Comment ONLYOFFICE Enterprise Edition vous aide à être conforme au RGPD

Chaque entreprise qui traite des données personnelles des résidents de l’UE a déjà mis à jour sa politique de confidentialité afin de se conformer au RGPD (vous avez certainement dû voir ce sigle dernièrement dans votre boîte mail).

Nous sommes convaincus que la sécurité des données personnelles des utilisateurs est aussi importante pour vous que pour nous. Par conséquent, lisez cet article pour savoir comment ONLYOFFICE Enterprise Edition peut simplifier votre conformité et aider votre organisation à répondre aux exigences du RGPD.

Selon la nouvelle loi sur la protection des données, ONLYOFFICE agit à la fois en tant que contrôleur de données et en tant que responsable du traitement des données. Pour en savoir plus à ce sujet, lisez cet article de blog.

En travaillant avec les données personnelles de vos utilisateurs dans ONLYOFFICE, vous agissez également en tant que contrôleur de données. C’est pourquoi nous assurons non seulement notre propre conformité, mais nous vous aidons aussi à respecter le RGPD.

Le RGPD régit les droits relatifs aux données personnelles, dont le droit d’accès, de mise à jour et de suppression des informations, le droit de retirer son consentement au traitement des données personnelles, le droit de déposer une plainte auprès d’une autorité de surveillance, etc.

Nous avons déjà adapté notre politique de sécurité des données en tenant compte de ces droits. Alors, apprenez comment vous pouvez les respecter en agissant en tant qu’administrateur de portail dans ONLYOFFICE Enterprise Edition.

Droit d’accès et de mise à jour des données

En tant qu’administrateur ou utilisateur du portail, vous avez accès aux données personnelles suivantes : nom et prénom, e-mail, date de naissance, coordonnées. Vous pouvez facilement mettre à jour vos informations personnelles à tout moment sur votre page Profil. Pour changer les mots de passe et les courriels, des étapes supplémentaires sont nécessaires. Pour des raisons de sécurité, les mots de passe dans ONLYOFFICE ne sont pas affichés ou envoyés directement aux utilisateurs. Au lieu de cela, vous recevez une notification avec des instructions sur la façon de procéder à l’adresse électronique spécifiée.

Les administrateurs peuvent également modifier ces informations à la demande des utilisateurs.

Droit à l’oubli / Droit d’opposition

En tant qu’utilisateur du portail au moment de quitter l’organisation, vous pouvez supprimer définitivement votre profil et toutes les données personnelles qui y sont stockées sur la page Profil (les instructions sur la façon de le faire seront également envoyées par e-mail) ou contacter un administrateur du portail pour le faire.

Pour arrêter le traitement des données personnelles, les administrateurs peuvent désactiver les utilisateurs. Dans ce cas, le contenu créé par les utilisateurs désactivés reste sur le portail et pourra être activé à tout moment sur demande.

Ou effacer les données personnelles en supprimant définitivement :

• tous les documents personnels ;
• les fichiers de rapports CRM ;
• tous les courriels et les fichiers joints ;
• les pièces jointes de Chat.

Afin de ne pas perdre des informations importantes de l’entreprise, les administrateurs peuvent réassigner certains types de données à d’autres utilisateurs.

Droit à la notification

En cas de perte de données compromettant les données personnelles, les administrateurs doivent en informer les utilisateurs dans les 72 heures par e-mail ou par chat disponible dans ONLYOFFICE.

L’installation sur site et le code open source garantissent la transparence et la fiabilité. En exécutant ONLYOFFICE Enterprise Edition sur votre propre serveur et en conservant toutes les données en interne, vous n’avez pas besoin de traiter avec des parties externes. Vous pouvez être sûr que personne de l’extérieur n’a accès à vos données personnelles et à celles de vos utilisateurs stockées sur le portail.

De plus, ONLYOFFICE Enterprise Edition fournit aux administrateurs de portails, un ensemble d’outils et de fonctionnalités de sécurité.

Protéger les données contre le piratage informatique

Pour crypter, et donc sécuriser le trafic du portail, il faut activer le protocole HTTPS via l’interface du Panneau de configuration.

Contrôler l’accès au portail

• Pour assurer l’importation sécurisée des utilisateurs et des groupes nécessaires vers le portail, profitez des avantages de l’option LDAP  fournie par le Panneau de configuration.
• Pour minimiser le risque d’acquisition non autorisée de données de connexion, activez l’authentification via l’un des systèmes d’authentification installés, services d’authentification unique ( Shibboleth, OneLogin, ou AD FS ).
• Pour empêcher les visiteurs non désirés d’accéder à votre portail, autorisez l’enregistrement via des domaines de messagerie vérifiés uniquement et effectuez les réglages de restriction d’adresses IP.
• Pour créer des mots de passe plus forts et résistants aux attaques par force brute, déterminez les critères de complexité des mots de passe ( la longueur minimale et les types de caractères obligatoires ).
• Pour empêcher les accès non autorisés même en cas de piratage du mot de passe, activez l’option authentification à deux facteurs. Quand cette option est activée, la connexion au portail n’est possible qu’après réception et saisie d’un code d’accès par SMS.
• Pour définir une période de temps après laquelle la déconnexion automatique est effectuée, activez l’option durée de vie des cookies.

Contrôler l’accès aux données et fichiers sensibles

Protéger des données spécifiques contre toute intervention inutile :

• Différencier les niveaux d’accès au portail: invités avec des permissions de visualisation seulement, utilisateurs avec des privilèges de base et administrateurs avec des privilèges avancés.

• Configurer les droits d’accès à chaque module du portail, par exemple, restreindre l’accès à n’importe quel module pour un certain utilisateur ou un groupe d’utilisateurs.
• Gérer les droits d’accès dans les modules –  restreindre l’accès à tout contact, tâche, cas ou opportunité le rendant privé dans le module CRM, partager les documents et dossiers avec différents types de droits d’accès* dans le module Documents (Accès intégral, Révision, Lecture seule, Refuser l’accès).

* Le trafic sur votre portail est automatiquement sécurisé avec JWT (JSON Web Token). Cela protège les documents contre tout accès non autorisé, c’est pourquoi les utilisateurs ou les invités ne peuvent effectuer que certaines opérations et ne peuvent pas accéder à plus de données que ce qui leur est autorisé. 

Surveiller les comportements potentiellement frauduleux

• Révéler toute tentative d’accès non autorisé avec l’option Historique des connexions.
• Soyez au courant de toutes les actions (qui peuvent être non désirées) effectuées sur le portail avec des rapports de Piste de vérification.

Prévenir toute perte de données

• Garantir la sécurité des données privées dans le cas improbable d’une défaillance technique automatiser le processus de sauvegarde via le Panneau de configuration.

Vous trouverez plus d’instructions sur comment sécuriser ONLYOFFICE sur la page de sécurité, ou dans cet article.

Si vous avez des questions complémentaires concernant ONLYOFFICE et notre conformité au RGPD, veuillez nous contacter à l’adresse suivante support.onlyoffice.com.