Déclaration relative à la sécurité des informations

Introduction

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) a pris force de loi dans tous les États membres de l’Union Européenne. Même si le Royaume-Uni a prévu de sortir de l’UE, le RGPD continuera de s’appliquer au Royaume-Uni à travers une loi nationale équivalente ou l’appartenance au marché unique.

Le RGPD a pour objectif d’offrir une législation efficace pour le traitement des données au XXIe siècle.

Dans le présent document, nous allons vous expliquer quelques-uns des points essentiels du RGPD, et comment nous les mettons en œuvre en tant que sous-traitant de vos données. Veuillez noter que ce document décrit uniquement comment Esendex traite vos données en tant que sous-traitant. Afin d’éviter toute ambiguïté, précisons qu’il s’agit des données que vous nous transférez dans l’objectif de transmettre des messages. Ces données seront désignées dans le présent document comme les « données de l’utilisateur final ». Ce sont les données que vous contrôlez et que vous nous demandez par contrat de traiter en votre nom. Vous pouvez consulter notre politique de confidentialité sur ce site si vous souhaitez savoir comment nous traitons vos données au titre de responsable du traitement.

Consentement

En vertu du RGPD, les exigences requises pour utiliser le consentement comme votre base légale du traitement sont plus élevées que jamais. Le consentement doit être obtenu, enregistré et géré par le Responsable du traitement. La CNILa publié sur son site web un guide sur les changements relatifs aux exigences en matière de consentement.

Dans le cadre du service que nous vous fournissons, Esendex est le Sous-traitant des données que vous partagez avec nous dans l’objectif de transmettre des messages, et vous êtes le Responsable du traitement.

Esendex agit uniquement sur vos instructions et traite vos données pour envoyer des messages à vos utilisateurs finaux. Esendex n’obtient pas, n’enregistre pas et ne gère pas en votre nom le consentement des personnes concernées. En tant que Responsable du traitement, vous avez la responsabilité de vous assurer que vous détenez, et pouvez utiliser si nécessaire à des fins de preuve, des documents attestant du consentement des personnes concernées nous permettant de transmettre des messages au moyen des informations que vous nous fournissez. La société Esendex, en tant que telle, n’interagit pas directement avec vos utilisateurs finaux. Toutes les communications sont envoyées sur vos instructions comme si elles provenaient directement de vous. Nous n’apparaissons pas dans le processus de livraison des messages.

Conservation des données

Esendex comprend qu’une trop grande rétention de données n’est pas compatible avec les règles en matière de protection des données. En conséquence, Esendex ne conserve pas vos données de messagerie plus de deux ans après l’envoi de toute communication – sauf indication contraire – par exemple lorsqu’un service de conservation zéro jour a été appliqué au compte.

Les données d’identification personnelle (DIP) contenues dans les champs sont épurées à l’issue de la période de rétention, avant d’être complètement supprimées. Les données de messagerie sont limitées au numéro de téléphone et au contenu du message.

Les DIP sont stockées dans des environnements sécurisés dont l’accès est contrôlé et séparées de tous les autres réseaux d’Esendex. Le matériel dans ces environnements sécurisés appartient à Esendex.

Les données du « téléchargement des éléments envoyés » stockées sur Microsoft Azure (Royaume-Uni) sont conservées pendant 6 mois, avant d’être supprimées au sein de l’infrastructure d’Azure.

Les données transmises au moyen de notre application Messaging Studio seront copiées et stockées chez Microsoft Azure au Royaume-Uni. La période de conservation des données de suivi et d’analyse est laissée à votre (vous, le client) appréciation. Les données opérationnelles sont également stockées chez Azure. Ceci correspond aux périodes de conservation standard d’Esendex (2 ans).

Les données transmises par nos canaux vocaux sortants sont conservées pendant deux ans.

Mesures de protection des données

Esendex est une entreprise certifiée ISO 27001, norme sur la sécurité de l’information. Une copie du certificat est disponible ici. 

Cette norme s’applique à tous les secteurs de l’entreprise ; nos environnements de production et de bureau sont certifiés sur une base annuelle par un auditeur externe agréé.

Une version à l’intention des clients de notre manuel de système de management de la sécurité de l’information (SMSI) détaillant ces mesures est disponible sur demande pour les clients. Le manuel décrit la façon dont Esendex met en œuvre les contrôles de la norme ISO 27001.

Pour donner un aperçu général, Esendex a, entre autres, pris les mesures suivantes :

Contrôle de l’accès
Pare-feux
Antivirus
Équipements sécurisés y compris ordinateurs portables et téléphones mobiles
Données en transit / cryptage
Sauvegarde, reprise après sinistre et continuité des opération

Nous programmons et effectuons des sauvegardes régulières pour nous assurer que toutes les données sont stockées de manière sûre et sécurisée, et qu’elles restent disponibles pour des besoins de restauration en cas de reprise après sinistre.

Surveillance
Éducation et formation des employés

Tous les employés :

Politiques et procédures

● En plus de ce qui précède, nous maintenons, appliquons et soutenons des politiques et procédures de la norme ISO27001 concernant :

Toutes ces mesures et l’intégralité des systèmes ISO font l’objet d’audits internes par l’équipe de la conformité et d’audits externes par notre organisme accréditeur tiers, sur une base annuelle. L’équipe de la conformité procède également à des inspections de sécurité sur une base ad hoc pour s’assurer que certaines politiques sont respectées par tous les membres du personnel.

Risques

Esendex évalue tous les risques d’une façon continue. Les évaluations de risques décrivent des plans de traitement qui servent de recommandations pour aider l’entreprise à réduire l’impact et/ou la probabilité des risques identifiés. Les risques et les plans de traitement sont examinés régulièrement. Nous évaluons les risques liés à nos systèmes, notre personnel, nos actifs et nos activités opérationnelles. Pour ces domaines précis, Esendex adhère au principe d’amélioration continue, en complément du respect d’exigences telles que la norme ISO 27001.

Nous utilisons un logiciel d’entreprise pour la gestion des risques de manière à renforcer et améliorer notre approche de la gestion des risques. Nous identifions les dépendances comme des risques pour notre entreprise, nous établissons des objectifs de sécurité au moyen d’inventaires des risques, et nous mettons en place des activités pour traiter efficacement ces risques.

Notifications de violation

Esendex prend toutes les mesures susmentionnées pour sécuriser vos données dans le cadre de nos activités de traitement. En cas de violation de données, nous vous informerons sans retard indu qu’un problème de sécurité a entraîné une violation de données, y compris vos données client.

Nous avons également :

Délégués à la protection des données

Esendex dispose d’une équipe de conformité dédiée qui est responsable de toute question, toute requête, tout problème et toute interrogation concernant la protection des données pour l’ensemble de l’organisation. Esendex n’est actuellement pas tenu de nommer un délégué à la protection des données (DPD) en vertu des critères fixés par le RGPD. Cependant, ce poste fera l’objet d’un examen régulier.

Vous pouvez contacter votre gestionnaire de compte pour toute question concernant la protection des données. Les demandes d’accès des personnes concernées sont détaillées dans la section ci-dessous.

Droits des personnes concernées

En tant que sous-traitant, Esendex ne répondra pas directement aux demandes formulées par tout client dont nous avons traité les données. Nous vous contacterons pour vous informer de la demande et vous aider à respecter vos obligations en vertu du RGPD. Parmi les exemples de cas pour lesquels nous pouvons contribuer à satisfaire les droits d’une personne concernée :

Demandes d’accès d’une personne concernée

Les responsables du traitement doivent veiller à respecter les demandes d’accès des personnes concernées dans le cadre des obligations du RGPD. Le CNIL a publié un guide à l’intention des responsables du traitement pour les aider à respecter leurs obligations.

Les données que vous transférez à Esendex peuvent être mises à disposition à ces fins, à condition qu’elles soient toujours stockées par nous. Les demandes d’accès des personnes concernées peuvent être faites auprès d’Esendex en utilisant notre Demande d’accès aux informations personnelles . Des frais sont redevables pour toute demande de cette nature – veuillez contacter votre gestionnaire de compte pour en savoir plus. Les demandes d’accès des personnes concernées seront traitées dans les 30 jours suivant la réception de votre demande.

Droits à l’oubli et à l’effacement

Les personnes concernées ont le droit de demander l’effacement des informations les concernant si elles s’opposent au traitement ou si elles retirent leur consentement. Au Royaume-Uni, ce droit a été utilisé pour modifier des informations erronées concernant les personnes concernées, dans les résultats de recherche de Google par exemple. Alors que le RGPD ne donne pas un droit absolu à l’oubli, il aboutira à un plus grand nombre de demandes de suppression reçues par les responsables du traitement.

Les demandes de suppression de données spécifiques peuvent être portées à l’attention de votre gestionnaire de compte.

Registres de l’activité de traitement

Esendex est un sous-traitant en ce qui concerne toutes les informations du client. En tant que tel, nous ne traitons les données que sur vos instructions et dans le but de fournir un service de messagerie faisant partie de l’exécution du contrat existant entre vous et nous. Nos activités de traitement ont pour seules fins la transmission et la livraison de messages à vos utilisateurs finaux.

Nous conservons un registre de tous les messages que nous envoyons en votre nom, conformément à notre politique de conservation des données. Comme indiqué dans la section relative à la conservation des données, la durée est de deux ans maximum à compter de la date d’envoi de la communication.

Transferts à des tiers

Esendex transmet vos informations aux opérateurs de réseaux dans le but de livrer votre message au téléphone de l’utilisateur final ou à l’appareil connecté au point de terminaison du réseau. Ce type de transfert est indissociable de la fourniture de nos produits et services.

Pour les communications SMS en France, nous utilisons uniquement nos connexions directes aux réseaux mobiles français pour nous assurer de pouvoir suivre vos données depuis notre système jusqu’au téléphone de l’utilisateur final.

Les données transférées au moyen de nos produits vocaux sont transmises via une pile de Session Initiation Protocol (SIP) hébergée dans notre centre de données de Derby, Node 4. La pile SIP du centre de données fournit des connexions aux opérateurs de réseau pour la livraison de messages.

Une des fonctionnalités de notre service – le téléchargement des éléments envoyés – est hébergée au sein de Microsoft Azure (Royaume-Uni).

Les données de Messaging Studio et de Rich Content/Communications Service (RCS) sont hébergées sur Microsoft Azure (Royaume-Uni) pour des raisons opérationnelles.

Nous avons effectué un audit approfondi de tous les réseaux tiers que nous utilisons afin de nous assurer que chaque fournisseur a pris les mesures techniques et organisationnelles adéquates requises pour fournir des normes de sécurité qui soient sensiblement similaires à celles décrites dans le présent document pour notre propre structure.

Nous avons également passé des contrats avec tous les tiers pour solidifier les obligations de protection des données de toutes les parties, ainsi que pour renforcer les exigences minimales précisées dans tout accord de traitement des données passé entre vous et nous à l’intention de nos fournisseurs.

Accord de traitement de données

Esendex a produit un contrat de traitement des données qui fait partie intégrante de nos conditions générales de service. Cela permet à nos clients d’assurer que vous respectez vos obligations en tant que responsable du traitement en vertu du RGPD.

Cartes de données

Dans le cadre de la confidentialité, Esendex a réalisé une cartographie complète des données de nos systèmes afin de fournir des « cycles de vie des données » pour tous les DIP que nous traitons et contrôlons. Des versions de nos cartes de données destinées à notre clientèle sont disponibles sur demande pour vous aider à respecter vos obligations en vertu du principe de responsabilité du RGPD. Vous pouvez contacter votre gestionnaire de compte qui sera en mesure de vous communiquer les cartes de données spécifiques aux produits et services que vous utilisez.

Évaluation d’impact sur la protection des données (DPIA)

Nous comprenons que pour certains types de traitements, nos clients seront dans l’obligation d’effectuer une DPIA en vue de démontrer qu’ils ont pris en compte les droits et libertés des personnes concernées avant de s’engager dans leur projet de traitement des données. Esendex est un fournisseur de service de communications d’entreprise et n’a aucune visibilité sur le contenu que vous envoyez à travers notre plate-forme. Si vos activités de traitement sont considérées à haut risque, ou si vous traitez des catégories particulières de données, vous pourrez solliciter notre contribution concernant votre DPIA. Veuillez vous adresser à votre gestionnaire de compte pour toute requête de cette nature.