search
Visit JOINContact us

shield-checkSécurité des données

Accord de traitement des données (« AVV » ou « Accord ») entre l’Entreprise et JOIN

hashtag
Préambule

JOIN s’est donné pour mission de mettre en relation les chercheurs d’emploi et les entreprises dans le monde entier. Les entreprises peuvent utiliser la plateforme JOIN à l’adresse https://join.comarrow-up-right (ci-après dénommée la « plateforme ») pour publier des postes vacants et gérer les candidatures reçues depuis un emplacement centralisé. Nos services sont conçus pour faciliter le processus de recrutement pour les entreprises comme pour les employés, en particulier pour l’attribution de candidats adaptés et la simplification de la procédure de candidature. La plateforme offre aussi aux candidats la possibilité de rechercher des offres d’emploi intéressantes et de découvrir les postes vacants disponibles.

L’Entreprise peut gérer des procédures de candidature spécifiques sur la plateforme à l’aide d’un outil de gestion basé sur le web (« outil de gestion des candidatures »). Dans ce contexte, les données personnelles générées par l’Entreprise pour le processus de candidature concerné sont traitées par JOIN agissant en tant que sous-traitant pour l’Entreprise agissant en tant que responsable du traitement, tel que défini par les lois applicables en matière de protection des données. En ce qui concerne les autres services de JOIN, tels que l’attribution de candidats adaptés ou les offres destinées aux candidats, les données personnelles sont traitées par JOIN en tant que responsable du traitement, tel que défini par les lois applicables en matière de protection des données.

Cet AVV a pour objet de protéger les parties contre l’utilisation inappropriée des données personnelles traitées dans l’outil de gestion des candidatures, de garantir la protection des données par JOIN en raison des données personnelles que l’Entreprise lui a communiquées, et de respecter les exigences légales dans l’hypothèse où la relation commerciale entre l’Entreprise et JOIN serait considérée comme un traitement de données.

Cet AVV fait partie intégrante de tout contrat de service conclu entre les parties, sauf disposition expresse contraire dans un contrat conclu après la conclusion du présent AVV. Le présent document, y compris toutes ses annexes, précise aussi comme suit les obligations des parties en matière de protection des données découlant du contrat de service sous-jacent :

hashtag
Champ d’application et définitions

1.1 Les dispositions suivantes s’appliquent uniquement aux services JOIN qui constituent un traitement de données dans le cadre du contrat de service, en particulier l’outil de gestion des candidatures.

1.2 Lorsque les termes « traitement de données » ou « traitement » des données sont utilisés dans le présent accord, ils désignent généralement l’utilisation de données personnelles. Le traitement de données ou le traitement des données désigne toute opération ou tout ensemble d’opérations effectuées sur des données personnelles, avec ou sans l’aide de procédés automatisés. Le terme est aussi défini comme tel à l’art. 4, n° 2 du Règlement général sur la protection des données (« RGPD ») et à l’art. 3 (a) de la loi suisse sur la protection des données (« DSG ») (le RGPD et la DSG étant conjointement dénommés « lois applicables en matière de protection des données »).

1.3 Il est renvoyé aux autres définitions figurant à l’art. 4 du RGPD et à l’art. 3 de la DSG.

hashtag
Objet et durée de l’accord

2.1 En vertu du présent AVV, JOIN traite les données personnelles exclusivement pour le compte de l’Entreprise et conformément à ses instructions. Cela inclut en particulier les services de traitement que JOIN fournit à l’Entreprise via l’outil de gestion des candidatures exclusivement aux fins de la gestion des candidatures conformément au contrat de service. Dans ce contrat de service et à la section 4, les parties ont précisé les détails conformément à l’article 28 (3) du RGPD, en particulier l’objet et la durée du traitement des données, ainsi que la portée, la nature et la finalité du traitement des données envisagé, le type de données et les personnes concernées.

2.2 Le traitement des données par JOIN pour le compte de l’Entreprise est effectué conformément à l’art. 28 du RGPD et à l’art. 10 (a) de la DSG. L’Entreprise demeure toujours l’entité responsable du traitement des données.

hashtag
Hiérarchie des accords contractuels

Les dispositions du présent AVV font partie intégrante du contrat de service conclu entre les parties et prévalent sur les autres accords contractuels conclus entre les parties, en particulier sur les autres contrats contenant des dispositions qui s’écartent de celles du présent AVV au détriment de l’Entreprise. La clause 1.1 reste inchangée. Les dispositions du présent AVV ne s’appliquent pas au traitement des données personnelles que JOIN, en tant que responsable du traitement, met à la disposition de l’Entreprise dans le cadre du contrat de service.

hashtag
Finalité, portée et nature du traitement des données

Les parties conviennent par les présentes que la finalité du traitement des données est l’exécution des objectifs contractuels conformément au contrat de service, en particulier la mise en œuvre et la gestion de processus de candidature spécifiques, auxquels l’Entreprise peut accéder via l’outil de gestion des candidatures sur la plateforme JOIN. La portée et la nature de la collecte, du traitement et/ou de l’utilisation des données personnelles sont déterminées par les dispositions du contrat de service ainsi que par les services effectivement utilisés par l’Entreprise.

hashtag
Personnes concernées

Les personnes concernées par le traitement des données personnelles dans le cadre du contrat de service comprennent :

  • les candidats à des postes publiés par l’Entreprise via la plateforme ; et

  • les employés de l’entreprise.

hashtag
Types de données personnelles

Les types de données suivants sont particulièrement concernés par le traitement de la commande :

  • les données de base personnelles des candidats (par ex. nom, titre, grade universitaire, date de naissance, numéro de téléphone, adresse e-mail),

  • les données transmises par les candidats (données des candidats ; curriculum vitae, références, certificats, etc.),

  • toutes les informations liées au processus de candidature enregistrées dans l’outil de gestion des candidatures, telles que les messages envoyés via la plateforme, les informations sur le processus de candidature et l’avancement d’un candidat dans le processus de candidature enregistrés sur notre plateforme, ou les questions posées dans le cadre du processus de candidature et enregistrées sur notre plateforme,

  • les données générées par l’utilisation de l’outil de gestion des candidatures, telles que les métadonnées ; cela inclut des informations sur la durée d’un processus de candidature, le nombre de candidats ayant postulé et le stade atteint par un candidat dans le processus de candidature,

  • les données générées par les interactions avec l’outil de gestion des candidatures, telles que les réponses fournies aux questions posées par les candidats, les données enregistrées par l’entreprise elle-même qui n’ont pas été supprimées dans l’outil de gestion des candidatures et les messages destinés à établir un contact avec les candidats ou avec JOIN,

  • les données de base personnelles (par ex. nom, fonction, adresse e-mail, numéro de téléphone, adresse professionnelle) et les données d’accès (par ex. nom d’utilisateur et mot de passe) des employés de l’entreprise.

Si ces données sont traitées dans le cadre d’autres services JOIN, tels que l’attribution de candidats adaptés ou des services destinés aux candidats, ce traitement n’a pas lieu dans le champ d’application du présent AVV. Dans de tels cas, JOIN traite ces données en tant que responsable du traitement au sens des lois applicables en matière de protection des données.

hashtag
Droits et obligations de l’Entreprise

7.1 L’Entreprise est seule responsable d’évaluer l’admissibilité du traitement des données effectué par JOIN pour son compte et de garantir les droits des personnes concernées conformément à l’article 4, n° 7 du RGPD et à l’article 3 (i) de la DSG. L’Entreprise est notamment, mais non exclusivement, responsable de : (1) remplir les obligations d’information en matière de protection des données vis-à-vis des candidats, (2) obtenir des candidats le consentement nécessaire au traitement des données par l’Entreprise ou JOIN, si cela est absolument requis en vertu des lois applicables en matière de protection des données, et (3) respecter les délais de suppression applicables au processus de candidature concerné.

7.2 En tant que responsable du traitement, l’Entreprise est autorisée à tout moment à donner des instructions sur la nature, la portée et la procédure du traitement des données effectué pour le compte du client. Les instructions verbales doivent être confirmées par l’Entreprise par écrit (y compris par e-mail).

7.3 Si l’Entreprise l’estime nécessaire, les personnes habilitées à donner des instructions peuvent être désignées. Les informations doivent être fournies par écrit par l’Entreprise. En cas de changement des personnes habilitées à donner des instructions au sein de l’Entreprise, celle-ci en informe JOIN en temps utile, en indiquant à chaque fois la ou les nouvelles personnes concernées.

7.4 L’Entreprise informe JOIN si des erreurs ou irrégularités sont constatées en lien avec le traitement des données personnelles par JOIN.

7.5 L’Entreprise est autorisée à vérifier le respect des mesures techniques et organisationnelles de sécurité des données prises par JOIN conformément à la section 9 avant le début du traitement des données, puis à intervalles réguliers, mais pas plus d’une fois par an, moyennant un préavis d’au moins 30 jours donné en temps utile, pendant les heures normales d’ouverture et en tenant compte des intérêts de JOIN. L’Entreprise peut aussi faire effectuer cette vérification par un tiers, à condition qu’un accord de confidentialité ait été conclu au préalable. L’Entreprise est tenue de verser la rémunération habituelle aux personnes chargées de mettre en œuvre ces mesures.

7.6 L’Entreprise est tenue d’informer JOIN des incidents liés à la protection des données ou d’autres violations des lois applicables en matière de protection des données affectant les activités de traitement de JOIN.

7.7 L’Entreprise informe rapidement JOIN si elle a connaissance de mesures spécifiques prises par les autorités de contrôle à son égard, en particulier de mesures d’enquête prises par les autorités, dans la mesure où cela concerne le traitement des données pour l’Entreprise et où l’Entreprise n’est pas tenue de préserver la confidentialité.

hashtag
Obligations de JOIN

8.1 Traitement des données

JOIN est tenue de traiter les données personnelles relevant du présent AVV uniquement conformément au présent accord et/ou au contrat de service sous-jacent ainsi qu’aux instructions de l’Entreprise.

8.2 Droits de la personne concernée

JOIN assistera l’Entreprise dans la mesure du possible pour répondre aux droits des personnes concernées, notamment en ce qui concerne la rectification, la limitation du traitement et la suppression, la notification et la fourniture d’informations.

JOIN rectifiera, supprimera ou limitera, sur instruction de l’Entreprise, le traitement des données personnelles traitées pour le compte de l’Entreprise. Cette obligation ne s’applique pas aux données personnelles que JOIN traite en tant que responsable du traitement dans le cadre des services proposés via la plateforme.

Si une personne concernée contacte directement JOIN pour demander la rectification, la suppression ou la limitation du traitement de ses données personnelles, JOIN transmettra immédiatement cette demande à l’Entreprise dès sa réception. L’Entreprise demeure responsable de l’exécution de ces demandes.

8.3 Obligations de contrôle interne

JOIN mettra en œuvre les mesures de contrôle appropriées, par ex. des audits internes, un concept de protection des données, etc., afin de garantir que les données personnelles traitées au titre du présent AVV sont traitées conformément au présent accord et aux instructions correspondantes.

8.4 Obligation d’information

JOIN, en tant que responsable du traitement, informera l’Entreprise si, selon sa propre évaluation, une instruction enfreint des dispositions légales. JOIN sera alors autorisée à suspendre l’exécution de l’instruction concernée jusqu’à ce qu’elle soit modifiée par l’Entreprise. Cela ne crée toutefois pas pour JOIN une obligation de vérification ou de notification.

JOIN notifiera à l’Entreprise toute violation des dispositions relatives à la protection des données, des dispositions prévues dans le contrat de service et le présent accord, et/ou des instructions émises, survenant dans le cadre du traitement des données par elle-même, par les personnes qu’elle emploie ou par d’autres tiers chargés du traitement, si cela déclenche les obligations de notification prévues par les lois applicables en matière de protection des données.

Si l’accès aux données personnelles que l’Entreprise a transmises à JOIN pour le traitement des données est compromis par des mesures prises par des tiers (par ex. mesures prises par un administrateur d’insolvabilité, saisie par les autorités fiscales, etc.), JOIN est tenue d’en informer l’Entreprise.

JOIN ne transmettra des informations à une partie demandeuse qu’après accord préalable avec l’Entreprise, sauf si JOIN est tenue de fournir ces informations en raison de mesures gouvernementales ou de décisions de justice.

8.5 Création d’un registre des traitements

Sur demande, JOIN assistera l’Entreprise dans l’établissement d’une liste des activités de traitement dans le cadre de l’AVV et du traitement des données en cours, et fournira les informations nécessaires sous une forme appropriée.

JOIN tiendra aussi son propre registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Entreprise conformément aux dispositions des lois applicables en matière de protection des données.

8.6 Obligations de notification

JOIN assistera l’Entreprise, sur demande, dans l’exécution de ses obligations au titre des art. 33 à 36 du DSGVO.

8.7 Lieu du traitement des données

Sauf accord contraire entre les parties, le traitement et l’utilisation des données par JOIN ont lieu exclusivement en Suisse, dans l’Union européenne ou dans un autre État partie à l’Accord sur l’Espace économique européen. Toute délocalisation des activités de traitement des données de JOIN vers un pays tiers n’est autorisée que si les exigences particulières des art. 44 et suivants du RGPD ou de l’art. 6 de la DSG sont respectées.

8.8 Suppression des données personnelles après la fin de l’accord

Après la fin du contrat de service, JOIN est tenue, à la demande de l’Entreprise, de remettre à l’Entreprise toutes les données personnelles, tous les documents ainsi que tous les résultats de traitement et d’utilisation soumis au présent AVV et liés à la relation contractuelle, ainsi que de supprimer, dans le respect des directives en matière de protection des données et de sécurité des données et conformément aux instructions de l’Entreprise, tout ce que JOIN n’est pas autorisée ou obligée contractuellement ou légalement à continuer de traiter. Cette obligation de suppression ne s’applique pas aux données personnelles que JOIN traite en tant que responsable du traitement dans le cadre des services proposés via la plateforme.

hashtag
Contrôles de protection des données et droits d’audit

9.1 JOIN accepte par les présentes que l’Entreprise soit autorisée, après accord mutuel préalable, à effectuer dans la mesure nécessaire des contrôles du respect des dispositions relatives à la protection des données et des accords contractuels, soit elle-même soit par l’intermédiaire de tiers ayant conclu au préalable un accord de confidentialité, notamment en obtenant des informations et en inspectant les données et systèmes stockés ainsi qu’en procédant à d’autres contrôles sur site. Afin d’exercer ce droit de contrôle, JOIN accordera à l’Entreprise le droit de visiter ses locaux pendant ses heures normales d’ouverture, moyennant un préavis d’au moins 30 jours, à condition que cela ne perturbe pas le cours des activités et en tenant compte des intérêts de JOIN, afin d’obtenir confirmation du caractère approprié des mesures organisationnelles et techniques prises et contractuellement convenues par JOIN pour respecter les exigences des dispositions applicables en matière de traitement des données.

9.2 JOIN assistera l’Entreprise dans la réalisation des contrôles au mieux de ses capacités et fournira, si nécessaire, des explications rapides et complètes.

9.3 JOIN acceptera toute mesure de contrôle prise par l’autorité de contrôle de la protection des données lorsqu’une obligation légale l’y contraint. Elle informera l’Entreprise conformément à la section 8.4 après notification ou prise de connaissance de la mise en œuvre de la mesure de contrôle ainsi que de toute autre demande ou enquête de l’autorité de contrôle de la protection des données, dans la mesure où ces mesures ou demandes peuvent affecter le traitement des données que JOIN effectue pour l’Entreprise et où JOIN n’est pas légalement tenue au secret.

9.4 Sur demande, JOIN confirmera par écrit le respect des mesures techniques et organisationnelles précisées à l’Annexe 1.

hashtag
Sous-traitance ultérieure et sous-traitants

10.1 JOIN est autorisée à confier le traitement des données à des sous-traitants conformément aux dispositions suivantes :

JOIN sélectionne les sous-traitants avec soin, sur la base de leur aptitude et de leur fiabilité, et veille à ce que le sous-traitant concerné garantisse un niveau approprié de protection des données.

Si des sous-traitants sont engagés, un niveau de protection comparable à celui du présent accord doit toujours être garanti.

JOIN est tenue de rédiger les accords contractuels avec les sous-traitants conformément aux accords en vigueur dans la relation entre l’Entreprise et JOIN, et de veiller à ce que toute instruction complémentaire émanant de l’Entreprise s’applique aussi aux sous-traitants.

JOIN informera l’Entreprise en temps utile, c’est-à-dire au plus tard deux semaines avant le début de la sous-traitance prévue, de toute modification envisagée concernant l’intervention ou le remplacement d’autres sous-traitants. Si l’Entreprise ne s’oppose pas à cette sous-traitance dans les deux semaines suivant la réception de cette information, celle-ci est réputée approuvée. Si l’Entreprise s’oppose à la sous-traitance, les parties seront autorisées à résilier de manière extraordinaire le contrat de service et le présent AVV.

10.2 JOIN fournira à l’Entreprise, sur demande, une copie de l’accord de sous-traitance du traitement, à condition et dans la mesure où cela ne soit pas contraire aux intérêts de JOIN.

10.3 Au moment de la conclusion de l’accord, JOIN coopère, dans le cadre de l’exécution de l’accord, avec les sous-traitants nommés à l’Annexe 2, dont l’intervention est expressément acceptée par l’Entreprise.

hashtag
Confidentialité des données

11.1 JOIN est tenue de préserver la confidentialité et le secret des données lors du traitement des données pour l’Entreprise.

11.2 JOIN ne fera appel, pour l’exécution de l’accord, qu’à des employés ou autres auxiliaires suffisamment tenus au secret des données ou à la confidentialité lors du traitement des données personnelles fournies, et dûment informés des exigences en matière de protection des données.

hashtag
Mesures techniques et organisationnelles

12.1 Les mesures techniques et organisationnelles décrites à l’Annexe 1 sont obligatoires.

12.2 JOIN respectera les principes du traitement approprié des données conformément à l’article 32 en liaison avec l’article 5 (1) du RGPD et à l’article 7 en liaison avec l’article 4 de la DSG. JOIN garantit les mesures de sécurité des données convenues contractuellement et prescrites par la loi, décrites à l’Annexe 1. Pendant toute la durée de la relation contractuelle, JOIN prendra toutes les mesures nécessaires pour sécuriser les données et la sécurité du traitement, en tenant notamment compte des normes technologiques actuelles, ainsi que pour réduire les conséquences potentiellement préjudiciables pour les personnes concernées. Afin de toujours garantir un niveau de sécurité approprié pour le traitement des données, JOIN veillera à ce que les mesures mises en œuvre soient régulièrement examinées et, si nécessaire, améliorées. JOIN est libre d’apporter aux mesures techniques et organisationnelles les modifications qui augmentent le niveau de sécurité convenu. JOIN informera l’Entreprise en temps utile des modifications apportées à ces mesures.

hashtag
Clause de forme

13.1 Toute modification ou tout ajout au présent AVV ou à d’autres accords conclus entre les parties s’y référant, ou toute déclaration modifiant directement le contenu, la portée des services ou les obligations de l’une ou l’autre des parties au titre du présent AVV, doit revêtir la forme écrite pour être valable. Cela vaut aussi pour toute modification de la présente clause.

13.2 Toutes les déclarations des parties, en particulier les notifications, annonces, déclarations et autres informations à transmettre à l’autre partie, doivent revêtir la forme écrite pour être valables. À la demande de la partie destinataire, qui doit être formulée par écrit sans délai après réception de la déclaration, une déclaration envoyée par écrit doit être confirmée par écrit par la partie déclarante. Si cette confirmation n’est pas fournie, la déclaration faite par écrit est réputée ne pas avoir été faite.

hashtag
Tribunal compétent

14.1 Le tribunal exclusivement compétent, y compris au niveau international, pour tous les litiges découlant directement ou indirectement du présent AVV est celui compétent pour le siège social de JOIN. L’accord relatif à la compétence juridictionnelle ne s’applique pas si le litige porte sur des demandes autres que pécuniaires ou si une compétence juridictionnelle exclusive a déjà été établie pour le litige conformément aux dispositions légales.

14.2 JOIN est autorisée à engager une action en justice contre l’Entreprise devant le tribunal de son lieu de juridiction général.

hashtag
Dispositions diverses

15.1 En cas d’incohérence entre les dispositions du présent accord et celles du contrat de service, les dispositions du présent accord prévaudront.

15.2 Le présent accord est régi par le droit suisse, à l’exclusion de la Convention des Nations unies sur les contrats de vente internationale de marchandises et des règles de conflit de lois. Pour les clients établis dans l’Union européenne, le droit de l’État membre dans lequel l’Entreprise a son siège social s’applique.

hashtag
ANNEXE 1 à l’AVV

Mesures techniques et organisationnelles

JOIN garantit avoir pris les mesures techniques et organisationnelles suivantes :

hashtag
1. Mesures visant à garantir la confidentialité

hashtag
1.1. Contrôle d’accès

Mesures empêchant physiquement les personnes non autorisées d’accéder aux systèmes informatiques et aux systèmes de traitement des données qui traitent des données personnelles, ainsi qu’aux fichiers confidentiels et aux supports de données.

  • La zone de traitement des données est suffisamment sécurisée grâce à une méthode de construction appropriée

  • Toutes les entrées possibles ont été sécurisées contre les accès non autorisés

  • Un système de contrôle d’accès avec lecteur de carte à puce et système de verrouillage par transpondeur est installé

  • Il existe une attribution contrôlée des clés, cartes à puce, etc.

  • Documentation de l’attribution des clés et cartes à puce

  • Sécurisation des portes (ouvre-porte électronique, etc.)

  • Obligation pour les employés de respecter le secret des données conformément au BDSG (loi allemande sur la protection des données), notamment §5, §43

  • Politique de mot de passe

  • Certificats numériques

  • Connexion utilisateur à deux facteurs (pour les services critiques)

  • Chiffrement de la communication / du traitement des données

  • Utilisation de pare-feu logiciels (pour les appareils Windows)

  • Verrouillage automatique de l’écran / politique applicable aux employés

  • Gestion actualisée des utilisateurs

  • Chiffrement des supports de données sur les ordinateurs portables / notebooks

  • Attribution des droits des utilisateurs (dans la mesure du possible, mise en place en particulier pour les services critiques)

hashtag
1.2 Contrôle d’accès

Mesures visant à empêcher les personnes non autorisées de traiter ou d’utiliser des données protégées par le droit de la protection des données.

  • Obligation pour les employés de respecter le secret des données conformément au BDSG (loi allemande sur la protection des données), notamment §5, §43

  • Concepts d’autorisation (profils, rôles, etc.)

  • Aucun stockage de serveur sur site (cloud uniquement)

  • Procédure de mot de passe, c’est-à-dire connexion utilisateur personnelle et individuelle lors de l’inscription au système (y compris caractères spéciaux, longueur minimale, changement régulier du mot de passe)

  • Un générateur de mots de passe aléatoires est utilisé

  • La transmission des informations d’authentification confidentielles via le réseau est chiffrée

  • Les mots de passe d’accès et/ou les données saisies dans les formulaires ne sont pas stockés sur le client ni dans son environnement (par ex. stockage dans le navigateur ou sur des Post-it)

  • Les autorisations d’accès sont toujours attribuées individuellement (à titre personnel)

  • Le cercle des personnes autorisées est réduit au nombre jugé nécessaire sur le plan opérationnel

  • Une personne responsable de la délivrance des autorisations d’accès a été désignée

  • Gestion des droits par l’administrateur système

  • Lecteur de carte d’identité, attribution contrôlée des clés, carte à puce, etc.

  • Sécurisation des portes (ouvre-porte électronique, etc.)

  • Système de verrouillage manuel

  • Serrures de sécurité

  • Systèmes de contrôle d’accès avec lecteurs de cartes à puce et systèmes de verrouillage par transpondeur

  • Il existe une procédure sécurisée pour réinitialiser les blocages d’accès, par ex. la réattribution d’un identifiant utilisateur

  • Limitation du nombre d’employés autorisés

  • Listes d’accès

  • Cloisonnement des systèmes sensibles au moyen de zones réseau séparées (puisqu’aucun système sensible n’est hébergé sur site)

  • Procédure d’authentification

  • Installation de filtres antivirus et antispyware régulièrement mis à jour

  • Transmission des données via des réseaux de données chiffrés ou des connexions tunnel (VPN – cela s’applique en partie aux données sensibles)

  • Politique de mot de passe

  • Utilisation de pare-feu logiciels

  • Installation de filtres antivirus et antispyware régulièrement mis à jour (pour les appareils et services utilisés, cela est en partie assuré côté service, sinon automatiquement côté appareil)

hashtag
1.3 Contrôle d’accès

Mesures garantissant que les personnes autorisées à utiliser les procédures de traitement des données ne peuvent accéder qu’aux données personnelles couvertes par leur autorisation d’accès, de sorte que les données ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l’utilisation et le stockage.

  • Concepts d’autorisation (profils, rôles, etc.)

  • Les autorisations d’accès sont toujours attribuées individuellement (à titre personnel)

  • Gestion des droits par l’administrateur système

  • Le cercle des personnes autorisées est réduit au nombre jugé nécessaire sur le plan opérationnel

  • Le nombre d’administrateurs est limité au nombre jugé essentiel.

  • Une personne responsable de la délivrance des autorisations d’accès a été désignée

  • Chaque personne disposant d’une autorisation d’accès ne peut accéder qu’aux données dont elle a spécifiquement besoin pour traiter le processus en cours conformément à sa mission et qui sont configurées dans son profil d’autorisation individuel.

  • Les autorisations sont liées à un identifiant utilisateur personnel et à un compte.

  • Verrouillage automatique de l’écran / politique applicable aux employés

  • Politique de mot de passe

  • Attribution des droits utilisateur

  • Journalisation des tentatives de connexion et interruption du processus de connexion après un nombre déterminé de tentatives infructueuses (en fonction de l’inclusion ou non de cette mesure dans le service)

  • Journalisation des accès et des tentatives d’usage abusif (en fonction de l’inclusion ou non de cette mesure dans le service)

  • Effacement physique des supports avant réutilisation

  • Utilisation de destructeurs de documents ou de prestataires de services (si possible avec label de protection des données et/ou certification)

hashtag
1.4 Exigence de séparation

Mesures garantissant que les données collectées à des fins différentes sont traitées séparément et distinctes des autres données et systèmes, de sorte qu’elles ne puissent pas être utilisées par inadvertance à d’autres fins.

  • Séparation des clients côté logiciel

  • Séparation des systèmes de test et de production : séparation entre serveur de développement, serveur de staging et serveur de production

  • Bases de données et services distincts (par exemple, dans la base de données des ventes, seul l’identifiant de l’entreprise est stocké, mais pas d’autres informations sur l’entreprise, qui sont stockées dans une autre base de données). De même, les données de performance d’un produit spécifique par client sont séparées des deux bases de données susmentionnées.

hashtag
1.5 Pseudonymisation

Mesures réduisant l’attribution directe de données personnelles à une personne concernée spécifique pendant le traitement, de telle sorte que l’identification d’une personne concernée spécifique ne soit possible qu’avec l’ajout d’informations supplémentaires. Ces informations supplémentaires doivent être stockées séparément du pseudonyme à l’aide de mesures techniques et organisationnelles appropriées.

  • Généralisation

  • Chiffrement des données sensibles lorsqu’elles sont stockées dans la base de données (par ex. chiffrement Blowfish pour les mots de passe stockés)

  • Utilisation de HTTPS sur l’ensemble du site et pour les transferts d’informations particulièrement sensibles

  • Tokens pour la transmission des données de paiement

  • Communication entre l’application et la base de données via OAuth

  • Bases de données et services distincts (par exemple, dans la base de données des ventes, seul l’identifiant de l’entreprise est stocké, mais pas d’autres informations sur l’entreprise, qui sont stockées dans une autre base de données). De même, les données de performance d’un produit spécifique par client sont séparées des deux bases de données susmentionnées.

hashtag
2. Mesures visant à garantir l’intégrité

hashtag
2.1 Contrôle du transfert

Mesures visant à garantir que les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique ou pendant leur transport ou stockage sur des supports de données, ainsi que mesures permettant de vérifier et de déterminer vers où les données personnelles doivent être transmises.

  • Séparation appropriée des tâches

  • Attribution de comptes utilisateurs personnels

  • Politique de mot de passe

  • Attribution limitée des droits d’administrateur

  • Attribution limitée des droits d’accès aux données

  • Désactivation des comptes utilisateurs inutilisés

  • Les personnes non autorisées sont empêchées d’accéder aux installations de traitement

  • L’accès non autorisé aux données personnelles est empêché

  • La modification ou suppression non autorisée des données personnelles est empêchée

  • Les données personnelles ne seront traitées que sur instruction de l’entreprise

  • Transmission des données via des réseaux de données chiffrés ou des connexions tunnel (VPN)

  • La transmission des données entre les clients et les serveurs est chiffrée (SSL, SSH ou SFTP)

  • La connexion aux systèmes backend est protégée.

  • Les données nécessitant un haut niveau de protection sont chiffrées.

  • Processus de traitement avec responsabilité individuelle

  • Gestion des droits par l’administrateur système

  • Stockage des fichiers d’accès et/ou journaux

  • Les composants matériels ou documents sont détruits de manière à rendre toute récupération impossible ou seulement possible moyennant des efforts disproportionnés (NB : cela dépend du document)

  • Utilisation de pare-feu logiciels

  • Les pare-feu sont toujours activés

  • Authentification mutuelle à l’aide de méthodes cryptographiques (authentification homme-machine) – authentification à 2 facteurs via une application supplémentaire, quelle que soit la fonction, pour tous les systèmes critiques

hashtag
2.2 Contrôle de la saisie des données

Mesures garantissant qu’il est possible de vérifier et de déterminer a posteriori si, et par qui, des données personnelles ont été consultées, modifiées ou supprimées dans les systèmes informatiques.

  • Traçabilité des personnes ayant consulté, modifié et supprimé des données grâce à l’utilisation de noms d’utilisateur individuels (et non de groupes d’utilisateurs)

  • Attribution des droits d’accès, de modification et de suppression des données sur la base d’un concept d’autorisation

  • Journalisation de toutes les activités système et conservation de ces journaux pendant au moins trois ans

hashtag
3. Mesures visant à garantir la disponibilité et la fiabilité

hashtag
3.1 Contrôle de la disponibilité

Mesures visant à garantir que les données personnelles sont protégées contre la destruction accidentelle ou la perte.

  • Concepts de restauration et de sauvegarde (RAID, mise en miroir des disques durs, etc.)

  • Sauvegardes effectuées régulièrement

  • Des vérifications sont régulièrement effectuées pour déterminer s’il est possible de restaurer une sauvegarde (récupération de données)

  • Systèmes de détection d’incendie et de fumée

  • Système d’extinction d’incendie / extincteurs dans ou devant les

  • salles techniques

  • Climatisation dans les salles techniques

  • Salles techniques non situées sous des installations sanitaires ou des systèmes transportant de l’eau

  • Aucune salle serveur dans le bâtiment, toutes les données et tous les outils fonctionnent via le cloud

hashtag
3.2 Récupérabilité rapide

Mesures visant à garantir la capacité de rétablir rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique.

  • Tests réguliers de récupération des données

  • Concepts de restauration et de sauvegarde (RAID, mise en miroir des disques durs, etc.)

  • Sauvegardes effectuées régulièrement

  • Des vérifications sont régulièrement effectuées pour déterminer s’il est possible de restaurer une sauvegarde (récupération de données)

  • Les sauvegardes sont stockées dans un lieu sécurisé hors site

hashtag
4. Mesures visant à évaluer régulièrement la sécurité du traitement des données

Mesures visant à garantir un traitement conforme à la protection des données et sécurisé.

  • Gestion de la protection des données

  • Concept général de protection des données

  • Concept de suppression

  • Les instructions de l’entreprise sont documentées

  • Gestion formalisée des contrats

hashtag
5. Mesures visant à garantir la fiabilité

Mesures visant à garantir que toutes les fonctions du ou des systèmes sont disponibles et que tout dysfonctionnement survenant est signalé.

  • Surveillance de la disponibilité des services concernés

  • Redondances système

  • Surveillance du système

  • Surveillance via un système automatisé de gestion de réseau (NMS)

  • Plans de sauvegarde

  • Utilisation de systèmes de test / préproduction

  • Utilisation d’un système de gestion des versions pour les systèmes d’exploitation

  • Alertes

hashtag
6. Mesures visant à garantir la fiabilité

Mesures visant à garantir que les données personnelles collectées à des fins différentes peuvent être traitées séparément.

  • Concept de protection des données

  • Concepts d’autorisation (profils, rôles, etc.) et leur documentation

  • Définition des droits sur la base de données

  • Création de catégories de données avec des emplacements de stockage différents

  • Capacité interne multi-clients

  • Séparation logique des clients

  • Concept interne d’affectation

  • Les données des différents clients JOIN sont stockées dans des fichiers séparés et dans des répertoires distincts selon leur contenu, et ne sont pas fusionnées

  • Concepts d’accès

  • Isolation des jeux de données, des systèmes (par ex. UAT, staging et production) et des processus

  • Séparation physique des catégories de données

  • Séparation des données particulièrement sensibles

hashtag
ANNEXE 2 à l’AVV

Liste des sous-traitants chargés du traitement mandatés par JOIN

Amazon Web Services Europe Fournisseur de services cloud Luxembourg

Google Europe Fournisseur de services cloud Irlande

Mailchimp Plateforme marketing et d’envoi d’e-mails États-Unis

Stripe Payments Europe Ltd. Prestataire de services de paiement Irlande

Kombo Interface de programmation d’applications Allemagne

PrécédentConsentement du candidatSuivantPolitique de confidentialité

Mis à jour

Ce contenu vous a-t-il été utile ?