RGPD et sécurité
Sommaire
- 1. Qu’est-ce que le RGPD ?
- 2. Qui est concerné par le RGPD ?
- 3. Qu’est-ce qu’une donnée personnelle ?
- 4. Qu’est-ce qu’un traitement de données personnelles ?
- 5. Ringover et le RGPD
- 6. Sécurité
- 6.1 Réseau et interconnexion
- 6.2 Hébergement des données et certification
- 6.3 Formation et sensibilisation des salariés Ringover
- 6.4 Mesures de sécurité applicables à nos locaux et collaborateurs
- 6.5 Technologie de hachage et chiffrement
- 6.6 Ségrégation des environnements de travail, surveillance et remédiation des vulnérabilités
- 6.7 Mise à jour (serveurs, parefeu, réseaux de sauvegarde et anti-virus)
- 6.8 Privilèges et segmentation des usages d’administration
1. Qu’est-ce que le RGPD ?
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…). Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
2. Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu’elle est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
3. Qu’est-ce qu’une donnée personnelle ?
La notion de « données personnelles » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée : directement (exemple : nom, prénom) ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image). L’identification d’une personne physique peut être réalisée : à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN), à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association). Exemple : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.
4. Qu’est-ce qu’un traitement de données personnelles ?
Cette notion est très large. Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement). Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc. Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « [email protected] ») n’est pas un traitement de données personnelles. Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
5. Ringover et le RGPD
Depuis mai 2018, date de parution au journal officiel du RGPD, Ringover s’engage dans la protection des données personnelles de ses clients.
Parmi les nombreuses actions mises en place de mise en conformité RGPD, nous pouvons citer :
- Désignation d’un délégué à la protection des données (DPO) en interne en charge des sujets liés au RGPD, joignable à l’adresse [email protected].
- Établissement d’un registre de traitement des données personnelles : ce registre, mis à jour régulièrement, nous permet d’avoir une visibilité précise et en temps réel sur les traitements de données personnelles.
- Mise en place d’un accord sur le traitement des données personnelles (DPA).
- Tenue d’une liste exhaustive et régulièrement mise à jour des sous-traitants Ringover susceptibles d’intervenir dans le traitement des données personnelles.
- Formation continue des équipes multidisciplinaires de Ringover sur le RGPD et la protection des données personnelles.
Depuis mai 2018, date de parution au journal officiel du RGPD, Ringover s’engage dans la protection des données personnelles de ses clients.
Parmi les nombreuses actions mises en place de mise en conformité RGPD, nous pouvons citer :
En cas de question concernant le RGPD, merci de contacter notre DPO à l’adresse : [email protected]
6. Sécurité
Nous savons que la téléphonie de votre entreprise est un élément clé de votre développement. Notre infrastructure est pensée et sécurisée afin de vous fournir une qualité de service irréprochable.
Pour des raisons évidentes de sécurité, nous ne communiquons pas un détail exhaustif des modalités techniques et physiques mises en œuvre. Nous vérifions et mettons à jour, lorsque nécessaire, les procédures et mesures décrites ci-dessous, conformément à l’évolution des techniques et environnements de travail.
Nous savons que la téléphonie de votre entreprise est un élément clé de votre développement. Notre infrastructure est pensée et sécurisée afin de vous fournir une qualité de service irréprochable.
Pour des raisons évidentes de sécurité, nous ne communiquons pas un détail exhaustif des modalités techniques et physiques mises en œuvre. Nous vérifions et mettons à jour, lorsque nécessaire, les procédures et mesures décrites ci-dessous, conformément à l’évolution des techniques et environnements de travail.
6.1 Réseau et interconnexion
Nous gérons en interne notre propre réseau. Notre société est membre du RIPE (Réseaux IP Européens AS201188). Le Transit IP des services est redondé afin d’éviter toute interruption de service. Opérateur téléphonique depuis 2005, nous sommes déclarés auprès de l’ARCEP (Autorité de Régulation des Communications Électroniques et des Postes). Nous sommes interconnectés de manière redondée avec les plus grands opérateurs téléphoniques internationaux : Orange, SFR , COLT, BICS… Cela nous permet de choisir en temps réel le meilleur opérateur pour acheminer vos appels. Plus de 250 millions de minutes transitent annuellement par nos équipements téléphoniques.
6.2 Hébergement des données et certification
L’ensemble des data centers, au sein desquels les données nécessaires à la fourniture des services Ringover sont stockées, sont hébergés et localisés en France, n’engendrant dès lors aucun transfert de données en dehors de l’Union Européenne ou de l’Espace Economique Européen. Ces hébergeurs disposent des certifications suivantes :
- Certification PCI-DSS for service providers
- Certification HDS (Hébergement de données de santé)
- ISO 9001:2015
- ISO 14001:2015
- ISO 27001:2013
- ISO 50001:2011
6.3 Formation et sensibilisation des salariés Ringover
Nous mettons régulièrement en œuvre des opérations de sensibilisation et de formation auprès de nos équipes. Par ailleurs, les bonnes pratiques de sécurité font l’objet de communications orales et écrites et sont accessibles en permanence sur l’intranet de l’entreprise.
6.4 Mesures de sécurité applicables à nos locaux et collaborateurs
Nous mettons en œuvre des mesures de protection et de sécurité physique conformes aux standards de l’industrie. Nos bureaux et les systèmes d’information de nos collaborateurs sont adéquatement sécurisés et font l’objet de tests réguliers. Pour des raisons évidentes de sécurité, nous ne communiquons pas un détail exhaustif de ces modalités techniques et physiques mises en œuvre.
6.5 Technologie de hachage et chiffrement
Nous mettons en œuvre systématiquement une technologie de hachage avec un sel au moins aussi robuste que le standard SHA-256. Les appels passés depuis les applications Ringover sont chiffrés (DTLS-SRTP). Les requêtes vers l’API s’effectuent en HTTPS uniquement (TLS).
6.6 Ségrégation des environnements de travail, surveillance et remédiation des vulnérabilités
Nos environnements sont strictement séparés, tant physiquement que logiquement. L’ensemble des développements sont effectués sur des environnements de développement distincts de ceux de production. Nous mettons également en œuvre une stricte procédure de test sur des environnements multiples avant de prendre la décision de mise en production. De plus, nous surveillons activement l’apparition et l’identification de nouvelles failles potentielles (0-day) et nous imposons l’implémentation des nouveaux patchs de sécurité sur l’ensemble des postes de travail et environnements de production.
6.7 Mise à jour (serveurs, parefeu, réseaux de sauvegarde et anti-virus)
Nos serveurs sont mis à jour régulièrement, notamment à chaque mise en production. Nous avons un firewall physique (machine) avec des règles de firewalling qui n’autorisent que les flux nécessaires pour les besoins de Ringover et de la fourniture de ses services aux clients. Nous disposons d’un système de sauvegarde et de backup à chaud et à froid automatique, des machines et des clusters de bases de données. Nous n’utilisons pas de VPN, mais des tunnels SSH pour accéder aux serveurs. L’ensemble des postes de travail et des environnements de production sont notamment protégés par des antivirus.
6.8 Privilèges et segmentation des usages d’administration
Nous avons mis en place plusieurs classes de privilèges d’accès et de permissions pour nos clients. Ces classes d’utilisateurs permettent de s’assurer que les accès et pouvoirs de chacun des utilisateurs du client disposent uniquement des droits nécessaires à son utilisation des services, sur une stricte base de « need to know » et « need to do ». Ces niveaux d’usages permettent de segmenter les usages et les droits d’administration de la solution Ringover.