Passer au contenu principal

Comment nous respectons le GDPR

Un guide sur notre conformité au GDPR.

Écrit par Thibault Candebat

Chez Fin, nous travaillons dur pour nous conformer au Règlement Général sur la Protection des Données (GDPR) de l'UE, afin de garantir que nous remplissons nos obligations et maintenons la transparence concernant les messages aux clients et l'utilisation des données.

Voici un aperçu du GDPR et comment nous assurons la conformité chez Fin :

Qu'est-ce que le GDPR ?

Le GDPR est une loi complète sur la protection des données entrée en vigueur le 25 mai 2018. Elle a remplacé la législation européenne existante pour renforcer la protection des « données personnelles » et les droits des individus. C'est un ensemble unique de règles qui régit le traitement et la surveillance des données de l'UE.

Est-ce que cela me concerne ?

Oui, très probablement. Si vous détenez ou traitez les données d'une personne dans l'UE, le GDPR s'applique à vous, que vous soyez basé dans l'UE ou non.

Comment nous respectons le GDPR

Nous vous aidons à répondre à vos exigences de portabilité des données ; vous pouvez facilement exporter toutes vos données liées à un individu et supprimer définitivement toutes les données liées à un utilisateur individuel.

Nous ferons automatiquement expirer les données des visiteurs qui n'ont pas été vus depuis 9 mois, afin de garantir notre conformité aux exigences de conservation du GDPR.

GDPR - Protection contre la surveillance américaine

Fin examine attentivement toutes les demandes tierces de données, y compris celles des forces de l'ordre et des agences de sécurité nationale.

Par principe, nous ne fournissons pas aux tiers des informations qui ne leur appartiennent pas et nous ne répondons qu'aux demandes auxquelles nous sommes légalement tenus de répondre. Cela signifie que Fin ne fournira des données qu'en réponse à une ordonnance judiciaire, une assignation, un mandat ou toute autre demande légale valide nous obligeant à fournir des données d'un compte client.

Lorsque la loi nous y autorise, nous vous informerons toujours des demandes reçues et travaillerons avec vous si vous souhaitez contester une demande ou limiter la divulgation.

Notre avenant de traitement des données (DPA)

Le DPA (incorporant les nouvelles SCC émises par la Commission européenne le 4 juin 2021) est intégré dans les Conditions d'utilisation régissant vos services Fin et aucune signature séparée n'est nécessaire.

Des engagements forts en matière de protection des données sont essentiels aux exigences du GDPR. Notre accord de traitement des données partage nos engagements en matière de confidentialité et définit les conditions pour que Fin et nos clients respectent le GDPR. Il est disponible pour signature sur demande.

Nous ne pouvons accepter aucune modification de notre DPA, car nous ne sommes pas à une échelle permettant de conclure des DPA personnalisés avec les clients. Si vous avez des questions spécifiques sur le DPA, veuillez nous contacter via Messenger.

DPA personnalisés avec les clients

Notre politique est de ne contracter que sur la base de notre DPA GDPR.
​
Cette approche établie repose sur des raisons juridiques et opérationnelles solides et reflète la pratique courante des fournisseurs SaaS.
​
D'un point de vue juridique, le GDPR de l'UE exige qu'un processeur comme Fin transmette à ses sous-traitants certaines obligations de protection des données contenues dans ses contrats clients. Nous avons préparé notre DPA pour la conformité GDPR et, en tant que tel, pour contenir des obligations pouvant être transmises à nos sous-traitants. En termes simples, nous ne pourrions pas respecter l'exigence de transmission du GDPR si nous concluions des DPA personnalisés avec les clients. C'est particulièrement vrai pour les sous-traitants à grande échelle, tels qu'Amazon Web Services, où il y a peu ou pas de flexibilité pour négocier leurs conditions standard.
​
D'un point de vue opérationnel, Fin compte des dizaines de milliers de clients et est une entreprise en pleine expansion. Nous n'avons tout simplement pas la capacité ou la flexibilité opérationnelle pour conclure différents DPA avec des termes différents pour chaque client. Cela créerait des engagements trop lourds pour Fin et n'est pas évolutif. En utilisant le DPA GDPR de Fin, nous pouvons mieux gérer nos obligations de protection des données et ainsi concentrer nos activités sur le traitement des données personnelles de manière conforme et fournir aux clients un service simplifié.
​

Nous sommes certifiés pour les transferts internationaux de données :

Pour respecter les exigences du GDPR en matière de transferts internationaux de données, Fin participe au Cadre de confidentialité des données UE-États-Unis (DPF), à l'extension britannique du DPF UE-États-Unis, et au Cadre de confidentialité des données Suisse-États-Unis tel qu'établi par le Département du Commerce des États-Unis. Pour plus d'informations, veuillez consulter notre Politique de confidentialité.

Notre délégué à la protection des données

Nous avons un délégué à la protection des données dédié pour superviser et conseiller sur la gestion de nos données. Contactez-le via Messenger ou par email à dataprotection@intercom.io.

Coordination avec nos fournisseurs

Le cas échéant, nous exigeons que tous nos fournisseurs tiers signent des accords de traitement des données garantissant que les données des clients resteront protégées conformément au GDPR et à nos obligations envers vous.

Chiffrement

Toutes les données envoyées vers ou depuis nous sont chiffrées en transit avec un chiffrement 256 bits. Nos API et points d'accès applicatifs sont uniquement TLS/SSL et obtiennent une note « A+ » aux tests Qualys SSL Labs. Cela signifie que nous utilisons uniquement des suites de chiffrement fortes et que des fonctionnalités telles que HSTS et Perfect Forward Secrecy sont pleinement activées. Nous chiffrons également les données au repos en utilisant un algorithme de chiffrement AES-256 standard de l'industrie.

Nos mesures de sécurité

La sécurité est une priorité pour nous. Nous réalisons régulièrement des audits externes, des tests d'intrusion et des programmes de récompense pour bugs. Nous avons construit un cadre de sécurité robuste, atteignant les normes de conformité internationales (SOC2, ISO27001, ISO27701, ISO27018, HIPAA et HDS) et avons revu notre conception d'accès interne pour garantir que les bonnes personnes ont accès au bon niveau de données clients. Plus de détails sont disponibles sur notre page Sécurité.

Nous continuons à aider nos clients et prospects à être conformes. Voici quelques étapes que vous pouvez suivre :

  • Familiarisez-vous avec les exigences du GDPR et leur impact sur votre entreprise.

  • Cartographiez tous les endroits où vous traitez des données et réalisez une analyse des écarts.

  • Découvrez comment nous pouvons vous aider avec votre conformité GDPR. Nos rapports d'audit, tests d'intrusion et documents de sécurité sont disponibles sur demande pour les clients.

  • Consultez votre feuille de route produit, pensez à la confidentialité lors de la planification.

  • Parlez à votre avocat de ce que votre entreprise doit faire.

  • Surveillez les directives en développement du Comité européen de la protection des données.

Nous continuerons également à surveiller les nouvelles directives émergentes pour déterminer si nous devons apporter des modifications supplémentaires à nos pratiques de données suite à la décision de la CJUE.

Articles connexes
Comment nous contacter pour des questions sur les données
Comment Intercom suit et stocke les données
Accéder aux documents de sécurité et de conformité
Modifications de votre espace de travail hébergé en UE/AU
Le Fin AI Engine™
Avez-vous trouvé la réponse à votre question ?