POLITIQUE DE TRAITEMENT DES DONNEES PERSONNELLES

MAJ : 1er Juin 2023

ZONE EUROPE, MOYEN-ORIENT ET AFRIQUE

INTRODUCTION

La présente Politique de Traitement des Données Personnelles* a pour objet d’apporter des précisions sur les traitements des données effectués par Vade, en tant que sous-traitant, auprès de ses clients responsables de traitement, conformément aux dispositions du Règlement (UE) 2016/679 du 27 avril 2016, applicable à compter du 25 Mai 2018 dans l’ensemble des pays de l’Union Européenne, dit Règlement Européen pour la Protection des Données (ci-après repris sous les initiales « RGPD »).

 

1. DEFINITIONS


Les termes dont la première lettre figure en majuscule ont, dans le présent document, le sens qui leur est attribué par le Règlement (UE) 2016/679, tel que reproduit ci-après :

« Contrat » : désigne le ou les contrats commerciaux unissant le Client et le Prestataire ;

« Données Personnelles » : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

« Incident de sécurité » ou « Incident » : désigne toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée à des tiers de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;

« Loi Applicable » : désigne les loi et règlements relatifs au traitement et à la protection de Données à Caractère Personnel applicables dans le pays où le Prestataire est établi. Loi Applicable signifie en particulier (a) le règlement européen 2016/679 (Règlement Général relatif à la Protection des personnes physiques à l’égard du traitement des Données à Caractère Personnel ; RGPD) ; (b) les lois et règlements d’un état membre relatifs au traitement et à la protection des Données à Caractère Personnel, intégrant ou complétant la RGPD ; (c) toute autre loi ou règlement applicable relatifs au traitement et à la protection des Données à Caractère Personnel dans le cadre du Contrat.

« Personne physique identifiée » ou « Personne physique identifiable » : désigne une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement de données personnelles » : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;

« Responsable de Traitement » : désigne le Client, ou, si concerné, le Client Final du Client ;

« Sous-traitant » ou « Prestataire » : désigne Vade.

 

2.OBLIGATION DES PARTIES

2.1. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

2.1.1. INSTRUCTIONS DU RESPONSABLE DE TRAITEMENT 

En tant que Responsable de Traitement, le Client fournit au Prestataire des instructions expresses (ci-après « les Instructions »), concernant au traitement des Données à Caractère Personnel. Les Parties conviennent que la fourniture par le Client des dites Instructions est nécessaire afin que le Prestataire puisse assister de manière adéquate le Client dans le respect de ses obligations au titre de la Loi Applicable.

Les Instructions comprendront a minima une description des finalités du Traitement, du type de Traitement effectué, la liste des catégories de Données à Caractère Personnel traitées, les catégories de Personnes Concernées dont les Données sont traitées, et les durées de conservation des dites Données.

Dans le cas où le Client souhaiterait modifier ses Instructions, il en notifie au Prestataire au moins trente (30) jours à l’avance afin de permettre aux Parties d’évaluer les modifications proposées. Dès lors le Client reconnait que :

  • L’intégration des modifications peuvent avoir un impact direct sur les Prestations, rendant nécessaire une modification des termes du contrat unissant le Client et le Prestataire, y compris en particulier du périmètre du service et des conditions financières associées ;
  • Les Parties négocieront de bonne foi les modifications du Contrat rendues nécessaires, y compris le délai d’intégration des dites modifications ;
  • Les Parties utiliseront les procédures de contrôle des modifications conformément au Contrat en vue de réaliser les modifications objet des deux points ci-dessus repris.

 

2.1.2. GARANTIES CONCERNANT LES TRAITEMENTS 

Le Client, en sa qualité de Responsable de Traitement, s’assurera que toute Donnée à Caractère Personnel traitée pour son compte par le Prestataire au titre du Contrat le sera conformément à la Loi Applicable.

Le Client confirme donc que :

  • Tout traitement de Données à Caractère Personnel repose sur un fondement juridique adéquat, tel que résultant des Lois de protection des Données à Caractère Personnel applicables ;
  • Tout traitement est effectué pour une finalité définie, expresse, et légitime ;
  • Tout traitement de Données à Caractère Personnel est pertinent et non-excessif au regard de la finalité du traitement ;
  • Toute Donnée à Caractère Personnel est et sera tenue à jour pour toute la durée de la prestation des services ;
  • La durée de conservation est légitime au regard de la finalité poursuivie et de la nature de la Donnée concernée ;
  • Des informations complètes, claires, et exactes sont fournies aux Personnes Concernées s’agissant des données traitées au titre du Contrat, y compris le cas échéant l’information concernant le fait que les données sont transférées en dehors de l’UE ;
  • Les Personnes Concernées dont les Données à Caractère Personnel sont traitées en application du Contrat bénéficient de moyens adéquats et efficaces leur permettant d’exercer leurs droits au regard du traitement de données effectué, conformément à la législation applicable (les droits d’accès, de rectification, de mise à jour, d’effacement, etc., lorsqu’ils sont applicables). Lorsque la demande de la Personne Concernée est adressée directement au Prestataire, le Prestataire en informera le Client. La responsabilité du Prestataire ne pourra être retenue en cas de défaillance du Client à fournir une réponse complète, exacte et en temps utile ;

Le Client considère que le Prestataire fournit des garanties suffisantes aux fins de traitement des Données à Caractère Personnel du Client conformément à la Loi Applicable notamment au regard des mesures de sécurité décrites dans la matrice de conformité.

 

2.1.3. OBLIGATIONS DU PARTENAIRE 

Les Parties conviennent expressément que le Prestataire est le Sous-Traitant au sens de la Loi Applicable et traite (notamment pour stocker) des Données personnelles pour le compte du Client dans le cadre de l'exécution des Prestations objet du Contrat.

 

2.1.4. TRAITEMENT CONFORME AUX INSTRUCTIONS 

Le Prestataire traite les Données à Caractère Personnel pour le compte du Client exclusivement et uniquement en application des instructions fournies par le Client.

Si le Prestataire ne peut s’engager à se conformer à ces Instructions pour un quelconque motif, le Client en est informé sans délai. Dans un tel cas les Parties conviendront de modifications que le Prestataire sera en mesure de mettre en œuvre.

Si le Prestataire estime que tout ou partie des Instructions du Client constituent ou peuvent constituer une violation de la Loi Applicable, il en informe le Client sans délai afin d’obtenir des instructions modifiées, sauf à ce que la Loi Applicable interdise la fourniture de telles informations. Le Client procède aux adaptations des Instructions, avec l’assistance raisonnable du Prestataire en vue de la mise en conformité à la Loi Applicable. Ces modifications sont susceptibles d’avoir un impact substantiel sur la fourniture des Prestations, ce qui peut nécessiter un examen et une modification des termes du Contrat, y compris, notamment, le périmètre des Services et les conditions financières.

Dans cette hypothèse, les Parties négocient de bonne foi les révisions nécessaires, le cas échéant, y compris, notamment, le délai de mise en œuvre des modifications demandées.

 

Le Prestataire ne sera en aucun cas responsable de toute violation de la Loi Applicable dès lors que le traitement respecte les instructions du Client.

En tout état de cause, le Client reconnaît expressément et accepte que le Prestataire ne soit pas lié par les instructions du Client en violation de la Loi Applicable (y compris la Loi Applicable sur la Protection des Données). En tant que tel, le Prestataire se réserve le droit de suspendre l’exécution des Services jusqu’à ce que les Instructions soient modifiées pour être conformes à la Loi Applicable. Dans une telle hypothèse le Prestataire informe le Client de la mise en œuvre de la suspension.

 

2.1.5. ASSISTANCE
2.1.5.1.      LES DROITS DES PERSONNES CONCERNEES 

Le Client définit les moyens mis en œuvre pour adresser les demandes d’exercice de leurs droits par les Personnes Concernées, mais le Prestataire doit, conformément à la Loi Applicable et compte tenu du type de traitement, assister dans la mesure du possible le Client dans l’exécution de ses obligations, par la mise en œuvre de mesures techniques et organisationnelles adéquates.

Lorsque la demande de la Personne Concernée est adressée directement au Prestataire, de dernier doit en informer le Client sans retard injustifié. Dans un tel cas, et sauf stipulation contraire, le Prestataire ne doit pas répondre directement aux demandes de données.

Le Prestataire ne saurait être tenu responsable en l’absence de réponse par le Client à une demande dûment transmise, correctement, ou en temps utile.

 

2.1.5.2.      ASSISTANCE A LA SECURITE DU TRAITEMENT 

Lorsque le Client le demande et le juge nécessaire, le Prestataire doit, conformément à la Loi Applicable, et compte tenu du type de traitement considéré, aider le Client à se conformer à son obligation de définition de mesures techniques et organisationnelles adéquates pour assurer la sécurité et la confidentialité des Données à Caractère Personnel traitées dans le cadre du Contrat.

 

2.1.5.3.      ETUDE D'IMPACT SUR LES DONNEES A CARACTERE PERSONNEL

Le Prestataire fournira au Client les informations raisonnablement accessibles et pertinentes concernant les traitements effectués, afin de permettre au Client de remplir les documents requis tels que l'étude d'impact sur les Données à Caractère Personnel, et de se conformer à ses obligations de démonstration de la mise en œuvre de mesures de sécurité techniques et organisationnelles adéquates.

L'assistance du Prestataire sera facturée au Client dans les conditions tarifaires applicables.

 

2.1.5.4.      AUTRES OBLIGATIONS 

Le Prestataire confirme que son personnel en charge du traitement des Données à Caractère Personnel est tenu par une obligation de confidentialité appropriée. Le Prestataire veille à ce que ledit personnel soit obligatoirement formé au traitement et la protection des Données à Caractère Personnel.

Le Prestataire informera le Client de tout changement substantiel prévu à la prestation des services qui aurait un impact significatif sur le traitement des Données à Caractère Personnel.

 

2.2. OBLIGATIONS COMMUNES

2.2.1. COOPERATION AVEC LES AUTORITES

En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.

Dans le cas où le contrôle mené ne concerne que les Traitements mis en œuvre par le Prestataire en tant que responsable du Traitement, le Prestataire fera son affaire d’un tel contrôle et s’interdit de communiquer ou de faire état des Données Personnelles du Client.

Dans le cas où le contrôle mené chez le Prestataire concerne les Traitements mis en œuvre au nom et pour le compte du Client, le Prestataire s’engage à en informer immédiatement ce dernier et à ne prendre aucun engagement pour lui.

En cas de contrôle d’une autorité compétente chez le Client portant notamment sur les prestations réalisées par le Prestataire, ce dernier s’engage à coopérer avec le Client et à lui fournir toute information dont ce dernier pourrait avoir besoin ou qui s’avèrerait nécessaire.

 

2.2.2. ASSURANCES

Chacune des Parties déclare être assurée pour sa responsabilité civile professionnelle auprès d’une compagnie notoirement solvable et s’engage à maintenir cette garantie pendant toute la durée du Contrat, afin de couvrir tout dommage qui pourrait être causé à l’autre Partie ou à tout tiers, consécutivement à l’exécution ou à l’inexécution du Contrat, y compris en cas de dommage résultant du Traitement de Données Personnelles.

Le Prestataire s’engage à fournir, à première demande du Client, une attestation avec le nom de la compagnie, le numéro de la police d’assurance, ainsi que la nature et le montant des garanties.

Il s'engage également à signaler au Client toute modification, suspension ou résiliation desdites polices d'assurance, quelle qu'en soit la cause, dans les plus brefs délais.

 

2.3. REMONTEES DES VIOLATIONS ET PLAINTES 

Le Prestataire s’engage à prendre toutes les mesures nécessaires pour remédier à une situation de violation de données à caractère personnel ou de plainte.

Le Prestataire s’engage à communiquer par tous les moyens au Client toute violation de Données à Caractère Personnel, même si cette dernière vient d’une instruction émise par le Client lui-même, ainsi que la survenance de toute plainte qui lui serait adressée par tout individu concerné par le traitement réalisé dans le cadre du Contrat.

Cette communication devra être effectuée dans les plus brefs délais, au maximum quarante-huit heures suivant l’identification de l’incident susceptible d’entrainer une violation des données personnelles, et devra être accompagnée de toute documentation utile afin de permettre au Client d’agir en conséquence et, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Le Client, en tant que Responsable du Traitement, reconnaît expressément qu'il est responsable du respect des exigences de la Loi Applicable (y compris notamment les formalités telles que les notifications).

 

2.4. REFERENT PROTECTION DES DONNEES

En cas de question(s) ou demande(s), le Client peut contacter le référent à la protection des données aux adresses suivantes :

  • Par courrier envoyé à l’adresse suivante : VADE, à l’attention du DPO, 2 bis avenue Antoine Pinay, 59510 Hem ;
  • Par email envoyé à l’adresse suivante : dpo@vadesecure.com.

 

2.5. AUDITS

Le Client se réserve le droit de procéder à toute vérification qui lui paraitrait utile pour constater le respect par le Prestataire de ses obligations au titre du Contrat, par le biais d’un audit.

Le Client s’engage à avertir le Prestataire de sa décision de procéder à un audit en respectant un préavis minimum de 15 jours, et à ne procéder à cet audit qu’en heures et jours ouvrés.

Le Prestataire s’engage à répondre aux demandes d’audit du Client, effectuées uniquement par l’intermédiaire d’un auditeur. Cet auditeur devra :

  • Avoir été sélectionné et engagé par le Client, qui en supportera seul les frais ;
  • Être indépendant du Prestataire ;
  • Avoir une qualification adéquate ;
  • Être libre de fournir les détails de ses remarques et conclusions d’audit au Client.

 

Les audits doivent permettre une analyse du respect du Contrat et de la Loi Applicable, notamment :

  • Par la vérification de l’ensemble des mesures de sécurité mises en œuvre par le Prestataire ;
  • Par la vérification des journaux de localisation des données, de copie, et de suppression des données.

L’audit doit enfin pouvoir permettre de s’assurer que les mesures de sécurité et de confidentialité mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.

L’audit ne pourra concerner que le périmètre du Contrat.

 

3. CONFIDENTIALITE ET SECURITE

3.1. CONFIDENTIALITE DES DONNEES

Le Prestataire s’engage à garantir la confidentialité des données hébergées pour le Client, plus particulièrement pour ce qui est des données à caractère personnel.

Il reconnaît être soumis au secret professionnel concernant les données hébergées dans le cadre de l’exécution du Contrat.

Il s’engage à faire respecter cette obligation de confidentialité par les personnes placées sous son autorité, et à former ces personnes pour ce qui est de la protection des données à caractère personnel.

 

3.2. MESURES DE SECURITE DES DONNEES

Dans le cadre de l’exécution du Contrat, le Prestataire agira uniquement sur les instructions du Client. A ce titre, le Prestataire s’engage à ne pas utiliser les données pour son propre compte ou pour celui d’un tiers.

Seul le personnel qualifié, habilité, et sensibilisé aux procédures de sécurité par le Prestataire pourra être amené à intervenir sur demande du Client.

Le Prestataire s’engage :

  • À ne pas utiliser les données pour son propre compte ou pour celui d’un tiers ;
  • À ne pas insérer dans les fichiers des données étrangères autres que celles autorisées dans l’exécution du Contrat, et s’interdit la consultation et le traitement des données autres que celles concernées par l’exécution du Contrat et ce même s’il y a accès ;
  • À traiter lesdites données dans les règles de l’art et avec le même soin que celui attaché à ses propres données ;
  • À préserver la sécurité desdites données et, plus spécifiquement, leur confidentialité, à savoir à les protéger contre toute destruction (accidentelle ou illicite), perte accidentelle, modification accidentelle ou non autorisée, altération, diffusion ou accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées, et ce conformément aux dispositions de l’article 34 de la Loi n° 78-17 du 6 janvier 1978, dite Loi Informatique et Libertés;
  • À communiquer sans retard au Client toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre (sauf disposition contraire), ainsi que toute demande reçue directement des personnes concernées, sans répondre à cette demande, à moins qu’il n’ait été expressément autorisé à le faire par le Client ;
  • À traiter rapidement et comme il se doit toutes les demandes émanant du Client relatives à son traitement des données à caractère personnel.

Le Prestataire s’engage en outre à respecter les mesures de sécurité définies en Annexe 1 de la présente Politique de Traitement des Données Personnelles.

Les supports informatiques et documents fournis par le Client au Prestataire restent la propriété du Client.

Les données contenues dans ces supports et documents sont strictement couvertes par le secret professionnel (conformément à l’article 226-13 du Code pénal). Il en va de même pour toutes les données dont le Prestataire prend connaissance à l’occasion de l’exécution du contrat.

Le Prestataire s’engage à respecter les obligations suivantes et à les faire respecter par son personnel :

  • Ne prendre aucune copie des documents et supports d’information qui lui sont confiés, à l’exception de celles nécessaires à l’exécution de la prestation prévue au Contrat ;
  • Ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées au Contrat ;
  • Ne pas divulguer ces documents ou informations traités à des fins autres que celles spécifiées au Contrat (en sachant que la divulgation par le Prestataire d’informations relatives uniquement à l’identité du Client ne saura être considérée comme étant constitutive d’une violation des règles de confidentialité ici définies) ;
  • Prendre toutes mesures permettant d’éviter toute utilisation détournée ou frauduleuse des fichiers informatiques en cours d’exécution du Contrat.

 

3.3. APPLICATION DES MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES

Le Prestataire appliquera les mesures de sécurité techniques et organisationnelles appropriées visant à empêcher la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès aux Données Personnelles Client, décrites en Annexe 1 de la présente Politique de Traitement des Données Personnelles.

Le Client reconnaît expressément que :

  • Les mesures de sécurité techniques et organisationnelles définies et appliquées par le Prestataire sont basées sur les Instructions et informations reçues du Client qui sont utilisées pour évaluer avec le Client les risques associés au traitement des Données Personnelles du Client ;
  • Il juge les mesures de sécurité techniques et organisationnelles adéquates compte tenu des risques du traitement et des finalités définies. Le Prestataire ne diminuera pas la sécurité globale du Service pendant la durée du Contrat, sans le consentement écrit préalable du Client.

 

3.4. MODIFICATION DES MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES SUITE A LA MODIFICATION DES INSTRUCTIONS DU CLIENT

Le Client reconnaît et accepte que, dans le cas où il modifierait ses Instructions de traitement, les mesures de sécurité techniques et organisationnelles, initialement définies en Annexe 1 de la présente Politique de Traitement des Données Personnelles et mises en œuvre, peuvent ne plus être adaptées aux risques du traitement.

Dans un tel cas, le Client reconnaît et accepte que des mesures de sécurité techniques et organisationnelles puissent nécessiter des adaptations et que de telles adaptations peuvent avoir un impact sur la fourniture du Service et les termes du Contrat, notamment les dispositions financières.

 

4. SOUS-TRAITANCE


Le Prestataire sous-traite et pourra sous-traiter une partie de ses prestations au titre du Contrat à des sous-traitants, et conformément aux règlementations prévues dans le cadre du RGPD.

En cas de recours par le Prestataire à la sous-traitance, ce dernier devra avoir au préalable recueilli l’accord écrit du Client, après l’avoir informé sur l’identité, la nature de ce sous-traitant et sa mission dans le cadre du Contrat.

Le Prestataire demeure seul responsable envers le Client de l’exécution des Prestations sous-traitées et du respect de l’ensemble du Contrat par ses sous-traitants.

Le Prestataire devra avoir au préalable signé avec le sous-traitant un accord reprenant les obligations du Contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD, et pour ce qui est de la confidentialité et de la sécurité des informations qui lui seront communiquées.

En cas de sous-traitance, le Prestataire demeure le seul et unique garant de la bonne exécution du Contrat ainsi que le seul interlocuteur du Client.

 

5. TRANSFERT DE DONNEES


À l’exception des Données à Caractère Personnel nécessaires à la conclusion, à la vie du contrat, à la maintenance des solutions du Prestataire et à la facturation de la prestation, le Prestataire ne procède à aucun transfert de Données à Caractère Personnel vers un pays tiers à l’Union européenne. Le Prestataire fournira une liste des sous-traitants hors Union européenne sur simple demande.

Lorsque le Prestataire transfère les Données à Caractère Personnel du Client à une entité située en dehors de l'UE, et lorsque le Client a approuvé, le Client autorise expressément le Prestataire à conclure tout accord pertinent destiné à s'assurer que l'entité destinataire applique un niveau de protection adéquat aux Données à Caractère Personnel du Client.

Le Prestataire doit s'assurer que les sous-traitants tiers fournissent un niveau de protection adéquat dans le cadre du traitement des Données à Caractère Personnel du Client. À cette fin, le Prestataire doit :

  • Soit veiller à ce que tout sous-traitant dûment autorisé à traiter des Données à Caractère Personnel en dehors de l'UE conclue et respecte les obligations stipulées dans les clauses contractuelles standard appropriées pour le transfert des données personnelles établies par la Commission européenne (ou toute autorité compétente), en particulier les clauses contractuelles types « Sous-traitant » de la Commission Européenne conformément à la décision 2010/593, avec le Client ou avec le Prestataire conformément à l’autorisation ci-dessus mentionnée ;
  • Soit mettre en œuvre des moyens alternatifs aux clauses contractuelles types afin d'assurer un niveau adéquat de protection des données à caractère personnel si les autorités compétentes européennes ou locales le reconnaissent comme il convient.

6. INCOMPATIBILITE

En cas de conflit entre le Contrat et la présente Politique de Traitement des Données Personnelles, les dispositions de la Politique de Traitement des Données Personnelles primeront sur celles du Contrat.

 

7. CONTINUITE

La présente Politique de Traitement des Données Personnelles n’affectera pas l’exécution du Contrat et ne modifie pas la durée initiale du Contrat.

 

ANNEXE 1

MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES

 

VADE observe actuellement les mesures de sécurité décrites dans la présente annexe.

1. Contrôle d'accès

1.1. Prévention de l'accès non autorisé aux produits

Traitement externalisé : VADE héberge son Service auprès de fournisseurs d'infrastructure cloud externalisés (infrastructure as a service). En outre, VADE entretient des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à notre Politique de Sécurité.

VADE s'appuie sur les accords contractuels, les politiques de confidentialité et les programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : VADE héberge l'infrastructure de ses produits chez des fournisseurs d'infrastructure externalisés et multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour vérifier la conformité aux normes Tiers 3 et ISO 27001, entre autres certifications (comme SOC 2 type 2 ou ISO 27701).

Authentification : VADE a mis en place une politique de mot de passe uniforme pour ses produits. Les Partenaires ou tiers qui interagissent avec les produits via l'interface utilisateur/admin doivent s'authentifier avant d'accéder aux données non publiques des Partenaires et tiers.

Autorisation : Les données des Partenaires/partenaires/tiers sont stockées dans des systèmes de stockage multi-locataires accessibles aux Partenaires et aux tiers uniquement via des interfaces utilisateur et des interfaces de programmation d'applications. Les Partenaires et tiers ne sont pas autorisés à accéder directement à l'infrastructure applicative sous-jacente.

Le modèle d'autorisation de chacun des produits de VADE est conçu pour garantir que seules les personnes désignées de manière appropriée peuvent accéder aux fonctions, vues et options de personnalisation pertinentes en utilisant le principe des privilèges réduits. L'autorisation d'accès aux ensembles de données est effectuée en validant les autorisations de l'utilisateur par rapport au profil associé à chaque ensemble de données.

Accès à l'interface de programmation d'applications (API) : Les API publiques des produits sont accessibles à l'aide d'une clé API ou par autorisation Oauth/SAML.

1.2. Prévention de l'utilisation non autorisée des produits

VADE met en œuvre des contrôles d'accès et des capacités de détection conformes aux normes industrielles pour les réseaux internes qui prennent en charge ses produits.

Contrôles d'accès : Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent des implémentations de Cloud privé virtuel (VPC), l'attribution de groupes de sécurité et des règles de pare-feu traditionnelles.

Analyse statique du code : Des examens de sécurité du code stocké dans les référentiels de code source de VADE sont effectués, en vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

Tests de pénétration : VADE entretient des relations avec des fournisseurs de services de tests de pénétration reconnus par l'industrie pour effectuer des tests de pénétration annuels. L'objectif des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

Tests de vulnérabilité et gestion des correctifs : VADE entretient des relations avec des fournisseurs de services de tests de vulnérabilité reconnus par l'industrie pour effectuer six tests de vulnérabilité annuels sur tous les actifs de VADE. L'objectif des tests de vulnérabilité est d'identifier et de résoudre les faiblesses qui pourraient altérer le niveau de sécurité de VADE. VADE applique chaque mois les correctifs de sécurité fournis par les fournisseurs de logiciels ou d'infrastructures sur tous les composants de l'infrastructure de VADE.

1.3. Limitations des privilèges et exigences en matière d'autorisation

Accès aux produits : Un sous-ensemble d'employés de VADE a accès aux produits et aux données des Partenaires via des interfaces contrôlées. L'objectif de l'accès à un sous-ensemble d'employés est de fournir un support Partenaire efficace, de résoudre les problèmes potentiels, de détecter et de répondre aux Incidents de sécurité et de mettre en œuvre la sécurité des données. Toutes ces demandes sont enregistrées. Les employés se voient accorder un accès en fonction de leur rôle, et les révisions des privilèges à haut risque sont initiées chaque année. Les rôles des employés sont revus au moins une fois par an.

Vérification des antécédents : Tous les employés de VADE sont soumis à une vérification des antécédents avant de recevoir une offre d'emploi, conformément aux Lois Applicables et dans la mesure où celles-ci le permettent. Tous les employés sont tenus de se comporter d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.

1.3.1. Contrôle de la transmission

En transit : VADE met le cryptage HTTPS (également appelé SSL ou TLS) à disposition sur chacune de ses interfaces de connexion et gratuitement sur chaque site Partenaire hébergé sur les produits VADE. La mise en œuvre de HTTPS par VADE utilise des algorithmes et des certificats standard de l'industrie.

Au repos : VADE stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standard de l'industrie en matière de sécurité. VADE a mis en œuvre des technologies pour garantir que les données stockées sont cryptées au repos.

1.3.2. Contrôle des entrées 

Détection : VADE a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les systèmes internes regroupent les données des journaux et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Le personnel de VADE, notamment le personnel de sécurité, d'exploitation et de soutien, est réactif aux incidents connus.

Réponse et suivi : VADE tient un registre des Incidents de sécurité connus qui comprend la description, les dates et heures des activités pertinentes, et la disposition de l'Incident. Les Incidents de sécurité suspectés et confirmés sont investigués par le personnel de sécurité, d'opérations, ou de support ; et les étapes de résolution appropriées sont identifiées et documentées. Pour tout Incident confirmé, VADE prendra les mesures appropriées pour minimiser les dommages au produit et au Partenaire ou la divulgation non autorisée. La notification au Tiers sera conforme aux termes de la Politique.

1.3.3. Contrôle de la disponibilités 

Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de fonctionnement minimum de 99,95 %. Les fournisseurs maintiennent une redondance minimale de N+1 pour l'alimentation, le réseau et les services CVC.

Tolérance aux pannes : Les stratégies de sauvegarde et de réplication sont conçues pour assurer des protections de redondance et de basculement en cas de défaillance importante du traitement.

Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour être mises en grappe sur plusieurs instances. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins les méthodes standard de l'industrie.

Les produits de VADE sont conçus pour assurer la redondance et le basculement transparent. Les instances de serveur qui prennent en charge les produits sont également conçues dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de VADE à maintenir et à mettre à jour les applications et le backend des produits tout en limitant les temps d'arrêt.

 

 

(*) La version française de la politique de données personnelles prévaut sur toute autre version linguistique