Easy Software prend la protection des données personnelles très au sérieux. Le règlement général sur la protection des données ou (GDPR: General Data Protection Regulation) est un règlement européen permettant d’encadrer davantage les responsables de traitement ainsi que les sous-traitants des données au sein de l’Union Européenne sur l’utilisation des données des personnes physiques.
otre mission est de fournir aux clients d’Easy Project et, pratiquement, à toute la communauté œuvrant dans le domaine de la gestion de projets un logiciel fiable qui répond efficacement à tous les besoins des Traiteurs de données.
Ce document doit fournir des répondre à des questions telles que:
- Je suis traiteur de données, j’utilise Easy Project, comment puis-je obtenir la conformité au GDPR?
- J’utilise Easy Project dans sa version Cloud, ce service est-il conforme au GDPR?
- J’ai besoin de savoir si Easy Software dispose de tous les processus de sécurité.
1. Terminologie
Easy Software est l’éditeur d’Easy Project.
Contrôleur de données: l’entité qui détermine les objectifs, les circonstances et les moyens de traitement des données personnelles. Aux fins du présent document, c’est votre organisation qui est le Contrôleur de données.
Traiteur de données: l’entité qui traite les données pour le compte du Contrôleur de données.
- Les clients d’Easy Project dans sa version Cloud: Easy Software est le Traiteur de données et les données sont traitées au moyen de nos services Cloud en fonction des règles que vous, Traiteur de données, configurez dans votre application Easy Project dans sa version Cloud.
- Les utilisateurs du serveur Easy Project: Easy Software n’est pas Traiteur de données. Cependant, Celui-ci vous aidera dans l’organisation de vos données.
Easy Project est donc une application qui peut ou ne pas être utilisée pour traiter des données par le Contrôleur de données.
2. Introduction
Easy Software, en sa qualité d’éditeur d’Easy Project, apporte de temps à autre des mises à jour à son produit « Easy Project » dans le but d’aider les Contrôleurs de données à mieux répondre aux exigences de la réglementation GDPR dans le cadre de leurs activités.
En même temps, le présent document apporte des informations à nos clients du Cloud sur Easy Software en tant que Traiteur de données.
En outre, Easy Software déclare que d’ici la date d’entrée en vigueur de GDPR, tous les processus, contrats, fournisseurs, accès aux données et autres seront entièrement conformes aux exigences du GDPR.
3. Easy Project pour tous les Contrôleurs de données
La description et les fonctionnalités suivantes seront déployées/mises à jour jusqu’à la fin avril 2018.
Easy Project se dotera des fonctionnalités suivantes afin d’augmenter la sécurité des données et de mettre les Contrôleurs de données en conformité avec le GDPR.
- Le renforcement de la politique des mots de passe.
- Introduction de la nécessité d’utiliser des mots de passe avec un nombre minimum de caractères, des caractères en majuscule, des chiffres et des caractères spéciaux ;
- Une limite de validité dans le temps des mots de passe et le contrôle de la répétition du mot de passe ;
- La déconnexion automatique de l’utilisateur et fermeture de session après un certain délai d’inactivité ;
- Un ajout récent d’une fonctionnalité demandant une nouvelle saisie du mot de passe lorsque le système détecte une manipulation de rôles et de privilèges de l’utilisateur ;
- Caractéristiques spécifiques au GDPR:
- Droit à l’oubli: La suppression d’un contact, pour une raison quelconque, est une fonctionnalité ordinaire, sauf qu’elle peut perturber la cohérence des données, des rapports, etc. et ce, dans le sens où il peut y avoir un contact lié à des projets, tâches, CRM ou à d’autres entités et que sa suppression pourrait causer des incohérences ou altérer les données concernant le profilage des clients. L’anonymisation (ou la dépersonnalisation) d’un contact permettrait de le dépourvoir de ses données personnelles qui auraient permis son identification, et ce, sans pour autant toucher aux données concernant les services clients dont ce contact avaient bénéficié, ses tâches et autres.
- Droit d'accès: Un bouton qui permettrait l’exportation des coordonnées du Contact dans un format lisible (XML) remplirait votre obligation de fournir des informations personnelles sur les données que vous collectez.
- Visibilité limitée des données: Le GDPR exige impérativement que les Contrôleurs de données limitent l’accès aux données personnelles uniquement aux personnes qui ont besoin d’y avoir accès. Easy Project emploie diverses approches pour répondre à cette exigence, notamment:
- Imposer des restrictions sur l’accès généralisé aux contacts.
- Imposer une restriction d’accès aux contacts sauf pour un type de contacts en particulier. Généralement, tout le monde peut accéder aux Contacts de type Société (les entreprises n’étant pas soumises au GDPR), mais l’accès aux Contacts de type Personnel sera limité uniquement à des utilisateurs sélectionnés. Ainsi, l’utilisateur n’ayant pas l’autorisation adéquate peut voir qu’il y a un contact lié (voir le nom seulement) mais ne peut pas voir d’autres données qui peuvent permettre l’identification personnelle.
- La visibilité de champs personnalisés: La visibilité de certaines données peut être réservée uniquement à des:
- a) Utilisateurs/liste d’utilisateurs
- b) Groupes d’utilisateurs/liste de groupes d’utilisateurs
- c) Types d’utilisateur/liste de types d’utilisateurs
- Audits d’actions utilisateur
- Easy Project fournit des journaux complets sur les actions utilisateur, notamment l’action Afficher.
- Maintenant, Easy Project est doté d’une fonctionnalité permettant de gérer les journaux afin de répondre aux exigences des processus internes.
Comment devenir conforme au GDPR, étape par étape.
- Identifiez les données personnelles que vous collectez dans le cadre de vos activités sur Easy Project.
- Définissez un règlement interne selon lequel toutes les données personnelles doivent être renseignées dans des Champs personnalisés, et non dans des champs natifs d’Easy Project. L’approche recommandée consiste à prendre la décision que toutes les données personnelles doivent être enregistrées uniquement dans les contacts.
- Si vous souhaitez utiliser l’anonymisation (droit à l’oubli), vous devez disposer d’un règlement selon lequel toutes les données personnelles doivent figurer sur les Contacts.
- Identifiez les données à effacer à des fins d’anonymisation: vous pouvez le faire à partir des paramètres régissant les champs personnalisés des Contacts.
- Déterminez les utilisateurs d’Easy Project qui seront autorisés à accéder aux Contacts et limitez l’accès par types de Contact.
- Si vous voulez que tous les utilisateurs accèdent à tous les contacts, mais que certains n’en aient accès à des ensembles de données limités, il suffit de paramétrer la visibilité de champs personnalisés.
- Identifiez les champs personnalisés en dehors des Contacts à protéger et définissez à chacun d’eux la visibilité de données adéquate.
- Renforcez la politique des mots de passe d’Easy Project.
- Droit à l’oubli:
- Nous recommandons de définir un Modèle de projet qui formaliserait toutes les étapes nécessaires à la suppression de données personnelles à partir de tous les systèmes et en détail. Une fois qu’une demande de suppression de données personnelle est soumise, vous pouvez simplement documenter que toutes les étapes ont été faites en fonction de votre processus interne.
- Créez un règlement pour combien de temps vous devez conserver les données d’audit d’actions utilisateurs (journaux) et les configurer en conséquence dans Easy Project.
4. Easy Project dans sa version Cloud
Easy Software offre la possibilité d’utiliser Easy Project en tant que service dans le Cloud. Concernant les clients du Cloud, Easy Software agit en tant que Traiteur de données. En tant que Traiteur de données, nous garantissons la conformité aux exigences du GDPR grâce à ce qui suit:
- Easy Software a mis en œuvre des mesures techniques et procédurales garantissant la restriction de l’accès potentiel aux données uniquement à des exceptions et à des occasions demandées.
- Si vous êtes une organisation européenne, cela garantit que votre instance Easy Project (ainsi que les données et leurs sauvegardes sur les sites de reprise après sinistre) sont stockées au sein de l’UE.
- Easy Software utilise uniquement des centres de données qui sont certifiés selon toutes les normes ISO applicables dans ce domaine et qi sont dotés de systèmes de sécurité haut de gamme. Les détails peuvent être fournis sur demande.
- Les sauvegardes régulières, le protocole https pour les navigateurs, le cryptage SSH-2 sont utilisés lors du transfert des sauvegardes. Le Pare-feu limité au protocole HTTPS et autres paramètres réguliers répondent aux exigences GDPR. Vous pouvez en savoir plus sur le Cloud ici..
- La sécurité peut être encore renforcée avec le service Cloud privé où la sécurité individuelle peut être étendue par une configuration individuelle du serveur dédié (HW).
- Easy Software Ltd. est une entreprise britannique, mais le règlement GDPR a été mise en œuvre dans tous les aspects d’une organisation et pour tous les produits et services.
5. Easy Software et vos données personnelles
Easy Software est un éditeur de plateforme de gestion de projets. Easy Software est une organisation commerciale « business to business ». Cela signifie que toutes les données collectées servent à soutenir les activités et les services d’Easy Software pour les organisations.
Conformément au règlement GDPR, il existe également des données d’individus collectés qui sont considérées comme des données personnelles en vertu de la protection du GDPR.
5.1. Données personnelles collectées
- Nom et surnom
- Téléphone
- Entreprise
- Poste occupé dans l’entreprise
- Formations suivies et certifications obtenues en lien avec les produits d’Easy Software
- Historique lié à la visite des pages des produits Easy Software.
- Adresse IP
5.2. Objectifs de la collecte, du traitement et du profilage des données
Easy Software collecte des données aux fins suivantes:
- L’établissement de coopérations commerciales avec les organisations. Et à cette fin, Easy Software peut collecter des données sur les personnes ayant un rapport avec ces organisations.
- La fourniture de services aux clients existants et à cette fin, Easy Software peut collecter des données sur les personnes de contact dans ces organisations.
- Informer les clients (réguliers et potentiels) au sujet des nouvelles fonctionnalités, du lancement de nouvelles versions et d’autres messages à caractère informatif et promotionnel.
Collecte:
- Toutes les informations collectées sur les individus sont collectées via des formulaires de contact.
- Easy Software ne recueille pas ni n’utilise de données sur des individus provenant de sources externes.
Association et profilage de données:
- Easy Software n’effectue aucun profilage d’individus. Toutes les données collectées servent uniquement de coordonnées au sein d’une organisation.
- Easy Software effectue des profilages d’organisations uniquement à des fins commerciales et de marketing.
- Easy Software combine toutes les données sur un système d’information (Easy Project), plus précisément sur: Entity Contact ou Entity CRM. Tous les autres systèmes utilisent uniquement des fragments de données, lesquels ne sont pas considérés comme des données personnelles selon le règlement GDPR.