KissLabs est compliant avec la loi européenne du traitement des données personnelles RGPD
RGPD
Dans le cadre de la nouvelle réglementation général sur la protection des données (RGPD), KissLabs s'est engagé à mettre en place les moyens nécessaire pour s'adapter à cette nouvelle disposition.
Le RGPD est prévu pour faciliter l'orchestration et la gestion juridiques des données à caracteres personnelles. À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.
Pour cela nous avons mis à jour nos conditions générales de ventes afin de la respecter, définit une politique sur la gestion des données personnelles, et avons également mis en place de nombreux processus et documentations internes permettant de s'assurer que l'ensemble de nos collaborateurs sont bien sensibiliser et engager dans le respect de celle-ci.
Bien choisir son prestataire, notamment en matière de cloud, est impératif pour respecter ses propres obligations en matière de protection des données à caractère personnel.
Définitions
Comprendre les enjeux réels et précis d’un règlement européen n’est pas toujours chose aisée, surtout lorsqu’il comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. C’est pourtant essentiel afin d’éviter tout risque pouvant résulter d’une interprétation trop large ou imprécise des obligations réglementaires incombant à votre structure. La bonne compréhension des quelques termes définis ci-dessous est donc essentielle :
- Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
- Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
- Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
- Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
KissLabs en qualité de sous-traitant et ses engagements
C’est certainement en cette qualité que vos attentes envers KissLabs sont les plus importantes. KissLabs est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.
C’est typiquement le cas lorsque vous utilisez les services de KissLabs et stockez des données à caractère personnel sur notre infrastructure. Dans la limite de ses contraintes techniques, KissLabs ne pourra traiter les données stockées que selon vos instructions, et ce uniqument pour votre compte. En qualité de sous-traitant, KissLabs s’engage notamment à mettre en œuvre les actions suivantes :
- Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : KissLabs ne traitera jamais vos informations à d’autres fins (marketing, etc.).
- Ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas un Datacenter dans une zone géographique hors UE.
- Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors de KissLabs
- A mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
- Vous notifier dans les meilleurs délais en cas de violation de données.
- Vous assister à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de nos services.
KissLabs en qualité de responsable de traitement et ses engagements
KissLabs est qualifié de « responsable de traitement » lorsqu'il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.
C’est typiquement le cas quand KissLabs collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsque KissLabs traite les données à caractère personnel de ses propres salariés.
Dans cette hypothèse, « vos » données, celles que vous stockez sur les services de KissLabs, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur KissLabs dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi KissLabs tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.
- limiter la collecte de données à celles strictement utiles : c’est dans le cadre de cette démarche que lors de la commande d’un service, vous ne renseignez que des données nécessaires pour que KissLabs puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données.
- ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles furent collectées.
- conserver les données à caractère personnel durant une période limitée et proportionnée. C’est ainsi qu’à titre d’exemple, les données traitées à des fins de gestion de la relation entre le client et KissLabs (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et les trente-six (36) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes.
- ne pas transférer ces données à des tiers.
- mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité (audit, limite d'accès physique et logique, sécurisation de l'infrastructure et des équipements relatifs, monitoring, gestion des vulnérabilités, gestion des incidents, gestion de la continuité d'activité, formation employés...).
Propriétaire des données personnelles stockées sur notre infrastructure
Vos données hébergées sur notre infrastructure sont votre bien et vous en êtes le seule propriétaire.
KissLabs n'y accède et ne les utilise que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques. KissLabs s'interdit toute revente desdites données, de même que toute utilisation à des fins personnelles (telles des activités de datamining, de profilage ou de marketing direct).
Accès aux données personnelles stockées sur notre infrastructure
KissLabs accède aux données uniquement dans deux situations :
- Lors des taches de support techniques, les accès aux données des clients restent encadrés grâce à des habilitations spécifiques et des mesures de contrôle et de sécurité particulières:
- Lorsque le client contact le support KissLabs, selon l’objet de l’assistance, deux catégories de données peuvent faire l’objet d’un accès. D’une part, afin de traiter au mieux la requête du client, le support prend connaissance des informations fournies par ce dernier lors de la création de son compte KissLabs (nom, prénom, numéro de téléphone, adresse e-mail, etc.).
- D’autre part et uniquement à la demande expresse du client, et sous réserve des contraintes techniques propres à chaque service, le support peut avoir accès aux données stockées par celui-ci sur les services KissLabs, dans le but d’identifier l’origine du problème rencontré et, de le résoudre.
- Afin de répondre aux obligations légales dans le cadre des demandes judiciaires et/ou administratives. Ces demandes sont très strictement encadrées:
- Afin d’agir en conformité avec la réglementation en vigueur, KissLabs est tenu de répondre aux demandes des autorités judiciaires et/ou administratives. Les demandes d’accès étant soumises à un régime légal strict, KissLabs ne les autoriseras qu’après s’être assuré de la validité et du bien-fondé de la requête. De plus, dès lors que la requête ou la loi ne l’interdit pas, KissLabs s’engage à prévenir le client de la demande.
Localisation des données
L'ensemble des données stocké par KissLabs sont hébergé en Suisse dans un datacenter répondant au normes Tier III, ISO 27001:2005, ISO 90001:2008 et FINMA à proximité de Genève.
Transfert de données hors Union Européenne
KissLabs ne transfère jamais les données des clients, dont la zone géographique sélectionnée est située en UE, à destination des États-Unis d’Amérique ou de tout autre pays en dehors de l'EU.
Et nous fournisseurs dans tous ça ?
Nous apportons une grande attention à la bonne gestion de vos données, il nous semble donc naturel de nous assurer que nos fournisseurs en fasse de même.
Plusieurs de nos fournisseurs sont déjà RGPD compliant et donc propose de nombreuses documentations à ce sujet:
- Microsoft: L'éditeur de la firme de Redmond met à disposition de nombreux articles, conseils, outils pour vous aider à valider sa conformité RGPD. Vous retrouverez toutes les ressources directement dans son Microsoft Trust Center.
- Citrix: L'éditeur propose lui aussi un espace dédié à la thématique RGPD contenant toutes les ressources et outils nécessaires. Plus d'information sur Comment se préparer au règlement général sur la protection des données (RGPD) avec les solutions de Citrix
- VEEAM: éditeur de solutions de sauvegarde propose un livre blanc sur La mise en conformité de Veeam en matière RGPD
- VMware: propose lui aussi un livre blanc sur sa gestion des données personnelles en fonction des différents services. Vous pourrez le retrouver directement ici
- Bitdefender: propose lui aussi un centre de ressources sur la manière et les outils mis à disposition pour respecter les pré-requis RGPD. Plus d'informations sur le Ent GPDR
- Infomaniak: propose une page qui explique sa mise en conformité avec RGPD et ses axes de travail.
Certains de nos partenaires ne sont pas soumis à la législation RGPD de part leurs localisations et la nature de leurs services. Cependant, KissLabs s'assure que les données collectées soient limitées au strict minimum pour pouvoir assurer pleinement leurs services. Nous demandons aussi qu'elles soient stockées en respectant les bonnes pratiques du domaine et accédées uniquement par les personnes agréées.
Data Protection Officer (DPO)
KissLabs a fait le choix de procéder à la nomination d’un DPO, dont le rôle et les missions sont pour partie prévus par la réglementation européenne. Le DPO est parfaitement indépendant dans l’accomplissement de ses missions : il est le garant interne de la conformité des activités de KissLabs en matière de traitement de données.
Pleinement dédié à cette mission, Romain Amardeil, DPO chez KissLabs, dispose des ressources nécessaires pour exercer son rôle sans conflits d’intérêts et en toute indépendance. Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre KissLabs en matière de protection des données à caractère personnel. En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de privacy, met en œuvre une démarche de « privacy by design » et de « privacy by defaut » notamment dans le développement des nouvelles offres proposées aux clients, assure les relations avec les autorités de contrôle...
Il est également l’interlocuteur de l’ensemble des clients souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD. Il peut être contacter directement à l'adresse dpo at kisslabs dot ch ou via le formulaire de contact.