PROTECTION DES DONNÉES
SpeedMedia et la protection des données à caractère personnel
Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe appliqué à compter du 25 mai 2018. Contrairement à la directive n°95/46/CE qui régissait jusqu’à présent ces traitements, le RGPD est en application directe dans l’Union et ne nécessite donc pas de transposition nationale.
En tant qu’Agence de Voyages ou Tour Opérateur, vous êtes amenés à traiter des données à caractère personnel et il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour SpeedMedia qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.
Définition des termes importants
Le règlement européen comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. Pour éviter tout risque pouvant résulter d’une interprétation trop large ou pas assez précise de ces obligations réglementaires incombant à votre structure, nous avons souhaité reprendre sur cette page les éléments qui vous permettrons de comprendre les enjeux réels et précis de ce règlement en ce qui concerne notre propre rôle.
La bonne compréhension de la définition des quelques termes définis ci-dessous est donc essentielle en ce qui concerne la relation avec nos clients et partenaires :
- « données à caractère personnel » : concerne toutes les informations qui se rapportent à une personne physique identifiée ou identifiable
- « traitement » : concerne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.)
- « responsable du traitement » : concerne la personne physique ou morale, l’autorité, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement
- « sous-traitant » : concerne la personne physique ou morale, l’autorité, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement
SpeedMedia en qualité de sous-traitant
SpeedMedia est qualifiée de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.
C’est typiquement le cas lorsque vous utilisez nos services et stockez des données à caractère personnel sur l’une de nos infrastructures ou logiciels. Dans la limite de nos contraintes techniques mais également des besoins de traitement pour la partie métier, SpeedMedia ne pourra traiter les données stockées que selon vos instructions, et ce pour votre propre compte.
Ainsi, nous stockons par exemple les données de vos clients mais nous ne les traitons. Vous êtes donc responsable du traitement de celles-ci et nous sommes responsables de sécuriser les infrastructures relatives à ces stockages.
Nos engagements en qualité de sous-traitant
En cette qualité de sous-traitant, nous nous engageons notamment à mettre en œuvre les actions suivantes :
- Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : SpeedMedia ne traitera jamais vos informations à d’autres fins (marketing, etc.).
- Ne pas transférer vos données hors Union Européenne ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant (sous réserve que vous n’utilisiez pas ou ne sollicitiez pas vous-mêmes l’utilisation de nos outils via un callcenter ou un datacenter dans une zone géographique hors UE).
- Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, nous vous confirmons qu’aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors de SpeedMedia (sous réserve que vous n’utilisiez pas ou ne sollicitiez pas vous-mêmes l’utilisation de nos outils via un callcenter ou un datacenter dans une zone géographique hors UE).
- Mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
- Vous notifier dans les meilleurs délais en cas de violation de données.
- Vous assister à respecter vos obligations réglementaires en vous fournissant une information adéquate sur les prestations de nos services.
Ces engagements sont également retranscrits au travers de nos Conditions générales de Vente ou au travers de nos Contrats. À ce titre, et sauf conditions particulières, elles sont donc opposables par tout client à SpeedMedia en sa qualité de sous-traitant.
SpeedMedia en tant que responsable de traitement
Typiquement, nous sommes « responsable de traitement » lorsque collectons des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsque nous traitons les données à caractère personnel de nos propres salariés.
Dans cette hypothèse, « vos » données, celles que vous stockez ou que nous stockons sur les services de SpeedMedia, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur SpeedMedia dans le cadre d’une demande d’assistance technique, identité et coordonnées de vos salariés lorsque vous les enregistrez sur nos logiciels à des fins d’utilisateurs ou de groupes d’utilisateurs, par exemple) peuvent l’être.
C’est pourquoi les garanties mises en œuvre par SpeedMedia afin d’assurer la protection de ces données à caractère personnel sont les suivantes :
- imiter la collecte de données à celles strictement utiles : c’est dans le cadre de cette démarche que lors de la commande d’un service, vous ne renseignez que des données nécessaires pour que nous puissions assurer des services de facturation, de support ou encore respecter nos propres obligations légales en matière de conservation de données (notamment sur le fondement de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).
- ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles furent collectées.
- conserver les données à caractère personnel durant une période limitée et proportionnée. C’est ainsi qu’à titre d’exemple, les données traitées à des fins de gestion de la relation avec nos clients (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et, à minima, les trente-six (36) mois suivants. Au terme de ce délai, elles pourront être supprimées sur tous supports et sauvegardes.
- ne pas transférer ces données à des tiers autres que les sociétés apparentées à SpeedMedia (exemples : comptabilité, services généraux, …) qui interviennent dans le cadre de l’exécution du contrat.
- mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.
SpeedMedia et la protection des données à caractère personnel
Il est essentiel de faire la distinction entre la sécurité des données hébergées par le client et la sécurité des infrastructures sur lesquelles ces informations sont hébergées concernant la sécurité des données hébergées par le client : le client est seul responsable d’assurer la sécurité de ses ressources et systèmes d’applications qu’il déploie dans le cadre de l’utilisation de nos services.
Des outils sont mis à disposition par SpeedMedia sur ses logiciels afin d’accompagner le client dans la sécurisation de ses données (concerne par exemple : la création d’identifiants et mots de passe pour les suivis de dossier, les accès au module comités d’entreprises, les listes cadeaux, etc.).
SpeedMedia et la sécurité des infrastructures
Nous prenons les précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel traitées, notamment afin d’empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Nous nous engageons notamment à mettre en place :
- un système d’isolation physique et/ou logique (en fonction des services) des clients entre eux
- des processus d’authentification forts des utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe et de contrôles d’adresses IP.
- des processus et dispositifs permettant de tracer les actions réalisées sur le système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données du client
Concernant la Sécurité des infrastructures, plateformes et logiciels, SpeedMedia distingue et sécurise ses différentes applications et systèmes comme suit :
- Applications « Front End » : Mise en place de SSL. Mise en place de TLS 1.2.
- Applications « Back End » : Restriction par IP pour n’autoriser que :
- les équipes Speedmedia
- la société qui opère l’infrastructure
- les serveurs avec lesquels l’application est amenée à être interconnectée
- Sécurisation par mot de passe ou par clé privée/publique (SSH)
- Applications « Système » : ces applications n’ont pas vocation à discuter avec l’extérieur et sont protégées par une pare-feu qui empêche ainsi :
- d’accéder à l’application (pas d’identifiants)
- d’accéder aux éléments constitutifs de l’application (pas d’autorisation réseau)
- d’intercepter les flux sécurisés (SSL)
- de se connecter au système (pas de clé privée / publique référencée)
- d’intercepter les flux entre les serveurs sur le réseau OVH, OVH déployant des contremesures en ce sens (le MITM est bloqué par OVH, hébergeur des solutions SpeedMedia)