Politique de protection des données personnelles

1. PREAMBULE

Le présent document a pour objet de présenter les mesures techniques et organisationnelles appropriées mises en œuvre par NIBELIS et le CLIENT pour garantir la protection des données et répondre aux exigences légales et réglementaires applicables en matière de protection des données personnelles et des droits des personnes auprès desquelles sont collectées lesdites données.

2. DEFINITIONS
  • CLIENT : Désigne tout client de NIBELIS ayant souscrit au Service et ayant la qualité de responsable du traitement.
  • Contrat : Désigne le contrat ou les conditions générales acceptées par le CLIENT pour bénéficier de la fourniture du Service.
    Données Personnelles : Désigne toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Dans le contexte du présent document, les Données Personnelles sont celles collectées par le CLIENT et rendues accessibles et/ou hébergées par NIBELIS dans le cadre du Service.
  • Environnement : Désigne l’environnement informatique dédié au CLIENT et hébergeant les Modules et les Données Personnelles, tel que rendu accessible par NIBELIS dans le cadre de la fourniture du Service. L’Environnement est hébergé au sein de la Plateforme.
  • Modules : Désigne les Modules édités par NIBELIS et utilisés par le CLIENT dans le cadre de l’utilisation du Service.
  • Plateforme : Ensemble des équipements informatiques et/ou de télécommunications utilisé et hébergé par NIBELIS dans le cadre de la fourniture du Service.
  • Réglementation : Désigne l’ensemble des textes légaux et réglementaires applicables en France et dans l’Union Européenne en matière de protection des Données Personnelles et en particulier le règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE.
  • Service : Désigne le Service fourni par NIBELIS sur la base des Modules dans les conditions visées au sein du Contrat.
  • Utilisateur : Désigne toute personne sous la responsabilité de NIBELIS ou du CLIENT ayant accès à l’Environnement du CLIENT par le biais d’un identifiant et d’un mot de passe.
3. PRINCIPALES MESURES DE PROTECTION PRISES PAR NIBELIS

1.1 MODALITES D’AUTHENTIFICATION LORS DES ACCES PAR NIBELIS

Chaque Utilisateur de NIBELIS s’authentifie sur la Plateforme au moyen de :

  • Un login
  • Un mot de passe personnel et confidentiel afin de pouvoir accéder à l’Environnement du CLIENT

Ce dispositif d’authentification permet de garantir une traçabilité et un accès aux Données Personnelles dans des conditions de sécurité et de confidentialité conformes aux dispositions de la Réglementation et des recommandations applicables de la CNIL.

Le personnel de NIBELIS s'est personnellement engagé, dans le cadre d’une charte informatique, à prendre toute mesure utile pour assurer la parfaite confidentialité de son mot de passe et s'est engagé à ne pas communiquer, céder ou mettre à la disposition d'un tiers son mot de passe et son identifiant.

Un dispositif technique incite l’Utilisateur à changer de mot de passe régulièrement, tous les 3 mois, conformément aux recommandations de la CNIL.

En cas de suspicion d’une utilisation par un tiers non autorisé de ses éléments d’authentification, NIBELIS s’engage à changer immédiatement le mot de passe de l’Utilisateur concerné.

1.2 MODALITES D’AUTHENTIFICATION LORS DES ACCES PAR LE CLIENT A SON ENVIRONNEMENT

Chaque Utilisateur de NIBELIS s’authentifie pour accéder à son Environnement au moyen de :

  • Un login
  • Un mot de passe personnel et confidentiel afin de pouvoir accéder à l’Environnement du CLIENT

L’attention du CLIENT est attirée sur le fait qu’il lui appartient au sein de son Environnement de créer les mots de passe de ses Utilisateurs.

NIBELIS recommande que les mots de passe des Utilisateurs soient composés d’au moins douze caractères parmi lesquels doivent figurer au moins quatre types de caractères différents (des majuscules, des minuscules, des chiffres et des caractères spéciaux), conformément aux recommandations de la CNIL.

Le CLIENT doit également s’assurer que chacun de ses Utilisateurs s'est personnellement engagé, notamment dans le cadre de la Charte du CLIENT, à prendre toute mesure utile pour assurer la parfaite confidentialité de son mot de passe et s'est engagé à ne pas communiquer, céder ou mettre à la disposition, d'un tiers son mot de passe et son identifiant.

Le CLIENT doit s’assurer du changement des mots de passe de ses Utilisateurs au moins tous les 3 mois conformément aux recommandations de la CNIL.

En cas de suspicion d’une utilisation par un tiers non autorisé de ses éléments d’authentification, le CLIENT doit changer immédiatement le mot de l’Utilisateur concerné.

1.3 CHIFFREMENT

Les Données Personnelles traitées dans le cadre du Service font l’objet d’un chiffrement (ou cryptage) selon la méthode du cryptage SSL (TLS 1.2) pour les données transitant sur Internet, et selon la méthode Transparent Data Encryption pour les données de base de données, sur la base de certificats sha256RSA, et des outils Oracle TDE.

1.4 AUTRES DISPOSITIFS DE SECURITE

NIBELIS déploie les mesures de sécurité complémentaires suivantes pour protéger les Données Personnelles collectées et traitées dans le cadre du Service :

  • Connexion HTTPS ou VPN,
  • Mise en place d’un système de blocage de l’Environnement du CLIENT en cas de plusieurs tentatives consécutives infructueuses de connexion dans un laps de temps de 1 jour,
  • Traçabilité des sessions de connexion,
  • Gestion d’une matrice de droits sur l’accès à la Plateforme.
  • Protections complémentaires possibles par adresse IP ou double authentification

1.5 HEBERGEMENT SECURISE

L’hébergement et la sécurisation de nos serveurs de données et de notre équipement réseau (propriété de NIBELIS) est assuré par
EQUINIX France - Siren 429 840 853.
https://www.equinix.fr/services/data-centers-colocation

EQUINIX France est une entreprise de centres de données (Data Center). Elle est présente dans 15 pays, avec plus de 145 Data Centers.

Le périmètre d’activité d’Equinix comporte des services d’hébergement, de connectivité et de support.

Précision de la prestation :
Location d’armoires dédiées en France Métropolitaine, pour héberger les serveurs et équipements réseaux, propriété de NIBELIS. L’espace proposé se situe dans le Data Center de dernière génération d’Equinix (Saint-Denis-Batiment PA3) –Data Center de classe Tier 3+

Ce site d’hébergement présente les caractéristiques suivantes :
Certification ISO9001.2008

Suivi des procédures relatives aux certifications suivantes :

  • OHSAS18001.2008
  • ISO27001/17799 Information Security Management (formerlyBS7799)
  • ISO14000 Environnement Management
  • ITIL
  • BS 15000 & ISO/IEC 20000
  • Baselll & Basel Capital Accord and Sarbane –Oxley Act of 2002
  • SAS70
  • PAS56
  • TIA942&EN50173

Tous les Data Centers d’Equinix IBX sont équipés de systèmes d’alimentation sans coupure (UPS), de système d’alimentation de secours et de redondance de niveau N+1 (ou supérieur), avec un temps de disponibilité record supérieur à 99,99999%.

Localisation du site : le site est situé au 114 rue Ambroise Croizat, Saint Denis FR 93200 – Bâtiment PA3

Les accès et le stockage des données personnelles sont sécurisés par la mise en place :

  • D’une connexion sécurisée entre la Plateforme et les postes de travail des Utilisateurs.
  • De pares-feux intégrant les technologies de prévention des intrusions, d’inspection des paquets et d’authentification des utilisateurs
  • De règles de filtrage sur le trafic entrant et sortant,
  • D’un monitoring actif des équipements de télécommunication
  • De systèmes de traitement et de stockages redondants
4. TRACABILITE

1.1 DISPOSITIF GENERAL DE TRACABILITE

Dans le cadre de son Service, NIBELIS met en œuvre le dispositif de traçabilité suivant :

  • Trace des requêtes réseau au niveau des pares-feux
  • Trace des actions utilisateurs par un système de Module Performance Monitoring
  • Stockage des connexions à la plateforme
  • Stockage des actions de mise à jour sur les données (Audit Trail)

1.2 DISPOSITIF DE TRACABILITE SPECIFIQUE POUR CERTAINS MODULES

Dans le cadre du Service Coffre-Fort, et Télé Déclarations, NIBELIS assure la traçabilité des échanges d’information afin d’en garantir la preuve.

Cette traçabilité permet de connaître la date et l’heure de transferts de documents et toute éventuelle suppression.

Cette traçabilité est effectuée comme suit :

  • Trace des flux de fichiers vers Arkhineo et JeDeclare.com
  • Log des transferts de fichiers
5. RECOURS A LA SOUS-TRAITANCE

NIBELIS s’engage à ne pas sous-traiter tout ou partie de ses prestations à un sous-traitant sans l’information préalable et écrite du CLIENT.

Le CLIENT est informé qu’au jour de la signature de son Contrat :

  • La mise sous plis est sous-traitée à la société INDUS Editique
  • La télé Déclaration est sous-traitée à la société JeDeclare.com
  • La gestion du Coffre-Fort est sous-traitée à la société Arkhineo
  • L’exploitation Base de Données est sous-traitée à la société KOMPOSITE
  • L’exploitation Réseau est sous-traitée à la société KINCY
  • L’hébergement et la sécurisation de nos serveurs de données et de notre équipement réseau (propriété de NIBELIS) est sous -traité à la société EQUINIX France
  • La fourniture du Service peut éventuellement être sous-traitée aux sociétés BKHR, INETUM, ADERHIS, HORIZONS RH, KMSI, APOGEA (liste non exhaustive et pouvant évoluer dans le temps).

En signant le Contrat ou l’avenant au Contrat, le CLIENT a autorisé NIBELIS à faire intervenir ces sous-traitants dans le cadre de la fourniture du Service.

NIBELIS a conclu avec ces sous-traitants un contrat de services en annexe duquel figure les termes de la présente politique de protection des données, termes qui ont été expressément acceptées par chacun de ces sous-traitants.

NIBELIS informe qu’au titre de chacun de ses contrats de sous-traitance :

  • Une procédure de notification a été mise en place pour permettre de traiter les demandes du CLIENT et des personnes concernées concernant les Données Personnelles.
  • Une procédure d’audit a été mise en place pour permettre à NIBELIS d’apporter les informations relatives à la protection des Données Personnelles, en cas demande de la CNIL ou du CLIENT.
6. PROCEDURE D’EVALUATION DU NIVEAU DE SECURITE

Une évaluation du niveau de sécurité relatif à la protection des données personnelles est réalisée chaque année. Cette évaluation s’inscrit dans le cadre de l’audit de sécurité annuel mené mettant en œuvre un audit organisationnel, un audit d’architecture, un audit de configuration et des tests d’intrusion. Les recommandations issues de l’audit de sécurité donnent lieu à un plan de remédiation des risques.

7. SYNTHESE DES MESURES PROTECTION A METTRE EN ŒUVRE PAR NIBELIS ET LE RESPONSABLE DU TRAITEMENT
MESURES DE PROTECTION COTE Responsable du Traitement COTE NIBELIS
Authentification
Double authentification possible
Login / mot de passe
Politique de gestion des mots de passe
Renforcer : longueur 12, 4 types de caractères
Connexion HTTPS
OUI
Connexion VPN
Possible sur option
Chiffrement base de données
OUI
Taille des clés de chiffrement base de données
AES 192 bits
Système de blocage d’accès en cas de tentatives infructueuses de connexion dans un laps de temps
OUI
Traçabilité des sessions de connexion
OUI
Traçabilité des incidents
OUI
Autres dispositifs de traçabilité
Audit Trail
Gestion des habilitations / matrice de droits sur les accès
Configuration des profils et des populations
Règles de filtrage sur le trafic entrant et sortant
OUI
Monitoring actif des équipements de télécommunication
OUI
Sauvegarde des données personnelles
OUI
Plan de continuité d’activité ou de reprise d’activité
OUI