[RGPD] Comment efidem gère et sécurise vos données ?

En sa qualité de sous-traitant, efidem est amené à traiter et conserver des données personnelles (ex: adresse email) pour le compte de ses clients.

Fidèle à nos valeurs basées sur l'éthique et la transparence, ce point vous permettra de comprendre quelles données sont traitées, pourquoi et combien de temps elles sont conservées sur nos serveurs.

Les sous-traitants au regard du RGPD

Avant de rentrer dans le vif du sujet, retour en 2018 avec la mise en place du RGPD et faisons un point sur la définition des sous-traitant du point de vue de la CNIL (Commission Nationale Informatique et Libertés) :

Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.

Efidem, dans le cadre des prestations qu’elle propose à ses clients rentre dans ce cadre de sous-traitant au regard du RGPD.

Dans ce contexte, plusieurs obligations incombent au sous-traitant vis à vis de ces clients. La CNIL dénombre 4 obligations majeures :

une obligation de transparence et de traçabilité ;
la prise en compte des principes de protection des données dès la conception et par défaut ;
une obligation de garantir la sécurité des données traitées ;
une obligation d’assistance, d’alerte et de conseil (par exemple, une procédure de notification des violations de données personnelles doit être prévue).

Efidem, dès sa création a pris en considération les données confiées par ses clients et mis en place un certain nombre de processus qui facilitent la protection, la sécurisation ainsi que la reprise des données. Entre autre, efidem ne vends pas et n’exploite pas les données de ses clients à des fins commerciales (extraction de données, revente à des tiers, etc.). Chaque donnée importée sur la plateforme reste sous la maîtrise de son propriétaire qui peut les exporter, les modifier ou les supprimer de manière instantanée et définitive en quelques clics.

Quelles sont les données traitées ?

Nous venons de voir qu’Efidem, au travers des prestations proposées à ses clients rentre dans le cadre d’un sous-traitant selon le RGPD. Cependant, toutes les données générées sur efidem ne font pas partie de ce cadre de sous-traitant.

Certaines, sont liées à la relation entre efidem et ses clients, qui rentrent dans le cadre d’application du RGPD « traditionnel » et d’autres s’appliquent dans le cadre d’application du RGPD comme sous-traitant.

1 – Les données traitées au regard du RGPD

Dans le cadre de votre utilisation de nos services, nous traitons certaines données personnelles. Ces données sont à dissocier de l’obligation de sous-traitant car elles concernent l’utilisateur uniquement et sont nécessaires au fonctionnement des services. Il s’agit de :

Adresse email de connexion
Nom, Prénom, Entreprise
Historique des accès et principales actions sur efisend
Informations d’envoi (adresse d’expédition et de réponse) ou personnalisation émetteur (dans le cadre des campagnes SMS).

Ces données sont nécessaires au bon déroulement des prestations proposées par efidem et servent principalement à sécuriser les comptes et assurer la bonne traçabilité des campagnes envoyées.

2 – Les données traitées en tant que sous-traitant

Pour la partie sous-traitant, les données concernées sont en fait l’ensemble des données que vous importez sur la plateforme pour effectuer un envoi ainsi que les données relatives à l’envoi :

Les listes de destinataires et leur contenu (email, téléphone, adresse, éléments de personnalisation)
Les pièces jointes et images qui composent les messages
Objet et corps de l’email…

Et celles liées au suivi des campagnes :

Statuts de réception des messages // comportement utilisateur
Supports utilisés par les destinataires
Clics sur les liens

Ces données sont collectées a des fins de suivi et de traçabilité uniquement. La majorité d’entre elles – les données liés à l’envoi d’une campagne – seront conservées sur la plateforme pendant 6 mois puis supprimées automatiquement après l’échéance.

D’autres – les données importées par l’utilisateur – ne sont pas supprimées automatiquement et nécessitent une action de la part de l’utilisateur pour être supprimées lorsqu’elles arrivent à expiration. Il s’agit des documents ou listes de contacts importées pour générer un envoi. Leur gestion incombe donc à l’utilisateur.

Comment sont sécurisées vos données ?

Parce que les données que vous nous confiez sont stratégiques pour vous, elles sont importantes pour nous, et nous mettons tout en œuvre pour les protéger à différents niveaux.

Infrastructure :

Data center basés en France, aucune donnée transférée en dehors de l’Europe
Accès sécurisés aux data center
Bases de données cryptées, informations de connexion chiffrées
Redondance des serveurs et sauvegarde quotidiennes
Utilisation de fireWall, VPN, Antivirus + mise à jour, HTTPS, DMZ, EMAIL TLS
Chiffrement des emails (TLS)

Règles de connexion :

Authentification avec identifiant/ MDP ou clé API,
2FA (en option),
Chiffrement des MDP en BDD,
Réinitialisation MDP

Profils utilisateurs :

Attribution de droits (accès aux données, droits de création, consultation etc.) et rôles aux utilisateurs
Création des droits au niveau administrateur
Enregistrement des logs utilisateurs et principales actions (envoi campagne, import, suppression etc.),

Efidem a également mis en place des règles de sécurité internes afin de sensibiliser ses équipes aux bonnes pratiques de sécurité informatique et la confidentialité des données clients auxquelles elles pourraient avoir accès dans le cadre du suivi de compte.

Pour toute demande complémentaire concernant la sécurité ou la conformité au RGPD, n’hésitez pas à prendre contact avec notre DPO interne via l’adresse DPO at efidem.com.