Les mesures techniques et organisationnelles suivantes ont été mises en œuvre par Chubb Delta Télésurveillance et Delta Security Solutions SA pour la protection, la collecte, le traitement et / ou l'utilisation des informations personnelles. 


A. Généralités

Actions mises en œuvre afin d’assurer que les processus liés à la protection des données personnelles soient à jour, correctement mis en œuvre, appliqués par tout le personnel et adaptés en cas de besoin :

  • Procédure en cours pour adopter des “Règles d’Entreprise Contraignantes” BCR
  • Politique de confidentialité
  • Revue annuelle des mesures techniques et organisationnelles d'efficacité et de probabilité
  • Évaluation des données à haut risque et des activités de traitement et développement de solutions pour prévenir ou réduire les risques
  • Application de politiques et procédures robustes de protection des données et de sécurité des informations
  • Mise en œuvre d'un « plan de réponse aux violations de données » robuste, qui traite de la réponse à apporter et de la correction de toute violation de données réelle le cas échéant
  • Processus de traitement des demandes et des réclamations
  • Formation régulière des employés (en ligne et en présentiel)
  • Examiner et auditer les fonctions / processus, activités et systèmes vis-à-vis de nos procédures et de la réglementation
  • PIA (évaluation des risques) de nos outils, systèmes et fournisseurs au-delà des exigences RGPD
  • Campagne de sensibilisation au phishing et continue pour tous les employés et consultants travaillant sur le réseau de l’entreprise
  • Mise en place d’une infrastructure de gouvernance en mesure de garantir le respect de la confidentialité des données. Celle-ci consiste en :
    •  Un responsable de l’éthique et de la conformité (ECO)
    • Un programme médiateur 
    • Une équipe en charge des données privées avec une personne dédiée au niveau européen pour le groupe
    • Un Délégué à la Protection des Données (DPO)
    • Un comité consultatif sur la protection des données 
    • Un service pour la protection des données


B. Contrôle des accès physique

Afin de prévenir les accès non autorisés à nos centres de données, nous mettons en place : 

  • Sécurité électronique 24/7
  • Contrôle d’accès par badge avec accès restreint
  • Sécurité physique telle que sasse d’accès, porte blindée
  • Enregistrement et limitation des visiteurs, contrôle des pièces d’identité, port de badge
  • Vidéosurveillance


C. Contrôle des accès aux données

Mise en place de process automatiques pour la consultation / transmission des données :

  • Authentification des utilisateurs par login / mot de passe (une politique des mots de passe est en place)
  • Gestion des droits d’accès utilisateur 
  • Mise en place d’anti-virus et de pare-feu
  • Création de profil utilisateur, gestion de ces profils pour les équipes Système d’Information
  • Utilisation de VPN
  • L’usage des équipements IT personnel n’est pas autorisé (BYOD)


D. Utilisation et stockage des données

Prévention des accès non autorisés aux données personnelles (lecture, écriture, copie, suppression) :

  • Droits et autorisation en fonction du besoin
  • Nombre d’administrateurs réduit au maximum
  • Administration des droits par des administrateurs systèmes définis 
  • Règles de création des mots de passe incluant le nombre de caractère, la complexité et la durée de vie
  • Log sur l'accès aux applications, en particulier la saisie, la modification et l'effacement des données
  • Destruction certifiée des documents papiers contenant des données personnelles
  • Règles de chiffrement des données définies pour les données personnelles exportées en dehors de nos pare-feux
  • Des dispositions sont prises pour rendre les informations stockées inexploitables ou irrécupérables avant la destruction ou la restitution des équipements  


E. Contrôle du transfert de données

Afin de veiller à la confidentialité et l'intégrité des données lors du transfert d'informations de données personnelles et du transport de supports de stockage de données :

  • Mise en place de liens dédiés ou tunnel VPN
  • Chiffrement des données pour la transmission via internet (par exemple HTTPS et SFTP)
  • Cryptage des documents et mot de passe lorsqu’ils sont donnés à des prestataires extérieurs
  • Chiffrement des emails sur demande client ou lorsque des données confidentielles sont identifiées


E. Disponibilité des centres de télésurveillance / Restauration

Moyens de protection contre les destructions accidentelles ou délibérées ou la perte des systèmes garantissant la restauration en cas de problème :

  • Réplication en temps réel des données entre nos 2 datacenters sur 2 lieux géographiques différents
  • Test régulier de la bonne restauration des données
  • Groupes électrogènes et onduleurs pour garantir une alimentation électrique permanente et sans faille
  • Contrôle et régulation de la température des datacenters
  • Détection et extinction incendie


G. Contrôle de séparation

Garantir que les données collectées pour différents besoins puissent être traitées séparément :

  • Evaluation des données pour les nouveaux systèmes et les évolutions de systèmes
  • Identifier les différentes catégories de données et leurs fonctions dans les systèmes
  • Etablissement d’une base de données des droits d’accès conformément aux règles de moindre privilège
  • Gestion des droits au niveau du compte client
  • Séparation des bases de données de test et base de données de production