RGPD

POLITIQUE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL AU SEIN D’IGUANE SOLUTIONS

EVOLUTION DE LA LÉGISLATION

Ce jour, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, communément appelé le « RGPD » (Règlement Général sur la Protection des Données) ou « GDPR » (pour Global Data Protection Regulation) entre en vigueur.

Il vise à uniformiser les lois sur la protection des données à caractère personnel au sein de l’Union Européenne et à renforcer la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel.

Ce règlement modifie substantiellement le droit applicable aux données personnelles.

Cette actualité est, pour nous, l’occasion de vous informer des mesures que nous avons prises, souvent bien avant le vote du RGPD en 2016, pour protéger les données à caractère personnel que vous nous confiez.

CADRE DU RGPD

Le RGPD concerne :

- l’ensemble des données à caractère personnel définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée directement ou indirectement ;

- tout traitement de ces données, défini comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, a limitation, l’effacement ou la destruction.

Il s’applique :

- au responsable de traitement défini comme la personne qui détermine les finalités et les moyens du traitement ;

- au sous-traitant c’est-à-dire à la personne qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité du responsable de traitement.

NOS ENGAGEMENTS EN QUALITÉ DE SOUS-TRAITANT

En recourant aux services d’IGUANE, vous nous confiez une prestation qui peut, le cas échéant, impliquer un accès à vos données en votre nom et pour votre compte.

Dans ce cadre, nous intervenons techniquement sur vos données uniquement sur instructions de votre part.

Conformément à la terminologie du RGPD, vous revêtez la qualité de Responsable de traitement et IGUANE celle de sous-traitant.

Le RGPD consacre une logique de responsabilisation du sous-traitant qui devient co-responsable avec le responsable de traitement du respect du règlement pour la partie qui lui incombe.

Notre rôle et notre responsabilité varient cependant selon le type de prestation que vous nous confiez.

• Service sans accès aux données stockées

Certains de nos services n’impliquent pas d’accès à vos données à caractère personnel :

Housing Colocation – Ce service consiste à fournir des prestations de pur hébergement de vos infrastructures (fourniture d’un espace au sein de baies de stockage et raccordement à aux réseaux électrique et à une connexion internet) sans service associé ni accès à vos équipements.

Infogérance de niveau 1 (hardware + remote hands) – Ce service consiste à gérer le matériel et leur maintenance sans accès à leur contenu.

Dans le cadre de ces services, nous ignorons tout des contenus stockés sur vos infrastructures auxquelles nous n’avons pas accès.

Conscient toutefois que vos infrastructures peuvent contenir des données à caractère personnel, nous mettons tout en œuvre pour assurer leur sécurité physique en partenariat avec nos data centers. Les mesures prises à cet égard peuvent être consultées ici.

• Service avec possibilité technique d’accès aux Données sans accès effectif

Fibres managées + Transit IP + infogérance réseau : dès lors qu’IGUANE est amené à fournir de la connectivité, nous sommes techniquement en mesure d’accéder aux données de ces flux. En revanche, nos prestations dans le cadre de ce service ne justifient pas que nous accédions à ces données.

Nous nous interdisons et interdisons à nos collaborateurs d’accéder à ces données, sans instruction préalable écrite de nos Clients.

Ces engagements sont expressément stipulés au sein de nos conditions générales de service.

• Service avec accès aux Données

Certains de nos services impliquent potentiellement que nous accédions à vos données à caractère personnel :

Service Accompagnement – Ce service consiste à intervenir sur votre plateforme hébergée afin de fournir une prestation spécifique sur instruction écrite de votre part.

Infogérance de niveau 3 – Ce service consiste à gérer de manière autonome vos serveurs et administrer votre plateforme.

Dans le cadre de ces services, IGUANE peut être amené à accéder à vos données :

□ afin de traiter une demande spécifique de votre part ayant fait l’objet d’un ticket sur notre outil de ticketing ;

□ afin d’assurer la maintenance préventive, corrective ou évolutive de votre plateforme dans le strict cadre des missions que vous nous confiez.

Conformément au RGPD, nous nous engageons à :

□ n’accéder qu’aux données strictement nécessaires à l’opération particulière justifiant cet accès ;

□ ne traiter vos données que pour la finalité visée dans vos instructions : IGUANE n’utilisera jamais vos données à quelque autre fin que ce soit ;

□ ce que nos techniciens en charge de votre plateforme ne puissent accéder à vos données que sur mot de passe personnel, chaque accès étant tracé dans un registre à votre disposition ;

□ ce que nos techniciens soient soumis à une clause de confidentialité extrêmement stricte ;

□ solliciter votre accord préalablement à tout recours à un sous-traitant pouvant avoir accès à vos données à caractère personnel ;

□ proposer un niveau de sécurisation de vos serveurs parmi les plus élevés et à vous communiquer précisément les éléments de sécurité mis en place ;

□ vous notifier dans les plus brefs délais tout atteinte à vos données suite à une faille de sécurité ;

□ vous assister à respecter vos obligations entrant dans le champ de nos prestations (notamment en cas de demande d’accès, de modification, de suppression de données ou de portabilité) ;

□ ne pas stocker vos données hors de l’Union Européenne sauf requête ou accord exprès et écrit de votre part. Si le service spécifique que vous sollicitez implique un transfert de données hors UE dans un pays qui n’est pas reconnu comme présentant un niveau de protection adéquat par la Commission Européenne, nous vous en informons préalablement et vous accompagnons afin d’étudier les solutions adéquates ;

□ supprimer toutes vos données au terme de nos relations contractuelles et à n’en conserver aucune copie sous quelque forme que ce soit.

NOS ENGAGEMENTS EN QUALITÉ DE RESPONSABLE DE TRAITEMENT

Tout au long de nos relations commerciales, nous sommes amenés à collecter des données à caractère personnel vous concernant ou concernant vos collaborateurs à des fins de gestion de la relation client (facturation, assistance et maintenance, gestion commerciale, recouvrement).

Les données que nous collectons sont essentiellement les noms, prénoms, adresse postale professionnelle, adresse email et numéros des téléphones des personnes avec lesquelles nous sommes en contact.

IGUANE s’engage vis-à-vis de vous et de vos collaborateurs à :

□ ne collecter que les données strictement nécessaires à la fourniture de notre service ;

□ ne pas utiliser les données ainsi collectées à d’autres fins que le suivi de l’exécution du présent contrat ;

□ ne pas transférer ces données à quelque tiers que ce soit à quelque titre que ce soit, en dehors de nos obligations légales (comptabilité, juridique, fiscal, etc.) ;

□ ne conserver ces données que pendant la durée strictement nécessaire à la finalité de cette collecte, pour respecter nos obligations légales et jusqu’à l’acquisition de toute prescription légalement applicable. Toute Donnée à Caractère Personnel devenue inutile à l’exécution des présentes est immédiatement supprimée ;

□ à faire bénéficier chaque personne dont les données sont collectées d’un droit d’accès, de rectification et de suppression de leurs données à caractère personnel. La suppression de ces données peut cependant être rendue impossible dans le cas où leur conservation serait légalement ou techniquement nécessaire ;

□ mettre en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat de ces données ;

NOTRE DATA PROTECTION OFFICER

Afin de garantir le respect du RGPD tout au long de la vie de votre contrat et de vous permettre d’obtenir toute les réponses aux questions que vous vous posez sur la gestion de vos données à caractère personnel, IGUANE a désigné un Data Protection Officer chargé de vérifier et garantir la conformité d’IGUANE aux obligations découlant du RGPD, pour toutes demandes vous pouvez le contacter à l’adresse suivante :

dpo@iguanesolutions.com