaille avec la CNIL sur ce sujet.

3 – Sécurité Informatique

Sécurité des Infrastructures

Selon le RGPD, le responsable du contrôle des données et le prestataire du traitement doivent mettre en œuvre les mesures techniques et organisationnelles nécessaires pour garantir un niveau de protection adapté au risque encouru.

GetQuanty s’appuie sur le cloud de Google. Google gère une infrastructure mondiale conçue pour garantir un niveau de sécurité de pointe pendant l’intégralité du cycle de vie du traitement des informations. Cette infrastructure est conçue pour garantir la sécurité et la confidentialité de nos services à tous niveaux : déploiement, stockage des données avec boucliers de confidentialité de l’utilisateur final, communications entre les services et avec les clients par Internet, opérations effectuées par les administrateurs. Les services GetQuanty sont exécutés sur cette infrastructure.

Google a conçu la sécurité de l’infrastructure GetQuanty en couches qui se superposent : sécurité physique des centres de données, protections de nos matériels et logiciels, processus utilisés pour soutenir la sécurité opérationnelle. Cette protection en couches crée une sécurité de base solide pour toutes nos activités. Pour en savoir plus sur notre sécurité et son infrastructure, lisez le livre blanc Google Infrastructure Security Design Overview

 

Etes-vous certifié ou labellisé en matière de sécurité ?

  • Nos serveurs sont hébergés chez Google dans une infrastructure en couche sécurisée.

GetQuanty s’appuie sur l’architecture sécurisée de Google Europe. Google garantit une infrastructure mondiale conçue pour garantir un niveau de sécurité de pointe pendant l’intégralité du cycle de vie du traitement des informations effectuées par les administrateurs. Les services GetQuanty sont exécutés sur cette infrastructure.

Avez-vous un RSSI au sein de votre entreprise ?

  • Oui, notre CTO

Existe-il un encadrement contractuel opposable aux salariés et tiers intervenant dans le cadre des prestations ? (clause de confidentialité, charte informatique etc…)

  • Oui, chaque employé adhere  des son embauche a notre charte et politique informatique. Voir chapitre ci dessus

Réalisez-vous des audits de sécurité interne et/ou externe ? Si oui, à quelle périodicité ?

  • Notre CTO est en charge de la revue des audits de sécurité.

 

       A) Pratique

Les serveurs utilisés pour le traitement des données sont-ils accessibles depuis internet (pas de firewall, pas de DMZ) ? sont-ils connectés sur des systèmes d’information externes ?

  • Notre solution est en mode SaaS, donc accessible par Internet a nos clients.

Nous avons fait le choix de choisir la plateforme cloud (la plus) sécurisée du marché : nous avons choisi Google Cloud Platform pour stocker l’ensemble des données de production du service GetQuanty : données administratives de nos clients, remontées des logs analytiques, résolution entrepises, reconnaissance et generation des leads, scoring comportemental, restitution et tableaux de bords. En tant que pionnier du cloud computing, les services cloud de Google sont conçus pour offrir une meilleure sécurité que de nombreuses solutions traditionnelles internalisées. Nous vous proposons de consulter le white paper de google cloud platform sur la sécurité.

https://cloud.google.com/security/overview/whitepaper

Sécurité maximum des données : Nous protégeons et chiffrons tous les échanges et données

Nous utilisons le chiffrement pour protéger les données lors de leur transfert et de leur stockage. nous utilisons les services de Google pour gérer notre infrastructure et notre sécurité. Les niveaux et droits d’accès accordés aux employés GetQuanty dépendent de leur poste.

 

        B) Stockage du fichier et des données

Cette série de questions vise à estimer la vulnérabilité des données qui vous sont confiées, lorsqu’elles figurent sur votre réseau pour les nécessités du traitement.

Lors du traitement, les données sont-elles stockées, même temporairement hors de l’union européenne ?

  • Toutes nos données sont stockées en UE

Si oui, dans quels pays seront stockées les informations ?

  • Pour le marché américain, nous envisageons de stocker nos données sur les serveurs de Goggle aux USA

Veuillez préciser la liste des sites où sont stockées les données ? (site primaire, backup, etc…)

Nom et adresse de la société hébergeant les données ?

  • Google Ireland

Cette société d’hébergement dispose-t-elle d’une certification ? si oui, laquelle ?

  • Nous avons fait le choix de choisir la plateforme cloud (la plus) sécurisée du marché : nous avons choisi Google Cloud Platform pour stocker l’ensemble des données de production du service GetQuanty : données administratives de nos clients, remontées des logs analytiques, résolution entrerpises, reconnaissance et generation des leads, scoring comportemental, restitution et tableaux de bords. En tant que pionnier du cloud computing, les services cloud de Google sont conçus pour offrir une meilleure sécurité que de nombreuses solutions traditionnelles internalisées. Nous vous proposons de consulter le white paper de google cloud platform sur la sécurité.

https://cloud.google.com/security/overview/whitepaper

Assurez-vous la gestion des infrastructures et des systèmes hébergeant les données ?

  • Voir ci dessus

Assurez-vous la gestion des applications manipulant les données ?

  • Oui

Les données sont-elles stockées sur des équipements qui vous sont dédiés ?

  • Voir ci dessus

Les données sont-elles stockées sur des équipements qui nous sont dédiés ?

  • Oui, chez Google

Les machines du traitement sont-elles dédiées au traitement des fichiers sensibles ?

  • Oui, chez google

Quelles mesures de sécurité sont mises en œuvre s’agissant du stockage des données ?

Voir ci dessus

En cas de problème, pourriez-vous récupérer les données ? Si oui, quelle est la méthode de récupération des données ?

  • Méthode de Backup géré chez Google