Contexte
Introduction
Dans la mise en œuvre de ses services et traitements, Colorado est amené à utiliser des données se rapportant à des individus (DCP : Données à Caractère Personnel).
Ces DCP peuvent concerner des clients finaux (les clients des clients de Colorado), des prospects, des employés ou toute autre personne ayant une relation avec Colorado et qui a besoin d’être contacter.
La présente politique décrit comment ces données personnelles doivent être collectées, manipulées et stockées afin de respecter les exigences de Colorado en matière de protection des données personnelles et d’être en conformité avec le RGPD (Règlement Général sur la Protection des Données, applicable au 25 mai 2018).
Pourquoi cette politique existe ?
La présente politique de protection des données permet à Colorado de s’assurer :
- D’être en conformité avec le RGPD et de suivre les bonnes pratiques en matière de protection des données
- De protéger les droits des personnes dont les données personnelles sont utilisées par Colorado
- D’être transparent sur la façon dont sont stockées et manipulées les données personnelles
- De se protéger contre les risques de violations de données
Le contexte légal
Les 99 articles du règlement général sur la protection des données décrivent comment les entreprises dont Colorado doit collecter, manipuler, stocker, modifier, supprimer les données personnelles.
Les règles du RGPD s’appliquent quel que soit le support sur lequel les données personnelles sont stockées, que ce soit électroniquement, sur papier ou sur d’autres supports matériels.
Pour être en conformité avec le RGPD, les données personnelles doivent être collecter loyalement, stockées avec la sécurité nécessaire et ne pas être révélées illégalement.
Le RGPD est articulé autour de 8 principes fondateurs qui mentionnent que les données personnelles doivent :
- Etre manipulées loyalement et légalement
- Etre obtenues seulement dans un but spécifique et légal
- Etre adéquates, pertinentes et non-excessives (principe de collecte au besoin d’en connaître)
- Etre précises et à jour
- Ne pas être conservées au-delà du nécessaire
- Etre manipulées en accord avec le droit des personnes
- Etre protégées de façon appropriée
- Ne pas être transférées hors de l’Union Européenne, à moins que le pays ou le territoire assure également un niveau adéquat de protection (liste des pays adéquats en annexe)
Personnes, risques et responsabilités
Portée
La présente politique s’applique à :
- La direction de Colorado
- Le personnel de Colorado
- Les sous-traitants, fournisseurs de Colorado et toute autre personne travaillant au nom de Colorado
La présente politique s’applique à toutes les données personnelles détenues par Colorado même si ces données ne sont pas directement soumises au RGPD (provenant de personnes résidant hors de l’Union Européenne). Ces données peuvent inclure :
- Données d’état civil (Noms, Prénoms, date de naissance etc …)
- Données d’identification (identifiant direct ou indirect)
- Données sur la vie Personnelle (adresses postales, situation maritale, familiale, habitudes de vie …)
- Données sur la vie économique (revenus, situation financière, fiscale …)
- Données de localisation (déplacements, données GPS, GSM …)
- Données de connexion (adresse ip, logs …)
- Données de contact (adresse email, numéro de téléphone fixe et mobile …)
- Données marketing (segmentation marketing …)
- Données liées au moment clé audité par Colorado (montant d’achat, date d’achat, Région du magasin de l’achat …)
- Données déclaratives
Risques sur la protection des données
La présente politique aide Colorado à se protéger contre tout type de risques pesant sur la sécurité des données incluant :
- Les violations de données confidentielles. Par exemple, des données ayant été diffusé de façon inappropriée
- Défaut de consentement. Par exemple, des données dont le responsable de traitement n’est pas en mesure de prouver le consentement à la stricte finalité du traitement dans leur collecte
- Atteinte à la réputation. Par exemple, des données collectées par des pirates informatiques rendant public leur action
Responsabilités
Toute personne travaillant pour ou avec Colorado a la responsabilité de s’assurer que les données personnelles auxquelles il a accès, sont collectées, stockées, manipulées, diffusées, modifiées, ou supprimées de manière appropriée.
Chaque personne ayant accès à des données personnelles doit s’assurer qu’elle est manipulée et traitée en accord avec la présente politique et les principes sur la protection des données.
- Le Délégué à la Protection des Données est responsable de :
– Garder la direction de Colorado au courant de toutes les responsabilités en matière de protection des données, les risques engendrés et les problèmes rencontrés.
– Garder à jour toutes les procédures et politiques relatives à la protection des données, en accord avec un planning préétabli.
– Arranger des formations concernant la protection des données et conseiller les personnes concernées par la présente politique.
– Répondre à toute question du personnel et autre personne concernée par la présente politique.
– S’assurer que toutes les demandes d’accès, de modification, de suppression émanant des personnes dont les données personnelles sont détenues sont traitées.
– Vérifier et approuver tout contrat ou accord avec des sous-traitants qui peuvent être amenés à traiter des données détenues par Colorado.
Directives générales pour le personnel de Colorado
- Les personnes ayant accès à des données personnelles doivent uniquement être celles qui en ont besoin pour leur travail.
- Les données personnelles ne doivent pas être partagées officieusement. Quand un accès à des données personnelles est nécessaire, les employés de Colorado doivent en faire la demande auprès de leur supérieur hiérarchique.
- Colorado fournira des formations à tous les employés pour les aider à comprendre leurs responsabilités quand ils manipulent des données personnelles.
- Les employés doivent garder les données personnelles en sécurité, en prenant les précautions raisonnables et en suivant les directives de la présente politique.
- En particulier, des mots de passe complexes doivent être utilisés et ne jamais être divulgués.
- Les données personnelles ne doivent pas être divulguées à des personnes non-autorisées à les traiter, que ce soit à l’intérieur de Colorado ou à l’extérieur.
- Les données personnelles doivent régulièrement être révisées et mises à jour s’il s’avère qu’elles ne le sont plus. Si les données personnelles ne sont plus nécessaires ou que leur délai de conservation défini en début de traitement est dépassé, celles-ci doivent être supprimées.
- Les employés de Colorado doivent demander de l’aide de leur supérieur hiérarchique ou du Délégué à la Protection des Données s’ils ne sont pas sûrs d’une action à prendre relative à tout aspect de la politique de protection des données.
Stockage des données personnelles
Les règles exposées ci-dessous décrivent comment et où doivent être conservées les données personnelles en sécurité. Les questions sur comment conserver les données personnelles en sécurité peuvent être adressées au Directeur Technique ou au Délégué de la Protection des Données.
Stockage sur support matériel externe
Quand les données sont stockées sur papier, elles doivent être gardés dans un endroit sûr où aucune personne non-autorisée ne puisse y accéder.
Ces directives s’appliquent également aux données qui sont normalement conservées électroniquement mais qui ont dues être imprimées pour une raison valable.
- Quand elles ne sont pas requises, les données personnelles stockées sur papier doivent être gardées dans un placard fermant à clé.
- Si les données sont copiées sur un média amovible (clé USB, CD/DVD), il doit être gardé dans un placard fermant à clé.
- Les employés de Colorado doivent s’assurer que les documents imprimés ne sont pas laissés à la vue de personnel non-autorisés à les consulter, comme sur une imprimante par exemple.
- Les données imprimées doivent être détruites lorsqu’elles ne sont plus nécessaires.
Stockage électronique
Quand les données sont stockées électroniquement, elles doivent être protégées des accès non-autorisés, de suppression accidentelle et de tentatives de piratage malveillantes.
- Les données doivent être protégées par des mots de passe complexes changés régulièrement et qui ne sont pas partagés entre employé.
- Les données doivent être uniquement conservées sur des disques des serveurs désignés par le CTO de Colorado, et ne doivent être transférés que sur des services cloud approuvés par le CTO de Colorado.
- Les disques contenant des données personnelles doivent être hébergés sur des serveurs sécurisés à l’écart de l’espace de travail.
- Les disques contenant les données personnelles doivent être sauvegardés régulièrement (1 fois par jour) et les sauvegardes doivent être testées régulièrement en accord avec les procédures définies par le CTO de Colorado.
- Les données ne doivent jamais être sauvegardées directement sur des postes de travail ou téléphone mobile.
- Tous les serveurs et postes de travail contenant des données personnelles doivent avoir des disques chiffrés, et doivent être protégés par des logiciels de sécurité et pare-feu approuvés par le CTO de Colorado.
Mesures de sécurité des données personnelles
Disponibilité, confidentialité et intégrité des données
Le traitement et le stockage de données informatisées, l’accès à des services ou à des applications internes ou externes et de manière générale les échanges de données entre systèmes d’information doivent être réalisés selon des méthodes visant à prévenir la perte, la modification et la mauvaise utilisation des données ou la divulgation des données ayant un caractère sensible.
Protection des données personnelles
Le stockage et la transmission de données sont interdits sauf utilisation de moyens spécifiques agréés et/ou validées par la Directeur Technique de Colorado et/ou requis expressément par le client donneur d’ordre.
Les données personnelles présentant un caractère sensible doivent être identifiées et le cas échéant repérées selon un niveau de sensibilité.
Les données personnelles font impérativement l’objet d’une protection tant au niveau du contrôle d’accès, du traitement, du stockage que de l’échange ce afin d’en assurer la confidentialité :
- L’accès à une donnée personnelle ne doit être possible qu’après authentification et contrôle de l’autorisation. Une donnée personnelle ne doit pas faire l’objet d’un partage non-contrôlé
- Toute information personnelle circulant sur un réseau externe doit être chiffrée ou emprunter un canal chiffré (tunnel SSL, sftp, VPN, etc.)
- Tout support contenant des données personnelles transporté à l’extérieur (clé USB, CD-ROM, cartouche magnétique, y compris les ordinateurs portables et les smartphones) doit faire l’objet de mesure de protection contre le vol ou les informations contenues doivent être chiffrées.
- Les informations personnelles ne doivent pas être stockées ou traitées sur des systèmes informatiques non-maîtrisés
- Le stockage chez un prestataire externe de données personnelles est interdit, sauf dispositions contractuelles de protection ou chiffrement des données
Pour le stockage et l’échange informatisé de données particulièrement sensibles, Colorado mettra en œuvre des moyens de chiffrement, selon les dispositions définies par la DSI du client donneur d’ordre et/ou ses partenaires.
Chiffrement / Pseudonymisation
Le chiffrement constitue un moyen privilégié de protection des données personnelles. Il est d’emploi obligatoire pour le stockage et l’échange de données personnelles dont l’exploitation représente un risque identifié lors d’une analyse d’impact.
Les produits utilisés doivent faire l’objet d’un agrément auprès du directeur technique ou de ses donneurs d’ordre.
Tout chiffrement implique la mise en œuvre de procédures permettant de restituer en toutes circonstances les données en clair en cas de perte du secret permettant de les déchiffrer. Cela peut se faire par séquestre de clés, procédure de recouvrement.
Anonymisation
L’intégralité des données personnelles qui ne sont plus d’utilité pour aucun traitement est anonymisée.
Journalisation et tableaux de bord
Le SI Colorado comprend des dispositifs et procédures de journalisation centralisés et protégés de l’utilisation de services. L’objectif est de permettre de détecter des intrusions ou des utilisations frauduleuses, de tenter d’identifier les causes et les origines, d’éviter des contaminations d’autres sites par rebond et de remettre en place le système.
La durée de conservation (et donc de sauvegarde) des fichiers de traces à des fins de preuve est de 1 an (chantier technique validé dans la roadmap 2018).
Les règles d’exploitation des fichiers de traces (contenu, durée de conservation, utilisation) dans le respect du « principe de proportionnalité » et les contraintes législatives et réglementaires concernant notamment le traitement des informations à caractère personnel sont portés également à la connaissance des utilisateurs.
Utilisation des données
Les données personnelles n’ont pas de valeur intrinsèque pour Colorado, à moins qu’une de ses activités puisse en faire usage. C’est lors de l’accès et l’utilisation des données que le risque de perte, de corruption et de vol est le plus élevé :
- Lorsque les employés de Colorado travaillent avec des données personnelles, ils doivent s’assurer que leurs écrans se verrouillent automatiquement lorsqu’ils sont laissés inutilisés pendant plus de 10 minutes.
- Les données personnelles ne doivent pas être communiquées officieusement, et en particulier ne doivent jamais être transférées par email qui n’est pas une forme de communication sécurisée.
- Dans le cadre de tests ou de mise en place d’un projet, les fichiers contenant des données personnelles doivent être chiffrées (zed ou 7zip = solutions validées par l’ANSSI : Chiffrement AES 256).
- Les données personnelles ne doivent jamais être transférées hors du territoire de l’Union Européenne
- Les employés de Colorado ne doivent pas faire des copies des données personnelles auxquelles ils ont accès sur leur propre PC. La seule copie centrale des données doit être accédée et mise à jour.
- Les données personnelles doivent être stockées dans aussi peu que possible de lieux différents. Les employés de Colorado ne doivent pas créer de jeu de données supplémentaires non-nécessaires.
- Les employés de Colorado ne doivent pas utiliser des outils de transfert de fichiers hébergés hors de l’Union Européenne (Dropbox, Wetransfer, Google Drive …). Ces outils gratuits, pour la plupart soumis au USA Patriot Act, ne présentent aucune garantie de confidentialité, au contraire.
Pertinence et précision des données
Le RGPD enjoint Colorado de prendre les dispositions nécessaires pour s’assurer que les données personnelles dont elle a la propriété soient précises et à jour.
Plus la précision des données personnelles est importante pour les activités de Colorado plus le niveau d’effort pour garantir cette précision doit être élevé.
C’est la responsabilité des employés de Colorado travaillant avec des données personnelles de prendre les mesures nécessaires pour s’assurer de la précision et de la pertinence des données autant qu’il soit possible.
Gestion des réclamations
Tous les individus dont les données personnelles sont susceptibles de :
- Demander quelles informations Colorado détient à propos d’eux et pour quel motif.
- Demander comment y accéder.
- Etre informé sur la façon de les mettre à jour.
- Demander à les faire supprimer (droit à l’oubli).
- Etre informé sur comment Colorado s’assujettit de ses obligations légales en matière de protection des données.
Si un individu contacte Colorado pour une de ces raisons, c’est une réclamation qui doit être traitée en suivant la procédure prévue à cet effet.
Les réclamations peuvent être effectuées directement en contactant l’adresse email fournie par le responsable du traitement lors de la définition de la cartographie des données.
Divulgation des données pour d’autres raisons
Dans certaines circonstances, judiciaires notamment, le RGPD prévoit de révéler les données personnelles aux représentant des autorités compétentes légalement mandatées sans en informer la personne concernée.
Dans ces circonstances, Colorado révèlera les données demandées. Cependant, le responsable de traitement pourra s’assurer que la demande est légitime et pourra demander de l’assistance auprès de sa direction ou de son service juridique si cela s’avère nécessaire.
Information des personnes
Colorado a pour but d’informer toute personne dont il détient des données personnelles en s’assurant qu’elle puisse comprendre :
- Comment ses données sont utilisées.
- Comment elle peut faire prévaloir ses droits.
A ces fins, Colorado a une déclaration de confidentialité stipulant comment les données personnelles relatives à des individus sont traitées dans le cadre de ses activités.
Cookies
Cette rubrique est consacrée à la politique Colorado de gestion des cookies.
Elle vous permet d’en savoir plus sur l’origine et l’usage des informations de navigation traitées lors de votre visite sur notre Site ainsi que sur vos droits.
Pour en savoir plus sur les cookies et leur gestion, nous vous invitons à consulter la rubrique dédiée sur le site de la Commission Nationale de l’Informatique et des Libertés (CNIL) à l’adresse suivante : www.cnil.fr/vos-droits/vos-traces/les-cookies/.
Qu’est-ce qu’un Cookie ?
Un cookie est un petit fichier texte stocké qui est téléchargé sur votre terminal (ordinateur, tablette, smartphone, etc.) via votre navigateur, lorsque vous visitez certaines pages Web. Ces blocs de données ne permettent pas d’identifier l’utilisateur mais servent à enregistrer des informations relatives à la navigation de celui-ci sur notre Site.
A quoi servent les Cookies ?
Grâce aux cookies, des informations sur votre visite (notamment votre langue de prédilection) et d’autres paramètres sont enregistrés. Cela peut faciliter votre navigation prochaine sur notre Site et renforcer l’utilité de celui-ci pour vous.
Les cookies jouent un rôle important. Sans eux, l’utilisation du Web pourrait s’avérer beaucoup plus frustrante.
Quels cookies utilisons-nous ?
Si certains d’entre eux sont indispensables pour utiliser notre Site, d’autres nous aident en revanche à améliorer votre expérience utilisateur, et certains peuvent être utilisés à des fins publicitaires (cookies de ciblage).
Voici la liste des différents cookies que nous utilisons actuellement sur notre Site Internet :
Fonctionnement du site
Nom | Description |
---|---|
PHPSESSID | Cookie natif du langage PHP permettant aux sites Web d’établir une session utilisateur et de transmettre des données d’état via un cookie temporaire, ou « cookie de session » |
cb-enabled | Cookie indiquant que vous acceptez l’utilisation des cookies sur le site en poursuivant la navigation |
langCookie | Cookie de personnalisation qui sert à prédéfinir la langue de l’utilisateur dans le terminal |
no_thanks | Cookie indiquant que vous n’acceptez pas l’utilisation des cookies sur le site, il correspond au choix de consentement que vous aurez émis via le bandeau cookie du site |
Mesure d’audience
Nom | Description |
---|---|
_ga | Cookie d’analyse d’audience créé et utilisé par Google Analytics pour permettre de distinguer les utilisateurs lors de collecte d’informations sur les pages visitées. Ce cookie nous aide à identifier les éléments à améliorer sur notre Site. Il ne permet pas à Colorado d’identifier l’utilisateur personnellement, ni d’obtenir des renseignements ou des données personnelles à son sujet. |
_gat | Cookie d’analyse d’audience créé et utilisé par Google Analytics pour permettre de monitorer le taux de requêtes vers ses serveurs. Ce cookie nous aide à identifier les éléments à améliorer sur notre Site. Il ne permet pas à Colorado d’identifier l’utilisateur personnellement, ni d’obtenir des renseignements ou des données personnelles à son sujet. |
Vos choix concernant les cookies
Plusieurs possibilités vous sont offertes pour gérer les cookies.
Plusieurs possibilités vous sont offertes pour gérer les cookies.
Vous pouvez faire le choix à tout moment d’exprimer et de modifier vos souhaits en matière de cookies.
L’accord sur les cookies
L’enregistrement d’un cookie dans un terminal est subordonné au consentement préalable de son utilisateur, que celui-ci peut exprimer et modifier à tout moment et gratuitement à travers les choix qui lui sont offerts par son logiciel de navigation.
Si vous avez accepté dans votre logiciel de navigation l’enregistrement de cookies dans votre terminal, les cookies intégrés dans les pages et contenus que vous avez consultés pourront être stockés temporairement dans un espace dédié de votre terminal. Ils y seront lisibles uniquement par leur émetteur.
Le refus des cookies
Tout paramétrage que vous pouvez entreprendre sera susceptible de modifier votre navigation sur Internet et vos conditions d’accès à certains services nécessitant l’utilisation de Cookies.
Le cas échéant, nous déclinons toute responsabilité pour les conséquences liées au fonctionnement dégradé de nos services résultant de l’impossibilité pour nous d’enregistrer ou de consulter les cookies nécessaires à leur fonctionnement et que vous auriez refusés ou supprimés.
Comment exercer vos choix, selon le navigateur que vous utilisez ?
La plupart des navigateurs offrent la possibilité de gérer les cookies de façon personnalisée. Il vous suffit de suivre le mode opératoire décrit dans le menu d’aide de votre solution de navigation.
Pour davantage d’informations sur la gestion et le paramétrage des cookies, rendez-vous sur les pages explicatives des éditeurs :
Internet Explorer™ : http://windows.microsoft.com/fr-FR/windows-vista/Block-or-allow-cookies
Safari™ : http://support.apple.com/kb/PH21411?viewlocale=fr_FR&locale=fr_FR
Chrome™ : http://support.google.com/chrome/bin/answer.py?hl=fr&hlrm=en&answer=95647
Firefox™ : http://support.mozilla.org/fr/kb/activer-desactiver-cookies
Opera™ : http://help.opera.com/Windows/10.20/fr/cookies.html