RGPD MEEKO
Madame, Monsieur,
Nous faisons suite au nouveau règlement Européen relatif à la protection des données qui a été
appliqué. L’objectif principal du RGPD (Règlement Général sur la protection des données) est de
renforcer le cadre légal de protection des données personnelles, et de l’uniformiser sur l’ensemble
du territoire Européen.
Ce nouveau règlement est résolument orienté sur la protection de l’utilisateur.
En tant qu’éditeur du logiciel SaaS BtoB ‘meeko’, nous avons fait le travail de vérification de la
conformité de notre produit vis-à-vis du RGPD.
‘meeko’ est une plateforme SaaS de gestion pour la crèche, nos clients l’utilisent donc pour
stocker des données et collecter des données d’inscription pour la gestion de leur structure.
Notre produit se doit donc d’apporter toutes les réponses pour être conforme au RGPD.
Dans notre contexte, les règles promulguées par la RGPD appellent majoritairement à prendre
des mesures de bon sens : une architecture moderne et sécurisée, une bonne organisation et une
bonne documentation. Ces mesures nous permettent alors d’être conforme aux règles.
Avant de présenter les actions concrètes, il est important de détailler les différents acteurs
responsables de la donnée collectée dans le cas de notre produit SaaS :
Il faut ainsi identifier et bien distinguer deux responsabilités :
1. Le Data Controller / responsable du traitement – c’est la société ou la personne qui décide
quelles données collecter, et qui définit l’objectif de cette collecte de données (notre client).
2. Le Data Processor / sous-traitant – c’est la société ou personne qui traite les données
personnelles pour le compte du responsable du traitement (‘meeko’).
meeko
De notre côté, avec ‘meeko’, nous opérons comme sous-traitant, avec le flux de traitement
suivant :
En tant que sous-traitant, nous ne pouvons traiter les données personnelles gérées par notre
produit ‘meeko’ que sur instruction documentée du responsable du traitement (notre client).
Cela signifie que nous ne manipulons pas, ne diffusons pas, ne partageons pas les données
collectées au travers de notre plateforme, car ces données ne nous appartiennent pas.
De manière synthétique, l’impact de la RGPD sur notre produit est le suivant :
Pour l’accompagnement :
Pour nos clients qui utilisent notre produit pour générer des formulaires de collecte de données,
nous les conseillons sur la mise en place des mentions légales relatives à la collecte de données
personnelles.
Ainsi, avec ‘meeko’, nos clients peuvent eux-mêmes :
- Ajouter sur chaque site internet ou est situé le formulaire de collecte de données pour les
demandes de pré-inscription, leurs mentions légales et détailler les flux de collecte et de
traitement de données qui leur sont spécifique,
- Créer une page pour permettre à leurs visiteurs, une fois identifiés, de consulter et de modifier
leurs dossiers de pré-inscriptions.
- Restituer à la demande l’intégralité des données collectées par un client, ou bien les supprimer
physiquement et donc définitivement.
- Notifier toute violation de leurs données à leurs clients grâce à un système de messagerie et de
notification mobile.
Pour l’hébergement :
Nous avons choisi comme hébergeur Amazon AWS, en ciblant uniquement les centres de
données situés en Europe et plus précisément à Paris, pour garantir que les données que nous
collectons restent physiquement sur le territoire Européen.
Cet hébergeur a les certifications suivantes :
CSA / ISO 9001 / ISO 27001 / ISO 27017 / ISO 27018 / SOC 1 / SOC 2 / SOC 3
Nous chiffrons le support de stockage sur lequel les données que nous collectons sont stockées
en utilisant l’algorithme de chiffrement AES-256 sur les serveurs qui héberge vos données.
Nous avons mis en place une politique d’enregistrement applicative pour détecter et tracer
toute tentative d’intrusion dans notre architecture applicative grâce aux enregistrements :
- applicatifs pour tout ce qui se passe dans le code de l’application, autant sur les appels HTTP
que sur les services asynchrones, avec un niveau de verbosité complet (Information, debug,
alerte, erreur, critique).
- du trafic HTTP pour savoir ce qui s’est passé côté utilisateur pour pouvoir identifier facilement
une requête lente.
- du trafic de base de données sur le serveur, pouvoir savoir quels appels génèrent des soucis
de performance ou des intrusions.
- des données sur ce que font les utilisateurs, qui a modifié quoi et quand.
Cela nous permet d’être conformes aux tests CIS de niveau 1 et de niveau 2.
Le CIS ayant défini une liste exhaustive de points de sécurité à surveiller.
L’ensemble des échanges de données avec l’application est sécurisé en SHA-256 avec
chiffrement RSA grâce à la mise en place d’un certificat SSL.
En complément de cela, en cas de nouvelle faille découverte par l’hébergeur sur la technologie
SSL, notre système est corrigé et mis à jour automatiquement.
De plus, nous avons mis en place un système de protection contre les injections SQL, la CSRF et
les failles XSS. Cela est complété par un système de protection contre les attaques DDOS.
Pour le développement :
‘meeko’ est construit en respectant l’état de l’art en terme de sécurité applicative. Ainsi nous
avons conçu un produit Privacy by Design.
Nous pensons chaque étape de notre développement afin de garantir une protection maximale
contre les attaques externes.
Notre expertise en sécurité nous permet de développer l’application en analysant chaque détail et
points sensibles des services proposés.
Nous apportons un soin tout particulier à tester chaque fonctionnalité que nous réalisons afin de
nous assurer qu’aucune faille n’est présente.
Notre application est en constante évolution, c’est pourquoi nous réalisons des tests automatisés,
afin de s’assurer qu’en cas de mise à jour du système, la sécurité reste à son maximum.
Nous sommes en mesure d’effectuer une destruction physique de l’intégralité des données d’un
client (données + sauvegarde) sur simple demande.
Pour les alertes & l’assistance :
Nous avons mis en place un système d’alerte nous permettant de notifier à nos clients toute
violation de leurs données par mail et par la messagerie instantanée présente sur la plateforme.
En complément et afin de sécuriser au mieux l’accès à la plateforme Meeko, nous avons mis en
place un système de détection de tentative de connexion suspecte sur les comptes de nos
clients.
Ainsi nous bloquons l’accès au compte client si une tentative de connexion au compte client
meeko est détectée et que nous n'étions pas sûrs qu'il s'agissait vraiment de notre client.
Nous envoyons alors un e-mail automatique avec le détail de la tentative de connexion lorsque
nous remarquons une activité de connexion inhabituelle.
Avec l’application de ces mesures, les clients ‘meeko’ s’assurent ainsi de leur conformité au
RGPD sur les aspects relatifs à leur sous-traitant.
En espérant avoir répondu à l’ensemble de votre demande et en restant à votre entière disposition
pour tout complément d’information.