Déclaration relative à la sécurité des informations

Introduction

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) a pris force de loi dans tous les États membres de l’Union Européenne. 

Le nouveau règlement remplace la loi relative à l’informatique, aux fichiers et aux libertés (Loi du 6 janvier 1978) qui a été élaborée à un moment où la plus grande partie du traitement des données se basait encore sur un support papier. La compréhension de l’impact que la technologie allait avoir sur la façon de traiter les données était aussi limitée à cette date.

Le RGPD est conçu pour offrir une législation efficace pour le traitement des données au 21e siècle. Les principes fondamentaux sont en grande partie les mêmes que ceux contenus dans la loi sur la protection des données. Cependant il est important de bien comprendre certains changements et améliorations si vous voulez rester en conformité avec la nouvelle loi.

Dans ce document nous allons vous expliquer quelques-uns des points essentiels du RGPD, et comment nous les mettons en œuvre en tant que sous-traitant de vos données. Veuillez noter que ce document décrit uniquement comment SMSEnvoi traite vos données en tant que sous-traitant. Afin d’éviter toute ambiguïté, précisons qu’il s’agit des données que vous nous transférez dans l’objectif de transmettre des messages. Ces données seront désignées dans ce document comme les « données de l’utilisateur final ». Ce sont les données que vous contrôlez et que vous nous demandez par contrat de traiter en votre nom. Vous pouvez consulter notre politique de confidentialité sur ce site si vous souhaitez savoir comment nous traitons vos données en tant que responsable du traitement.

Le consentement

Il s’agit d’une des bases légales du traitement des données en vertu de la loi sur la protection des données, et probablement le motif le plus courant de traitement. En vertu du RGPD, les exigences requises pour utiliser le consentement comme votre base légale sont plus élevées que jamais. Le consentement doit être obtenu, enregistré et géré d’une façon beaucoup plus complète qu’en vertu de la loi sur la protection des données existante jusqu’alors. La CNIL a rédigé un guide donnant des indications sur les changements concernant les conditions requises pour le consentement dans le cadre du RGPD.

Le service que nous vous fournissons signifie que SMSEnvoi est le sous-traitant des données que vous partagez avec nous dans l’objectif de transmettre des messages, et vous êtes le responsable du traitement.

SMSEnvoi  agit uniquement sur vos instructions et traite vos données pour envoyer des messages à vos utilisateurs finaux. SMSEnvoi n’obtient pas, n’enregistre pas et ne gère pas le consentement des personnes concernées, en votre nom. Vous avez la responsabilité en tant que responsable du traitement de vous assurer que vous détenez, et pouvez utiliser pour démontrer si nécessaire, des documents attestant du consentement des personnes concernées pour que nous transmettions des messages en utilisant les informations que vous nous fournissez. Nous n’interagissons pas directement avec vos utilisateurs finaux en tant que SMSEnvoi. Toutes les communications sont envoyées sur vos instructions comme si elles provenaient directement de vous. Nous n’apparaissons pas dans le processus de livraison des messages.

La conservation des données

SMSEnvoi comprend qu’une trop grande rétention de données n’est compatible ni avec les anciennes règles de protection des données, ni avec les nouvelles. En conséquence, SMSEnvoi ne conserve pas vos données de messagerie plus de deux ans après que vous ayez envoyé la communication – sauf instruction contraire – par exemple lorsqu’un service de conservation zéro jour a été appliqué au compte.

Les données d’identification personnelle (DIP) contenues dans les champs sont effacées après la période de rétention, avant d’être complètement supprimées. Les données de messagerie se limitent au numéro de téléphone et le contenu du message.

Le stockage des DIP se fait dans des environnements sécurisés dont l’accès est contrôlé et séparé de tous les autres réseaux de SMSEnvoi. Le matériel dans ces environnements sécurisés appartient à SMSEnvoi.

Les mesures de protection des données

Les mesures de protection des données adoptées par SMSEnvoi sont basées sur la norme de sécurité de l’information ISO27001. Cette norme s’applique à tous les secteurs de l’entreprise ; nos environnements de production et de bureau sont certifiés sur une base annuelle par un auditeur externe agréé.

Une version à l’intention des clients de notre manuel de système de management de la sécurité de l’information (SMSI) détaillant ces mesures est disponible sur demande pour les clients. Le manuel décrit la façon dont SMSEnvoi met en œuvre les contrôles de la norme ISO 27001

Pour donner un aperçu général, SMSEnvoi a entre autres pris les mesures suivantes :

Contrôle de l’accès

Les pare-feux

Antivirus

Des équipements sécurisés y compris les ordinateurs portables et les téléphones mobiles

Données en transit / cryptage

La sauvegarde, la reprise après sinistre et la continuité des opérations

Nous programmons et effectuons des sauvegardes régulières pour nous assurer que toutes les données sont stockées en toute sécurité et sûreté, et qu’elles restent disponibles pour des besoins de restauration dans des situations de reprise après sinistre.

La surveillance

L’éducation et la formation des employés

Tous les employés :

Les politiques et les procédures

En plus de ce qui précède, nous maintenons, appliquons et soutenons des politiques et procédures de la norme ISO27001 pour

Toutes ces mesures et l’intégralité des systèmes ISO font l’objet d’audits internes par l’équipe de la conformité et d’audits externes par notre organisme accréditeur tiers, sur une base annuelle. L’équipe de la conformité procède également à des inspections de sécurité sur une base ad hoc pour s’assurer que certaines politiques sont respectées par tous les membres du personnel.

Les risques

SMSEnvoi évalue tous les risques d’une façon continue. Les évaluations de risques décrivent des plans de traitement qui agissent comme des recommandations pour aider l’entreprise à réduire l’impact et/ou la probabilité des risques identifiés. Les risques et les plans de traitement sont examinés régulièrement. Nous évaluons les risques liés à nos systèmes, notre personnel, nos actifs et nos activités opérationnelles. SMSEnvoi a identifié ceci comme un domaine pour lequel, bien que conforme à des exigences telles que celles de la norme ISO 27001, nous adhérons au principe d’amélioration continue.

Nous utilisons un logiciel pour entreprise de gestion des risques pour soutenir et améliorer notre approche de la gestion des risques. Nous identifions les dépendances comme des risques pour notre entreprise, et les objectifs de sécurité à travers des inventaires de risques, avec des activités qui en découlent pour traiter efficacement ces risques.

Les notifications de violation

SMSEnvoi  prend toutes les mesures ci-dessus pour sécuriser vos données dans le cadre de nos activités de traitement. Dans le cas d’une violation de données, nous vous informerons dans les 24 heures après avoir pris connaissance qu’un problème de sécurité a conduit à une violation de données y compris les données du client.

Nous avons aussi

Les délégués à la protection des données

SMSEnvoi dispose d’une équipe de conformité dédiée qui est responsable de toutes les questions, requêtes, problèmes et interrogations concernant la protection des données pour toute l’organisation. SMSEnvoi n’est actuellement pas tenu de nommer un délégué à la protection des données (DPD) en vertu des critères fixés par le RGPD. Cependant ce poste sera régulièrement examiné.

Vous pouvez contacter votre gestionnaire de compte pour toute question concernant la protection des données. Les demandes d’accès des personnes concernées sont détaillées dans la section ci-dessous.

Les droits des personnes concernées

En tant que sous-traitant, SMSEnvoi ne répondra pas directement aux demandes formulées par un de vos clients dont nous avons traité les données. Nous vous contacterons pour vous informer de la demande et vous aider à respecter vos obligations en vertu du RGPD. Des exemples de cas pour lesquels nous pouvons avoir besoin d’aider à satisfaire les droits d’une personne concernée comprennent :

Les demandes d’accès d’une personne concernée

Ce droit existait déjà dans la loi sur la protection des données et devrait être un concept familier pour la plupart des responsables du traitement. Les principaux changements dans le RGPD sont :

Les données que vous transférez à peuvent être mis à disposition à cette fin, à condition qu’elles soient toujours stockées par nous. Les demandes d’accès des personnes concernées peuvent être faites auprès de SMSEnvoi.  Des frais sont redevables pour des demandes de cette nature – veuillez contacter votre gestionnaire de compte pour plus de détails. Les demandes d’accès des personnes concernées seront traitées dans les 30 jours suivant la réception de votre demande.

Les droits à l’oubli et à l’effacement

On a beaucoup parlé des améliorations apportées à ce droit en vertu du RGPD ; il va donner aux personnes concernées le droit de demander à ce que leurs informations soient supprimées si elles s’opposent à leur traitement, ou le droit de retirer leur consentement. Alors que les améliorations ne donnent pas le droit absolu à l’oubli, elles aboutiront à un plus grand nombre de demandes de suppression reçu par les responsables du traitement.

Les demandes de suppression de données spécifiques peuvent être portées à l’attention de votre gestionnaire de compte.

Les registres de l’activité de traitement

SMSEnvoi est un sous-traitant en ce qui concerne toutes les informations du client. En tant que tel, nous ne traitons les données que sur vos instructions et dans le but de fournir un service de messagerie faisant partie de l’exécution du contrat existant entre vous et nous. Nos activités de traitement ont pour seules fins la transmission et la livraison de messages à vos utilisateurs finaux.

Nous conservons un registre de tous les messages que nous envoyons en votre nom conformément à notre politique de conservation des données. Comme indiqué dans la section concernant la conservation des données, la durée est de deux ans maximum à compter de la date d’envoi de la communication.

Les transferts à des tiers

SMSEnvoi transmet vos informations aux opérateurs de réseaux dans le but de livrer votre message au téléphone de l’utilisateur final ou à l’équipement connecté au point de terminaison du réseau. Ce type de transfert est indissociable de la fourniture de nos produits et services.

Pour les communications SMS en France nous utilisons uniquement nos connexions directes aux réseaux mobiles français pour nous assurer de pouvoir suivre vos données depuis notre système jusqu’au téléphone de l’utilisateur final.

Nous avons effectué un audit approfondi de tous les réseaux tiers que nous utilisons afin de nous assurer que chaque fournisseur a pris les mesures techniques et organisationnelles adéquates requises pour fournir des normes de sécurité qui soient sensiblement similaires à celles décrites dans le présent document pour notre propre structure.

Nous avons également conclu (ou sommes en voie de conclure) des contrats avec tous les tiers pour solidifier les obligations de protection des données de toutes les parties, et renforcer les exigences minimales précisées dans tout accord de traitement des données entre vous et nous envers nos fournisseurs.

L’accord de traitement de données

SMSEnvoi a conçu un accord de traitement des données que nos clients peuvent utiliser pour s’assurer de respecter leurs obligations en tant que responsable du traitement en vertu du RGPD. Notre accord de traitement des données est disponible sur demande auprès de votre gestionnaire de compte et fait partie de nos conditions générales mises à jour et disponibles. 

Les cartes de données

Au sein du cadre de confidentialité, SMSEnvoi a réalisé une cartographie complète des données de nos systèmes afin de fournir des « cycles de vie des données » pour tous les DIP que nous traitons et contrôlons. Des versions de nos cartes de données destinées à notre clientèle seront créées dans les prochaines semaines et seront disponibles sur demande pour vous aider à répondre à vos obligations en vertu du principe de responsabilité du RGPD. Vous pouvez contacter votre gestionnaire de compte qui sera en mesure de partager avec vous les cartes de données spécifiques aux produits et services que vous utilisez.

L’évaluation d’impact sur la protection des données (DPIA)

Nous comprenons que certains types de traitements peuvent exiger de nos clients qu’ils réalisent une DPIA pour démontrer qu’ils ont pris en compte les droits et libertés des personnes concernées avant de s’engager dans leur projet de traitement des données. SMSEnvoi est un fournisseur de service de communications d’entreprise et n’a aucune visibilité sur le contenu que vous envoyez à travers notre plate-forme. Si vos activités de traitement sont considérées à haut risque, ou que vous traitez des catégories spéciales de données, vous pouvez avoir besoins de notre contribution concernant votre DPIA. Veuillez vous adresser à votre gestionnaire de compte pour toute requête de cette nature.