La RGPD chez AGS Cloud
TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Règlement européen sur la protection des données dit RGPD (règlement UE 2016/679)
Introduction
Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018. Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales. À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.
Si vous êtes une structure traitant des données à caractère personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour AGS Cloud qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.
Définitions
- données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
- traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
- responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
- sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
AGS Cloud en qualité de sous-traitant
C’est certainement en cette qualité que vos attentes envers AGS Cloud sont les plus importantes. AGS Cloud est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.
C’est typiquement le cas lorsque vous utilisez les services d’AGS Cloud et stockez des données à caractère personnel sur une infrastructure AGS Cloud. Dans la limite de ses contraintes techniques, AGS Cloud ne pourra traiter les données stockées que selon vos instructions, et ce pour votre compte.
Communication et transfert des Données à Caractère Personnel
AGS Cloud s’engage :
à s’abstenir de diffuser ou de communiquer les Données à Caractère Personnel à des tiers, y compris d’éventuels Sous-traitants Ultérieurs, à moins que la Réglementation relative à la Protection des Données ou le Contrat ne le prévoie expressément ou que le Client l’y autorise par écrit ; et
à mettre en oeuvre les mesures pour garantir le respect des droits des personnes concernées par les données de santé dont notamment :
➢ Permettre aux individus d’obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services. Ce droit à la portabilité permet de déplacer, de copier ou de transférer facilement des données personnelles d’un environnement informatique à un autre de manière sûre et sécurisée, sans affecter leur utilisabilité.
➢ Documenter, en interne sous forme de registre toute violation qui se produirait et de notifier cette même violation à la CNIL au plus tôt et dans un délai maximal de 72 heures
➢ Formaliser à travers des PIA les analyses d’impacts relatives à la protection des données ( AIPD) telle que prévues par le RGPD.
à s’abstenir de transmettre, diffuser ou stocker des Données à Caractère Personnel dans un pays tiers à l’Union Européenne, sans accord préalable et exprès du Client. Si AGS Cloud est tenu de procéder à un transfert de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel elle est soumise, elle doit en informer le Client avant le traitement et justifier du caractère impératif de cette obligation, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
en cas de transfert de données personnelles hors de l’Union Européenne ou vers un pays ne bénéficiant pas de décision d’adéquation à :
➢ signer les Clauses Contractuelles Types conformément à la Réglementation relative à la Protection des Données ;
➢ prendre toutes les mesures techniques et organisationnelles nécessaires à la garantie de la protection et de la confidentialité des informations transmises conformément à la Réglementation relative à la Protection des Données.- Adresse email
- Prénom
- Nom
- Téléphone
- Poste au sein de l’entreprise cliente
- Fourniture du(des) Service(s) ;
- Relation commerciale, paiement, facturation
- Prospection sur le service souscrit ;
Dans le cadre du Contrat, les Parties pourront recueillir, collecter et/ou avoir accès à des données à caractère personnel (« DCP ») au sens de du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »), relatives à des personnes physiques et notamment aux salariés et clients de l’autre Partie et aux salariés de sous-traitants et/ou partenaires de l’autre Partie.
Les Parties s’engagent à traiter ces DCP dans le respect du RGPD et chacune des Parties garantit l’autre du respect de ses obligations légales et réglementaires lui incombant à ce titre.
Dans le cadre de la conclusion du Contrat et du suivi de la relation contractuelle, le Prestataire collecte des données personnelles des contacts chez le Client et notamment les données suivantes :
Le Prestataire collecte et traite les données personnelles des contacts du Client pour les finalités suivantes:
- Fourniture du(des) Service(s) ;
- Relation commerciale, paiement, facturation
- Prospection sur le service souscrit ;
- Réponse aux éventuelles questions/réclamations des Clients ;
- Gestion des demandes relative à l’exercice des droits ;
- Gestion des impayés et du contentieux
- Gestion du contrat, maintenance, …
Les traitements faisant l’objet de la présente clause sont effectués par les Parties en qualité de responsable du traitement, au sens du RGPD. Les données personnelles des contacts du Clients sont conservées pendant la durée du Contrat et à la fin du Contrat, pendant la durée légale de conservation des contrats commerciaux.
Le Prestataire veille à sécuriser les données personnelles des Clients de manière adéquate et appropriée et a pris les précautions utiles afin de préserver la sécurité et la confidentialité des données et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.
Obligations des Clients :
➢ Les contacts du Client reconnaissent que les données personnelles divulguées par eux sont valides, à jour et adéquates ;
➢ Les contacts du Client s’engagent à ne pas porter atteinte à la vie privée, à l’image et à la protection des données personnelles de toute personne tierce et ainsi à ne pas communiquer au Prestataire les données de personnes tierces sans leur consentement.
La base légale du traitement réalisé par le Prestataire est contractuelle, formalisée par le présent Contrat que le Client doit accepter. Les finalités des traitements sont toutes liées à la bonne réalisation du présent Contrat.
Les données personnelles des contacts du Clients sont traitées par le service commercial et technique du Prestataire ainsi que par les sous-traitants éventuels du Prestataire, prestataires techniques et intermédiaires nécessaires à la conclusion, gestion et/ou exécution du Contrat. Les Parties ne sauraient ainsi nullement être considérées comme responsables conjoints de leurs traitements ou sous-traitant l’un de l’autre.
Elles peuvent également être transmises aux autorités compétentes, à leur demande, dans le cadre de procédures judiciaires, de recherches judiciaires et de sollicitations d’information des autorités ou afin de se conformer à d’autres obligations légales. Si les DCP sont transférées en dehors de l’Union Européenne, les Parties s’engagent à signer les « clauses contractuelles types » de la Commission européenne.
Les DCP collectées sont conservées pour la durée nécessaire à l’accomplissement de ces finalités ou conformément à ce que la réglementation applicable exige.
Les contacts du Client sont informés par le Client qu’ils peuvent exercer, conformément aux dispositions de la loi 78-17 du 6 janvier 1978 modifiée, ses droits d’accès, de rectification, d’effacement, demander la limitation du traitement et la portabilité de ses données en s’adressant au Prestataire par courrier ou e-mail (AGS Cloud, 265 rue de la Garriguette, 34130 Saint Aunes ou dpo@ags-cloud.fr).
Le Client peut engager, le cas échéant, un recours auprès de l’autorité de contrôle interne, la CNIL en France.
Pour les cas où le Prestataire interviendrait en tant que sous-traitant (notamment pour les Services de sauvegarde), une annexe conforme à l’article 28 du RGPD sera insérée aux conditions particulières du(des) Service(s) concerné(s)
Enfin, les titulaires de ces données peuvent émettre des directives sur la conservation, la suppression ou la communication de leurs données personnelles après leur décès. Chacune des Parties transférant des DCP à l’autre Partie garantit que les titulaires des DCP ont été informés de ces droits préalablement à la collecte des DCP.
AGS Cloud s'engage notamment à mettre en place :
Des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures sur lesquelles sont stockées les données du client par des personnes non autorisées. Accès au bâtiment protégé et monitoré avec enregistrement sur des serveurs sécurisés. Double barrière physique avec deux moyens d’authentification (badge bâtiment et biométrie pour le DataCenter). Ségrégation des accès selon le principe RBAC. Vidéosurveillance du site et des locaux sensibles (contenant des données)
Un personnel de sécurité chargé de veiller à la sécurité des locaux d’AGS Cloud 24 heures sur 24 et 7 jours sur 7
Un système de gestion des habilitations permettant de limiter l’accès aux locaux et aux données aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité
Un système d’isolation physique et/ou logique (en fonction des services) des clients entre eux
Procédure de gestion des identités et des accès et gestion du cycle de vie des comptes utilisateurs (arrivée, départ, changement d’affectation) et revue des comptes
Des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données du client
Flux d’administration tracés et protégés en intégrité et confidentialité, avec authentification forte, durcissement et cloisonnement ( les comptes de sauvegardes et backup ne sont accessibles qu’aux techniciens autorisés)
Obligation de confidentialité du personnel des sociétés partenaires
Configuration des services internet avec limitation de messages de bannière, et des serveurs SMTP avec certificats TLS client et serveur pour chiffrement sur le transport réseau
Des processus d’authentification forts des utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe et le déploiement de certaines mesures de double authentification (à la demande, selon les services souscrits). Politique de mot de passe fort : mots de passe par défaut changés sur tous les équipements, changements réguliers notamment sur les systèmes, applications et bases de données
Retrouvez le document relatif au traitement des données à caractère personnel chez AGS Cloud 👉 ici