Les données que vous nous confiez sont précieuses et toute l’équipe Eurécia est mobilisée pour assurer leur sécurité.
Vous trouverez dans cet article toutes les informations concernant la sécurité, la maitrise et la protection de vos données.
Eurécia s’engage contractuellement envers vous à travers nos Conditions Générales de Ventes. Vous souhaitez les consulter 😁? Elles sont disponibles dans le footer de votre espace client : Accéder à mon Espace Client Eurécia! |
Qui est concerné par cet article ?
Nos administrateurs, les DPO et toutes personnes intéressées par la protection des données
Au programme dans cet article :
- La maitrise des données
- Le traitement et la sauvegarde des données
- Conformité avec la RGPD
- La sécurité des données
La maitrise des données
Le traitement des données
Vous, client, êtes le seul maître et responsable de traitement des données personnelles traitées dans le cadre de l'utilisation de notre logiciel au sens de la loi Informatiques et Libertés du RGPD.
Nous nous permettons uniquement d'y accéder en cas de besoin (dans le cas des demandes d'assistances par exemple) et de les administrer en application de nos CGV, article 8. A ce titre Eurécia a la qualité de sous-traitant au sens du RGPD. Nous ne sommes pas habilités à modifier vos données sans autorisation explicite de votre part.
Nous ne transmettrons aucune information ou aucune donnée à l'un de vos collaborateurs, vous avez bien sûr la main pour leur transmettre toutes les informations les concernant directement.
Nous n'utilisons et n'utiliserons jamais vos données à des fins commerciales, c'est promis 😉 !
Nous nous engageons à tout mettre en œuvre pour protéger et assurer la confidentialité de vos données.
Vous trouverez toutes les informations sur nos mesures de sécurité logiques et physiques un peu plus loin dans cet article.
Toutes les données sauvegardées sur vos bases sont absolument confidentielles. Tous les collaborateurs et partenaires d'Eurécia sont soumis à une stricte confidentialité. Si vous voulez faire un peu mieux connaissance avec l'équipe support en charge de vos demandes d'assistance, vous pouvez vous rendre par ici !
Nous nous engageons à vous tenir informés en cas de risque avéré sur la sécurité de vos données ou si une violation du RGPD venait à être constatée, aussitôt que la situation aura été avérée, tel que l'exige le règlement.
Soyez assurés que nous mettons tout en œuvre pour que cela ne se produise pas !
Gestion des identifiants et authentification
Conformément aux articles 4.2 et 4.3 de nos CGV, nos clients déterminent eux-mêmes les accès et habilitations de chaque utilisateur.
Chaque compte utilisateur possède un identifiant unique et un profil de droit : le profil utilisateur.
Chaque client possède un identifiant unique.
Nos mots de passe doivent comporter 8 caractères dont 1 majuscule, 1 minuscule et 1 chiffre. Vous trouverez toutes les informations sur la gestion de ces mots de passe dans les articles suivants:
- Gérer ses mots de passe en toute sécurité
- Forcer le renouvellement des mots de passe des utilisateurs
- WEBINAR / IP, mot de passe, RGPD : Notions de sécurité sur votre plateforme
Le nombre de tentatives d'authentification à Eurécia est limité à 5. Au-delà, le compte de l'utilisateur sera bloqué pendant 15 minutes.
Afin de garantir votre sécurité, Eurécia vous déconnectera automatiquement après 15 minutes d'inactivité.
Registre de traitement
Nous conservons, durant 2 mois, une traçabilité des accès (logs).
Toutefois, pour des questions de confidentialité et de respect de la vie privée de nos utilisateurs, nous ne serons pas en mesure de répondre à toute demande de vérification de connexion (diffusion des adresses IP ou localisation géographique).
Nous accompagnons nos clients lorsqu'ils le demandent mais nous veillons au strict respect de l'application du RGPD.
Réversibilité des données
Si vous êtes amenés à quitter Eurécia, vous pouvez effectuer une demande de réversibilité auprès de nos services dans un délai maximum de 8 jours après la fin de votre contrat.
Vous trouverez toutes les informations utiles dans cet article : Réversibilité des données.
La sauvegarde des données
Comme indiqué précédemment, nos clients restent maîtres et responsables des données présentes et de l'utilisation du logiciel (CGV alinéa 4.4). Vous avez l'obligation de procéder au moins une fois par mois à la sauvegarde de toutes données traitées par Eurécia (CGV alinéa 4.7). Vous trouverez toutes les informations pour vous aider à procéder à cette sauvegarde dans cet article : Sauvegarder ses données Eurécia.
Localisation géographique des services et données
Nous vous garantissons, en conformité avec l'application du RGPD et via nos CGV alinéa 4.6 que toutes les données hébergées sont physiquement localisées en Union Européenne mais nous pouvons même faire plus : elles sont en France, dans 3 datacenters parisiens !
Toutes les personnes relevant de la réalisation de la prestation et des services sont basées en France.
La sécurité, la confidentialité et le stockage de vos données sont les éléments primordiaux dans le choix de notre hébergeur. Pour toujours plus de sécurité, de réactivité et de performance, nous avons choisi d'héberger nos données sur la plateforme d'hébergement de Google : Google Cloud Plateform (GCP).
GCP est le fournisseur qui répond le mieux à l’ensemble de ces critères, et qui a un grand nombre de certifications reconnues en terme de sécurité, performance, et respect environnemental, notamment :
- Certification ISO 50001
- European code of conduct
- RGPD
- Certification ISO 27001
Et ce n'est pas tout ! Vous trouverez la liste complète sur ce lien : Certificats Google Cloud Paletforme.
Pour totalement garantir la sécurité de vos données en cas d'incidents majeurs, les données sont aussi répliquées dans d'autres lieux (situés également en France). Pour être totalement transparent avec vous sur ce point, en cas de panne ou d'incident majeur les données peuvent également être hébergées en Belgique temporairement dans le cas d’un plan de reprise d’activité (PRA). Le choix de la Belgique pour le PRA permet de rester dans le cadre des lois européennes.
En complément, nous avons aussi mis en place la restriction de localisation. Personne chez Eurécia ne peut créer ou déplacer des données en dehors de la France ou la Belgique !
Sauvegarde
Nous effectuons des sauvegardes régulières deux fois par jour (03h30 et 12h30, heure de Paris) avec une rétention de 60 jours par client.
En cas de nécessité, nous pouvons procéder à un dump, c'est à dire à une restauration de votre base à une date donnée (dans la limite des deux mois précédents). Par contre, cette prestation nécessitant l'intervention de notre service technique, elle est nécessairement soumise à devis.
Ces sauvegardes sont répliquées sur plusieurs zones, en France, et sur une seconde région, en Belgique, afin d’assurer un accès à la donnée même en cas de faille d’une zone ou région.
Et nos partenaires ?
Nous travaillons uniquement avec des partenaires de confiance, reconnus et experts dans leurs domaines. Tous nos partenaires répondent aux mêmes exigences de sécurité et sont en conformité avec l'application du RGPD :
- GCP, hébergement des données respectant toutes les normes les plus exigeantes en matière de sécurité et de respect du RGPD au niveau français et européen.
- eDoc, coffre-fort numérique pour les bulletins de salaire
- Universign, pour la certification des justificatifs à valeur probante et pour la signature électronique
- Cloudfare, réseau de distribution de contenu et pare-feu. Cloudfare n'héberge aucune donnée d'Eurécia.
Conformité avec la RGPD
Vous trouverez toutes les informations sur l'application du RGPD chez Eurécia, ainsi que l' attestation de désignation de notre DPO, l'attestation de mise en conformité avec le RGD et notre étude d'impact dans cet article : L'application du RGPD chez Eurécia.
La sécurité des données
Nous vous présentons toutes les informations détaillés relatives à notre infrastructure technique et les mesures mises en œuvre par Eurécia pour garantir la sécurité de vos données dans le document suivant :
Plan de continuité (PCA) et Plan de reprise d'activité (PRA)
Les disques, réseaux et toute l’architecture GCP est pensée pour assurer une disponibilité et une continuité de service maximale (PCA).
Les bases de données et les fichiers sont configurés en HA (High Availability) pour assurer une redondance les 3 datacenters présents dans la région Parisienne.
Dans le cas d'un incident extrême et majeur touchant la région parisienne, un PRA (Plan de Reprise d'Activité) assure la reprise d'activité. Les données et fichiers sont synchronisés en permanence en Belgique.
Nos engagements varient selon les types d’incidents rencontrés. Au maximum :
- Objectif de délai de reprise (RTO) de 4h maximum (en pratique 2h)
- Objectif de point de reprise (RPO) de 5h maximum (en pratique quelques minutes)
Contrôle de sécurité
Eurécia a mis en place un système de supervision et de gestion des vulnérabilités pour l’ensemble de nos serveurs.
La solution de Dependency Track de OWASP permet de réaliser une veille permanente et d’agir sur les vulnérabilités identifiées le plus rapidement possible.
- DependencyTrack
- Sonar (Security Report)
En complément, Eurécia réalise au moins une fois par an un audit de sécurité sous la forme de tests de pénétration (PenTest) réalisés par la société Itrust ou Cyblex afin de conserver un niveau optimal de sécurité comme le confirme l'attestation suivante :
Attestation de sécurité, oui mais encore ?
Notre application est riche de très nombreuses fonctionnalités qui nécessitent l'utilisation de technologies différentes. Certains de nos scripts peuvent donc être qualifiés de 'à risque mineur' lors de scan de vulnérabilité à disposition du grand public (Content security policy).
Lors de ces scans, les tests sont réalisés sans tenir compte de la protection de notre WAF (Web Application Firewall) donc hors firewall.
Nous avons fait le choix d'exécuter ces scripts car ils sont utiles à nos process : ils ont été évalués comme sûrs suite aux audits internes de vulnérabilité.
Nous travaillons en continu pour améliorer les normes http/https et respecter les meilleures pratiques pour vous garantir une politique de sécurité des données fiable et robuste.
Nous sommes fiers de notre application alors si vous voulez nous tester par vous même et même nous comparer aux autres grands SIRH du marché, n'hésitez pas 😁 !
Qualys/SSL Labs nous donne la note de A+.
Securityheaders.com nous donne la note de A+.
Mozilla Observatory nous donne la note de B+.
Test d'intrusion informatique
Une demande écrite d'autorisation doit impérativement être effectué préalablement pour mener des tests d'intrusion. Ces tests sont soumis à devis.
Comme indiqué précédemment, nous faisons appel chaque année à tiers auditeurs pour effectuer un audit de sécurité.
Pour rappel, la loi du 05 janvier 1988 (dite Loi Godfrain) interdit ce type d'intrusion sans accord préalable.
Sécurité physique
Google dispose de plusieurs couches de sécurité pour empêcher tout accès non autorisé à vos informations :
- systèmes de défense périmétrique sécurisés,
- une couverture complète par caméras,
- une authentification biométrique,
- une équipe d'agents de sécurité 24h/24, 7j/7.
De plus, ils appliquent une politique stricte d'accès et de sécurité dans leurs centres de données et veillent à ce que l'ensemble du personnel soit formé à la sécurité.
En complément, Google met en œuvre six couches de contrôles physiques (vidéo) et de nombreux contrôles logiques sur les machines elles-mêmes.
Vous l'aurez certainement compris, chez Eurécia, nous sommes tout à fait conscients de l'importance de protéger et sécuriser vos données et nous mettons tout en œuvre pour leur assurer le plus haut niveau de sécurité possible !
Mots clés associés à cet article :
RGPD - RGDP - sécurité - protection - données - infos - protéger - sécuriser - contrôler - surveillance - intrusion - localisation - PRA - sauvegarde - localisation - monitoring - infrastructures - techniques - registre - traitement - DP - 27001 - ISO - GCP - cloud - Google
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.