RGPD

Aperçu

SherWeb prend très au sérieux le droit de ses clients et utilisateurs à la confidentialité et à la protection de leurs données. SherWeb supporte maintenant plus de 40 000 clients dans plus de 100 pays et territoires et le succès de notre entreprise repose principalement sur la confiance de nos clients à l’égard de notre capacité à assurer la protection et la sécurité de leurs données. SherWeb permet d’ailleurs à ses clients de garder le contrôle sur leur vie privée et d’assurer la protection et la sécurité de leurs données, et ce d’une multitude de façons.

  • Sécurité des données :
    • SherWeb respecte les normes de l’industrie en matière de sécurité des données, telles que le chiffrement des données en mouvement sur les réseaux publics, l’atténuation des attaques par déni de service distribué (DDoS). Depuis plusieurs années, SherWeb complète avec succès l’audit et le rapport SOC2 Type 2, tel qu’établi par l’American Institute of Certified Public Accountants (AICPA). SherWeb a par ailleurs une équipe de soutien technique disponible 24 heures sur 24, 7 jours sur 7, afin de supporter les opérations et répondre aux besoins des clients.
    • Nous utilisons les équipements et les composantes de tierces parties reconnues comme des leaders sur le marché, telles que Dell, Compellent, Cisco, CheckPoint et Fortinet.
    • SherWeb protège également les données de ses clients contre les pertes grâce à sa technologie de sauvegarde. Cela comprend le système de réseau de stockage (SAN) pour la sauvegarde en ligne, la sauvegarde quotidienne, la sauvegarde hebdomadaire et la réplique à distance de SAN-à-SAN.
    • Chaque nouvel employé fait l’objet d’une vérification au niveau de ses antécédents judiciaires ou criminels et de son dossier de crédit; tous les employés doivent par ailleurs prendre connaissance des politiques applicables en matière de sécurité et accepter de respecter le contenu de ces politiques.
    • L’équipe de SherWeb utilise divers systèmes de sécurité afin d’identifier et déceler toute possibilité d’attaque ou d’incident pouvant affecter nos systèmes ou les données de nos clients. Ces systèmes comprennent, entre autres, des pare-feu, des systèmes de détection d’intrusion (IDS) ou IPS, des rapports d’évaluation de la vulnérabilité et des journaux d’événements subis par le système d’exploitation. Ces alertes et avis sont examinés quotidiennement par l’équipe de gestion de la sécurité.
  • Divulgation des données liées aux services :
    • SherWeb divulgue les données liées aux services à des tiers que lorsque la divulgation est nécessaire dans le cadre des services ou lorsque requis afin de se conformer à une obligation légale.
    • Tous les employés de SherWeb doivent signer un engagement de confidentialité avant d’avoir accès aux données liées aux services.
  • Confiance : SherWeb a élaboré des processus afin d’assurer un environnement sécurisé pour les données de ses clients. Des vérificateurs indépendants ont confirmé la conformité de SherWeb aux normes rigoureuses de l’industrie. À cet effet, le rapport SOC2 – Type 2 de SherWeb est disponible sur demande.
  • Gestion de l’accès :
    • SherWeb fournit un ensemble sophistiqué de fonctions d’accès et de chiffrement afin d’aider les clients à protéger efficacement leurs données. Nous consultons et utilisons les données liées aux services que pour fournir, maintenir et améliorer nos services ou tel que permis en vertu des lois applicables.
    • SherWeb a mis en œuvre un système de sécurité basé sur les rôles afin de limiter et de contrôler l’accès à ces données. L’accès logique et physique aux systèmes intégrés est accordé aux employés moyennant une approbation écrite de la part de la direction. L’accès des employés de SherWeb doit être approuvé par un administrateur autorisé. Seul les membres du personnel autorisé peuvent créer ou modifier les comptes et les privilèges d’accès des utilisateurs. L’accès des utilisateurs est réexaminé chaque année ou, au besoin, afin de vérifier si l’accès est requis pour des fonctions particulières liées à l’emploi et de déceler l’existence de comptes ou d’accès aux comptes inappropriés.
    • Des numéros d’identification, noms et mots de passe uniques sont exigés pour authentifier tous les utilisateurs des systèmes et des serveurs.
  • • Emplacement des données liées aux services :
    • Les centres de données utilisés par SherWeb sont situés au Canada et aux États-Unis. Les clients peuvent choisir la juridiction où leurs données seront hébergées lorsqu’ils s’abonnent à nos services.
    • SherWeb compte sur les responsables des centres de données pour mettre en œuvre des contrôles conformes aux normes de l’industrie pour la sécurité physique et environnementale des serveurs et autres équipements utilisés par SherWeb. Ces contrôles comprennent notamment la surveillance par vidéo et par le personnel sur place, les systèmes de contrôle d’accès, l’approvisionnement ininterrompu d’électricité, de climatisation, de détection et d’extinction d’incendie, ainsi que la surveillance environnementale et les notifications d’alertes. Les responsables des centres de données utilisés par SherWeb fournissent des rapports indépendants de vérification sur la conformité de ces contrôles de type SOC2 Type2.
    • Tous les centres de données utilisés par SherWeb comprennent du matériel et des équipements de première classe et offrent différents niveaux de redondance. Ces centres de données sont munis de connexions Internet redondantes de 1 ou 10 gigabits. De multiples routeurs et commutateurs ont été configurés dans la couche matérielle parallèlement à un routage et un commutateur dynamiques, afin de fournir un basculement automatisé en cas de défaillance du matériel informatique, du logiciel ou de la liaison.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (« RGPD ») est le nouveau règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui remplace la présente Directive sur la protection des données de l’UE (« Directive 95/46/EC »). Le RGPD est destiné à renforcer la sécurité et la protection des données à caractère personnel au sein de l’UE et touche toutes les organisations, tous les organismes gouvernementaux et toutes les sociétés à l’échelle mondiale qui recueillent ou utilisent des données à caractère personnel liées aux résidents de l’UE.

Quand le RGPD devient-il applicable ?

Le RGPD est devenu applicable le 25 mai 2018 (RGPD), après une période de transition de deux ans.

À qui le RGPD s’applique-t-il ?

Le RGPD s’applique non seulement aux organisations qui ont un établissement sur le territoire de l’Union Européenne (UE), mais également à celles qui sont situées à l’extérieur de l’UE et qui offrent des biens ou services à des personnes dans l’UE ou surveillent le comportement de ceux-ci dans la mesure où ce comportement a lieu au sein de l’UE. En somme, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu’elle est établie sur le territoire de l’UE ou que son activité cible directement des résidents européens. Le RGPD définit ainsi les données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable ». C’est une définition au sens large comprenant les données qui sont, de toute évidence, personnelles (comme le nom ou les coordonnées d’un particulier), ainsi que les données qui peuvent être utilisées pour identifier un particulier de façon indirecte (telle l’adresse IP d’un particulier).

Quelle est l’approche de SherWeb face au RGPD ?

Nous appuyons le RGPD et veillons à ce que tous les services de SherWeb s’y conforment. Nous avons analysé en profondeur les exigences du RGPD et avons mis en place une équipe interne dévouée d’intervenants interfonctionnels pour encadrer les préparatifs menant à la conformité de SherWeb au RGPD. À titre de sous-traitant, SherWeb comprend qu’elle est tenue d’aider ses clients (les responsables du traitement) à répondre aux exigences du RGPD.

Quel est le rôle de SherWeb aux termes du RGPD ?

Aux termes du RGPD, nous agissons parfois à titre de responsable du traitement des données et parfois à titre de responsable du traitement.

Lorsque nous traitons des données à caractère personnel au nom de nos clients dans le cadre de la prestation de services, SherWeb agit à titre de sous-traitant. Cela signifie qu’en plus de nous conformer aux instructions de nos clients, nous devons nous conformer aux exigences directement applicables aux sous-traitants en vertu du RGPD.

Nous agissons par ailleurs à titre de responsable du traitement des données lorsque nous recueillons les données à caractère personnel de nos clients à des fins de gestion de compte ou pour envoyer des informations sur nos produits et services ou sur des évènements ou promotions. Ces données comprennent des données à caractère personnel tels le nom et l’adresse courriel du client.

Quel est le rôle du client aux termes du RGDP ?

Dans le cadre des services de SherWeb, les clients agissent à titre de responsable du traitement. À ce titre, il incombe d’abord et avant tout aux clients de s’assurer que le traitement des données à caractère personnel est conforme au RGPD. Sans limiter la généralité de ce qui précède, il incombe aux clients de SherWeb d’obtenir les consentements nécessaires des personnes concernées et d’aviser ces dernières des activités de traitement menées par SherWeb dans le cadre de ses services. Il leur incombe également d’établir des politiques et de veiller à assurer la conformité à toutes les lois et à tous les règlements applicables, ainsi qu’à toutes les politiques de confidentialité, les ententes ou autres obligations portant sur la collecte de données à caractère personnel dans le cadre de l’utilisation de nos services par les personnes concernées avec qui les clients de SherWeb interagissent.

Qu’avons-nous fait pour nous conformer au RGPD ?

SherWeb a pris un certain nombre de mesures pour s’assurer de respecter les nouvelles exigences du RGPD, que ce soit à titre de sous-traitant ou de responsable du traitement. Ces mesures sont résumées ci-dessous.

  • Cartographie des traitements de données personnelles : SherWeb a recensé les différents traitements de données personnelles, les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitements, les acteurs impliqués ainsi que les différents flux et transferts de données hors de l’UE. SherWeb maintient maintenant une documentation interne complète sur les différents traitements de données personnelles.
  • Analyse des lacunes : Nous avons procédé à une vaste analyse de nos opérations de traitements de données afin de s’assurer que celles-ci sont conformes aux nouvelles exigences du RGPD. Nous avons analysé chacun des services, les conditions applicables dans nos ententes de service, nos avis de confidentialité et nos arrangements avec des tiers, afin de nous assurer que ceux-ci sont conformes au RGPD.
  • Transparence : SherWeb a élaboré des conditions de services, un Avis de confidentialité et une Déclaration de confidentialité sur les données liées aux services, qui décrivent de façon transparente et exacte ses activités de traitement de données à caractère personnel. Ces documents juridiques décrivent le traitement des données à caractère personnel liées aux utilisateurs des services de SherWeb. Ces documents ont été mis à jour afin de nous conformer aux exigences du RGPD.
  • Engagements contractuels : SherWeb a réexaminé et mis à jour ses engagements contractuels. Nous avons préparé une Entente relative aux traitements de données personnelles, laquelle est disponible sur demande pour les clients assujettis au RGDP et comprend les dispositions requises en vertu du RGPD. SherWeb procède également à un réexamen de ses contrats de fournisseurs afin de s’assurer de la conformité au RGPD au sein de sa chaîne d’approvisionnement, y compris en ce qui concerne les exigences de transferts de données hors de l’UE.
  • Amélioration de l’intégrité et de la sécurité des données : Suite à la cartographie des données, SherWeb a mis en place de nouveaux systèmes dans son processus d’examen d’accès interne. De plus, le programme de sensibilisation des employés de SherWeb concernant la confidentialité et à la sécurité des données a été amélioré et comprend maintenant un chapitre réservé exclusivement aux exigences du RGPD. Tous les employés de SherWeb ont reçu une formation sur le RGPD.
  • Violation de données à caractère personnel : Les processus internes ont été réexaminés afin de s’assurer que SherWeb avise les clients concernés dans les meilleurs délais en cas de violation de données à caractère personnel.
  • Mise en œuvre de processus pour répondre aux droits des personnes concernées : L’équipe de soutien de SherWeb se fait un plaisir de répondre à toute demande de la part de ses clients portant sur les droits des personnes concernées aux termes du RGPD.

Est-ce que SherWeb offre une entente sur le traitement des données ?

Les clients assujettis au RGPD et à l’obligation de conclure une entente sur le traitement des données avec SherWeb peuvent s’adresser directement à privacy@sherweb.com afin d’obtenir une copie de l’entente.

Où les données liées aux services se trouvent-elles ?

Les données liées aux services hébergées par SherWeb sont situées sur les serveurs de SherWeb, lesquels se trouvent dans des centres de données aux États-Unis et au Canada. L’emplacement par défaut est établi en fonction de l’emplacement du client et peut être modifié par celui-ci une fois les services activés, sous réserve des frais applicables.

Si un client s’abonne à des services de tiers par l’entremise de SherWeb (p. ex., Office365, Dynamics, DocuSign, etc.), les données liées aux services seront hébergées par le tiers fournisseur concerné. Le cas échéant, SherWeb n’est pas responsable des activités de traitement entreprises par ce tiers fournisseur et n’a aucun contrôle sur l’emplacement des données de service recueillies par celui-ci. Dans le cadre des services de tiers, l’emplacement des données de service dépend entièrement du service de tiers et les renseignements à cet égard peuvent être fournis par SherWeb sur demande.

Est-ce que SherWeb est certifiée aux termes du programme appelé « Bouclier de protection des données UE-États-Unis »?

SherWeb s’appuie sur les clauses types de protection des données adoptées par la Commission. Les clauses types de protection des données adoptées constituent des garanties appropriées reconnues aux termes de l’article 46 du RGPD et ont le même effet que la participation au Bouclier de protection des données UE-États-Unis, soit vous permettre de transférer des données à caractère personnel portant sur des utilisateurs finaux européens vers un pays tiers. Vous pouvez consulter ces clauses contractuelles normalisées sur le site suivant : https://ec.europa.eu/info/law/law-topic/data-protection_fr. Ces clauses peuvent également être ajoutées à l’entente sur le traitement des données.

Quelles garanties appropriées reconnues par le RGDP SherWeb offre-t-elle en ce qui concerne le transfert des données personnelles de particuliers de l’UE vers des centres de données situés aux États-Unis?

SherWeb relies on the Standard Contractual Clauses for cross-border transfer of personal data. The Standard Contractual Clauses constitute appropriate safeguards under Article 46 of the GDPR and have the same effect as the EU-US Privacy Shield, which is to allow you to transfer personal data related to European end users to a third country. These standard contract clauses can be found at the following site and can be added to the Data Processing Agreement: http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm.

Quelles garanties appropriées reconnues par le RGDP SherWeb offre-t-elle en ce qui concerne le transfert des données personnelles de particuliers de l’UE vers des centres de données situés au Canada?

Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission européenne a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. Le fondement de ce principe est que les ressorts juridiques fournissent une protection suffisante pour les droits et libertés des personnes concernées, sans qu’il soit nécessaire d’avoir recours à d’autres mesures de sécurité. En décembre 2001, le Canada a obtenu son statut d’adéquation pour les transferts de l’UE au Canada de renseignements personnels qui tombent sous la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Par conséquent, les transferts de données personnelles de l’UE au Canada sont jugés acceptables et ne nécessitent aucune autre approbation de la part des autorités européennes chargées de la protection des données.

Coordonnées

Vous pouvez soumettre toute question liée au RGPD en vous adressant au responsable de la conformité chez SherWeb à privacy@sherweb.com.

Catherine Castonguay Gestionnaire de comptes senior

Besoin d'information?

Infosite