RIVIERAWEB
SPECIALISTE EMAIL
MARKETING
Vous avez des données à monétiser ? Rivieraweb s'occupe de tout !
Vous avez des données à monétiser ? Rivieraweb s'occupe de tout !
|
1.1 ORGANISME SOUS-TRAITANT |
| N° Siren + NIC : 502 997 059 |
| Code NAF : 6201 Z |
| Nom de l'organisme : RIVIERA WEB RW |
| Adresse : 99 boulevard de la Reine |
| Code Postal : 78000 |
| Localité : VERSAILLES |
|
1.2. CONTRATS OU AUTRES TYPES D'ENGAGEMENTS AVEC LE PARTENAIRE |
| Contrat d'exploitation et de commercialisation de bases de données |
|
1.3. CONTACT RGPD |
| Civilité : Maître |
| Nom : Deleporte |
| Prénom : Bénédicte |
| Service Deleporte Wentz Avocat |
| Adresse : 5 rue Tronchet |
| Code postal : 75008 |
| Localité : PARIS |
| Téléphone : 01 40 17 95 86 |
| Adresse électronique : dpo@rivieraweb-rw.com |
|
2.1. CADRE DE GOUVERNANCE |
| 2.1.1. Désignation DPD / DPO |
| Maître Bénédicte DELEPORTE est notre DPO. Elle a été désigné dès la mise en application de la loi en Mai 2018.Elle est joignable aux coordonnées ci-dessus (Contact RGPD) |
| 2.1.2. Procédures existantes |
| RIVIERA WEB RW s'engage à protéger les données personnelles, privées,
confidentielles et sensibles et les
systèmes utilisés pour traiter, collecter ou transporter de telles données.
Cette section décrit les mesures employées par RIVIERA WEB pour respecter son engagement |
| Accès logique aux comptes RIVIERA WEB : |
| • Une transmission sécurissée des identifiants par email et message unique à dursée de vie limitsée est rséalisée suite à la demande de création des utilisateurs |
| • La complexité du mot de passe est conforme aux recommandations de la CNIL : 8 caractères minimum avec un chiffre, une lettre majuscule, une lettre minuscule, un caractère spécial |
| • Le renouvellement des mots de passe est réalisé tous les 6 mois |
| • Le blocage du compte est effectif au bout de 5 tentatives infructueuses. |
| • La création d'un nouveau mot de passe par mécanisme de perte de mot de passe est disponible Accès technique |
| • Les accès directs à la base de données RIVIERA WEB ne sont pas autorisés aux clients, des API sécurisés permettent de réaliser des échanges entre le service RIVIERA WEB et les serveurs clients |
| • Les comptes de base de données sont revus une fois par an et documentés en terme d'usage et de propriétaire |
| • Les accès serveurs sont réservés uniquement à l'équipe d'exploitation en charge de RIVIERA WEB (en l'occurrence Mindbaz) |
| Chiffrement : |
| • Les communications Web (« https ») sont chiffrées pour les Utilisateurs et les appels API |
| • Les échanges des fichiers d'export de données sont réalisés avec le protocole SFTP en utilisant des comptes distincts de l'application Web |
| • Les mots de passe des utilisateurs sont chiffrés à l'aide d'un hachage cryptographique utilisant un grain de sel. |
| Serveurs : |
| • Une sauvegarde des systèmes et bases de données est réalisée tous les soirs avec une politique d'archivage. Les sauvegardes sont externalisées sur un site externe sécurisé |
| • Un dispositif de monitoring temps réel mesurant la disponibilité et de la consommation des ressources des serveurs permet de surveiller le système et de créer des alertes |
| • La mise à jour de sécurité des serveurs est réalisée régulièrement dès publication des packages |
| • La restriction des accès permet uniquement aux administrateurs via des clés SSH nominatives de se connecter aux serveur |
|
2.2. CHAMP DE LA GOUVERNANCE |
| 2.2.1. Participation du personnel |
| Le personnel a été informé de la mise en application de la loi et s'est chargé de mettre les mentions légales de nos sites web en conformité ainsi que les headers / footers de nos emails publicitaires sous la supervision de notre DPO |
| 2.2.2. Sensibilisation du personnel |
| Le personnel est informé régulièrement via notre DPO des éventuelles évolutions |
| 2.2.3. Participation des partenaires et sous-traitants |
| Les partenaires et sous-traitants sont impliqués dans la mise en conformité au RGPD via des avenants contractuels de mise en conformité avec le RGDP |
|
2.3. PRINCIPES ESSENTIELS |
| 2.3.1. Participation du personnel |
| Le personnel a été informé de la mise en application de la loi et s'est chargé de mettre les mentions légales de nos sites web en conformité ainsi que les headers / footers de nos emails publicitaires. |
| 2.3.2. Protection des données dès la conception (privacy by design) |
| Riviera Web RW s'engage à respecter les dispositions de la loi du 6 janvier 1978 modifiée et garantit au Fournisseur de la conformité de ses Prestations au Règlement Général sur la Protection des Données (Règlement UE 2016/79), à compter de son entrée en vigueur au 25 mai 2018. |
| Riviera Web RW reconnaît le caractère nominatif des données personnelles qu’elle traitera dans le cadre de la prestation en sa qualité de Sous-Traitant du Fournisseur. |
| Conformément à la réglementation en vigueur, le Sous-Traitant : |
| a) ne traite les données à caractère personnel que sur instruction documentée de son DPO ; |
|
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à
respecter la confidentialité ou soient soumises à une obligation légale appropriée de
confidentialité, et s’engage notamment à mettre en place les mesures techniques et
organisationnelles permettant d’assurer un niveau de confidentialité approprié au regard des risques présentés par le traitement et la nature des données traitées ; |
| c) met à disposition du DPO le descriptif détaillé du dispositif technique et organisationnel mis en œuvre pour assurer le respect de l’exécution des dispositions relatives aux traitements et au respect de l’obligation de sécurité et de confidentialité ; |
| d) tient à disposition du DPO un journal des accès nominatifs aux données personnelles, précisant une date d’entrée et une date de sortie ; |
| e) prend toutes les mesures de sécurité requises, notamment matérielles, pour assurer la conservation et l’intégrité des documents et informations traités pendant la durée du présent contrat; |
| f) ne peut sous-traiter l’exécution des prestations à une autre société, ni procéder à une cession de marché sans l’accord préalable écrit du DPO et s’engage, le cas échéant, à mettre à la charge de son ou ses partenaire(s) sous-traitant(s) toutes obligations nécessaires pour que soient respectées la confidentialité, la sécurité et l’intégrité des données, et pour que ces données ne puissent être ni cédées ni louées à un tiers à titre gratuit ou non, ni utilisées à d’autres fins que celles définies aux présentes |
| g) tient compte de la nature du traitement, aide le Responsable de Traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus par la législation en vigueur ; |
| h) s’engage à ne conserver les données personnelles que pour la durée nécessaire à l’accomplissement de la finalité du traitement ; |
| i) selon le choix du DPO, supprime toutes les données à caractère personnel ou les renvoie au DPO au terme de la prestation de services relatifs au traitement, et détruit les copies existantes ; et |
| j) met à la disposition du DPO toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du Traitement ou un autre auditeur qu'il a mandaté, et contribuer sans frais à ces audits. |
| En ce qui concerne le point a) Riviera Web RW garantit, dans le cadre des Prestations, que les données personnelles traitées ne seront à aucun moment transférées hors de l’Union Européenne. Le Sous-Traitant garantit également que les données traitées en exécution des présentes ne feront l’objet d’aucune divulgation à des tiers en dehors des cas prévus au présent contrat ou de ceux prévus par une disposition légale ou réglementaire. En ce qui concerne le point f), Riviera Web garantit ne pas sous-traiter l’exécution de ses prestations à une autre société, exception faite à son prestataire routeur. Le Sous-Traitant assure des garanties suffisantes en termes de sécurité. Il s’engage à informer le DPO en cas de changement de routeur. En ce qui concerne le point g), le Sous-Traitant s’engage à communiquer toutes les informations permettant au DPO de satisfaire à une demande de droit d’accès, de rectification et d’opposition aux traitements de données à caractère personnel traitées pour son compte par le Sous-Traitant, et à informer sans délai le Responsable de Traitement de toute demande qui lui serait adressée directement. En ce qui concerne le point j), le Sous-Traitant s’engage à coopérer avec le DPO afin de lui permettre de procéder auxdits audits. Dans cette perspective, il fournira au Responsable de Traitement la preuve documentée de toutes les mesures de sécurité mises en place. Par ailleurs, le Sous-Traitant informe immédiatement le Responsable de Traitement si, selon lui, une instruction constitue une violation du droit français ou d'autres dispositions du droit de l'Union Européenne ou du droit des états membres relatives à la protection des données. Le Sous-Traitant s’engage à rapporter au DPO, dans les meilleurs délais après en avoir pris connaissance, tout incident relatif au traitement et à la sécurité des données à caractère personnel concernées, et notamment tout accès, divulgation, utilisation ou accès non autorisé, modification ou destruction desdites données. Le Sous-Traitant s’engage enfin à coopérer avec l’autorité de contrôle compétente en matière de données à caractère personnel, à la demande de celle-ci, dans l’exécution de ses missions. |
| 2.3.3. Protection des données par défaut (privacy by default) |
| • Une transmission sécurisée des identifiants par email et message unique à durée de vie limitée est réalisée suite à la demande de création des utilisateurs |
| • La complexité du mot de passe est conforme aux recommandations de la CNIL : 8 caractères minimum avec un chiffre, une lettre majuscule, une lettre minuscule, un caractère spécial |
| • Le renouvellement des mots de passe est réalisé tous les 6 mois |
| • Le blocage du compte est effectif au bout de 5 tentatives infructueuses. |
| • La création d’un nouveau mot de passe par mécanisme de perte de mot de passe est disponible |
| • Les accès directs à la base de données RIVIERA WEB ne sont pas autorisés aux clients, des API sécurisés permettent de réaliser des échanges entre le service RIVIERA WEB et les serveurs clients |
| • Les comptes de base de données sont revus une fois par an et documentés en terme d’usage et de propriétaire |
| • Les accès serveurs sont réservés uniquement à l’équipe d’exploitation en charge de RIVIERA WEB (en l'occurrence Mindbaz) |
| 2.3.4. Encadrement des traitements sous-traités |
| Une politique permet de garantir que les données à caractère personnel à traiter dans le cadre du contrat (ou autre type d'engagement) ne sont en aucun cas traitées pour une finalité sans rapport ou en contradiction avec les instructions du Partenaire ou pour une autre finalité que celles spécifiées dans le contrat (ou autre type d'engagement) (voir point 2.1.2) |
| 2.3.5. Habilitations |
| Les personnes accédant aux données sous-traitées pour le compte du Partenaire le sont uniquement par des personnes habilitées |
| 2.3.6. Confidentialité |
| En interne seule Mme Lina Bounsy, notre Responsable e-Marketing est habilitée à accéder aux fichiers de données. Son contrat l'oblige à la plus grande confidentialité. |
| En externe, seul notre routeur, la société Mindbaz, a accès aux bases de données. De part son activité il est évident que la confidentialité est de mise. |
| Concernant notre DPO, elle est avocate, et elle est donc tenue au secret professionnel. |
| 2.3.7. Sécurité des données |
| Mis en œuvre des mesures physiques, logiques et/ou organisationnelles pour assurer la sécurité des données à caractère personnel, en particulier pour prévenir toute destruction, perte, altération, divulgation non autorisée, accès non autorisé, de manière accidentelle ou illicite (y compris sur les postes mobiles). Notre routeur Mindbaz assure la sécurisation des données. |
| 2.3.8. Chiffrement des données |
| • Les communications Web (« https ») sont chiffrées pour les Utilisateurs et les appels API |
| • Les échanges des fichiers d’export de données sont réalisés avec le protocole SFTP en utilisant des comptes distincts de l’application Web |
| • Les mots de passe des utilisateurs sont chiffrés à l’aide d’un hachage cryptographique utilisant un grain de sel. |
| 2.3.9. Hébergement des données |
| Les données sous-traitées pour le compte du Partenaire sont-elles hébergées dans l'Espace économique européen (EEE) |
| Les données sont hébergées chez notre routeur MindBaz - 125 Avenue de La République - 59110 LA MADELEINE |
| 2.3.10. Maintenance des données / Support |
| La maintenance et le support client sont basés en Europe chez notre routeur MindBaz - 125 Avenue de La République - 59110 LA MADELEINE |
| 2.3.11. Restitution des données |
| Une sécurisation est mise en place via une identification par IP pour permettre l'accès à un serveur SFTP dédié où Les données seront téléchargées en version cryptée SHA256 |
| 2.3.12. Destruction des données |
| Au terme de la prestation de services, Riviera Web RW s'engage à détruire toutes les données ou à renvoyer, puis détruire, toutes les données à caractère personnel au Partenaire ou à l'un de ses sous-traitant désigné. Une fois détruites, Riviera Web RW justifiera par écrit de la destruction |
| 2.3.13. Données papier |
| Nous n'avons aucune copie papier |
| 2.3.14. Données particulières ou sensibles (le cas échéant) |
| Nous n'avons pas de donnée à caractère personnel sensible |
| 2.3.15. EIVP / DPIA |
| Pas d'étude d'impacts sur la vie privée (EIVP ou DPIA pour Data Privacy Impact Assessment) pour évaluer les répercussions des traitements opérés sur les données sous-traitées pour le compte du Partenaire |
|
3.1. DUREE DE CONSERVATION |
| Conformément au RGPD Européen les données personnelles des personnes inactives depuis 3 ans sont supprimées dans le cadre du droit à l'oubli. Les cookies sont conservés 13 mois au maximum sauf consentement express du visiteur. |
|
3.2. ARCHIVAGE |
| Les contacts supprimés sont conservés dans une base/liste d'opposition afin de ne plus les solliciter dans le futur et de pouvoir justifier de nos traitements et de notre conformité avec la réglementation. |
|
4.1. PRINCIPE D'INFORMATION DES PERSONNES |
| RIVIERAWEB RW est en mesure et s'engage à fournir toutes les informations utiles concernant les destinataires des données - dont la liste est consultable ici - à caractère personnel afin que le Partenaire soit en mesure d'informer les personnes concernées et de répondre à leurs demandes au titre des articles 15 à 22 du RGDP. |
|
4.2. DISPOSITIFS D'INFORMATION DES PERSONNES |
| Des encarts sont prévus en "Header/footer" de l'email pour y apposer les mentions légales |
|
5.1. EXISTANT DE FLUX TRANSFRONTALIERS |
| Tous nos sous-traitants sont dans l'Espace Economique Européen. |
|
5.2. ENCADREMENT DES FLUX TRANSFRONTALIERSS |
| Nous travaillons uniquement en France sur des données personnelles de personnes vivant en France exclusivement |
|
6.1. IDENTIFICATION DES VIOLATIONS DE DONNEES |
| • Des mécanismes de réponse automatique aux attaques informatiques permettent de bloquer les échanges réseaux malicieux par l’analyse des trames réseaux (attaque DDOS …) ou de filtrer les demandes selon des critères d’appartenance à des listes de réputation mondiales ou d’autres critères |
| • Des restrictions des ressources disponibles sur internet sont réalisées par filtrage au niveau réseau |
| • La ségrégation des réseaux est réalisée à plusieurs niveaux : Entre la zone bureautique et les zones de production, entre les zones de production au sein de notre routeur Mindbaz. Chaque client possède son sous-réseau dédié |
| • Les connexions des administrateurs à distance sont réalisées à travers des VPN uniquement |
|
6.2. COMMUNICATION DES VIOLATIONS DE DONNEES |
| Le Sous-Traitant fournira par écrit au Partenaire, et au plus tard dans les soixante-douze (72) heures de sa découverte de la Violation des Données du Partenaire, l'ensemble des éléments suivants relatifs à la Violation de données identifiée (art. 33.3 RGPD) : |
| • La nature de la Violation de Données du Partenaire à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; |
| • Le nom et les coordonnées du Délégué à la Protection des Données ou d'un autre point de contact auprès duquel des informations supplémentaires relatives à la Violation constatée peuvent être obtenues; |
| • Les conséquences probables de la Violation de données au regard du droit à la protection des données à caractère personnel des personnes concernées; |
| • Les mesures prises ou que le Sous-Traitant propose de prendre pour remédier à la Violation identifiée, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n'est pas possible pour le Sous-Traitant de fournir au Partenaire toutes ces informations en même temps, le Sous-Traitant s'engage à communiquer ces informations au Partenaire de manière échelonnée sans autre retard indu. |
| En cas de survenance d'une Violation de données affectant les Données du Partenaire, le Sous-Traitant s'engage : |
| • A prendre au plus vite toute mesure de correction technique appropriée de la Base de Données pour faire cesser la Violation identifiée, notamment afin de rendre les Données du Partenaire incompréhensibles à toute personne non autorisée à y avoir accès; |
| • A les appliquer aux Données du Partenaire concernées et à en justifier par écrit et sans délai au Partenaire. Le Sous-Traitant s'engage à documenter par écrit toute Violation des Données du Partenaire intervenant notamment sur la Base de Données, en indiquant les faits concernant la Violation identifiée, ses effets et les mesures techniques effectivement prises par le Sous-Traitant pour y remédier. La documentation ainsi constituée sera tenue à disposition du Partenaire et/ou de la CNIL ou de toute autre Autorité de contrôle compétente. |
|
7.1. REGISTRE LEGAL DES ACTIVITES DE TRAITEMENT |
| Le Sous-Traitant tient à disposition du Responsable de Traitement un journal des accès nominatifs aux données personnelles, précisant une date d’entrée et une date de sortie |
|
7.2. COMPLEMENTS AU REGISTRE LEGAL DES ACTIVITES DE TRAITEMENT |
| Toutes les "activités" relatives aux données sous-traitées (violation de données, demandes de droits, demandes des autorités, etc.) sont documentées dans le registre des traitements. |
|
8.1. AUTO-EVALUATION |
| Notre routeur, Mindbaz, dispose d'un RSSI au sein de sa Direction de l’Audit et du contrôle des risques. Ce dernier est en charge de définir les politiques, règles ou plans d’action en sécurité informatique, d’accompagner leur déploiement et de contrôler leur application et efficacité, Une équipe technique est dédiée à la gestion des réseaux, systèmes et sécurité informatique de l’hébergement et à la sécurisation de l'entreprise pour les réseaux et postes de travail utilisateurs. |
|
8.2. RAPPORTS D'AUTO-EVALUATION |
| Avec l'aide de notre routeur un corpus documentaire a été mis en place afin de définir les principes fondateurs en matière de sécurité informatique et de protection des données personnelles, notamment au regard du RGPD. |
| A ce titre, notre routeur s’engage à joindre à son règlement intérieur : |
| • La Politique de Sécurité des Systèmes d’Information (PSSI) |
| • La Politique de Protection Données Personnelles |
| • La Charte Informatique |
| • La Charte des Informaticiens |
| • Notre routeur s’engage à ce que l’ensemble de ces documents soit porté à la connaissance de ces collaborateurs avant l’entrée en vigueur du RGPD et qu’ils permettent d’assurer un niveau de confidentialité et de sécurité conformes à la réglementation en vigueur. |
|
8.3. ÉVALUATION PAR PARTENAIRE |
| A compter de la mise en application du contrat et pendant la durée de validité de ce dernier et six mois après son expiration, le sous-traitant autorise le Partenaire à effectuer un audit afin d'examiner tout élément permettant de s'assurer de la bonne conformité au RGPD. |
| Cet audit aura lieu à distance ou sur site. Dans cette dernière hypothèse, il devra être réalisé aux heures d'ouverture des bureaux du Sous-Traitant et ne devra pas porter atteinte à la poursuite des affaires de celui-ci, sous réserve d'en avoir informé le Partenaire au moins 30 jours ouvrés avant sa mise en oeuvre. Les frais d'audit seront à la charge du Partenaire. |