Déclaration relative à la sécurité des informations

Introduction

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) a pris force de loi dans tous les États membres de l’Union Européenne. Même si le Royaume-Uni a prévu de sortir de l’UE, le RGPD continuera de s’appliquer au Royaume-Uni à travers une loi nationale équivalente ou l’appartenance au marché unique.

Le nouveau règlement remplace la loi relative à l’informatique, aux fichiers et aux libertés (Loi du 6 janvier 1978) qui a été élaborée à un moment où la plus grande partie du traitement des données se basait encore sur un support papier. La compréhension de l’impact que la technologie allait avoir sur la façon de traiter les données était aussi limitée à cette date.

Le RGPD est conçu pour offrir une législation efficace pour le traitement des données au 21e siècle. Les principes fondamentaux sont en grande partie les mêmes que ceux contenus dans la loi sur la protection des données. Cependant il est important de bien comprendre certains changements et améliorations si vous voulez rester en conformité avec la nouvelle loi.

Dans ce document nous allons vous expliquer quelques-uns des points essentiels du RGPD, et comment nous les mettons en œuvre en tant que sous-traitant de vos données. Veuillez noter que ce document décrit uniquement comment Esendex traite vos données en tant que sous-traitant. Afin d’éviter toute ambiguïté, précisons qu’il s’agit des données que vous nous transférez dans l’objectif de transmettre des messages. Ces données seront désignées dans ce document comme les « données de l’utilisateur final ». Ce sont les données que vous contrôlez et que vous nous demandez par contrat de traiter en votre nom. Vous pouvez consulter notre politique de confidentialité sur ce site si vous souhaitez savoir comment nous traitons vos données en tant que responsable du traitement.

Le consentement

Il s’agit d’une des bases légales du traitement des données en vertu de la loi sur la protection des données, et probablement le motif le plus courant de traitement. En vertu du RGPD, les exigences requises pour utiliser le consentement comme votre base légale sont plus élevées que jamais. Le consentement doit être obtenu, enregistré et géré d’une façon beaucoup plus complète qu’en vertu de la loi sur la protection des données existante jusqu’alors. La CNIL a rédigé un guide donnant des indications sur les changements concernant les conditions requises pour le consentement dans le cadre du RGPD.

Le service que nous vous fournissons signifie que Esendex est le sous-traitant des données que vous partagez avec nous dans l’objectif de transmettre des messages, et vous êtes le responsable du traitement.

Esendex agit uniquement sur vos instructions et traite vos données pour envoyer des messages à vos utilisateurs finaux. Esendex n’obtient pas, n’enregistre pas et ne gère pas le consentement des personnes concernées, en votre nom. Vous avez la responsabilité en tant que responsable du traitement de vous assurer que vous détenez, et pouvez utiliser pour démontrer si nécessaire, des documents attestant du consentement des personnes concernées pour que nous transmettions des messages en utilisant les informations que vous nous fournissez. Nous n’interagissons pas directement avec vos utilisateurs finaux en tant que Esendex. Toutes les communications sont envoyées sur vos instructions comme si elles provenaient directement de vous. Nous n’apparaissons pas dans le processus de livraison des messages.

La conservation des données

Esendex comprend qu’une trop grande rétention de données n’est compatible ni avec les anciennes règles de protection des données, ni avec les nouvelles. En conséquence, Esendex ne conserve pas vos données de messagerie plus de deux ans après que vous ayez envoyé la communication – sauf instruction contraire – par exemple lorsqu’un service de conservation zéro jour a été appliqué au compte.

Les données d’identification personnelle (DIP) contenues dans les champs sont effacées après la période de rétention, avant d’être complètement supprimées. Les données de messagerie se limitent au numéro de téléphone et le contenu du message.

Le stockage des DIP se fait dans des environnements sécurisés dont l’accès est contrôlé et séparé de tous les autres réseaux d’Esendex. Le matériel dans ces environnements sécurisés appartient à Esendex.

Les données du « téléchargement des éléments envoyés » stockées sur AWS à Dublin sont conservées pendant 13 mois après quoi les données sont détruites dans le cas d’AWS.

Les données transmises par le biais de notre application Messaging Studio seront copiées et stockées chez Microsoft Azure au Royaume-Uni. La période de conservation des données de suivi et d’analyse est laissée à votre (vous le client) appréciation. Les données opérationnelles sont également stockées chez Azure. Ceci correspond aux périodes de conservation standard d’Esendex (2 ans).

Les données transmises par nos canaux vocaux sortants sont conservées pendant deux ans.

Les mesures de protection des données

Les mesures de protection des données adoptées par Esendex sont basées sur la norme de sécurité de l’information ISO27001. Cette norme s’applique à tous les secteurs de l’entreprise ; nos environnements de production et de bureau sont certifiés sur une base annuelle par un auditeur externe agréé.

Une version à l’intention des clients de notre manuel de système de management de la sécurité de l’information (SMSI) détaillant ces mesures est disponible sur demande pour les clients. Le manuel décrit la façon dont Esendex met en œuvre les contrôles de la norme ISO 27001

Pour donner un aperçu général, Esendex a entre autres pris les mesures suivantes :

Contrôle de l’accès
Les pare-feux
Antivirus
Des équipements sécurisés y compris les ordinateurs portables et les téléphones mobiles
Données en transit / cryptage
La sauvegarde, la reprise après sinistre et la continuité des opérations

Nous programmons et effectuons des sauvegardes régulières pour nous assurer que toutes les données sont stockées en toute sécurité et sûreté, et qu’elles restent disponibles pour des besoins de restauration dans des situations de reprise après sinistre.

La surveillance
L’éducation et la formation des employés

Tous les employés :

Les politiques et les procédures

● En plus de ce qui précède, nous maintenons, appliquons et soutenons des politiques et procédures de la norme ISO27001 pour –

Toutes ces mesures et l’intégralité des systèmes ISO font l’objet d’audits internes par l’équipe de la conformité et d’audits externes par notre organisme accréditeur tiers, sur une base annuelle. L’équipe de la conformité procède également à des inspections de sécurité sur une base ad hoc pour s’assurer que certaines politiques sont respectées par tous les membres du personnel.

Les risques

Esendex évalue tous les risques d’une façon continue. Les évaluations de risques décrivent des plans de traitement qui agissent comme des recommandations pour aider l’entreprise à réduire l’impact et/ou la probabilité des risques identifiés. Les risques et les plans de traitement sont examinés régulièrement. Nous évaluons les risques liés à nos systèmes, notre personnel, nos actifs et nos activités opérationnelles. Esendex a identifié ceci comme un domaine pour lequel, bien que conforme à des exigences telles que celles de la norme ISO 27001, nous adhérons au principe d’amélioration continue.

Nous utilisons un logiciel pour entreprise de gestion des risques pour soutenir et améliorer notre approche de la gestion des risques. Nous identifions les dépendances comme des risques pour notre entreprise, et les objectifs de sécurité à travers des inventaires de risques, avec des activités qui en découlent pour traiter efficacement ces risques.

Les notifications de violation

Esendex prend toutes les mesures ci-dessus pour sécuriser vos données dans le cadre de nos activités de traitement. Dans le cas d’une violation de données, nous vous informerons dans les 24 heures après avoir pris connaissance qu’un problème de sécurité a conduit à une violation de données y compris les données du client.

Nous avons aussi –

Les délégués à la protection des données

Esendex dispose d’une équipe de conformité dédiée qui est responsable de toutes les questions, requêtes, problèmes et interrogations concernant la protection des données pour toute l’organisation. Esendex n’est actuellement pas tenu de nommer un délégué à la protection des données (DPD) en vertu des critères fixés par le RGPD. Cependant ce poste sera régulièrement examiné.

Vous pouvez contacter votre gestionnaire de compte pour toute question concernant la protection des données. Les demandes d’accès des personnes concernées sont détaillées dans la section ci-dessous.

Les droits des personnes concernées

En tant que sous-traitant, Esendex ne répondra pas directement aux demandes formulées par un de vos clients dont nous avons traité les données. Nous vous contacterons pour vous informer de la demande et vous aider à respecter vos obligations en vertu du RGPD. Des exemples de cas pour lesquels nous pouvons avoir besoin d’aider à satisfaire les droits d’une personne concernée comprennent :

Les demandes d’accès d’une personne concernée

Ce droit existait déjà dans la loi sur la protection des données et devrait être un concept familier pour la plupart des responsables du traitement. Les principaux changements dans le RGPD sont :

Les données que vous transférez à Esendex peuvent être mis à disposition à cette fin, à condition qu’elles soient toujours stockées par nous. Les demandes d’accès des personnes concernées peuvent être faites auprès d’Esendex en utilisant notre Demande d’accès aux informations personnelles . Des frais sont redevables pour des demandes de cette nature – veuillez contacter votre gestionnaire de compte pour plus de détails. Les demandes d’accès des personnes concernées seront traitées dans les 30 jours suivant la réception de votre demande.

Les droits à l’oubli et à l’effacement

On a beaucoup parlé des améliorations apportées à ce droit en vertu du RGPD ; il va donner aux personnes concernées le droit de demander à ce que leurs informations soient supprimées si elles s’opposent à leur traitement, ou le droit de retirer leur consentement. Au Royaume-Uni, ce droit a été utilisé pour modifier des informations erronées au sujet de personnes concernées, par exemple dans les résultats de recherche Google. Alors que les améliorations ne donnent pas le droit absolu à l’oubli, elles aboutiront à un plus grand nombre de demandes de suppression reçu par les responsables du traitement.

Les demandes de suppression de données spécifiques peuvent être portées à l’attention de votre gestionnaire de compte.

Les registres de l’activité de traitement

Esendex est un sous-traitant en ce qui concerne toutes les informations du client. En tant que tel, nous ne traitons les données que sur vos instructions et dans le but de fournir un service de messagerie faisant partie de l’exécution du contrat existant entre vous et nous. Nos activités de traitement ont pour seules fins la transmission et la livraison de messages à vos utilisateurs finaux.

Nous conservons un registre de tous les messages que nous envoyons en votre nom conformément à notre politique de conservation des données. Comme indiqué dans la section concernant la conservation des données, la durée est de deux ans maximum à compter de la date d’envoi de la communication.

Les transferts à des tiers –

Esendex transmet vos informations aux opérateurs de réseaux dans le but de livrer votre message au téléphone de l’utilisateur final ou à l’équipement connecté au point de terminaison du réseau. Ce type de transfert est indissociable de la fourniture de nos produits et services.

Pour les communications SMS en France nous utilisons uniquement nos connexions directes aux réseaux mobiles français pour nous assurer de pouvoir suivre vos données depuis notre système jusqu’au téléphone de l’utilisateur final.

Les données transmises en utilisant nos produits vocaux le sont à travers une pile de Session Initiation Protocol (SIP) hébergée dans notre centre de données de Derby, Node 4. La pile SIP du centre de données fournit des connexions aux opérateurs de réseau pour la livraison de messages.

Une des fonctionnalités de notre service – le téléchargement des éléments envoyés – est hébergé sur Amazon Web Services (AWS) à Dublin.

Les données de Messaging Studio et de Rich Content/Communications Service (RCS) sont hébergées sur Microsoft Azure (Royaume-Uni) pour des raisons opérationnelles.

Nous avons effectué un audit approfondi de tous les réseaux tiers que nous utilisons afin de nous assurer que chaque fournisseur a pris les mesures techniques et organisationnelles adéquates requises pour fournir des normes de sécurité qui soient sensiblement similaires à celles décrites dans le présent document pour notre propre structure.

Nous avons également conclu (ou sommes en voie de conclure) des contrats avec tous les tiers pour solidifier les obligations de protection des données de toutes les parties, et renforcer les exigences minimales précisées dans tout accord de traitement des données entre vous et nous envers nos fournisseurs.

L’accord de traitement de données

Esendex a conçu un accord de traitement des données que nos clients peuvent utiliser pour s’assurer de respecter leurs obligations en tant que responsable du traitement en vertu du RGPD. Notre accord de traitement des données est disponible sur demande auprès de votre gestionnaire de compte et fait partie de nos conditions générales mises à jour et disponibles ici ici.

Les cartes de données

Au sein du cadre de confidentialité, Esendex a réalisé une cartographie complète des données de nos systèmes afin de fournir des « cycles de vie des données » pour tous les DIP que nous traitons et contrôlons. Des versions de nos cartes de données destinées à notre clientèle seront créées dans les prochaines semaines et seront disponibles sur demande pour vous aider à répondre à vos obligations en vertu du principe de responsabilité du RGPD. Vous pouvez contacter votre gestionnaire de compte qui sera en mesure de partager avec vous les cartes de données spécifiques aux produits et services que vous utilisez.

L’évaluation d’impact sur la protection des données (DPIA)

Nous comprenons que certains types de traitements peuvent exiger de nos clients qu’ils réalisent une DPIA pour démontrer qu’ils ont pris en compte les droits et libertés des personnes concernées avant de s’engager dans leur projet de traitement des données. Esendex est un fournisseur de service de communications d’entreprise et n’a aucune visibilité sur le contenu que vous envoyez à travers notre plate-forme. Si vos activités de traitement sont considérées à haut risque, ou que vous traitez des catégories spéciales de données, vous pouvez avoir besoins de notre contribution concernant votre DPIA. Veuillez vous adresser à votre gestionnaire de compte pour toute requête de cette nature.