mesures techniques et organisationnelles
article 32, paragraphe 1 RGPD
1. Confidentialité (article 32, paragraphe 1, point b), du RGPD)
1.1. Contrôle d’accès
Ci-dessous sont énumérées toutes les mesures visant à empêcher les personnes non autorisées d’accéder aux installations de traitement des données qui traitent ou utilisent des données à caractère personnel :
- Système de sonnette avec caméra
- Cartes à puce / systèmes de transpondeur
- Portes avec bouton à l’extérieur
- Réglementation des clés / livre des clés
- Réglementation de l’attribution des badges
- Réglementation de l’attribution des jetons
- Visiteurs / externes accompagnés par des collaborateurs
- Service de nettoyage externe
- Service de maintenance externe
- Mesures en cas de perte de clé / badge / dongle / jeton / carte à puce
1.2. Contrôle de l’accès
Ci-dessous sont énumérées toutes les mesures visant à empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données :
- Connexion avec nom d’utilisateur + mot de passe
- Connexion avec données biométriques
- Clients de logiciels antivirus
- Pare-feu – serveur
- Accès externe par bureau mobile / à domicile (p. ex. PC / ordinateur portable)
- Accès externe par des prestataires de services externes
- Accès externe par smartphones / tablettes
- Cryptage des supports de données
- Verrouillage automatique du bureau
- Cryptage des ordinateurs portables / tablettes
- Cryptage lors de l’utilisation du WLAN (WPA2)
- Création et gestion des profils et des autorisations des utilisateurs
- Instructions du « Verrouillage manuel du bureau »
- Politique du « Mot de passe sécurisé »
- Politique pour « Effacer / détruire »
- Politique du « Bureau propre »
- Politique du « Bureau à domicile / Bureau mobile »
- Politique relative aux appareils mobiles
1.3. Contrôle des autorisations d’accès
Ci-dessous sont énumérées toutes les mesures visant à empêcher les personnes non autorisées de lire, de copier, de modifier ou d’effacer des données au sein des systèmes de traitement des données :
- Broyeur de documents
- Destructeur de documents externe
- Destruction physique des supports de données
- Concept(s) d’autorisation
- Nombre minimal d’administrateurs
- Coffre-fort de protection des données
- Gestion des droits des utilisateurs par les administrateurs
1.4. Contrôle de la séparation
Ci-dessous sont énumérées toutes les mesures permettant de séparer les données à caractère personnel collectées à des fins différentes :
- Séparation de l’environnement de production et de l’environnement de test
- Séparation physique (systèmes / bases de données / supports de données)
- Colocation des applications pertinentes
- Autorisations d’accès des collaborateurs en fonction des besoins
- Définition des droits sur les bases de données
1.5. Pseudonymisation (article 32, paragraphe 1, point a) & article 25, paragraphe 1, du RGPD) 1 DSGVO)
La pseudonymisation des enregistrements est mise en œuvre par les mesures suivantes : Il n’y a pas de pseudonymisation des enregistrements.
2. Intégrité (article 32, paragraphe 1, point b), du RGPD)
2.1. Contrôle de la transmission
Les données à caractère personnel doivent être suffisamment protégées lors de leur transmission électronique pour ne pas être lues, copiées, modifiées ou supprimées de manière non autorisée. Nous avons pris les mesures techniques et organisationnelles suivantes à cet effet :
- Cryptage des eMails
- Mise à disposition de connexions tunnel (VPN)
- Mise à disposition de connexions cryptées
- Procédures de signature électronique
- Journalisation des accès et des consultations dans des fichiers journaux
- Soin apporté à la sélection du personnel de transport et des véhicules
2.2. Contrôle de saisie
Pour contrôler si des données à caractère personnel sont introduites, modifiées, verrouillées ou supprimées dans le système de traitement des données et par qui, nous utilisons les mesures suivantes :
- Protocole technique d’introduction, de modification et de suppression des données
-
Contrôle manuel ou automatisé des protocoles
-
Liste des logiciels de traitement des données
-
Attribution de noms d’utilisateurs individuels
-
Concept d’autorisation avec attribution de droits d’utilisateurs en fonction des besoins
-
Conservation sécurisée de documents sur papier
3. Disponibilité et résilience (article 32, paragraphe 1, point b), du RGPD)
3.1. Contrôle de disponibilité
Pour garantir la disponibilité des données à caractère personnel contre une destruction ou une perte accidentelle ou intentionnelle, nous utilisons les mesures suivantes :
- Conservation des supports de sauvegarde dans un endroit sûr en dehors de la salle des serveurs
- Partitions séparées pour les systèmes d’exploitation et les données
reev GmbH n’exploite pas ses propres serveurs, mais héberge les données dans des centres de données externes du fournisseur MCON avec un lieu de stockage en Allemagne. Les TOM sont régulièrement contrôlées dans le cadre de la relation de traitement de commande respective. Nous garantissons le rétablissement rapide de la disponibilité (article 32, paragraphe 1, point c) du RGPD) par les mesures suivantes.
4. Procédures de contrôle, d’évaluation et de suivi réguliers
(article 32, paragraphe 1, point d), du RGPD & article 25, paragraphe 1, du RGPD)
Date de l’évaluation des mesures techniques et organisationnelles : 10.01.23
4.1. Gestion de la protection des données
Afin de garantir la protection des données dans notre entreprise, nous mettons en œuvre les mesures suivantes pour un contrôle, une évaluation et une appréciation réguliers :
- Solutions logicielles pour la gestion de la protection des données en place
- Documentation centralisée de toutes les procédures et règles de protection des données avec possibilité d’accès pour les employés
- Un contrôle de l’efficacité des mesures techniques de protection est effectué au moins une fois par an
- Délégué externe à la protection des données : Sophie Hohmann, SiDIT GmbH, info@sidit.de
- Responsable interne de la sécurité de l’information : José Carvalho, reev GmbH, josé.carvalho@reev.com
- Les employés sont formés et tenus à la confidentialité / au secret des données
- Les employés sont régulièrement sensibilisés au moins une fois par an
- L’analyse d’impact relative à la protection des données (AIPD) est effectuée si nécessaire
- L’organisation respecte les obligations d’information prévues par les articles 13 et 14 RGPD
- Processus formalisé pour le traitement des demandes d’information, d’effacement et de transfert de données de la part des personnes concernées
4.2. Gestion des réponses aux incidents (conformément à l’article 33 du RGPD)
En cas de détection et de notification d’une violation de la protection des données, nous utilisons les mesures suivantes :
- Utilisation d’un pare-feu et mise à jour régulière
- Utilisation d’un filtre anti-spam et mise à jour régulière
- Utilisation d’un antivirus et mise à jour régulière
- Processus documenté de détection et de notification des incidents de sécurité / violations de données
- Procédure documentée de gestion des incidents de sécurité
- Implication de l’APD dans les incidents de sécurité et les violations de données
- Implication de l’USIC dans les incidents de sécurité et les violations de données
- Documentation des incidents de sécurité et des violations de données
- Processus formel et responsabilités pour le suivi des incidents de sécurité et des violations de données
4.3. Paramètres par défaut respectueux de la vie privée
Dans le cadre des paramètres par défaut favorables à la protection des données (article 25, paragraphe 2 du RGPD), nous appliquons les mesures suivantes :
- Minimisation des données et limitation des finalités
- Exercice simple (technique) du droit de rétractation de la personne concernée par des mesures techniques
4.4. Contrôle des commandes (Outsourcing)
Dans le cadre de l’externalisation du traitement des données à caractère personnel par des sous-traitants, nous utilisons les mesures suivantes pour garantir un niveau de protection adéquat :
- Le contrôle préalable des mesures de sécurité prises par le contractant et leur documentation
- Le choix du contractant en fonction de critères de diligence (notamment en ce qui concerne la protection et la sécurité des données)
- La conclusion de l’accord nécessaire sur le traitement des commandes ou des clauses contractuelles types de l’UE
- Des instructions écrites au sous-traitant
- L’obligation pour les collaborateurs du sous-traitant de respecter la confidentialité des données
- L’obligation pour le sous-traitant de désigner un délégué à la protection des données si la désignation est obligatoire
- L’accord de droits de contrôle efficaces vis-à-vis du sous-traitant
- La réglementation relative à l’utilisation d’autres sous-traitants
- La garantie de la destruction des données après la fin de la mission
- En cas de collaboration de longue durée : contrôle permanent du sous-traitant et de son niveau de protection