1. Objectif

Au cours des missions que Pointlogic effectue pour ses clients, il peut arriver que les employés de Pointlogic entrent en contact avec ou aient temporairement accès à des données confidentielles.

Compte tenu de la nature des services, il s’agira principalement de données à caractère personnel pouvant relever du règlement général sur la protection des données (RGPD, anciennement loi sur la protection des données à caractère personnel).

Ce Protocole décrit comment Pointlogic gère les données confidentielles de ses clients.

Les Données confidentielles désignent toutes les données, sous quelque forme que ce soit, concernant l’entreprise du client (y compris toutes les entreprises qui en font partie), y compris les données sur les clients, les fournisseurs, les activités commerciales actuelles et futures, les méthodes, les produits, les données et logiciels financiers, statistiques et personnels, les systèmes ou accessoires, la recherche, le développement, la planification stratégique, les secrets commerciaux, le savoir-faire et autres données pertinentes, communiquées directement ou indirectement avant ou après la signature du présent contrat, dans le cadre d’une collaboration (éventuelle).

Dans le cadre du RGPD, Pointlogic est le Sous-traitant des données et les clients de Pointlogic sont les Responsables du traitement des données. Le RGPD recommande également que le Responsable du traitement des données et le Sous-traitant des données concluent des accords sur la sécurité des données. Ce document a pour objectif de décrire ces derniers.

 

2. Accords et principes

Pointlogic s’engage à maintenir la confidentialité de ces Données confidentielles et à les traiter de manière confidentielle, en particulier:

  • Ne pas divulguer de Données confidentielles à des tiers et prendre toutes les mesures nécessaires pour empêcher la divulgation à des tiers.
  • Ne pas divulguer de Données confidentielles au sein de son organisation, sauf dans la mesure où cela est nécessaire dans le contexte de la bonne exécution des activités.
  • Rendre les Données confidentielles accessibles uniquement au personnel autorisé.
  • Informer les personnes de son organisation auxquelles les Données confidentielles sont divulguées des obligations découlant de la présente déclaration de confidentialité et veiller à ce que ces personnes, à leur tour, se conforment aux obligations de la présente déclaration.
  • Ne pas utiliser les Données confidentielles à des fins propres hors du cadre de la collaboration (éventuelle) ou à des fins tierces.

 

3. Exceptions

En revanche, les obligations susmentionnées ne concernent aucunement les Données confidentielles :

  • Qui étaient déjà notoirement connues avant leur réception.
  • Qui, par la suite et sans faute de Pointlogic, sont devenues notoirement connues.
  • Qui, manifestement, étaient déjà notoirement connues de Pointlogic avant leur réception.
  • Qui ont été reçues ultérieurement par Pointlogic, de manière non confidentielle, par un tiers qui n’a enfreint aucune obligation de confidentialité.
  • Qui ont été créées de manière totalement indépendante des données du client, ceci pouvant être prouvé par Pointlogic.

Ces obligations ne s’appliquent pas si et dans la mesure où la loi exige de rendre ces Données publiques.

 

4. Renvoi ou destruction des données

Les documents contenant des Données confidentielles que Pointlogic – ou des tiers pour le compte de Pointlogic – a reçus du client restent la propriété du client et seront, sur simple demande, renvoyés au client ou détruits, y compris les copies de ces documents. Une obligation analogue s’applique au matériel qui a été remis à Pointlogic par ou pour le compte d’autres sociétés appartenant au client.

 

5. Accord du Sous-traitant

En plus de l’accord de collaboration régulier, Pointlogic s’efforce de disposer d’un accord de sous-traitance séparé ou intégré.

Il est convenu que les accords qui débutent après l’entrée en vigueur de la nouvelle législation RGPD en font, par définition, intégralement partie. Pour les accords précédemment conclus, un modèle standard est disponible et conseillé.

 

6. Emplacements des données

Le fondement de toute collaboration est que toutes les données confidentielles sur le personnel des clients sont stockées sur le système de stockage de données du client ou sur le système de stockage de données sous la responsabilité de ce dernier. Cela concerne donc également les environnements hébergés du client, qu’ils soient ou non hébergés chez des partenaires d’hébergement sous contrat avec Pointlogic ; ces données relèvent également de la responsabilité du client. Pointlogic ne souhaite jamais d’accès structurel à ces données, il appartient au client de le garantir.

Si un accès temporaire à ces données est requis pour:

  • Des projets d’implémentation
  • Des activités de consultance
  • Des questions de support

Le client fournira à Pointlogic un accès temporaire. Le client se doit de garantir que cet accès est temporaire et traçable.

L’accès aux données aura toujours lieu sous la responsabilité du client. Le client donnera son accord de façon explicite en indiquant la raison de l’accès, quelles personnes de Pointlogic auront accès et la date de fin de l’accès. La période d’accès sera maximum de 6 mois et pourra être renouvelée par le client en cas d’expiration.

Si, pour la bonne exécution des activités, les données doivent être stockées sur le système de stockage de données de Pointlogic, cela sera exclusivement effectué chez son partenaire d’hébergement Proxsys. Pour plus de détails, voir aussi #9.

 

7. Traitement des données

Pointlogic s’engage à traiter de manière confidentielle toutes les données mises à sa disposition et applique plusieurs principes stricts en matière de traitement :

  • Les fichiers contenant des données sur le personnel sont exclusivement échangés via une application de transfert de fichiers sécurisée (Cryptshare), hébergée chez le partenaire d’hébergement informatique de Pointlogic (Proxsys).
  • L’échange par e-mail est formellement interdit.
  • Les noms de fichiers ne peuvent jamais contenir le nom de l’organisation ou un nom permettant son identification.
  • Les données du personnel ne contiendront jamais les données suivantes :
    • Nom
    • Adresse
    • Code postal
    • Lieu de résidence
    • Numéro de compte
    • Numéro de registre national
    • Des données personnelles spéciales comme définies par l’autorité responsable des données personnelles
    • D’autres données permettant de remonter à une personne, sauf si ces données sont nécessaires pour effectuer la prestation de service chez le client

Si le client ne respecte pas ces principes, Pointlogic supprimera les données et ne les traitera pas. Dans ce cas, le client est également responsable des risques supplémentaires liés aux données et aux flux de données associés.

 

8. Intégrité des données

Pour garantir l’intégrité des données, les données fournies ne seront jamais traitées par Pointlogic. Les données sources sont et restent telles que fournies par le client.

Cela implique également que :

  • Si les données diffèrent de celles convenues, le client doit fournir des données corrigées.
  • Une nouvelle livraison de données peut entraîner des retards dans le projet.

Les dérogations à ce Protocole de données ne sont en principe pas possibles. Si, dans une situation imprévue, il y a lieu d’autoriser un changement ponctuel, cela ne peut être effectué qu’avec l’autorisation expresse des directions du client et de Pointlogic. Les risques supplémentaires éventuels résultants d’une dérogation au protocole standard sont à charge du client.

 

9. Sécurité des données

Pointlogic utilise les services de Proxsys en tant que partenaire d’hébergement informatique pour le stockage de données. Pointlogic a pris des mesures pour s’assurer qu’aucune sauvegarde externe des fichiers de données ne soit effectuée (à l’exception du trafic d’e-mails). Les données ne seront présentes sur les systèmes Pointlogic/Proxsys que pendant le temps nécessaire à la bonne exécution des activités. Étant donné que la sauvegarde d’e-mails n’est pas interdite, le partage de fichiers par e-mail n’est dorénavant plus autorisé.

Mesures de sécurité supplémentaires:

  • Aucune donnée CLIENT disponible sur les systèmes de Pointlogic ne sera stockée sur les ordinateurs portables de Pointlogic ni sur aucun autre système de stockage de données (mobile).
  • Un nombre limité d’emplacements de données CLIENTS est autorisé, à savoir
    • Sur l’infrastructure du client sous la responsabilité de ce dernier
    • Sur les serveurs externes sécurisés de Pointlogic chez son partenaire d’hébergement informatique (Proxsys)
    • Dans un environnement hébergé chez Proxsys dans le cadre d’un accord entre Pointlogic et le client
  • Pointlogic se chargera de mettre au courant tous les collaborateurs des protocoles et directives de données.
  • Pointlogic se chargera de faire en sorte que Proxsys se conforme aux protocoles/certifications de sécurité en vigueur (actuellement ISO17799/27001 ou BS7799 au minimum).
  • Pointlogic nommera un responsable de la sécurité qui sera chargé de surveiller le respect des accords et protocoles, tant en interne que chez Proxsys ou chez le client.
  • Pointlogic publiera un rapport de sécurité tous les six mois avec des résultats, mises à jour, alertes et mesures. Ceux-ci peuvent être consultés par le CLIENT sur demande.
  • Pointlogic effectuera des tests fréquents sur son infrastructure et celle de Proxsys. Ceux-ci incluront également un test de pénétration.

 

10. Données personnelles des clients et des fournisseurs

Pointlogic stocke les données des clients et des fournisseurs dans son système CRM Exact. Et ce, afin de pouvoir remplir ses obligations contractuelles en termes de gestion d’entreprise responsable. Pointlogic traite ces données en sa qualité de responsable du traitement des données.

Périodiquement, mais au moins 1 fois par an, toutes les personnes impliquées seront informées par e-mail de la nature et de la finalité des données enregistrées.  La suppression peut être demandée si elle n’est contraire à aucune obligation légale.

  

11. Données personnelles des clients potentiels et autres relations

Pointlogic stocke les données des clients et des fournisseurs dans son système CRM Exact. Et ce, afin de pouvoir remplir ses obligations contractuelles en termes de gestion d’entreprise responsable. Pointlogic traite ces données en sa qualité de responsable du traitement des données.

Périodiquement, mais au moins 1 fois par an, toutes les personnes impliquées seront informées par e-mail de la nature et de la finalité des données enregistrées.  La suppression peut être demandée si elle n’est contraire à aucune obligation légale.

 

12. Human Resources

Pointlogic veillera à ce que la protection de la vie privée soit continuellement une priorité absolue de tous ses employés. Cela est assuré, entre autres, en l’incluant explicitement dans les programmes d’onboarding, en ayant des discussions fréquentes dans diverses réunions et, en outre, Pointlogic assurera une formation et des évaluations périodiques en matière de sécurité.

 

13. Mesures d’accès physiques

Pointlogic garantira que l’accès à ces bureaux pourra avoir lieu uniquement avec autorisation. La politique standard prévoit que dans le bâtiment, les visiteurs seront à tout moment accompagnés par Pointlogic.

  

14. Données obtenues par e-mail

On ne peut empêcher que les données obtenues par e-mail soient automatiquement stockées dans le système de messagerie électronique de Pointlogic. Ces données, autres que celles décrites aux points 10 et 11, ne seront pas enregistrées dans le système CRM.

Pointlogic inclura une déclaration à ce sujet ainsi qu’une référence à ce protocole dans ses « signatures électroniques ».