Déclaration relative à la sécurité des informations

Introduction

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) a pris force de loi dans tous les États membres de l’Union Européenne. 

Le nouveau règlement remplace la loi relative à l’informatique, aux fichiers et aux libertés (Loi du 6 janvier 1978) qui a été élaborée à un moment où la plus grande partie du traitement des données se basait encore sur un support papier. La compréhension de l’impact que la technologie allait avoir sur la façon de traiter les données était aussi limitée à cette date.

Le RGPD est conçu pour offrir une législation efficace pour le traitement des données au 21e siècle. Les principes fondamentaux sont en grande partie les mêmes que ceux contenus dans la loi sur la protection des données. Cependant il est important de bien comprendre certains changements et améliorations si vous voulez rester en conformité avec la nouvelle loi.

Dans ce document nous allons vous expliquer quelques-uns des points essentiels du RGPD, et comment nous les mettons en œuvre en tant que sous-traitant de vos données. Veuillez noter que ce document décrit uniquement comment SMSEnvoi traite vos données en tant que sous-traitant. Afin d’éviter toute ambiguïté, précisons qu’il s’agit des données que vous nous transférez dans l’objectif de transmettre des messages. Ces données seront désignées dans ce document comme les « données de l’utilisateur final ». Ce sont les données que vous contrôlez et que vous nous demandez par contrat de traiter en votre nom. Vous pouvez consulter notre politique de confidentialité sur ce site si vous souhaitez savoir comment nous traitons vos données en tant que responsable du traitement.

Le consentement

Il s’agit d’une des bases légales du traitement des données en vertu de la loi sur la protection des données, et probablement le motif le plus courant de traitement. En vertu du RGPD, les exigences requises pour utiliser le consentement comme votre base légale sont plus élevées que jamais. Le consentement doit être obtenu, enregistré et géré d’une façon beaucoup plus complète qu’en vertu de la loi sur la protection des données existante jusqu’alors. La CNIL a rédigé un guide donnant des indications sur les changements concernant les conditions requises pour le consentement dans le cadre du RGPD.

Le service que nous vous fournissons signifie que SMSEnvoi est le sous-traitant des données que vous partagez avec nous dans l’objectif de transmettre des messages, et vous êtes le responsable du traitement.

SMSEnvoi  agit uniquement sur vos instructions et traite vos données pour envoyer des messages à vos utilisateurs finaux. SMSEnvoi n’obtient pas, n’enregistre pas et ne gère pas le consentement des personnes concernées, en votre nom. Vous avez la responsabilité en tant que responsable du traitement de vous assurer que vous détenez, et pouvez utiliser pour démontrer si nécessaire, des documents attestant du consentement des personnes concernées pour que nous transmettions des messages en utilisant les informations que vous nous fournissez. Nous n’interagissons pas directement avec vos utilisateurs finaux en tant que SMSEnvoi. Toutes les communications sont envoyées sur vos instructions comme si elles provenaient directement de vous. Nous n’apparaissons pas dans le processus de livraison des messages.

La conservation des données

SMSEnvoi comprend qu’une trop grande rétention de données n’est compatible ni avec les anciennes règles de protection des données, ni avec les nouvelles. En conséquence, SMSEnvoi ne conserve pas vos données de messagerie plus de deux ans après que vous ayez envoyé la communication.

Les données d’identification personnelle (DIP) contenues dans les champs sont effacées après la période de rétention, avant d’être complètement supprimées. Les données de messagerie se limitent au numéro de téléphone et le contenu du message.

Le stockage des DIP se fait dans des environnements sécurisés dont l’accès est contrôlé et séparé de tous les autres réseaux de SMSEnvoi. Le matériel dans ces environnements sécurisés appartient à SMSEnvoi.

Les mesures de protection des données

Les mesures de protection des données adoptées par SMSEnvoi sont basées sur la norme de sécurité de l’information ISO27001. Cette norme s’applique à tous les secteurs de l’entreprise ; nos environnements de production et de bureau sont certifiés sur une base annuelle par un auditeur externe agréé.

Une version à l’intention des clients de notre manuel de système de management de la sécurité de l’information (SMSI) détaillant ces mesures est disponible sur demande pour les clients. Le manuel décrit la façon dont SMSEnvoi met en œuvre les contrôles de la norme ISO 27001

Pour donner un aperçu général, SMSEnvoi a entre autres pris les mesures suivantes :

Contrôle de l’accès

• L’accès des employés à tous nos systèmes est contrôlé par un nom d’utilisateur et un mot de passe unique. SMSEnvoi a une politique concernant les mots de passe qui établit des exigences minimales de complexité et des procédures pour s’assurer que tous les membres du personnel changent leur mot de passe régulièrement
• Tout accès chez SMSEnvoi se base sur le moindre privilège. Ainsi, les employés n’ont accès qu’à la quantité minimale de données dont ils ont besoin pour faire leur travail.
• L’accès aux données des clients est fortement limité en raison de notre politique du « moindre privilège ». Tous les accès sont réexaminés fréquemment pour s’assurer que les procédures concernant les nouveaux arrivants, ceux qui changent de poste et ceux qui quittent l’entreprise sont respectées par toutes les équipes concernées.

Les pare-feux

• Nous utilisons des pare-feux sur tous les éléments de notre infrastructure qui sont en relation avec internet pour protéger les données et contrôler le trafic entrant et sortant de l’entreprise. Des pare-feux sont également activés sur tous les équipements des employés en tout temps.
• Des IDS et IPS sont activés sur les pare-feux de notre environnement de production.

Antivirus

• Tous nos équipements et serveurs sont protégés grâce à des logiciels appropriés antivirus, anti-spyware et anti-malware, en temps réel.
• Une politique anti-malware est en place pour s’assurer que le personnel est pleinement conscient de ses obligations et n’entrave pas le fonctionnement de l’application.

Des équipements sécurisés y compris les ordinateurs portables et les téléphones mobiles

• Tous les ordinateurs portables et téléphones mobiles de l’entreprise disposent d’un disque complètement crypté et sont protégés par un mot de passe individuel. Toute documentation créée par SMSEnvoi doit être stockée sur un espace de stockage sécurisé en ligne, jamais sur les équipements des employés
• Les données des clients sont uniquement stockées au sein des environnements de production de SMSEnvoi.  Nos employés ne stockent pas les données des clients sur leur équipement et ne traitent pas les données en dehors de nos environnements de production sécurisés. Étant donné que la majorité de notre personnel utilise des ordinateurs portables, le stockage amovible n’est généralement pas nécessaire. S’il est utilisé, le stockage amovible est soumis aux mêmes contrôles que ceux décrits dans notre politique concernant les dispositifs mobiles et dans celle concernant le stockage des données clients
• Les employés sont informés des risques liés au fait de sortir l’équipement de l’entreprise à l’extérieur, et de l’importance de protéger leur propre équipement.

Données en transit / cryptage

• Tous les transferts d’informations sur les utilisateurs finaux de nos clients depuis les équipements informatiques et les réseaux appartenant et étant contrôlés par SMSEnvoi se font par connexions VPN. Il s’agit de la façon dont vos données sont transmises aux opérateurs de réseaux pour la transmission de messages.
• Les connexions entre vous et nos systèmes sont sécurisées en fonction de la méthode utilisée :
• Si vous vous connectez à nous en utilisant nos applications web, la connexion est cryptée et authentifiée à l’aide de TLS 1,2.
• Si vous utilisez une automatisation SFTP pour transférer des fichiers à SMSEnvoi  la connexion est sécurisée par SSH
• Si vous vous connectez à nous en utilisant une de nos API – la sécurité de la connexion dépendra de votre intégration. Nous vous recommandons vivement d’utiliser HTTPS dans votre intégration avec nous, plutôt que HTTP.

La sauvegarde, la reprise après sinistre et la continuité des opérations

Nous programmons et effectuons des sauvegardes régulières pour nous assurer que toutes les données sont stockées en toute sécurité et sûreté, et qu’elles restent disponibles pour des besoins de restauration dans des situations de reprise après sinistre.

• Nous effectuons des sauvegardes complètes du système de serveurs et des bases de données sur une base quotidienne.
• Des sauvegardes du journal des transactions sont effectuées toutes les 15 minutes.
• Les sauvegardes sont stockées dans notre centre de données de reprise après sinistre
• Nous avons des plans de continuité des opérations et de reprise après sinistre pour nous assurer de minimiser les dommages commerciaux des problèmes majeurs qui affectent le personnel, le bureau, les emplacements de centres de données et les équipements.

La surveillance

• Notre équipe des opérations surveille continuellement notre plateforme. SMSEnvoi dispose d’une équipe dédiée disponible sur appel qui s’assure que toutes les plateformes sont surveillées 24h/24, 7j/7, 365j/an. Tout problème est soumis aux parties prenantes et fera l’objet de procédures rigoureuses de gestion des incidents afin de garantir que notre domaine demeure sécurisé et sans erreur.
• Nous souscrivons à des médias de l’industrie spécialisés dans la vulnérabilité, et examinons toutes les failles connues de l’industrie sur une base régulière. Les nouvelles menaces sont évaluées tous les jours. Lorsque nous découvrons que nous utilisons un composant potentiellement vulnérable, le risque est évalué dans le contexte de nos activités commerciales et de notre environnement et s’il y a lieu, nous corrigeons le problème dès que possible.
• Nous avons mis en place des processus pour nous assurer que tout équipement de stockage de données soit physiquement détruit en fin de vie de manière sécuritaire. Nous ne recyclons pas les moyens de communication et nous gardons des copies des certificats de destructions émis par nos fournisseurs.
• Nous effectuons des essais de pénétration sur une base annuelle en utilisant un fournisseur tiers certifié. En plus de cela, nous réalisons des analyses de vulnérabilité internes et externes en utilisant des fournisseurs de scannage autorisés et des applications d’évaluation de la vulnérabilité.

L’éducation et la formation des employés

Tous les employés :

• font l’objet d’un examen préalable à l’emploi stricte conformément à notre politique d’embauche. Ils doivent réussir des tests d’aptitude et passer un certain nombre de contrôles avant qu’une offre d’emploi complète soit faite. Ces contrôles comprennent : les études, les emplois, le droit de travailler et une vérification des antécédents judiciaires. Des contrôles additionnels sont requis pour certains postes p.ex. dans le cas des services financiers ;
• Ils sont formés à l’importance de la sécurité des données chez SMSEnvoi et prennent connaissance des mesures qu’ils doivent suivre pour protéger les données personnelles, celles de l’entreprise et celles des clients dans le cadre de leur processus d’intégration, et dans le cadre de notre initiative de formation continue en ligne tous les mois.
• Tous les employés ont des obligations de confidentialité clairement énoncées dans le cadre de leur contrat de travail.

Les politiques et les procédures

En plus de ce qui précède, nous maintenons, appliquons et soutenons des politiques et procédures de la norme ISO27001 pour

• la sécurité des locaux ;
• la sécurité des données détenues sur site ;
• le stockage, la suppression et l’élimination sécurisés des données des clients ;
• l’interdiction d’utiliser des appareils et comptes personnels à des fins professionnelles ;
• l’utilisation acceptable du matériel appartenant à SMSEnvoi.

Toutes ces mesures et l’intégralité des systèmes ISO font l’objet d’audits internes par l’équipe de la conformité et d’audits externes par notre organisme accréditeur tiers, sur une base annuelle. L’équipe de la conformité procède également à des inspections de sécurité sur une base ad hoc pour s’assurer que certaines politiques sont respectées par tous les membres du personnel.

Les risques

SMSEnvoi évalue tous les risques d’une façon continue. Les évaluations de risques décrivent des plans de traitement qui agissent comme des recommandations pour aider l’entreprise à réduire l’impact et/ou la probabilité des risques identifiés. Les risques et les plans de traitement sont examinés régulièrement. Nous évaluons les risques liés à nos systèmes, notre personnel, nos actifs et nos activités opérationnelles. SMSEnvoi a identifié ceci comme un domaine pour lequel, bien que conforme à des exigences telles que celles de la norme ISO 27001, nous adhérons au principe d’amélioration continue.

Nous utilisons un logiciel pour entreprise de gestion des risques pour soutenir et améliorer notre approche de la gestion des risques. Nous identifions les dépendances comme des risques pour notre entreprise, et les objectifs de sécurité à travers des inventaires de risques, avec des activités qui en découlent pour traiter efficacement ces risques.

Les notifications de violation

SMSEnvoi  prend toutes les mesures ci-dessus pour sécuriser vos données dans le cadre de nos activités de traitement. Dans le cas d’une violation de données, nous vous informerons dans les 24 heures après avoir pris connaissance qu’un problème de sécurité a conduit à une violation de données y compris les données du client.

Nous avons aussi

• mis en place des mesures de sécurité dans nos systèmes informatiques, nos réseaux et nos pratiques commerciales en général pour détecter et répondre aux problèmes de sécurité de façon efficace.
• mis au point une procédure de réponse pour réagir face à tous les incidents, et formé notre personnel sur la réponse à avoir.
• établi des communications aux clients en cas d’incident.

Les délégués à la protection des données

SMSEnvoi dispose d’une équipe de conformité dédiée qui est responsable de toutes les questions, requêtes, problèmes et interrogations concernant la protection des données pour toute l’organisation. SMSEnvoi n’est actuellement pas tenu de nommer un délégué à la protection des données (DPD) en vertu des critères fixés par le RGPD. Cependant ce poste sera régulièrement examiné.

Vous pouvez contacter votre gestionnaire de compte pour toute question concernant la protection des données. Les demandes d’accès des personnes concernées sont détaillées dans la section ci-dessous.

Les droits des personnes concernées

En tant que sous-traitant, SMSEnvoi ne répondra pas directement aux demandes formulées par un de vos clients dont nous avons traité les données. Nous vous contacterons pour vous informer de la demande et vous aider à respecter vos obligations en vertu du RGPD. Des exemples de cas pour lesquels nous pouvons avoir besoin d’aider à satisfaire les droits d’une personne concernée comprennent :

Les demandes d’accès d’une personne concernée

Ce droit existait déjà dans la loi sur la protection des données et devrait être un concept familier pour la plupart des responsables du traitement. Les principaux changements dans le RGPD sont :

• Les délais – les responsables du traitement disposent maintenant d’un mois civil pour répondre à une demande d’accès d’une personne concernée. Le délai a été réduit puisqu’il était auparavant de 40 jours
• Les frais – en vertu du DPD, les responsables de traitement peuvent facturer des « frais raisonnables » pour toute demande d’accès d’une personne concernée. Les frais généralement admis sont de 10 €. Ceci change avec le RGPD. La première copie des données demandées par une personne concernée doit être fournie gratuitement. Les responsables du traitement peuvent facturer des frais raisonnables pour les exemplaires additionnels.

Les données que vous transférez à peuvent être mis à disposition à cette fin, à condition qu’elles soient toujours stockées par nous. Les demandes d’accès des personnes concernées peuvent être faites auprès de SMSEnvoi.  Des frais sont redevables pour des demandes de cette nature – veuillez contacter votre gestionnaire de compte pour plus de détails. Les demandes d’accès des personnes concernées seront traitées dans les 30 jours suivant la réception de votre demande.

Les droits à l’oubli et à l’effacement

On a beaucoup parlé des améliorations apportées à ce droit en vertu du RGPD ; il va donner aux personnes concernées le droit de demander à ce que leurs informations soient supprimées si elles s’opposent à leur traitement, ou le droit de retirer leur consentement. Alors que les améliorations ne donnent pas le droit absolu à l’oubli, elles aboutiront à un plus grand nombre de demandes de suppression reçu par les responsables du traitement.

Les demandes de suppression de données spécifiques peuvent être portées à l’attention de votre gestionnaire de compte.

Les registres de l’activité de traitement

SMSEnvoi est un sous-traitant en ce qui concerne toutes les informations du client. En tant que tel, nous ne traitons les données que sur vos instructions et dans le but de fournir un service de messagerie faisant partie de l’exécution du contrat existant entre vous et nous. Nos activités de traitement ont pour seules fins la transmission et la livraison de messages à vos utilisateurs finaux.

Nous conservons un registre de tous les messages que nous envoyons en votre nom conformément à notre politique de conservation des données. Comme indiqué dans la section concernant la conservation des données, la durée est de deux ans maximum à compter de la date d’envoi de la communication.

Les transferts à des tiers

SMSEnvoi transmet vos informations aux opérateurs de réseaux dans le but de livrer votre message au téléphone de l’utilisateur final ou à l’équipement connecté au point de terminaison du réseau. Ce type de transfert est indissociable de la fourniture de nos produits et services.

Pour les communications SMS en France nous utilisons uniquement nos connexions directes aux réseaux mobiles français pour nous assurer de pouvoir suivre vos données depuis notre système jusqu’au téléphone de l’utilisateur final.

Nous avons effectué un audit approfondi de tous les réseaux tiers que nous utilisons afin de nous assurer que chaque fournisseur a pris les mesures techniques et organisationnelles adéquates requises pour fournir des normes de sécurité qui soient sensiblement similaires à celles décrites dans le présent document pour notre propre structure.

Nous avons également conclu (ou sommes en voie de conclure) des contrats avec tous les tiers pour solidifier les obligations de protection des données de toutes les parties, et renforcer les exigences minimales précisées dans tout accord de traitement des données entre vous et nous envers nos fournisseurs.

L’accord de traitement de données

SMSEnvoi a conçu un accord de traitement des données que nos clients peuvent utiliser pour s’assurer de respecter leurs obligations en tant que responsable du traitement en vertu du RGPD. Notre accord de traitement des données est disponible sur demande auprès de votre gestionnaire de compte et fait partie de nos conditions générales mises à jour et disponibles. 

Les cartes de données

Au sein du cadre de confidentialité, SMSEnvoi a réalisé une cartographie complète des données de nos systèmes afin de fournir des « cycles de vie des données » pour tous les DIP que nous traitons et contrôlons. Des versions de nos cartes de données destinées à notre clientèle seront créées dans les prochaines semaines et seront disponibles sur demande pour vous aider à répondre à vos obligations en vertu du principe de responsabilité du RGPD. Vous pouvez contacter votre gestionnaire de compte qui sera en mesure de partager avec vous les cartes de données spécifiques aux produits et services que vous utilisez.

L’évaluation d’impact sur la protection des données (DPIA)

Nous comprenons que certains types de traitements peuvent exiger de nos clients qu’ils réalisent une DPIA pour démontrer qu’ils ont pris en compte les droits et libertés des personnes concernées avant de s’engager dans leur projet de traitement des données. SMSEnvoi est un fournisseur de service de communications d’entreprise et n’a aucune visibilité sur le contenu que vous envoyez à travers notre plate-forme. Si vos activités de traitement sont considérées à haut risque, ou que vous traitez des catégories spéciales de données, vous pouvez avoir besoins de notre contribution concernant votre DPIA. Veuillez vous adresser à votre gestionnaire de compte pour toute requête de cette nature.