Les données que vous nous confiez sont précieuses et toute l’équipe Eurécia est mobilisée pour assurer leur sécurité.
Vous trouverez dans cet article toutes les informations concernant la sécurité, la maitrise et la protection de vos données.
Eurécia s’engage contractuellement envers vous à travers nos Conditions Générales de Ventes. Vous souhaitez les consulter 😁? Elles sont disponibles dans le footer de votre espace client : Accéder à mon Espace Client Eurécia! |
Qui est concerné par cet article ?
Nos administrateurs, les DPO et toutes personnes intéressées par la protection des données
Au programme dans cet article :
- La maitrise des données
- Le traitement et la sauvegarde des données
- Conformité avec la RGPD
- La sécurité des données
La maitrise des données
Le traitement des données
En tant que client, vous êtes le seul responsable du traitement des données personnelles utilisées via notre logiciel, conformément à la loi "Informatique et Libertés" et au RGPD.
De notre côté, nous accédons à vos données uniquement si cela est nécessaire (notamment pour répondre à vos demandes d’assistance) et toujours dans le respect de nos CGV (article 8). Eurécia agit ainsi en qualité de sous-traitant au sens du RGPD. Nous ne pouvons modifier vos données sans votre accord explicite.
Nous ne transmettons aucune information à vos collaborateurs ; vous restez seul décisionnaire quant au partage de leurs données.
💡 Nous ne vendons ni n’utilisons jamais vos données à des fins commerciales. C’est un engagement ferme.
La confidentialité de vos données est primordiale. Toutes les données sauvegardées dans vos bases sont strictement confidentielles, et tous les collaborateurs et partenaires d’Eurécia sont soumis à une clause de confidentialité rigoureuse.
Vous pouvez faire connaissance avec notre équipe support ici !
En cas de risque ou de violation de données, nous nous engageons à vous informer dans les plus brefs délais, conformément à la réglementation en vigueur.
Soyez assurés que nous mettons tout en œuvre pour que cela ne se produise pas !
Gestion des identifiants et authentification
Conformément aux articles 4.2 et 4.3 de nos CGV, vous définissez vous-même les accès et les habilitations des utilisateurs.
Chaque utilisateur dispose d’un identifiant unique et d’un profil spécifique. Les mots de passe doivent comporter au minimum 12 caractères, avec une majuscule, une minuscule, un chiffre et un caractère spécial.
🔄 Après 5 tentatives de connexion infructueuses, le compte est bloqué pendant 15 minutes.
⏳ Une déconnexion automatique est appliquée après 15 minutes d’inactivité.
- Gérer ses mots de passe en toute sécurité
- Forcer le renouvellement des mots de passe des utilisateurs
- WEBINAR / IP, mot de passe, RGPD : Notions de sécurité sur votre plateforme
Registre de traitement
Nous conservons, durant 2 mois, une traçabilité des accès (logs).
Toutefois, pour des questions de confidentialité et de respect de la vie privée de nos utilisateurs, nous ne serons pas en mesure de répondre à toute demande de vérification de connexion (diffusion des adresses IP ou localisation géographique).
Nous accompagnons nos clients dans la gestion de ces données tout en veillant à respecter strictement le RGPD.
Réversibilité des données
Si vous êtes amenés à quitter Eurécia, vous pouvez effectuer une demande de réversibilité auprès de nos services dans un délai maximum de 8 jours après la fin de votre contrat.
Vous trouverez toutes les informations utiles dans cet article : Réversibilité des données.
La sauvegarde des données
Comme indiqué précédemment, nos clients restent maîtres et responsables des données présentes et de l'utilisation du logiciel (CGV alinéa 4.4). Vous avez l'obligation de procéder au moins une fois par mois à la sauvegarde de toutes données traitées par Eurécia (CGV alinéa 4.7). Vous trouverez toutes les informations pour vous aider à procéder à cette sauvegarde dans cet article : Sauvegarder ses données Eurécia.
Localisation géographique des services et données
Nous vous garantissons, en conformité avec l'application du RGPD et via nos CGV alinéa 4.6 que toutes les données hébergées sont physiquement localisées en Union Européenne mais nous pouvons même faire plus : elles sont en France, dans 3 datacenters parisiens !
Toutes les personnes relevant de la réalisation, de la prestation et des services sont basées en France.
La sécurité, la confidentialité et le stockage de vos données sont les éléments primordiaux dans le choix de notre hébergeur. Pour toujours plus de sécurité, de réactivité et de performance, nous avons choisi d'héberger nos données sur la plateforme d'hébergement de Google : Google Cloud Plateform (GCP).
GCP est le fournisseur qui répond le mieux à l’ensemble de ces critères, et qui a un grand nombre de certifications reconnues en terme de sécurité, performance, et respect environnemental, notamment :
- Certification ISO 50001
- European code of conduct
- RGPD
- Certification ISO 27001
Et ce n'est pas tout ! Vous trouverez la liste complète sur ce lien : Certificats Google Cloud Paletforme.
Pour totalement garantir la sécurité de vos données en cas d'incidents majeurs, les données sont aussi répliquées dans d'autres lieux (situés également en France). Pour être totalement transparent avec vous sur ce point, en cas de panne ou d'incident majeur les données peuvent également être hébergées en Belgique temporairement dans le cas d’un plan de reprise d’activité (PRA). Le choix de la Belgique pour le PRA permet de rester dans le cadre des lois européennes.
En complément, nous avons aussi mis en place la restriction de localisation. Personne chez Eurécia ne peut créer ou déplacer des données en dehors de la France ou la Belgique !
Sauvegarde
Nous réalisons deux sauvegardes par jour (à 03h30 et 12h30, heure de Paris) avec une rétention de 60 jours.
Sur demande (et sur devis), nous pouvons effectuer une restauration (dump) de votre base, dans la limite des deux mois précédents.
Ces sauvegardes sont répliquées sur plusieurs zones en France et en Belgique pour garantir l’accès aux données même en cas de défaillance.
Et nos partenaires ?
Nous travaillons uniquement avec des partenaires de confiance, reconnus et experts dans leurs domaines. Tous nos partenaires répondent aux mêmes exigences de sécurité et sont en conformité avec l'application du RGPD :
- GCP, hébergement des données respectant toutes les normes les plus exigeantes en matière de sécurité et de respect du RGPD au niveau français et européen.
- eDoc, coffre-fort numérique pour les bulletins de salaire
- Universign, pour la certification des justificatifs à valeur probante et pour la signature électronique
- Cloudfare, réseau de distribution de contenu et pare-feu. Cloudfare n'héberge aucune donnée d'Eurécia.
Conformité avec la RGPD
Eurécia est labellisée " RGPD conforme " ! La démarche de mise en conformité permet d'assurer une parfaite gestion et la sécurité des données personnelles que nous traitons pour vous ! |
Eurécia est fièrement labellisée "RGPD conforme".
Cette démarche atteste de notre engagement envers une gestion rigoureuse et sécurisée des données personnelles.
📄 Pour en savoir plus sur notre conformité RGPD et consulter l’attestation de désignation du DPO :
L'application du RGPD chez Eurécia.
La sécurité des données
Nous vous présentons toutes les informations détaillées relatives à notre infrastructure technique et les mesures mises en œuvre par Eurécia pour garantir la sécurité de vos données dans les documents suivants :
Plan de continuité (PCA) et Plan de reprise d'activité (PRA)
L’architecture de Google Cloud Platform est conçue pour garantir une haute disponibilité et une continuité de service maximale.
-
Les bases de données sont en haute disponibilité (HA), réparties sur les trois datacenters parisiens.
-
Dans le cas d'un incident extrême et majeur touchant la région parisienne, un PRA (Plan de Reprise d'Activité) assure la reprise d'activité. Les données et fichiers sont synchronisés en permanence en Belgique.
Nos engagements varient selon les types d’incidents rencontrés. Au maximum :
- Objectif de délai de reprise (RTO) de 4h maximum (en pratique 2h)
- Objectif de point de reprise (RPO) de 5h maximum (en pratique quelques minutes)
Contrôle de sécurité
Eurécia a mis en place un système de supervision et de gestion des vulnérabilités pour l’ensemble de nos serveurs.
La solution de Dependency Track de OWASP permet de réaliser une veille permanente et d’agir sur les vulnérabilités identifiées le plus rapidement possible.
- DependencyTrack
- Sonar (Security Report)
En complément, Eurécia réalise au moins une fois par an un audit de sécurité sous la forme de tests de pénétration (PenTest) réalisés par la société Itrust ou Cyblex afin de conserver un niveau optimal de sécurité comme le confirme l'attestation suivante :
Attestation de sécurité, oui mais encore ?
Notre application est riche de très nombreuses fonctionnalités qui nécessitent l'utilisation de technologies différentes. Certains de nos scripts peuvent donc être qualifiés de 'à risque mineur' lors de scan de vulnérabilité à disposition du grand public (Content security policy).
Lors de ces scans, les tests sont réalisés sans tenir compte de la protection de notre WAF (Web Application Firewall) donc hors firewall.
Nous avons fait le choix d'exécuter ces scripts car ils sont utiles à nos process : ils ont été évalués comme sûrs suite aux audits internes de vulnérabilité.
Nous travaillons en continu pour améliorer les normes http/https et respecter les meilleures pratiques pour vous garantir une politique de sécurité des données fiable et robuste.
Nous sommes fiers de notre application alors si vous voulez nous tester par vous même et même nous comparer aux autres grands SIRH du marché, n'hésitez pas 😁 !
Qualys/SSL Labs nous donne la note de A+.
Securityheaders.com nous donne la note de A+.
Mozilla Observatory nous donne la note de B+.
Test d'intrusion informatique
Une demande écrite d'autorisation doit impérativement être effectué préalablement pour mener des tests d'intrusion. Ces tests sont soumis à devis.
Comme indiqué précédemment, nous faisons appel chaque année à tiers auditeurs pour effectuer un audit de sécurité.
Pour rappel, la loi du 05 janvier 1988 (dite Loi Godfrain) interdit ce type d'intrusion sans accord préalable.
Sécurité physique
Google dispose de plusieurs couches de sécurité pour empêcher tout accès non autorisé à vos informations :
- systèmes de défense périmétrique sécurisés,
- une couverture complète par caméras,
- une authentification biométrique,
- une équipe d'agents de sécurité 24h/24, 7j/7.
De plus, ils appliquent une politique stricte d'accès et de sécurité dans leurs centres de données et veillent à ce que l'ensemble du personnel soit formé à la sécurité.
En complément, Google met en œuvre six couches de contrôles physiques (vidéo) et de nombreux contrôles logiques sur les machines elles-mêmes.
Vous l'aurez certainement compris, chez Eurécia, nous sommes tout à fait conscients de l'importance de protéger et sécuriser vos données et nous mettons tout en œuvre pour leur assurer le plus haut niveau de sécurité possible !
Mots clés associés à cet article :
RGPD - RGDP - sécurité - protection - données - infos - protéger - sécuriser - contrôler - surveillance - intrusion - localisation - PRA - sauvegarde - localisation - monitoring - infrastructures - techniques - registre - traitement - DP - 27001 - ISO - GCP - cloud - Google
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.