La protection des données chez Eurécia

Les données que vous nous confiez sont précieuses et toute l’équipe Eurécia est mobilisée pour assurer leur sécurité.

Vous trouverez dans cet article toutes les informations concernant la sécurité, la maitrise et la protection de vos données. 

 

Eurécia s’engage contractuellement envers vous à travers nos Conditions Générales de Ventes. Vous souhaitez les consulter 😁? Elles sont disponibles dans le footer de votre espace client : Accéder à mon Espace Client Eurécia!

 

Qui est concerné par cet article ?

Nos administrateurs, les DPO et toutes personnes intéressées par la protection des données

 

Au programme dans cet article :

• La maitrise des données
  • Le traitement des données 
  • Gestion des identifiants et authentification
  • Registre de traitement
  • Réversibilité des données
• Le traitement et la sauvegarde des données
  • Le traitement des données
  • La sauvegarde des données 
  • Localisation géographique des services et données
  • Et nos partenaires ?
• Conformité avec la RGPD
• La sécurité des données
  • Plan de reprise d'activité (PRA)
  • Contrôle de sécurité
  • Test d'intrusion informatique
  • Sécurité physique

 

La maitrise des données

Le traitement des données

Vous, client, êtes le seul maître et responsable de traitement des données personnelles traitées dans le cadre de l'utilisation de notre logiciel au sens de la loi Informatiques et Libertés du RGPD.

Nous nous permettons uniquement d'y accéder en cas de besoin (dans le cas des demandes d'assistances par exemple) et de les administrer en application de nos CGV, article 8. A ce titre Eurécia a la qualité de sous-traitant au sens du RGPD. Nous ne sommes pas habilités à modifier vos données sans autorisation explicite de votre part.

Nous ne transmettrons aucune information ou aucune donnée à l'un de vos collaborateurs, vous avez bien sûr la main pour leur transmettre toutes les informations les concernant directement.

Nous n'utilisons et n'utiliserons jamais vos données à des fins commerciales, c'est promis 😉 !

Nous nous engageons à tout mettre en œuvre pour protéger et assurer la confidentialité de vos données.

Vous trouverez toutes les informations sur nos mesures de sécurité logiques et physiques un peu plus loin dans cet article.

 

Toutes les données sauvegardées sur vos bases sont absolument confidentielles. Tous les collaborateurs et partenaires d'Eurécia sont soumis à une stricte confidentialité. Si vous voulez faire un peu mieux connaissance avec l'équipe support en charge de vos demandes d'assistance, vous pouvez vous rendre par ici !

 

Nous nous engageons à vous tenir informés en cas de risque avéré sur la sécurité de vos données ou si une violation du RGPD venait à être constatée, aussitôt que la situation aura été avérée, tel que l'exige le règlement.

Soyez assurés que nous mettons tout en œuvre pour que cela ne se produise pas !

 

Gestion des identifiants et authentification

Conformément aux articles 4.2 et 4.3 de nos CGV, nos clients déterminent eux-mêmes les accès et habilitations de chaque utilisateur.

Chaque compte utilisateur possède un identifiant unique et un profil de droit : le profil utilisateur.

Chaque client possède un identifiant unique.

Nos mots de passe doivent comporter 8 caractères dont 1 majuscule, 1 minuscule et 1 chiffre. Vous trouverez toutes les informations sur la gestion de ces mots de passe dans les articles suivants:

• Gérer ses mots de passe en toute sécurité
• Forcer le renouvellement des mots de passe des utilisateurs
• WEBINAR / IP, mot de passe, RGPD : Notions de sécurité sur votre plateforme

Afin de garantir votre sécurité, Eurécia vous déconnectera automatiquement après 15 minutes d'inactivité.

 

Registre de traitement

Nous conservons, durant 2 mois, une traçabilité des accès (logs).

toutefois, pour des questions de confidentialité et de respect de la vie privée de nos utilisateurs, nous ne serons pas en mesure de répondre à toute demande de vérification de connexion (diffusion des adresses IP ou localisation géographique).

Nous accompagnons nos clients lorsqu'ils le demandent mais nous veillons au strict respect de l'application du RGPD.

 

Réversibilité des données

Si vous êtes amenés à quitter Eurécia, vous pouvez effectuer une demande de réversibilité auprès de nos services dans un délai maximum de 8 jours après la fin de votre contrat.

Vous trouverez toutes les informations utiles dans cet article : Réversibilité des données.

 

La sauvegarde des données

Comme indiqué précédemment, nos clients restent maîtres et responsables des données présentes et de l'utilisation du logiciel (CGV alinéa 4.4). Vous avez l'obligation de procéder au moins une fois par mois à la sauvegarde de toutes données traitées par Eurécia (CGV alinéa 4.7). Vous trouverez toutes les informations pour vous aider à procéder à cette sauvegarde dans cet article : Sauvegarder ses données Eurécia.

Nous effectuons des sauvegardes régulières directement chez nous, au campus d'Eurécia. Ces sauvegardes sont effectués deux fois par jour (03h30 et 12h30, heure de Paris) avec une rétention de deux mois par client.

En cas de nécessité, nous pouvons procéder à un dump, c'est à dire à une restauration de votre base à une date donnée (dans la limite des deux mois précédents). Par contre, cette prestation nécessitant l'intervention de notre service technique, elle est nécessairement soumise à devis.

 

Localisation géographique des services et données

Nous vous garantissons, en conformité avec l'application du RGPD et via nos CGV alinéa 4.6 que toutes les données hébergées sont physiquement localisées en Union Européenne mais nous pouvons même faire plus : elles sont en France ! 

Toutes les personnes relevant de la réalisation de la prestation et des services sont basées en France.

 

L'ensemble des données sont hébergées par notre partenaire de confiance, Fullsave, sur des serveurs dédiés, juste à côté de chez nous à Labège (31) 😊. Leur datacenter (équivalent Tiers3+) TLS00 propose les meilleures garanties de sécurités et respecte toutes les normes en vigueur.

Eurécia dispose d'une baie NetApp dédiée où sont stockées toutes les données de nos clients.

 

Fullsave a obtenu la certification selon la NF EN ISO/IEC 27001:2017 délivrée par AFNOR Certification sur le périmètre Opérateur de Datacenter : hébergement sécurisé d’infrastructures en Datacenter.

Pour totalement garantir la sécurité de vos données en cas d'incidents majeurs, les données sont aussi répliqués dans d'autres lieux (situés également en France). 

 

 

Et nos partenaires ?

Nous travaillons uniquement avec des partenaires de confiance, reconnus et experts dans leurs domaines. Tous nos partenaires répondent aux mêmes exigences de sécurité et sont en conformité avec l'application du RGPD  :

• Fullsave, hébergement des données
• eDoc, coffre-fort numérique pour les bulletins de salaire
• Universign, pour la certification des justificatifs à valeur probante et pour la signature électronique
• Cloudfare, réseau de distribution de contenu. Cloudfare n'héberge aucune donnée d'Eurécia.

 

Conformité avec la RGPD

Vous trouverez toutes les informations sur l'application du RGPD chez Eurécia, ainsi que l' attestation de désignation de notre DPO, l'attestation de mise en  conformité avec le RGD et notre étude d'impact dans cet article : L'application du RGPD chez Eurécia.

 

La sécurité des données

Nous vous présentons toutes les informations détaillés relatives à notre infrastructure technique et les mesures mises en œuvre par Eurécia pour garantir la sécurité de vos données dans le document suivant :

 

 

Plan de reprise d'activité (PRA)

Afin d'assurer une reprise d’activité plus rapide, plusieurs nœuds applicatifs sont actifs ainsi qu’un réplica de la base de données pour garantir que l’infrastructure du site de secours soit fonctionnelle en permanence et ainsi faciliter la reprise d’activité.

Nos engagements varient selon les types d’incidents rencontrés. Au maximum :

• Objectif de délai de reprise (RTO) de 4h maximum (en pratique 2h)
• Objectif de point de reprise (RPO) de 5h maximum (en pratique quelques minutes)

Dans l’objectif d’assurer une qualité maximale à nos utilisateurs nous prévoyons de :

• Ajouter un site de secours actif supplémentaire 
• Améliorer notre infrastructure pour proposer un PCA entre nos sites et garantir une continuité de service même si un site est défaillant.

Pour information, nous menons une veille régulière et notre PRA est éprouvé tous les ans.

Contrôle de sécurité

Eurécia a mis en place un système de supervision et de gestion des vulnérabilités pour l’ensemble de nos serveurs.
La solution de gestion IKARE proposée par la société ITRUST permet de réaliser une veille permanente et d’agir sur les vulnérabilités identifiées le plus rapidement possible.

De plus, au moins une fois par an, Eurécia réalise un audit de sécurité sous la forme d’un test de pénétration réalisé par la société ITrust afin de rester à un niveau optimal de sécurité en fonction des règles de l’art comme le confirme l'attestation Itrust :

 

 

 

Attestation de sécurité, oui mais encore ?

Notre application est riche de très nombreuses fonctionnalités qui nécessitent l'utilisation de technologies différentes. Certains de nos scripts peuvent donc être qualifiés de 'à risque mineur' lors de scan de vulnérabilité à disposition du grand public (Content security policy). 

Lors de ces scans, les tests sont réalisés sans tenir compte de la protection de notre WAF (Web Application Firewall) donc hors firewall.

Nous avons fait le choix d'exécuter ces scripts car ils sont utiles à nos process : ils ont été évalués comme sûrs suite aux audits internes de vulnérabilité.

Nous travaillons en continu pour améliorer les normes http/https et respecter les meilleures pratiques pour vous garantir une politique de sécurité des données fiable et robuste.

 

Nous sommes fiers de notre application alors si vous voulez nous tester par vous même et même nous comparer aux autres grands SIRH du marché, n'hésitez pas 😁 !

 

Securityheaders.com nous donne la note de A.

Mozilla Observatory nous donne la note de B+.

Qualys/SSL Labs nous donne la note de A+.

 

 

Test d'intrusion informatique

Une demande écrite d'autorisation doit impérativement être effectué préalablement pour mener des tests d'intrusion. Ces tests sont soumis à devis.

Comme indiqué précédemment, nous faisons appel chaque année à tiers auditeurs pour effectuer un audit de sécurité.

Pour rappel, la loi du 05 janvier 1988 (dite Loi Godfrain) interdit ce type d'intrusion sans accord préalable.

 

Sécurité physique

Les locaux de notre hébergeur Fullsave sont surveillés en permanence : tous les locaux sont sous système d’alarme et l'accès est contrôlé par badge et contrôle biométrique. L'ensemble des locaux sont sous vidéo surveillance.

Les systèmes de détection et de déclenchement automatique des dispositifs de protection incendie sont conformes aux certifications APSAD R7, R13 et D2.

Le Datacenter propose une double chaîne électrique complète jusqu'au serveur final. Ils sont installés hors des zones inondables et protégés contre les dégâts des eaux.

 

Mots clés associés à cet article :

RGPD - RGDP - sécurité - protection - données - infos - protéger - sécuriser - contrôler - surveillance - intrusion - localisation - PRA - sauvegarde - localisation - monitoring - infrastructures - techniques - registre - traitement - DP - 27001 - ISO