Les mesures techniques et organisationnelles suivantes ont été mises en œuvre par Chubb Delta Télésurveillance et Delta Security Solutions SA pour la protection, la collecte, le traitement et / ou l'utilisation des informations personnelles.
A. Généralités
Actions mises en œuvre afin d’assurer que les processus liés à la protection des données personnelles soient à jour, correctement mis en œuvre, appliqués par tout le personnel et adaptés en cas de besoin :
- Procédure en cours pour adopter des “Règles d’Entreprise Contraignantes” BCR
- Politique de confidentialité
- Revue annuelle des mesures techniques et organisationnelles d'efficacité et de probabilité
- Évaluation des données à haut risque et des activités de traitement et développement de solutions pour prévenir ou réduire les risques
- Application de politiques et procédures robustes de protection des données et de sécurité des informations
- Mise en œuvre d'un « plan de réponse aux violations de données » robuste, qui traite de la réponse à apporter et de la correction de toute violation de données réelle le cas échéant
- Processus de traitement des demandes et des réclamations
- Formation régulière des employés (en ligne et en présentiel)
- Examiner et auditer les fonctions / processus, activités et systèmes vis-à-vis de nos procédures et de la réglementation
- PIA (évaluation des risques) de nos outils, systèmes et fournisseurs au-delà des exigences RGPD
- Campagne de sensibilisation au phishing et continue pour tous les employés et consultants travaillant sur le réseau de l’entreprise
- Mise en place d’une infrastructure de gouvernance en mesure de garantir le respect de la confidentialité des données. Celle-ci consiste en :
- Un responsable de l’éthique et de la conformité (ECO)
- Un programme médiateur
- Une équipe en charge des données privées avec une personne dédiée au niveau européen pour le groupe
- Un Délégué à la Protection des Données (DPO)
- Un comité consultatif sur la protection des données
- Un service pour la protection des données
B. Contrôle des accès physique
Afin de prévenir les accès non autorisés à nos centres de données, nous mettons en place :
- Sécurité électronique 24/7
- Contrôle d’accès par badge avec accès restreint
- Sécurité physique telle que sasse d’accès, porte blindée
- Enregistrement et limitation des visiteurs, contrôle des pièces d’identité, port de badge
- Vidéosurveillance
C. Contrôle des accès aux données
Mise en place de process automatiques pour la consultation / transmission des données :
- Authentification des utilisateurs par login / mot de passe (une politique des mots de passe est en place)
- Gestion des droits d’accès utilisateur
- Mise en place d’anti-virus et de pare-feu
- Création de profil utilisateur, gestion de ces profils pour les équipes Système d’Information
- Utilisation de VPN
- L’usage des équipements IT personnel n’est pas autorisé (BYOD)
D. Utilisation et stockage des données
Prévention des accès non autorisés aux données personnelles (lecture, écriture, copie, suppression) :
- Droits et autorisation en fonction du besoin
- Nombre d’administrateurs réduit au maximum
- Administration des droits par des administrateurs systèmes définis
- Règles de création des mots de passe incluant le nombre de caractère, la complexité et la durée de vie
- Log sur l'accès aux applications, en particulier la saisie, la modification et l'effacement des données
- Destruction certifiée des documents papiers contenant des données personnelles
- Règles de chiffrement des données définies pour les données personnelles exportées en dehors de nos pare-feux
- Des dispositions sont prises pour rendre les informations stockées inexploitables ou irrécupérables avant la destruction ou la restitution des équipements
E. Contrôle du transfert de données
Afin de veiller à la confidentialité et l'intégrité des données lors du transfert d'informations de données personnelles et du transport de supports de stockage de données :
- Mise en place de liens dédiés ou tunnel VPN
- Chiffrement des données pour la transmission via internet (par exemple HTTPS et SFTP)
- Cryptage des documents et mot de passe lorsqu’ils sont donnés à des prestataires extérieurs
- Chiffrement des emails sur demande client ou lorsque des données confidentielles sont identifiées
E. Disponibilité des centres de télésurveillance / Restauration
Moyens de protection contre les destructions accidentelles ou délibérées ou la perte des systèmes garantissant la restauration en cas de problème :
- Réplication en temps réel des données entre nos 2 datacenters sur 2 lieux géographiques différents
- Test régulier de la bonne restauration des données
- Groupes électrogènes et onduleurs pour garantir une alimentation électrique permanente et sans faille
- Contrôle et régulation de la température des datacenters
- Détection et extinction incendie
G. Contrôle de séparation
Garantir que les données collectées pour différents besoins puissent être traitées séparément :
- Evaluation des données pour les nouveaux systèmes et les évolutions de systèmes
- Identifier les différentes catégories de données et leurs fonctions dans les systèmes
- Etablissement d’une base de données des droits d’accès conformément aux règles de moindre privilège
- Gestion des droits au niveau du compte client
- Séparation des bases de données de test et base de données de production