Foire aux questions RGPD
Depuis le 25 mai 2018, de nouvelles mesures de sécurité relatives au traitement et à la libre circulation des données à caractère personnel sont entrées en vigueur en Europe.
Exalog, éditeur du logiciel Cegid Mesbanques, répond ici aux diverses questions que vous pourriez avoir sur ce sujet.
Les distributeurs intégrateurs
Qu’est-ce que le RGPD ?
RGPD, ou Règlement Général sur la Protection des Données, est le dernier texte Européen de référence pour la protection des personnes physiques concernant le traitement de leurs données à caractère personnel (règlement UE n° 2016/679).
Le règlement définit les droits de ces personnes physiques, et les obligations que doivent respecter les organisations qui manipulent leurs données (on parle de traitement au sens large : manuel ou automatique, et de toute forme d’utilisation, y compris le stockage).
On considère comme « donnée à caractère personnel » toute information propre à une personne qui permet de l’identifier. Il peut s’agir d’un nom, d’un numéro de téléphone, d’une photo, d’une adresse e-mail, etc.
Qui s’occupe du RGPD et de la sécurité des données à caractère personnel chez Exalog ?
Il y a deux personnes en charge de ces aspects chez Exalog :
- Le Directeur des systèmes d’information (DSI)
- Le Délégué à la protection des données personnelles (DPO), désigné afin d’assurer la conformité et la sécurité des traitements au sein de l’entreprise
Si vous souhaitez contacter l’une de ces personnes, vous pouvez utiliser le formulaire disponible ici.
Quelles sont les mesures de protection mises en œuvre par Exalog ?
La société Exalog met en œuvre des mesures techniques et organisationnelles qui assurent la sécurité des données enregistrées par ses clients dans ses logiciels. Parmi elles :
- L’hébergement dans des data centers hautement sécurisés et certifiés ISO 27001 et 22301
- La protection de nos systèmes contre les intrusions et le suivi des mises à jour de sécurité
- Des procédures d’accès à nos logiciels sécurisées (authentification à double facteur)
- Le chiffrement des informations suivantes dans les bases de données :
- Numéros de comptes (IBAN) du client abonné et de ses tiers
- Adresses e-mail des utilisateurs et des tiers
- Numéros de téléphone et fax des utilisateurs et des tiers
- Nom des utilisateurs
Numéros de cartes bancaires
- Des sauvegardes régulièrement effectuées et archivées sous forme chiffrées
Où sont stockés les données et les logiciels utilisés par les clients d’Exalog ?
Les logiciels Exalog (serveurs et bases de données) sont hébergées dans 2 data centers hautement sécurisés situés en région parisienne (Courbevoie et Aubervilliers) et appartenant à une société d’hébergement reconnue.
Ces deux data centers sont certifiés ISO 27001 (sécurité des systèmes d’information), ISAE 3402 (appréciation des prestations des tiers) et ISO 22301 (management de la continuité d’activité).
Les baies informatiques dans lesquelles les serveurs de nos logiciels sont installés (serveurs de traitement, serveurs de base de données, et serveurs de communication bancaires) sont privées et totalement réservées à Exalog. Seule l’équipe d’Exploitation d’Exalog assure la gestion et la maintenance. Les serveurs et les équipements réseau sont la propriété exclusive d’Exalog.
Comment sont conservées les données enregistrées par les clients d’Exalog dans ses logiciels ?
Les « données à caractère personnel » (noms des utilisateurs, numéros de téléphone ou e-mails, numéros de comptes et de cartes bancaires) enregistrées dans la base de données de nos logiciels sont chiffrées.
Les données en ligne sont conservées pendant la durée définie dans le contrat signé par le client.
En cas de rupture du contrat, Exalog s’engage à supprimer les données du client de la base de données du logiciel mutualisé disponible en ligne, dans un délai de 3 mois après la date de fin du contrat.
Exalog conserve néanmoins des archives des sauvegardes de la base de données mutualisée (données de tous ses clients), réalisées avant cette suppression, pendant une durée maximum de 5 ans. Ces archives sont chiffrées et stockées sur des serveurs dans les mêmes conditions de sécurité d’hébergement que le logiciel.
Le client dispose de la possibilité de demander une récupération d’archives, sur devis.
Comment l'intégrité des données des logiciels Exalog est-elle assurée ?
Les données sont conservées de la manière suivante :
- Une sauvegarde de la base est effectuée toutes les heures
- Les fichiers de sauvegarde sont conservés sur des serveurs de sauvegarde sécurisés, dans les mêmes conditions d’hébergement que le site de production ; ces fichiers sont compressés et chiffrés
- Durée de conservation :
- Les sauvegardes horaires sont conservées 1 semaine avant d’être supprimées
- 1 sauvegarde par semaine est conservée pendant une durée maximale de 1825 jours (5 ans) ; chaque sauvegarde hebdomadaire est supprimée après ce délai
Les données ont-elles déjà été transférées vers un centre de données situé en dehors de l’Union Européenne ?
Exalog ne transfère aucune donnée de ses logiciels en dehors de l’Union Européenne, ni ailleurs dans le monde.
D’autres questions ?
Si vous avez d’autres questions au sujet du RGPD, nous sommes à votre entière disposition pour y répondre.