Annexe à l'accord MO : mesures techniques et organisationnelles

1. confidentialité (article 32, paragraphe 1, point b) du RGPD)

1.1. Contrôle d’accès

Vous trouverez ci-dessous une liste de toutes les mesures visant à empêcher les personnes non autorisées d’accéder aux installations de traitement des données qui traitent ou utilisent des données à caractère personnel :

• – Sonnerie avec caméra
• – Cartes à puce / systèmes de transpondeur
• – Portes avec bouton à l’extérieur
• – Réglementation des clés / registre des clés
• – Régime d’attribution des badges
• – Régime d’attribution des jetons
• Visiteurs / externes accompagnés par le personnel
• – Service de nettoyage externe
• Service de maintenance externe
• – Mesures à prendre en cas de perte de clé / badge / dongle / token / carte à puce

1.2. Contrôle de l’accès

Vous trouverez ci-dessous une liste de toutes les mesures visant à empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données :

• – Connexion avec nom d’utilisateur + mot de passe
• – Connexion avec des données biométriques
• – Clients de logiciels antivirus
• – Pare-feu – Serveur
• – Accès externe via un bureau mobile / à domicile (par ex. PC / ordinateur portable)
• – Accès externe de prestataires de services externes
• – Accès externe par smartphone/tablette
• – Chiffrement des supports de données
• – Verrouillage automatique du bureau
• – Chiffrement des ordinateurs portables / tablettes
• – Cryptage lors de l’utilisation du WLAN (WPA2)
• – Créer et gérer les profils et les autorisations des utilisateurs
• – Instructions “Verrouillage manuel du bureau
• – Politique “Mot de passe sécurisé
• Politique “Supprimer / Détruire
• – Directive “Clean desk” (bureau propre)
• – Politique “Bureau à domicile/mobile
• – Politique en matière d’appareils mobiles

1.3. Contrôle des autorisations d’accès

Vous trouverez ci-dessous une liste de toutes les mesures visant à empêcher les personnes non autorisées de lire, copier, modifier ou supprimer des données dans les systèmes de traitement des données :

• – Déchiqueteuses de documents
• – Destructeur de documents externe
• – Effacement physique des supports de données
• – Concept(s) d’autorisation
• – Nombre minimal d’administrateurs
• – Coffre-fort de protection des données
• – Gestion des droits des utilisateurs par les administrateurs

1.4. Contrôle de la séparation

Vous trouverez ci-dessous une liste de toutes les mesures prises pour séparer les données à caractère personnel collectées à des fins différentes :

• – Séparation des environnements de production et de test
• – Séparation physique (systèmes / bases de données / supports de données)
• – Colocation d’applications pertinentes
• – Autorisations d’accès des employés en fonction des besoins
• – Définition des droits sur la base de données

1.5. Pseudonymisation (article 32, paragraphe 1, point a) & article 25, paragraphe 1 du RGPD)

La pseudonymisation des enregistrements est mise en œuvre par les mesures suivantes :

Il n’y a pas de pseudonymisation des enregistrements.

2. intégrité (article 32, paragraphe 1, point b) du RGPD)

2.1. Contrôle de la transmission

Les données à caractère personnel doivent être suffisamment protégées lors de leur transmission électronique pour ne pas être lues, copiées, modifiées ou supprimées sans autorisation. Nous avons pris les mesures techniques et organisationnelles suivantes à cet effet :

• – Cryptage des e-mails
• – Fourniture de connexions tunnel (VPN)
• – Fournir des connexions cryptées
• – Procédures de signature électronique
• – Enregistrement des accès et des consultations dans des fichiers journaux
• – soin apporté à la sélection du personnel de transport et des véhicules

2.2. Contrôle des entrées

Nous utilisons les mesures suivantes pour contrôler si et par qui les données personnelles sont introduites, modifiées, bloquées ou supprimées dans le système de traitement des données :

• – Enregistrement technique de la saisie, de la modification et de la suppression des données
• – Contrôle manuel ou automatisé des journaux
• – Liste des logiciels de traitement des données
• – Attribution de noms d’utilisateurs individuels
• – Concept d’autorisation avec attribution de droits d’utilisateur en fonction des besoins
• – Conservation sécurisée des documents papier

3. disponibilité et résilience (article 32, paragraphe 1, point b) du RGPD)

3.1. Contrôle des disponibilités

Pour garantir la disponibilité des données à caractère personnel contre la destruction ou la perte accidentelle ou intentionnelle, nous utilisons les mesures suivantes :

• – Conservation des supports de sauvegarde dans un endroit sûr en dehors de la salle des serveurs
• – Partitions séparées pour les systèmes d’exploitation et les données

Reev GmbH n’exploite pas ses propres serveurs, mais héberge les données dans des centres de données externes du fournisseur MCON avec un lieu de stockage en Allemagne. Les TOM sont régulièrement contrôlées dans le cadre de la relation de sous-traitance respective.

Nous garantissons le rétablissement rapide de la disponibilité (article 32, paragraphe 1, point c) du RGPD) par les mesures suivantes :

Reev GmbH n’exploite pas ses propres serveurs, mais héberge les données dans des centres de données externes du fournisseur MCON avec un lieu de stockage en Allemagne. Les TOM sont régulièrement contrôlées dans le cadre de la relation de sous-traitance respective.

4) des procédures de suivi, d’évaluation et d’appréciation périodiques

(art. 32, paragraphe 1, point d) du RGPD & art. 25, paragraphe 1 du RGPD)

Date de l’évaluation des mesures techniques et organisationnelles : 10/01/23

4.1. Protection des données-gestion

Afin de garantir la protection des données dans notre entreprise, nous utilisons les mesures suivantes pour un contrôle, une évaluation et une appréciation réguliers :

• – Solutions logicielles de gestion de la protection des données en place
• – Documentation centralisée de toutes les procédures et règles relatives à la protection des données, avec possibilité d’accès pour les employés
• – Un contrôle de l’efficacité des mesures techniques de protection est effectué au moins une fois par an.
• – Délégué externe à la protection des données : Sophie Hohmann, SiDIT GmbH, info@sidit.de
• – Responsable interne de la sécurité de l’information : José Carvalho, reev GmbH, josé.carvalho@reev.com
• – Personnel formé et tenu à la confidentialité / au secret des données
• – Sensibilisation régulière des employés au moins une fois par an
• – L’analyse d’impact sur la protection des données (AIPD) est effectuée si nécessaire.
• – L’organisation respecte les obligations d’information selon les articles 13 et 14 du RGPD
• – Processus formalisé de traitement des demandes d’accès, d’effacement et de transfert de données de la part des personnes concernées

4.2. Gestion des réponses aux incidents
(conformément à l’article 33 du RGPD)

En cas de détection et de notification de violations de données, nous utilisons les mesures suivantes :

• – Utilisation d’un pare-feu et mise à jour régulière
• – Utilisation d’un filtre anti-spam et mise à jour régulière
• – Utilisation d’un antivirus et mise à jour régulière
• – Processus documenté de détection et de notification des incidents de sécurité / violations de données
• – Procédure documentée pour gérer les incidents de sécurité
  
• – Implication des DPO dans les incidents de sécurité et les violations de données
• – Implication de l’USIC dans les incidents de sécurité et les violations de données
• – Documentation des incidents de sécurité et des violations de données
• – Processus formel et responsabilités pour le suivi des incidents de sécurité et des violations de données

4.3. Paramètres par défaut respectueux de la vie privée

Dans le cadre des paramètres par défaut favorables à la protection des données (article 25, paragraphe 2 du RGPD), nous utilisons les mesures suivantes :

• – Minimisation des données et limitation des finalités
• – Exercice simple (technique) du droit de rétractation de la personne concernée par des mesures techniques

4.4. Contrôle des commandes (externalisation)

Dans le cadre de l’externalisation du traitement des données à caractère personnel par des sous-traitants, nous utilisons les mesures suivantes pour garantir un niveau de protection adéquat :

• – Vérification préalable des mesures de sécurité prises par le contractant et de leur documentation
• – Sélection du fournisseur en fonction de sa diligence
  (notamment en ce qui concerne la protection et la sécurité des données)
• – Conclusion de l’accord nécessaire sur le traitement des commandes ou des clauses contractuelles types de l’UE
• – Instructions écrites au contractant
• – Obligation des employés du sous-traitant de respecter la confidentialité des données
• – Obligation de désigner un délégué à la protection des données par le contractant en cas d’obligation de désignation
• – Accord sur des droits de contrôle effectifs vis-à-vis du contractant
• – Réglementation sur le recours à d’autres sous-traitants
• Assurer la destruction des données à la fin de la mission
• – En cas de collaboration de longue durée : contrôle permanent du contractant et de son niveau de protection