POLITIQUE EN MATIÈRE DE SÉCURITÉ

[Dernière mise à jour: 3 juillet 2018]

Avanquest Software SAS connue sous le nom de “Avanquest Software SAS” (“Société“, “nous“, “notre” ou “nos“) prend la sécurité des informations très au sérieux et a élaboré la présente déclaration et politique de sécurité (“Politique de sécurité“) de manière à révéler les pratiques qu’elle utilise pour préserver les données personnelles traitées au travers de ses services, produits et sites web (“Service(s)“). Nous avons mis en place les mesures techniques et organisationnelles ci-dessous pour protéger les données personnelles que nous traitons contre la perte, les actes illicites, la destruction illégale, l’altération, la divulgation ou l’accès non autorisé, etc.

Dans le cadre de notre processus de conformité au Règlement général sur la protection des données (“RGPD“), nous avons préparé la présente Politique de sécurité afin de vous fournir un résumé des mesures et politiques de sécurité appliquées. Par ailleurs, nous demandons à nos partenaires et employés de se conformer à ces normes et de mettre en œuvre les mêmes mesures de sécurité dans le cadre de leur collaboration avec nous.

LA PRÉSENTE POLITIQUE DE SÉCURITÉ DÉCRIT LES PRATIQUES ACTUELLES DE LA SOCIÉTÉ EN MATIÈRE DE SÉCURITÉ À LA DATE “DERNIÈRE MISE À JOUR” INDIQUÉE CI-DESSUS. NOUS CONTINUERONS DE METTRE À JOUR CETTE POLITIQUE DE TEMPS À AUTRE, COMME L’EXIGENT LES LOIS APPLICABLES ET NOS POLITIQUES INTERNES.

Contrôle de l’accès aux systèmes

La base de données de la Société n’est accessible que par un nombre minimal d’employés et de membres du personnel de la Société, et uniquement à partir des bureaux de la Société. L’accès aux systèmes est restreint et repose sur des procédures visant à s’assurer que les approbations appropriées sont fournies uniquement dans les limites requises. En outre, les fonctionnalités d’accès à distance et sans-fil sont restreintes et nécessitent une protection de la part des utilisateurs comme des systèmes. Les systèmes sont également protégés et seuls les employés autorisés peuvent y accéder en utilisant un mot de passe précis et des dispositifs de protection des noms d’utilisateur.

Contrôle de l’accès physique

La Société sécurise les accès physiques à ses bureaux. La Société sécurise l’accès à ses bureaux et veille à ce que seules les personnes autorisées y aient accès, comme c’est le cas des employés. L’ensemble des visiteurs et des personnes extérieures à la Société qui se rendent sur le site de la Société sont en permanence accompagnés par les employés de la Société. La Société utilise les Services web de datacenter d’iWeb, qui est donc son principal sous-traitant en matière de stockage. Par conséquent, si vous voulez davantage d’informations, la Société vous recommande de consulter la page https://iweb.com/legal/gdpr. Lorsque les données personnelles sont transférées aux serveurs concernés, elles sont toujours sécurisées et cryptées. De plus, la Société a conclu des accords de traitement de données applicables et contraignants avec ses fournisseurs et ses clients.

Contrôle de l’accès aux données

Tout accès à une base de données, un système ou un espace de stockage se fait uniquement sur autorisation et avec une protection par mot de passe. Par ailleurs, l’accès aux données personnelles est limité aux seuls employés qui “ont besoin de les connaître” et est protégé par des mots de passe et des noms d’utilisateur. L’accès aux données personnelles est sécurisé et géré par des politiques de contrôle d’accès. La Société emploie des mesures de sécurité de haut niveau pour éviter que les données personnelles soient consultées, modifiées, copiées, utilisées, transférées ou supprimées sans autorisation spécifique. La Société vérifie tous les accès à la base de données, et tout accès autorisé est immédiatement signalé et traité. Chacun des employés est en mesure d’effectuer des actions uniquement en fonction des autorisations accordées par la Société. Chaque accès fait l’objet d’une journalisation et d’une surveillance, et tout accès non autorisé est automatiquement signalé. En outre, la Société procède à un examen régulier de la liste des employés détenteurs d’autorisations afin de déterminer si un accès est toujours nécessaire. La Société révoque l’accès dès la cessation de la relation de travail. Les individus autorisés peuvent uniquement accéder aux données personnelles établies dans leurs profils individuels.

Sécurité organisationnelle et opérationnelle

La Société forme ses employés et ses prestataires de services, consultants et fournisseurs et les sensibilise aux questions d’évaluation des risques liés au traitement des données personnelles. Des tests de sécurité internes sont réalisés de manière régulière. L’équipe informatique de la Société assure la sécurité de l’ensemble du matériel et des logiciels en installant des logiciels de protection contre les programmes malveillants sur les ordinateurs pour les protéger contre toute utilisation malveillante et contre les programmes malveillants, ainsi que différents autres dispositifs: détection des virus sur les terminaux, analyse des pièces jointes, analyses de la conformité du système, options de traitement des informations pour l’exportateur de données en fonction du type de données, sécurité du réseau, analyse des vulnérabilités des systèmes et des applications, transfert sécurisé des courriels, etc. Il incombe à chaque individu travaillant dans la Société de se conformer à ces pratiques et normes.

Contrôle des transferts

L’objectif du contrôle des transferts est de s’assurer que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées par des tiers non autorisés durant leur transmission électronique ou durant leur transport ou stockage dans le datacenter concerné. Qui plus est, tous les transferts de données (entre les serveurs, entre un client et un serveur et entre les partenaires désignés de la Société) sont sécurisés (HTTPS) et cryptés.

Contrôle de disponibilité

Les serveurs de la Société incluent une procédure de sauvegarde automatique. La stratégie de sauvegarde de la Société comprend des sauvegardes quotidiennes automatisées. Des contrôles périodiques sont effectués pour déterminer si les sauvegardes ont bien eu lieu. La Société s’est assurée que l’ensemble des documents, y compris mais sans limitation les contrats, les conditions d’utilisation des politiques de confidentialité en ligne, etc., étaient conformes au RGPD. Notre département juridique a veillé à la mise à jour de notre documentation juridique de manière à ce qu’elle reflète les éventuels changements et inclut les dispositions obligatoires imposées par le RGPD.

Conservation des données

Les données personnelles et les données brutes sont supprimées dès que possible ou dans les délais légaux applicables.

Supervision des tâches

Les employés, les clients et les sous-traitants concernés ont tous signé des accords contraignants qui comprennent les dispositions applicables concernant les données et des obligations en matière de sécurité des données. Dans le cadre du processus d’embauche, les employés font l’objet d’une présélection et ont accès à la base de données uniquement après avoir suivi une formation, ce qui permet de s’assurer qu’ils sont bien informés et suffisamment responsables pour traiter les données personnelles. Les employés sont tenus de se conformer à la présente Politique de sécurité en plus des procédures et politiques de sécurité internes. Toute violation ou tout non-respect sera sanctionné par des mesures disciplinaires. Pour s’assurer que les employés restent au fait des politiques et des législations applicables, la Société organise une formation annuelle sur la conformité qui comprend un volet sur la sécurité des données.

EXCLUSION DE RESPONSABILITÉ: LA PRÉSENTE POLITIQUE NE CONSTITUE PAS UN AVIS JURIDIQUE QUE VOTRE SOCIÉTÉ DOIT UTILISER POUR SE CONFORMER AUX LOIS EUROPÉENNES SUR LA PROTECTION DES DONNÉES PERSONNELLES, TELLES QUE LE RGPD. ELLE FOURNIT PLUTÔT DES INFORMATIONS D’ORDRE GÉNÉRAL POUR VOUS AIDER À MIEUX COMPRENDRE COMMENT, CHEZ AVANQUEST SOFTWARE, NOUS AVONS ABORDÉ CERTAINS POINTS JURIDIQUES IMPORTANTS. CES INFORMATIONS JURIDIQUES N’ONT RIEN À VOIR AVEC UN AVIS JURIDIQUE, C’EST-À-DIRE LORSQU’UN AVOCAT APPLIQUE LA LOI À VOTRE SITUATION PARTICULIÈRE. NOUS INSISTONS DONC POUR QUE VOUS CONSULTIEZ UN AVOCAT SI VOUS SOUHAITEZ OBTENIR DES CONSEILS SUR L’INTERPRÉTATION OU L’EXACTITUDE DE CES INFORMATIONS. VOUS NE POUVEZ EN AUCUN CAS VOUS APPUYER SUR LE PRÉSENT DOCUMENT EN TANT QU’AVIS JURIDIQUE, NI EN TANT QUE RECOMMANDATION POUR UNE COMPRÉHENSION PARTICULIÈRE DE LA LOI.