Comment ONLYOFFICE se conforme au RGPD

La sécurité des données de nos utilisateurs a toujours été l’une de nos principales priorités, et nous avons entièrement adapté notre politique de sécurité des données aux normes du RGPD, la nouvelle loi sur la protection des données qui entre en vigueur le 25 mai.

Découvrez les mesures prises par ONLYOFFICE pour répondre à ses exigences.

Adopté par le Parlement européen en avril 2016, le règlement général sur la protection des données (RGPD) vise à protéger les personnes contre les atteintes à la vie privée et les atteintes à la protection des données. Il précise la manière légale de traiter les données personnelles pour les entreprises qui travaillent avec les résidents de l’UE.

Les grands principes :
 

• Les entreprises pratiquent le minimalisme des données et ne recueillent que les données absolument nécessaires à l’accomplissement de leurs tâches.
• Les données ne sont utilisées que de manière légale et transparente, les personnes concernées étant informées des données à caractère personnel qui sont traitées, de la manière dont elles le sont et à quelles fins
• Les personnes ont le droit d’accéder à leurs propres données personnelles, d’en demander une copie et que leurs données soient mises à jour, supprimées, restreintes ou transférées à une autre organisation.
• Les compagnies doivent mettre en œuvre des mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au risque.

Lisez le texte intégral de l’acte juridique ici.

La loi décrit deux types de sociétés traitant des données personnelles :
 

• Les contrôleurs de données déterminent les finalités pour lesquelles les données personnelles sont traitées et la manière dont elles le sont.
• Les processeurs de données traitent les données personnelles pour le compte du contrôleur de données pour, par exemple, les stocker ou les analyser.

Nous agissons à la fois comme contrôleur de données et comme processeur de données. Par exemple, lorsque vous introduisez des informations sur vos clients dans notre système CRM, vous agissez en tant que contrôleur de données, et nous sommes un processeur de données pour vous. Mais nous devenons également contrôleur de données lorsque nous vous fournissons des services et que nous utilisons vos données personnelles. Il est donc important pour nous d’assurer notre propre conformité et de faciliter votre conformité en tant que responsable du traitement des données.

Nous nous engageons à nous conformer à la nouvelle législation. Voici la liste des mesures que nous avons prises pour y parvenir :

Mises à jour des accords juridiques

Nous avons examiné nos accords juridiques, – les Conditions générales, Déclarations de confidentialité et tous les accords de licence – et nous avons apporté tous les changements nécessaires pour nous conformer à la législation. Les améliorations portent sur le consentement des utilisateurs au traitement de leurs données personnelles. L’utilisation des données personnelles à des fins de marketing est également simplifiée – et nous recueillons maintenant un consentement univoque uniquement pour recevoir nos communications promotionnelles.

Tous les accords se trouvent dans la section Mentions légales.

Nomination d’un délégué à la protection des données (DPD)

Ayant une expertise en matière de protection des données et de droit, Timur Shugaev, notre directeur en Lettonie, a commencé à agir en tant que DPD responsable du respect de la protection des données au sein de notre société et de la communication avec les autorités de surveillance du RGPD. Vous pouvez entrer en contact avec lui en utilisant cet email.

Ajustements de la gestion des données

Nous avons cartographié et analysé tous nos systèmes liés au stockage et au traitement des données personnelles. Nous avons déjà mis en place des mesures de sécurité avancées, mais il était important pour nous de mettre en place des procédures afin que nos utilisateurs puissent réaliser leurs droits garantis par le RGPD, y compris :
 

• Le droit à l’accès aux données. Vous pouvez demander l’accès aux données personnelles stockées par ONLYOFFICE ainsi que des informations sur la manière dont elles sont traitées, et nous vous les fournirons au format électronique.
• Le droit à l’information. Nous vous informerons des données que nous traitons et s’il y a des sous-processeurs.
• Le droit à l’oubli. Nous supprimerons toutes vos données si vous ne souhaitez pas qu’elles soient traitées. Par exemple, si vous utilisez ONLYOFFICE dans le cloud, allez à Paramètres de gestion des données et appuyez sur Supprimer pour supprimer définitivement votre portail. Pour supprimer votre ONLYOFFICE Personal, allez dans votre profil.
• Le droit d’opposition. Vous pouvez à tout moment interrompre le traitement de vos données.
• Le droit d’être informé de toute perte de données qui compromet les données personnelles d’un individu. Nous avons organisé les processus de telle sorte que, dans le cas peu probable d’une atteinte à la protection des données, nous transmettions des notifications appropriées dans les 72 heures vers nos clients et les autorités du RGPD.

Pour envoyer une demande d’accès, de rectification ou de suppression, utilisez notre système de support ou contactez-nous par e-mail support@onlyoffice.com. Notez que vous devrez passer une simple procédure d’identification.

Selon le RGPD, chaque entreprise doit mettre en place un programme de sécurité solide, et c’est déjà le cas ici, chez ONLYOFFICE. Vous pouvez faire confiance à ONLYOFFICE pour un certain nombre de raisons :

Hébergement fiable pour les solutions de cloud

Amazon a déjà confirmé que tous ses services sont prêts pour le RGPD et peuvent être mis en œuvre dans le cadre des plans de conformité d’autres entreprises. Parmi les outils offerts par Amazon, nous avons choisis ceux-ci pour nous assurer de notre conformité au RGPD :
 

• Chiffrement des données personnelles. Les fichiers sont stockés en utilisant le cryptage AES 256 bits et l’accès au portail est autorisé par le HTTP avec SSL (Secure Sockets Layer.
• Des sauvegardes régulièress permettent de restaurer l’accès aux données personnelles en cas d’incident physique ou technique. Notez que vous pouvez également effectuer des sauvegardes manuelles sur des stockages tiers et sur votre disque local.
• Des tests réguliers et une évaluation de l’efficacité des mesures techniques et organisationnelles pour garantir la confidentialité et la sécurité.

Filtrage et surveillance de l’authentification

ONLYOFFICE offre un certain nombre de fonctionnalités pour protéger vos bureaux web dans le cloud ou sur site :
 

• Authentification à deux facteurs ;
• Authentification unique via Shibboleth, OneLogin ou AD FS ;;
• Restrictions sur les domaines IP et de messagerie ;
• Historique de connexion ;
• Suivi de modifications (Audit trail).

Gestion de l’accès et prévention des fuites de données

Assurez-vous que personne n’a accès à vos données personnelles ou celles de vos clients, grâce à :
 

• Stockage local des données. ONLYOFFICE peut être exécuté sur un réseau privé. Vous trouverez ici d’autres conseils sur la façon d’assurer la sécurité de votre bureau local..
• Protection basée sur la technologie JWT contre les accès non autorisés. Cette technologie sécurise le trafic sur le portail, et garantit que les utilisateurs ne peuvent pas accéder à plus de données que ce qui leur est permis, ce qui est essentiel quand des utilisateurs externes sont invités à se connecter.
• HTTPS pour les serveurs privés. ONLYOFFICE permet de crypter votre trafic en redirigeant les portails de votre propre serveur vers le protocole HTTPS, que vous ayez déjà un certificat SSL ou non.
• Gestion des droits d’accès.  Regroupez vos utilisateurs et organisez les droits d’accès pour chaque utilisateur ou groupe afin de protéger les données personnelles de l’attention non désirée et des actions d’initiés.

Pour en savoir plus sur le programme de sécurité ONLYOFFICE, cliquez ici.

En conclusion, nous tenons à souligner que nous appuyons pleinement la loi. Nous avons toujours traité les données de nos utilisateurs avec respect et nous le ferons toujours.

Si vous avez des préoccupations concernant RGPD et ONLYOFFICE, n’hésitez pas à nous contacter à support.onlyoffice.com.