Politique de protection des données

 

Data protection

ERALYS ET LA PROTECTION DES DONNEES PERSONNELLES

 

Avec siège social et des clients en Europe, Eralys est soumise à la Règlementation Européenne Générale sur la Protection des Données Personnelles (RGPD).

 

 

Notre marché étant mondial, nous pouvons également être soumis à d'autres règlementations internationales et locales.

 

 

Introduction

RGPD est entré en application le 25 mai 2018. Il s'agit sans doute de la règlementation la plus protectrice en matière de données personnelles.

Les dispositions du RGPD s'appliquent aussi aux acteurs non Européens dès lors qu'ils détiennent et traitent des données personnelles de personnes qui résident en Europe.

 

La politique de protection des données personnelles présentée ici fait partie intégrante de nos Conditions Générales de Service.

 

Quelques définitions

Pour limiter les risques de non-conformité au RGPD avec ses conséquences, et pour une bonne compréhension nous utilisons, dans toute la mesure du possible, les termes employés par le RGPD, le cas échéant complété par d'autres termes et appellations employés par d'autres règlementations pouvant s'appliquer. Nous donnons ci-dessous une liste non-exhaustive de termes fondamentaux importants à comprendre au travers de leurs définitions respectives et qui s'appliquent dans le contexte de cette présentation.

  • Données Personnelles:
    Il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques qui lui sont propres.
    Commentaires :
    - toutes ces informations et toutes celles qui pourraient d'une manière ou d'une autre, seule ou ensemble concourir à identifier une personne doivent donc être considérées comme des informations personnelles

    - RGPD précise qu'entre dans le champ d'application ces informations ceci quelle qu'en soit la forme, le support et le stockage  – dans un système informatique, dans une vidéo ou dans un document papier.
  • Données Sensibles:
    Sont dites "sensibles", les informations personnelles qui pourraient, utilisées de manière mal-intentionnée impacter ou nuire directement ou indirectement à un individu. Sont notamment considérées comme sensibles et de ce fait soumises à des conditions spécifiques: les informations d'ordre racial ou sur l'origine ethnique, les opinions politiques, religieuses ou philosophiques, les informations génétiques, biométriques, les informations liées à la santé, à la vie et aux orientations sexuelles.
  • Responsable du traitement:
    Le Responsable du traitement détermine les finalités et les moyens de traitement des données personnelles. Donc, si vous, votre entreprise ou organisation décidez du ‘pourquoi’ et du ‘comment’ les informations personnelles doivent être traitées vous êtes le Responsable du traitement. Si au sein de votre organisation ce sont des employés qui le font, en quelque sorte ils remplissent la tâche du Responsable du traitement.
  • Sous-traitant:
    Le Sous-traitant traite les informations personnelles au nom et pour le compte du Responsable du traitement.
  • Co-Responsable du traitement et Co-Traitant:
    'Co' signifie que une ou plusieurs personnes physiques ou personnes morales, conjointement exercent le rôle du Responsable du traitement ou du Sous-traitant.
  • Client:
    Ici, Client signifie client de Eralys.
  • Contrat de service pour la Protection des Données (Data Protection Agreement - DPA):
    Il s'agit du contrat ou de tout acte d'accord qui doit être établi entre un Responsable du traitement et un Sous-traitant.

 

Selon les situations une entité peut être le Responsable du traitement, ou le Sous-traitant, ou même les deux à la fois.

Dans le cas d'un groupement, un seul acteur peut être désigné pour agir pour l'ensemble des autres membres du groupe.


Dans le contexte de cette présentation de la politique de protection des données personnelles Eralys y occupe selon les cas, chacun des deux rôles.

 

Il est essentiel de distinguer les deux situations suivantes

 

 

Le Client utilise les Services de Eralys

 

 

Client Responsable du traitement

 

 

Client propriétaire des données

 

 

Eralys est Sous-traitant

 

 

Traite les données du Client

 

 

FAI est Co-traitant

 

 

Fournit les éléments techniques de base de l'infrastructure qui permet à Eralys de délivrer ses Services à son Client.

 

 

Services Eralys

 

 

Eralys Responsable du traitement

 

 

Eralys propriétaire des données

 

 

Eralys est Sous-traitant

 

 

Traite ses propres données

 

 

FAI est Co-traitant

 

 

Fournit les éléments techniques de base de l'infrastructure et son support à Eralys afin qu'elle dispose des services dont elle a besoin.

 

 

 

ERALYS - Sous-traitant

 

Comme Sous-traitant, il n'existe aucune différence dans la manière de traiter les tiers, que Eralys traite un tiers, un Client ou ses propres besoins.

En fait, ce sont exactement les mêmes technologies, la même infrastructure technique qui sont utilisés, plus précisément l'écosystème Eralys que constitue notre Système de Gestion de l'Information (I.M.S.) associé à notre plateforme d'échanges Smart Hybrid Connectivity (S.H.C.).

Et nous appliquons la même politique de sécurité.

 

☰ Traitement des Données par Eralys

Eralys assure les traitements des données personnelles du Responsable du traitement en veillant à leur bonne exécution et à la bonne fin des Services selon ses instructions.

Les données confiées par le Responsable du traitement pour êtres traitées par nos Services restent la propriété exclusive du Client et de son Responsable du traitement.

Eralys s'interdit de revendre ces données à des tiers, ainsi que de les employer à des fins commerciales (profilage et actions de marketing direct).

 

☰ FAI et localisation des informations

Eralys informe le Client / Responsable du traitement sur le(s) FAI(s) et le(s) data center(s) où sont traités et stockées ses données.

Cette localisation doit être conforme à la règlementation applicable. RGPD précise que les informations relatives aux personnes qui résident dans l'Union Européenne et leur traitement doivent se trouver au sein de l'Union Européenne. Toutefois, sous réserve que le pays cible soit reconnu par l'Union Européenne comme présentant des dispositions équivalentes ou suffisantes en matière de protection des données, il est possible de les transférer dans le pays choisi.

Eralys s'engage à ne pas changer de FAI ni la localisation sans en informer au préalable son Client.

 

☰ Interopérabilité

Grâce à sa plateforme d'échange Smart Hybrid Connectivity (S.H.C.), Eralys peut offrir au Client / Responsable du traitement la possibilité d'une intégration des données, des traitements et des flux d'échanges avec son propre système d'information et ses applications (sur demande).

 

☰ Droits d'accès, de rectification, d'effacement, de transfert et à la portabilité

I.M.S. apporte au Client / Responsable du traitement des outils et des services qui lui permettent de gérer et d'offrir aux personnes concernées les moyens d'exercer leurs droits d'accès, de modification, d'effacement (droit à l'oubli) et de transfert de leurs données dans un format "portable".

Mais il appartient au Client / Responsable du traitement de définir sa politique, quels moyens il veut employer et quels sont les services qu'il veut offrir.

 

☰ Consentement et opposition

I.M.S. apporte au Client / Responsable du traitement des outils et des services pour lui permettre d'informer, de collecter et de gérer le consentement et l'opposition, les restrictions individuelles des personnes concernées.

Mais il appartient au Client / Responsable du traitement de définir sa politique et quels moyens il veut employer, quels services il veut offrir. Il doit cependant veiller à satisfaire aux exigences de la règlementation sur la protection des données personnelles qui lui est applicable.

 

☰ Protection des données par la conception

La plateforme Eralys Information Management System (I.M.S.) est conçue de manière native de sorte à permettre la protection des informations.

I.M.S. gère nativement les droits des Utilisateurs, des profils et des rôles, jusqu'à gérer les droits de consulter, créer, modifier, effacer chaque élément unitaire (fichier ou champs d'enregistrement d'une base de données). Dans I.M.S. l'Utilisateur décide lui-même s'il veut partager ou non ses informations et avec qui.

 

☰ Réversibilité

Eralys s'engage à restituer les données confiées au Client / Responsable du traitement, ceci dans un format portable (fichier texte csv - Excel - sql - pdf). Sur demande, les informations peuvent être délivrées dans un format spécifique (sur base d'une offre Eralys acceptée par le Client).

Toutes les informations du Client seront alors définitivement effacées chez Eralys. Le Client / Responsable du traitement sera responsable pour la conservation des informations durant la période légale à laquelle il est soumis.

 

☰ Accès Client pour l'Administration I.M.S.

I.M.S. est structuré de manière à gérer des Utilisateurs / Profils / Rôles et gérer les traitement et les données (les Services).

Il est de la seule responsabilité du Client / Responsable du traitement de définir leur politique et les règles en matière de gestion des droits des Utilisateurs I.M.S., quels Services ils souhaitent activer. Le Client / Responsable du traitement devra veiller à sa conformité avec la règlementation sur la protection des données à la quelle il est soumis.

Au moins une personne doit être désignée par le Client comme Administrateur I.M.S. (deux personnes sont préconisées par Eralys pour garantir la continuité de service). Il sera l'interlocuteur privilégié de l'équipe support Eralys.

L'Administrateur I.M.S. dispose des droits les plus étendus notamment pour gérer les Utilisateurs, les droits, les services, les outils, en accord avec la politique, les règles et les exigences du Client / Responsable du traitement.

Eralys simplement assiste l'Administrateur I.M.S. du Client.

 

☰ Help Desk - Support - Relation client

I.M.S. propose tous les outils et moyens nécessaires  pour organiser et opérer un service de support. Il constitue le hub idéal pour la gestion des demandes offrant des outils de suivi d'avancement et une traçabilité des évènements et des actions. Il permet des interactions en 'interne', mais aussi avec des acteurs 'externes'.

Couplé au moteur de gestion des évènements, au workflow I.M.S. et au serveur de messagerie il constitue l'outil idéal pour la gestion des demandes de services, des incidents, des alertes et la gestion du processus d'escalade, la gestion du niveau de service, la gestion des processus. Mais son champ d'applications possible est extrêmement large, et peut être exploité utilement dans le cadre de la Gestion des Données Personnelles.

Le Help Desk Eralys utilise ces outils.

Le Client / Responsable du traitement peut employer ces outils dans leur instance I.M.S. avec ses propres contacts, ses employés.

 

☰ Supervision des services et des infrastructures

En collaboration avec le FAI, Eralys, qui administre son écosystème, supervise tous les services. Cette supervision poursuit des objectifs multiples: détection d'incidents de production et de sécurité, supervision de fonctions critiques avec remontée de notifications, notification des responsables concernés et engagement des procédures appropriées, assurer la continuité de service et l'exécution des tâches automatisées, assurer l'intégrité des ressources supervisées.

Une gestion des incidents est en place. Cela permet la prévention, la détection et la résolution des évènements survenant dans la gestion des éléments d'infrastructure et au niveau des services eux-mêmes.

Les composants d'infrastructure technique et applicatifs sont maintenus à jour en permanence par le FAI et Eralys. Une veille technologique sur les nouvelles vulnérabilités est assurée.

 

☰ Accès Eralys d'administration de la plateforme

Les Administrateurs Eralys de la plateforme doivent pouvoir intervenir de manière à assurer la délivrance des Services, procéder aux mises à jour et assister en cas d'incident. Ils  gèrent et supervisent les sauvegardes et restaurations des données ainsi que les processus automatisés.

Une règle de gestion des accès à l'administration de la plateforme est en place:
- Tout accès d'administration sur un système en production passe par un bastion.
- Les administrateurs de la plateforme se connectent aux bastions via le protocole sécurisé SSH et utilisent les couples de clés privées/public de sécurité. L'emploi de comptes par défaut ou 'anonymes' pour l'accès aux systèmes et aux équipements est proscrit et les accès et actions sont systématiquement journalisés.
- Les administrateurs disposent d'un compte spécifique réservé aux tâches d'administration, et le cas échéant d'un compte personnel Utilisateur distinct (par exemple en qualité d'employé).

Le nombre d'administrateurs est restreint mais adapté pour assurer le service en continu 24/7/365.

Les administrateurs de plateforme, dans ce rôle, n'ont pas d'accès aux fonctionnalités, aux outils, aux traitements 'applicatifs', ni aux données 'applicatives'.

L'équipe de support technique du FAI doit elle pouvoir intervenir sur les éléments de son infrastructure afin d'assurer l'installation physique et opérationnelle des serveurs, l'accès via les points de connexion Internet, des réseaux, d'en assurer l'exploitation et la maintenance. En cas de besoin, ils assistent Eralys. Les intervenants du FAI n'ont jamais accès à l'administration des plateformes Eralys avec ses composantes, à son écosystème I.M.S. et S.H.C. Ils n'ont jamais aucun accès aux données personnelles des gens ni de Eralys ni du Client / Responsable du traitement. Pas même aux bases de données et au contenu des sauvegardes gérées et stockées par Eralys.

 

☰ Atteinte à l'intégrité des données et droit d'information

Eralys et les FAI mettent respectivement en place des méthodes et des moyens spécifiques pour contrôler et détecter les actes de malveillance et des évènements qui pourraient porter atteinte à l'intégrité des données.

Eralys et les FAI s'engagent à informer le Client / Responsable du traitement dès que possible après qu'ils aient pu détecter et analyser une atteinte potentielle ou réelle à l'intégrité des données ou des traitements.

Un Comité de Gestion de Crises est prévu pour gérer la situation.

I.M.S. fournit les outils utiles au Client / Responsable du traitement pour informer les personnes concernées par une violation de leur données personnelles.

En sa qualité de Sous-traitant, en accord avec le RGDP, Eralys peut être amené à faire cette information directement auprès des personnes concernées, ceci dans les 72 heures.

Eralys s'est doté de resources et de compétences pour fournir certains services dans le domaine de la Cyber sécurité (plus d'informations dans la section Cyber Sécurité).

 

☰ Mesures de protection physiques générales au niveau des sites

Ces mesures de protection sont mises en place et de la responsabilité des FAI.
Elles concernent les contrôles d'accès des personnels et de tous les intervenants y compris externes sur les sites et leurs différentes zones, comme les dispositifs destinés à couvrir ou limiter les risques de type climatique, environnemental, et tout ce qui contribue de manière critique à l'activité et à la continuité des services.

En travaillant exclusivement avec les FAI les plus importants, qui disposent des moyens et des ressources nécessaires, qui ont reçu les certifications nécessaires telles en particulier celles relatives à la sécurité comme ISO 27000 et en ne retenant que des data center Tiers III et Tiers IV, nous sommes assurés de bénéficier de hauts niveaux de sécurité, à l'état de l'art.

 

☰ Audit

Eralys met à disposition les informations sur les mesures de sécurité implémentées dans le cadre de la fourniture de ses Services, de manière à permettre au Responsable du traitement d'évaluer l'adéquation de ces mesures aux exigences en matière de protection des données personnelles.

Eralys délivre les informations pertinentes et la documentation relative à ses Services y inclues le dispositions et mesures de sécurité qui permettent au Client / Responsable du traitement de démontrer la conformité avec la règlementation qui lui est applicable, plus particulièrement  avec le RGPD pour l'Union Européenne.

Des audits peuvent avoir lieu sur demande, par des intervenants internes ou externes indépendants sous conditions définies par le Contrat de Services ou un accord spécifique.

Les audits peuvent concerner Eralys et le FAI concerné, mais ils seront limités au seul périmètre impliqué pour le Client / Responsable du traitement.

 

☰ Gestion de la Sécurité des Systèmes et des plateformes

Une politique de la sécurité des Systèmes et des plateformes (PSSP - ISSP en anglais) est implémentée. Elle est revue au moins annuellement, ou dès lors que des changements majeurs ne viennent affecter son contenu.

Eralys s'assure que ses FAI, en leur qualité d'hébergeurs et de fournisseurs des éléments techniques de l'infrastructure de base et des services associés répondent aux niveaux les plus élevés en matière de sécurité, et qu'ils soient cohérents avec la politique de sécurité et les exigences de Eralys et le cas échéant de ses Clients et Responsables du traitement.

Eralys travaille exclusivement avec les FAI leaders mondiaux et locaux qui disposent de data center Tiers III et Tiers IV.

La certification ISO/IEC 27000 est un pré-requis et des certificats complémentaires et spécifiques sont parfois disponibles ou possibles comme par exemple la certification PCI-DSS (pour les systèmes de  paiement), SOC1 type II SOC2 type II et HDS (Healthcare Data System pour la santé).

Eralys utilise exclusivement des serveurs dédiés qui lui sont exclusivement réservés et qu'elle administre complètement elle-même.
Les serveurs sont distribués dans différents data center et sur différents sites.
A la demande, un Client / Responsable du traitement peut se voir affecter par Eralys des serveurs qui seront réservés à son usage exclusif (constituant un environnement "privé", toutefois administré par Eralys qui conserve la propriété exclusive des composants de l'écosystème I.M.S. et S.H.C.

Eralys définit et gère sa propre architecture technique et les technologies quelle met en oeuvre. Stratégiquement, Eralys a choisi d'employer les composants et les technologies du monde communautaire (Open Source) pour lui garantir une indépendance réelle, complète et totale à tous niveaux, et également bénéficier des meilleures assurances en terme de sécurité. L'ensemble des composants constitutifs de l'architecture technique, technologique et applicative constituent l'écosystème Eralys identifiés commercialement sous les deux appellations  I.M.S. (Information Management System = Système de Gestion de l'Information) et S.H.C. (Smart Hybrid Connectivity = Connectivité Hybride Aisée).

Eralys utilise des blocs d'adresses IP qui lui sont réservés dans différents pays avec du Fail Over et toutes les connexions vers ses serveurs et ses applications, ses Services, se font par des liaisons cryptées. Les liaisons entre le Client / Utilisateur et les serveurs Eralys et ses applications/Services sont cryptées.
Si les conditions locales et du FAI le permettent, Eralys implémente son propre Réseau Privé Virtuel (VPN  - Virtual Private Network) entre ses serveurs pour éviter de passer par l'Internet public. Un VPN spécifique pour un Client peut être mis en place sur demande. Enfin, une liaison Point à Point (PoP) privée vers le site Client peut être mise en place si le marché local et l'environnement du Client le permet.

 

☰ Continuité de service

La continuité de services d'infrastructures (disponibilité des équipements, des applications et de la production des services) est assurée conjointement par Eralys et les FAI.

Les FAI assument la continuité de service en conformité avec les normes appliquées aux Data Center Tiers III et Tiers IV pour les éléments de l'infrastructure de base (serveurs, Internet, réseaux).

Eralys assume la continuité de services de son écosystème constitué par les plateformes de services I.M.S. et S.H.C.:

  • Redondance des équipements et des serveurs
  • IP Fail Over
  • Disque Raid
  • serveurs distribués dans différents data center et géographiquement distants
  • politique de sauvegardes avec stockage distant

Il appartient au Client / Responsable du traitement de définir sa propre politique en matière de continuité de services et de fixer ses exigences, puis de choisir les Services Eralys correspondants, adéquats nécessaires. Si celle-ci demande une solution particulière, Eralys soumettra une offre qu'elle implémentera pour le Client / Responsable du traitement sur acceptation et définition dans le Contrat de Prestation Services.

 

Client - Responsable du traitement

 

Lorsque le Client est le Responsable du traitement, il lui appartient de gérer la relation avec ses contacts, en particulier les personnes physiques, donc de définir et d'implémenter sa propre politique en matière de traitement et de gestion des informations personnelles.

 

Eralys en sa qualité de Sous-traitant assiste le Client qui remplit le rôle de Responsable du traitement en lui apportant les moyens et les services qui vont l'aider à démontrer qu'il répond aux exigences de la règlementation sur la protection des données personnelles, en particulier le RGPD.

Attention : Certains Services développés spécialement pour un Client ou qui mettent en oeuvre certains composants et éléments d'infrastructure plus anciens ne peuvent pas bénéficier des facilités, des outils et des services qui seraient nécessaires. Merci de nous contacter dans ce cas.

 

☰ Contrat de service pour la Protection des Données

Eralys et le Client / Responsable du traitement signent un Contrat de services pour la Portection des Données.

Le Client / Responsable du traitement doivent accepter Eralys comme étant son Sous-traitant.

Ce contrat fait partie intégrante du Contrat de Prestations de Services avec ses Conditions Générales et Particulières.

La signature d'un tel accord est une exigence du Règlement Général sur la Protection des Données (RGPD). Eralys établira systématiquement un tel contrat en l'adaptant à chaque Client de manière à prendre en compte les régulations générales et particulières, internationales et locales qui lui seraient applicables.

 

☰ FAI et localisation des informations

Eralys informe le Client de son FAI et des data center où sont implémentés les serveurs de traitement et de stockage des données.

La localisation des données et de leur traitement doit respecter la règlementation applicable au Client. Le Règlement européen Général sur la Protection des Données précise que les données concernant une personne physique résidant dans l'Union Européenne doit rester dans l'Union Européenne. Toutefois, il est permis de transférer vers un autre pays situé hors de l'Union Européenne, sous réserve que le pays cible est reconnu par l'Union Européenne comme présentant les garanties équivalentes et suffisantes à celles en vigueur dans l'Union Européenne.

Eralys ne changera pas de FAI ni ne modifiera la localisation sans en avoir informé préalablement le Client.

 

☰ Données et responsabilités

La détermination des types et des catégories de données qualifiées de personnelles relève de la seule et exclusive responsabilité du Client / Responsable du traitement.

Le Client est seul responsable de ses choix de Services Eralys et de leur mise en oeuvre.

Il appartient au Client de s'assurer que les Services qu'il choisit présentent les caractéristiques et les conditions nécessaires en vue des traitements et de la gestion de Données Personnelles et Sensibles, inclus mais non limité au fait que les Services puissent être utilisés pour traiter des Données Personnelles entrant dans le cadre de régulations spécifiques ou avec des normes particulières (par exemple dans certains pays, pour des données relatives à la santé, aux activités bancaires).

Une analyse de risques devra être menée dans certaines circonstances lorsque les données à traiter peuvent êtres liées à un aspect personnel particulier concernant la personne physique et que celles-ci pourraient significativement l'affecter ou lorsque celles-ci concernent des catégories de personnes particulières ou des données 'sensibles'.

 

 

Eralys - Responsable du traitement

 

C'est typiquement le cas lorsque Eralys collecte certaines informations vous concernant ou vos employés (identité et détails de contact,...) par exemple pour le Contrat de Services, nos services de support, les paiements etc...

 

☰ Politique Générale Eralys pour la Gestion des Données

Depuis 2005, Eralys traite les données personnelles, sensibles et stratégiques d'institutions financières, d'entreprises industrielles et commerciales internationales. Nous connaissons la valeur de l'information, l'importance stratégique de la confidentialité, mais aussi celle de la transparence pour la confiance car nous avons besoin de communiquer et de partager.

Le défi, la principale difficulté est de pouvoir maîtriser et gérer un équilibre très ténu entre la protection-confidentialité (le privé, garant de liberté et d'indépendance) et la communication-partage (le public, indispensable pour le développement).

En qualité de prestataire de services nous sommes finalement un tiers de confiance, le dépositaire de choses importantes et précieuses. Conscient de notre rôle et de la confiance que nos interlocuteurs nous accordent, nous avons le plus grand respect pour les gens et nos clients, fournisseurs et partenaires, pour leurs informations.

C'est la raison pour laquelle notre approche, notre conception est basée sur les trois piliers que sont : l'information - les traitements - la communication.
Egalement, ceci nous amène à placer nos utilisateurs (les individus) qui ont des besoins, des droits, des responsabilités, mais aussi des rôles, des tâches et des besoins d'échanges au sein de leur organisation et de la société en général au centre de nos préoccupations.

Ainsi nous avons créé un écosystème qui d'une part gère l'information (la "donnée" est un mot du vocabulaire informatique un peu restrictif) avec I.M.S. (Information Management System - Système de Gestion de l'Information en français) et d'autre part S.H.C. (Smart Hybrid Communication - solution Hybride de Connectivité Aisée en français) pour la communication, l'échange.

Dans I.M.S. fondamentalement c'est l'Utilisateur qui a le contrôle de l'information qu'il créé dans le système, et chaque Utilisateur décide lui-même de ce qu'il veut ou a besoin de partager et avec qui et quand. Chaque élément d'information est ainsi attachée, assignée à un Utilisateur ou à un groupe d'Utilisateurs définis et qui sont responsables de l'information.

Cet engagement direct, permanent, visible et total des Utilisateurs dans l'écosystème est le meilleur garant possible pour la protection et l'emploi de l'information. Pour les informations privées, personnelles, mais aussi en général et pour toutes les informations.

Et nous allons encore plu loin car notre modèle est totalement ouvert. En effet, avec I.M.S. et S.H.C. si on le souhaite, peu importe si une personne, une entité, un groupe est "interne" ou "externe", est membre ou non, et où l'information est conservée : dans un outil, une application, un système, un format, un emplacement ou un autre, l'écosystème peut être étendu et I.M.S. devient un intégrateur, un agrégateur, un "univers".

Pour l'information en elle-même, d'un point de vue technique, et dans la mesure où sa gestion et son stockage nous sont confiés, nous la protégeons car nous employons des outils et des composants de la communauté des logiciels libres (Open Software), nous les déployons sur plusieurs disques, serveurs et aussi physiquement sur différents sites.

Et puisque nous sommes "global", nous raisonnons et nous appliquons ces principes ces règles, cette philosophie à l'échelle globale, générale. Juste un exemple : une attaque, un phénomène climatique neutralise une région, un pays, un continent, ou un acteur dominant impose sa loi, une employé ou un groupe de personnes ou un fournisseur un hacker vous prend en otage, un acteur clé disparaît ou prend le contrôle... Que faites-vous ? Que pouvez-vous faire ?

Avec la mondialisation, un monde devenu totalement interconnecté et interdépendant, engagé dans une période d'instabilité profonde, économique, sociale, politique et généralisée et permanente, durable, une monté des conflits, le terrorisme, un changement climatique... nous devons pouvoir nous adapter et nous préparer à toutes les éventualités.

Pour nous, c'est devenu obligatoire et Eralys agit dans cette perspective et vous aide. La sécurité est devenu un paramètre critique, c'est pourquoi nous avons créé une plateforme de services spécialisée pour traiter de la Cyber sécurité.

 

☰ Eralys et la Gestion des Informations Personnelles

Attention: sont exclues du périmètre présenté ici les informations appartenant à des Utilisateurs des Services Eralys Services (Eralys agissant comme Sous-traitant).

Note: lisez également la section Eralys est Sous-traitant car elle contient des informations importantes.

Eralys s'engage :

  • à limiter la collecte d'informations personnelles à celles qui sont utiles pour l'exécution des Services et pour la gestion des relations professionnelles, commerciales, d'affaires, de projets et dans le cadre des actions de support, de demandes de services, la demande de propositions, les souscriptions et les enregistrement en ligne, les paiements, les besoins administratifs et légaux, l'amélioration de la qualité, la gestion des ressources humaines et encore pour satisfaire à nos propres obligations légales
  • à ne pas utiliser les informations collectée à des fins autres que celles pour lesquelles elles on été collectées
  • à ne pas collecter et utiliser les informations pour réaliser du profilage à des fins de marketing de masse, de campagnes de promotion ni de ciblage personnel des individus pour lesquels nous détenons des informations
  • à ne pas revendre ou transférer les informations à des tiers autres que nos sociétés affiliées et membres de notre groupe
  • à conserver les informations personnelles pour une durée limitée et proportionnée. Par exemple, les informations utilisées pour la gestion de la relation Client avec Eralys (nom, prénom, adresse postale, e-mail, etc.) sont conservées durant toute la période du contrat de service, puis ensuite le temps imposé par nos obligations légales. A l'issue de cette période, les informations sont détruites sur tous les médias et dans les sauvegardes.
  • à traiter les informations personnelles de tout le monde de la même façon, quelle qu'en soit la nature, le type, le niveau et l'objet de la relation.

 

☰ Information - consentement

Information
Lorsque Eralys collecte ou reçoit des informations personnelles, la personne concernée est informée et ses droits lui sont présentés et, le cas échéant, une demande de consentement ou de confirmation lui sera soumise. Par exemple, I.M.S. enverra automatiquement un e-mail lorsqu'on créé un nouveau contact.

Consentement
Le plus souvent, et spécialement lorsque la règlementation l'exige (ex. RGPD), un consentement approprié sera demandé.

Eralys vous demandera aussi périodiquement ou ponctuellement de vérifier les informations et de les actualiser et de renouveler votre consentement. Par exemple quelques jours avant une date d'échéance ou après une période d'inactivité.

 

☰ Droits d'accès, de rectification, de restrictions, d'opposition et d'effacement

Droits d'accès
Par défaut le droit d'accès se matérialise par un lien hypertexte (ou l'envoi d'un e-mail) à helpdesk@eralys.com avec Sujet = Demande Données Personnelles

Si vous êtes un client, un fournisseur, un partenaire, membre d'un projet vous ou certains de vos employés entretiennent des échanges réguliers avec Eralys. Vous obtiendrez alors un Identifiant de connexion personnel pour un accès direct et permanent en ligne à vos données personnelles et, au cas par cas, à d'autres informations au travers de notre Portail de Service Clients. Vous aurez ainsi une vue directe sur vos informations personnelles et d'autres disponibles dans I.M.S. Vous aurez aussi la possibilité de soumettre vos demandes et de communiquer en ligne directe avec nos équipes, de manière sécurisée et sans passer par votre messagerie.
Au cas par cas, à l'initiative ou à la seule discrétion de Eralys sur votre demande, vous pouvez obtenir un tel accès.

En cas de relation plus étroite ou s'il existe un intérêt particulier, une valeur ajouté, une meilleure efficacité, ou à votre demande, à la seule discrétion de Eralys, vous et certains de vos employés pouvez obtenir un accès Utilisateur I.M.S. bien plus riche en possibilités.

 

Droit de Rectification
En fonction de ce qui est concerné et des droits d'accès de la personne, celle-ci peut soumettre sa demande de rectification, émettre des restrictions, une opposition et même opérer directement elle-même certaines modifications.

 

Droit d'effacement
L'effacement (droit à l'oubli) peut être demandé à tout moment. Parfaitement légitime, et sans devoir fournir de raison ni de justification, une personne peut demander l'effacement de ses informations. Cette demande est cependant soumise à une procédure particulière et à un traitement manuel car certaines informations sont essentielles pour la fourniture des Services dont la personne peut vouloir continuer à bénéficier, et certaines informations peuvent devoir êtres conservées par Eralys pour remplir ses obligations légales.

Afin d'éviter les demandes frauduleuses il vous sera demandé de confirmer votre demande et de passer par un processus particulier d'identification. Eralys peut également solliciter de votre part la fourniture d'informations et/ou de documents.

L'ensemble du processus est tracé et les échanges sont enregistrés. Vous recevrez des notifications automatiques pilotées par le gestionnaire d'évènements et d'actions tout au long du cycle de la procédure. Vous êtes ainsi toujours informés de l'état d'avancement et des actions du processus. A la fin vous recevrez un message de confirmation de l'effacement de vos informations.

Lorsque l'effacement est autorisé, y compris en prenant en compte les obligations légales pour Eralys, TOUTES les informations vous concernant seront définitivement détruites.

 

☰ Droit de Transfert et Portabilité

Droit de Transfert
En accord avec la règlementation applicable, Eralys accède à toute demande de transfert qui lui est soumise par les moyens disponibles à cet effet: soit au niveau du Portail de Service Clients ou l'accès Utilisateur I.M.S., sinon par un lien (ou en envoyant un e-mail) à helpdesk@eralys.com avec pour Sujet = Demande de Transfert de Données Personnelles

Portabilité
Eralys délivre les informations qui doivent être transférées dans un format portable vers d'autres systèmes. Il s'agit des formats suivants : texte (.csv or .txt), MS Excel (.xls or xlsx), opendoc xml (.odt - .ods).

En cas de volume important ou sur demande particulière, le transfert pourra être effectué en utilisant notre plateforme S.H.C. par exemple pour une intégration directe de système à système, et d'autres formats particuliers peuvent être produits (soumis à conditions et à une offre de services spécifique).

 

☰ Perte d'intégrité des informations et droit de savoir

En cas de détection d'une perte d'intégrité des informations, ou de suspicion sérieuse de perte d'intégrité potentielle des informations, Eralys s'engage à communiquer le plus vite possible, et dans les 72 hours qui suivent la confirmation par une analyse des faits des informations aux personnes concernées (règle RGPD).