GDPR

1. Survol

Chez Sherweb, nous avons toujours pris au sérieux les droits de nos utilisateurs en matière de protection et de confidentialité des données. Sherweb soutient maintenant plus de 40 000 clients dans plus de 100 pays et territoires. Le succès de notre entreprise repose sur la confiance de nos clients dans notre capacité à protéger et à sécuriser leurs données. Au fil des ans, nous avons démontré notre engagement sur le plan de la protection et de la confidentialité des données.

Sherweb aide ses clients à garder le contrôle de leur vie privée et de la sécurité de leurs données d’une multitude de façons.

Sécurité des données

  • Nous garantissons la conformité à nos clients grâce à des normes de sécurité élevées, comme le chiffrement des données en mouvement sur des réseaux publics, des normes d’audit (certifications SOC 2 et PCI DSS), l’atténuation des attaques par déni de service distribué et une équipe de soutien disponible en tout temps.
  • Nous utilisons des équipements et des composants de fournisseurs de premier plan comme Dell, Compellent, Cisco, Check Point et Fortinet.
  • Sherweb protège également vos données contre les pertes grâce à sa technologie de sauvegarde. Cela comprend la sauvegarde en ligne vers un réseau de stockage, la sauvegarde quotidienne, la sauvegarde hebdomadaire et la réplique hors site d’un réseau de stockage vers un autre.
  • Chaque nouvel employé fait l’objet d’une vérification des antécédents. Tous les employés doivent par ailleurs prendre connaissance et accuser réception des politiques applicables en matière de sécurité.
  • L’équipe d’administration de la sécurité de Sherweb utilise une variété d’utilitaires de sécurité afin d’identifier et de détecter les possibles menaces et incidents de sécurité. Ces utilitaires comprennent, sans s’y limiter, des notifications de pare-feu, des alertes de systèmes de détection d’intrusion ou de détection d’intrusion, des rapports d’évaluation des vulnérabilités ainsi que des journaux d’événements des systèmes d’exploitation. Ces alertes et notifications sont examinées quotidiennement par l’équipe d’administration de la sécurité.

Divulgation des données clients

  • Sherweb divulgue à des tiers des données liées aux services seulement lorsque la divulgation est nécessaire afin de fournir des services ou lorsqu’elle sert à répondre à des exigences de demandes légales émanant des autorités publiques.
  • Tous les employés de Sherweb doivent signer une entente de non-divulgation avant d’obtenir accès aux données liées aux services.

Confiance

Sherweb a élaboré des processus de contrôles et de protections afin d’assurer un environnement sécurisé pour les renseignements de ses clients. Des auditeurs indépendants ont confirmé l’adhésion de Sherweb aux normes rigoureuses de l’industrie. Le rapport SOC2 et l’attestation de conformité aux normes PCI DSS de Sherweb sont disponibles sur demande.

Gestion des accès

  • Sherweb fournit un ensemble sophistiqué de fonctions d’accès et de chiffrement afin d’aider les clients à protéger efficacement leurs renseignements. Nous accédons au contenu client ou l’utilisons seulement afin de fournir, de maintenir et d’améliorer nos services, ou lorsqu’exigé autrement par la loi.
  • Sherweb a implanté la sécurité basée sur les rôles afin de limiter et de contrôler les accès. L’accès logique et physique aux systèmes soumis au champ d’application est accordé aux employés moyennant une approbation écrite de la part du personnel de gestion approprié. Les accès des employés de Sherweb doivent être approuvés par un administrateur autorisé. Seul le personnel autorisé peut créer ou modifier les comptes et les privilèges d’accès des utilisateurs. Les accès des utilisateurs sont réexaminés annuellement ou au besoin afin de vérifier s’ils sont requis pour des fonctions particulières liées à l’emploi et de déceler l’existence de comptes ou d’accès inappropriés.
  • Des numéros d’identification, des noms et des mots de passe uniques sont exigés pour authentifier tous les utilisateurs des systèmes et des serveurs.

Emplacement des données

  • Les centres de données de Sherweb sont situés au Canada et aux États-Unis. Vous choisissez l’emplacement de vos données lorsque vous approvisionnez nos services pour la première fois.
  • Sherweb compte sur ses opérateurs de centres de données sous contrat afin d’implanter des contrôles conformes aux normes de l’industrie concernant la sécurité physique et environnementale des serveurs et des autres équipements réseau utilisés par Sherweb. Ces contrôles incluent, sans s’y limiter, la surveillance vidéo, la surveillance par le personnel sur place, les systèmes de contrôle d’accès, l’alimentation électrique ininterrompue, le conditionnement d’air, la détection et la suppression d’incendie, la surveillance environnementale ainsi que les notifications d’alerte. Les opérateurs de centres de données sous contrat de Sherweb fournissent tous des rapports d’audit indépendant sur la conformité de ces contrôles.
  • Les centres de données de Sherweb utilisent seulement du matériel réseau de classe transporteur disposant de multiples couches redondantes. Ces centres de données sont munis de connexions Internet entièrement redondantes de 1 ou 10 gigabits. De multiples routeurs et commutateurs sont configurés au niveau de la couche matérielle parallèlement à un routage et à une commutation dynamiques afin de fournir un basculement automatique en cas de défaillance matérielle, logicielle ou de liaison.

2. Qu’est-ce que le RGPD?

Le Règlement général sur la protection des données (« RGPD ») est un règlement européen sur la vie privée remplaçant la Directive européenne sur la protection des données personnelles (« Directive 95/46/EC »). Le RGPD est destiné à renforcer la sécurité et la protection des données à caractère personnel au sein de l’Union européenne (UE) et touche l’ensemble des organisations, des agences gouvernementales et des sociétés dans le monde qui collectent ou utilisent des données à caractère personnel liées aux résidents de l’UE.

3. Depuis quand le RGPD est-il en vigueur?

Le RGPD est entré en vigueur le 25 mai 2018, à la suite d’une période transitoire de deux ans.

4. À qui le RGPD s’applique-t-il?

Le RGPD s’applique non seulement aux organisations établies sur le territoire de l’UE, mais également à celles qui sont situées à l’extérieur de l’UE et qui offrent des biens ou des services à des personnes concernées dans l’UE, ou qui surveillent le comportement de celles-ci. En somme, le RGPD s’applique à toute entreprise qui traite ou détient des données à caractère personnel de personnes concernées résidant dans l’UE, sans égard à l’emplacement de l’entreprise. Le RGPD définit ainsi les données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable ». C’est une définition au sens large comprenant les données qui sont, de toute évidence, à caractère personnel (comme le nom ou les coordonnées d’un particulier), ainsi que les données qui peuvent être utilisées pour identifier un particulier de façon indirecte (comme l’adresse IP d’un particulier).

5. Quelle est l’approche de Sherweb envers le RGPD?

Nous appuyons le RGPD et veillons à ce que tous les services de Sherweb s’y conforment. Nous avons analysé en profondeur les exigences du RGPD et avons mis en place une équipe interne dédiée d’intervenants interfonctionnels pour encadrer la conformité de Sherweb au RGPD. À titre de sous-traitant des données, Sherweb comprend qu’elle est tenue d’aider ses clients à répondre aux exigences du RGPD.

6. Quel est le rôle de Sherweb aux termes du RGPD?

Aux termes du RGPD, nous agissons parfois à titre de sous-traitant des données et parfois à titre de responsable du traitement des données.

Lorsque nous traitons des données à caractère personnel au nom de nos clients dans le cadre de la prestation de services, Sherweb agit à titre de sous-traitant des données. Cela signifie qu’en plus de nous conformer aux instructions de nos clients, nous devons nous conformer aux obligations légales directement applicables aux sous-traitants en vertu du RGPD.

Nous agissons par ailleurs à titre de responsables du traitement des données lorsque nous collections des renseignements auprès de nos clients à des fins de gestion de comptes ou d’envoi de communications portant sur nos produits et services. Ces renseignements comprennent des données comme le nom et l’adresse courriel du client.

7. Quel est le rôle du client aux termes du RGPD?

Dans le cadre des services de Sherweb, les clients agissent à titre de responsables du traitement des données. À ce titre, il incombe d’abord et avant tout aux clients de s’assurer que le traitement des données à caractère personnel est conforme au RGPD. Sans limiter la généralité de ce qui précède, les clients de Sherweb sont responsables d’obtenir les consentements nécessaires des personnes concernées et d’aviser ces dernières des activités de traitement menées par Sherweb dans le cadre de ses services. Il leur incombe également d’établir des politiques et de veiller à assurer la conformité à toutes les lois et à tous les règlements applicables, ainsi qu’à toutes les politiques de confidentialité, à toutes les ententes ou à toutes autres obligations liées à la collecte de données à caractère personnel dans le cadre de l’utilisation de nos services par les personnes concernées avec qui les clients de Sherweb interagissent.

8. Qu’avons-nous fait pour nous conformer au RGPD?

Sherweb a pris un certain nombre de mesures pour s’assurer d’être conforme au RGPD. Celles-ci sont résumées ci-dessous.

  • Mise en correspondance des données : Sherweb a examiné où et comment ses services concernés traitent les données à caractère personnel et assurent la tenue des dossiers internes portant sur toutes ses activités de traitement des données.
  • Analyse des lacunes : nous avons procédé à une vaste analyse de nos opérations afin de nous assurer d’être conformes aux exigences du RGPD. Nous avons examiné nos produits, nos services, nos conditions pour les clients, nos avis de confidentialité et nos arrangements avec des tiers afin de nous assurer de leur conformité au RGPD.
  • Transparence : Sherweb a élaboré des conditions de services, un Avis de confidentialité, et une Déclaration de confidentialité sur les données personnelles liées aux services, qui décrivent de façon transparente et exacte ses activités de traitement des données à caractère personnel. Ces documents juridiques décrivent le traitement des données à caractère personnel liées aux utilisateurs des services de Sherweb. Ces documents ont été mis à jour afin de nous conformer aux exigences du RGPD.
  • Engagements contractuels : Sherweb a réexaminé et mis à jour ses engagements contractuels afin de répondre aux exigences du RGPD. Nous avons préparé une Entente sur le traitement des données, qui est disponible sur demande et qui comprend les dispositions requises afin d’assister nos clients relativement à la conformité au RGPD. Sherweb a également procédé à un réexamen de ses contrats de fournisseurs afin de s’assurer de la conformité au RGPD au sein de sa chaîne d’approvisionnement, y compris en ce qui a trait aux exigences relatives aux transferts transfrontaliers de données.
  • Amélioration de l’intégrité et de la sécurité des données : à l’aide des renseignements rassemblés grâce à la mise en correspondance des données, Sherweb a mis en place de nouveaux systèmes dans son processus d’examen des accès internes. De plus, le programme de sensibilisation à la protection de la vie privée et à la sécurité de Sherweb a été amélioré et comprend maintenant un chapitre réservé exclusivement aux exigences du RGPD. Tous les employés de Sherweb ont reçu une formation sur le RGPD.
  • Notifications de brèches de données : les processus internes ont été réexaminés afin de s’assurer que Sherweb avise ses clients dans les meilleurs délais en cas de brèche de données.
  • Implantation de processus afin de répondre aux droits des personnes concernées : l’équipe de soutien de Sherweb se fait un plaisir de répondre à toute demande des clients portant sur les droits des personnes concernées aux termes du RGPD.

9. Est-ce que Sherweb offre une Entente sur le traitement des données?

Les clients assujettis au RGPD et à l’obligation de conclure une Entente sur le traitement des données avec Sherweb peuvent envoyer une demande afin de signer l’Entente sur le traitement des données pour les fournisseurs à privacy@sherweb.com.

10. Où les données liées aux services se trouvent-elles?

Les données liées aux services hébergées par Sherweb sont situées sur les serveurs de centres de données aux États-Unis et au Canada. L’emplacement par défaut des données liées aux services est établi en fonction de l’emplacement du client et peut être modifié par celui-ci une fois les services approvisionnés, sous réserve des frais applicables.

Si un client s’abonne à des services de tiers, les achète, les active ou s’en sert (ex. : Microsoft 365, Dynamics, etc.) par l’entremise de Sherweb, les données liées aux services seront hébergées par le tiers fournisseur concerné. Le cas échéant, Sherweb n’est pas responsable des activités de traitement entreprises par ce tiers fournisseur et n’a aucun contrôle sur l’emplacement des données de service collectées par celui-ci. Dans le cadre des services de tiers, l’emplacement des données de service dépend entièrement du service et les renseignements à cet égard peuvent être fournis par Sherweb sur demande.

11. Sherweb est-elle certifiée aux termes du Bouclier de protection des données UE-États-Unis?

Sherweb n’est pas certifiée aux termes du Bouclier de protection des données UE-États-Unis, principalement parce que Sherweb est une entreprise canadienne et que le Canada bénéficie d’une décision d’adéquation adoptée par la Commission européenne.

12. Quelles garanties Sherweb offre-t-elle concernant le transfert de données à caractère personnel de particuliers de l’UE vers les États-Unis?

Sherweb s’appuie sur les clauses contractuelles types liées au transfert transfrontalier de données à caractère personnel. Les clauses contractuelles types constituent des garanties appropriées reconnues aux termes de l’article 46 du RGPD et ont le même effet que le Bouclier de protection des données UE-États-Unis, soit de vous permettre de transférer des données à caractère personnel portant sur des utilisateurs finaux européens vers un pays tiers. Vous pouvez consulter ces clauses contractuelles types à l’adresse https://ec.europa.eu/info/law/law-topic/data-protection_fr. Ces clauses peuvent également être ajoutées à l’Entente sur le traitement des données.

13. Quelles garanties Sherweb offre-t-elle concernant le transfert de données à caractère personnel de particuliers de l’UE vers le Canada?

Un transfert transfrontalier de données vers un destinataire dans un pays tiers peut avoir lieu sans devoir obtenir d’autorisation particulière, si la Commission européenne a constaté par voie de décision que le pays assure un niveau adéquat de protection des données. Le fondement de ce principe est que les pays fournissent une protection suffisante pour les droits et libertés des personnes concernées, sans qu’il soit nécessaire d’avoir recours à d’autres garanties. En décembre 2001, le Canada a obtenu son statut d’adéquation pour les transferts de l’UE vers le Canada de données à caractère personnel assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

14. Coordonnées

Vous pouvez soumettre toute question liée au RGPD en vous adressant à la direction de la conformité de Sherweb à l’adresse privacy@sherweb.com.