Foire aux questions RGPD
Depuis le 25 mai 2018, de nouvelles mesures de sécurité relatives au traitement et à la libre circulation des données à caractère personnel sont entrées en vigueur en Europe.
Exalog, a Cegid Company, éditeur du logiciel Cegid Allmybanks, répond ici aux diverses questions que vous pourriez avoir sur ce sujet.
Voici comment Exalog, a Cegid Company, traite les données enregistrées par ses clients dans ses logiciels…
Qu’est-ce que le RGPD ?
RGPD, ou Règlement Général sur la Protection des Données, est le dernier texte Européen de référence pour la protection des personnes physiques concernant le traitement de leurs données à caractère personnel (règlement UE n° 2016/679).
Le règlement définit les droits de ces personnes physiques, et les obligations que doivent respecter les organisations qui manipulent leurs données (on parle de traitement au sens large : manuel ou automatique, et de toute forme d’utilisation, y compris le stockage).
On considère comme « donnée à caractère personnel » toute information propre à une personne qui permet de l’identifier. Il peut s’agir d’un nom, d’un numéro de téléphone, d’une photo, d’une adresse e-mail, etc.
Qui s’occupe du RGPD et de la sécurité des données à caractère personnel chez Exalog ?
Il y a deux personnes en charge de ces aspects chez Exalog :
- Le Directeur des systèmes d’information (DSI)
- Le Délégué à la protection des données personnelles (DPO), désigné afin d’assurer la conformité et la sécurité des traitements au sein de l’entreprise
Si vous souhaitez contacter l’une de ces personnes, vous pouvez utiliser le formulaire disponible ici.
Quelles sont les mesures de protection mises en œuvre par Exalog ?
La société Exalog met en œuvre des mesures techniques et organisationnelles qui assurent la sécurité des données enregistrées par ses clients dans ses logiciels. Parmi elles :
- L’hébergement dans des data centers hautement sécurisés et certifiés ISO 27001 et 22301
- La protection de nos systèmes contre les intrusions et le suivi des mises à jour de sécurité
- Des procédures d’accès à nos logiciels sécurisées (authentification à double facteur)
- Le chiffrement des informations suivantes dans les bases de données :
- Numéros de comptes (IBAN) du client abonné et de ses tiers
- Adresses e-mail des utilisateurs et des tiers
- Numéros de téléphone et fax des utilisateurs et des tiers
- Nom des utilisateurs
- Numéros de cartes bancaires
- Des sauvegardes régulièrement effectuées et archivées sous forme chiffrée
Où sont stockés les données et les logiciels utilisés par les clients d’Exalog ?
Les logiciels Exalog (serveurs et bases de données) sont hébergées dans 2 data centers hautement sécurisés situés en région parisienne (Courbevoie et Aubervilliers) et appartenant à une société d’hébergement reconnue.
Ces deux data centers sont certifiés ISO 27001 (sécurité des systèmes d’information), ISAE 3402 (appréciation des prestations des tiers) et ISO 22301 (management de la continuité d’activité).
Les baies informatiques dans lesquelles les serveurs de nos logiciels sont installés (serveurs de traitement, serveurs de base de données, et serveurs de communication bancaires) sont privées et totalement réservées à Exalog. Seule l’équipe d’Exploitation d’Exalog assure la gestion et la maintenance. Les serveurs et les équipements réseau sont la propriété exclusive d’Exalog.
Comment sont conservées les données enregistrées par les clients d’Exalog dans ses logiciels ?
Les « données à caractère personnel » (noms des utilisateurs, numéros de téléphone ou e-mails, numéros de comptes et de cartes bancaires) enregistrées dans la base de données de nos logiciels sont chiffrées.
Les données en ligne sont conservées pendant la durée définie dans le contrat signé par le client.
En cas de rupture du contrat, Exalog s’engage à supprimer les données du client de la base de données du logiciel mutualisé disponible en ligne, dans un délai de 3 mois après la date de fin du contrat.
Exalog conserve néanmoins des archives des sauvegardes de la base de données mutualisée (données de tous ses clients), réalisées avant cette suppression, pendant une durée maximum de 5 ans. Ces archives sont chiffrées et stockées sur des serveurs dans les mêmes conditions de sécurité d’hébergement que le logiciel.
Le client dispose de la possibilité de demander une récupération d’archives, sur devis.
Comment l'intégrité des données des logiciels Exalog est-elle assurée ?
Les données sont conservées de la manière suivante :
- Une sauvegarde de la base est effectuée toutes les heures
- Les fichiers de sauvegarde sont conservés sur des serveurs de sauvegarde sécurisés, dans les mêmes conditions d’hébergement que le site de production ; ces fichiers sont compressés et chiffrés
- Durée de conservation :
- Les sauvegardes horaires sont conservées 1 semaine avant d’être supprimées
- 1 sauvegarde par semaine est conservée pendant une durée maximale de 1825 jours (5 ans) ; chaque sauvegarde hebdomadaire est supprimée après ce délai
Qui a accès aux données des clients et comment sont-elles partagées ?
Les équipes du Service clients ont accès aux coordonnées des clients (nom, prénom, société, adresse e-mail, téléphone) afin de traiter leurs demandes d’assistance.
Les équipes commerciales, marketing et communication ont accès aux coordonnées des clients (nom, prénom, société, adresse e-mail, téléphone) qui peuvent être utilisées pour l’envoi de newsletters ou de messages promotionnels ciblés. Les données recueillies sont stockées dans notre logiciel de gestion de la relation client (CRM) sécurisé.
Le service Exploitation (rattaché à la DSI) peut également avoir accès aux données clients pour la résolution de bugs. Dans ce cas, les données sont anonymisées.
Les données ont-elles déjà été transférées vers un centre de données situé en dehors de l’Union Européenne ?
Exalog ne transfère aucune donnée de ses logiciels en dehors de l’Union Européenne, ni ailleurs dans le monde.
…ainsi que les données recueillies sur ce site web
Comment sont traitées les données recueillies sur ce site web ?
Lorsque vous remplissez l’un de nos formulaires, les données personnelles recueillies (nom, prénom, adresse e-mail, numéro de téléphone, société) peuvent être utilisées à des fins informatives, commerciales ou promotionnelles. Pour chacun des formulaires, vous êtes prévenus au préalable de l’usage de vos données.
Vous pouvez à tout moment demander la mise à jour, la modification ou la suppression de ces données en cliquant ici. Vos requêtes seront traitées dès que possible, sous un délai maximum d’un mois.
Les données recueillies sur ce site web sont enregistrées dans notre logiciel de gestion de la relation client (CRM) dont l’accès, sécurisé par un login et un mot de passe, est limité au personnel d’Exalog. La connexion au logiciel CRM n’est possible qu’à partir des locaux d’Exalog ou grâce à un VPN. Les données sont stockées dans des data centers certifiés ISO 27001 (sécurité des systèmes d’information), ISAE 3402 (appréciation des prestations des tiers) et ISO 22301 (management de la continuité d’activité).
Qui a accès aux données et comment sont-elles partagées ?
Les équipes commerciales, marketing et communication ont accès aux données recueillies sur ce site web via des formulaires en ligne et peuvent les utiliser pour répondre à des demandes d’information ou pour l’envoi de newsletters ou de messages promotionnels ciblés. Les données recueillies sont stockées dans notre logiciel de gestion de la relation client (CRM) sécurisé.
D’autres questions ?
Si vous avez d’autres questions au sujet du RGPD, nous sommes à votre entière disposition pour y répondre.