Conformité RGPD - Base documentaire

Conformité RGPD - Base documentaire

La mise en conformité avec le Règlement Général sur la Protection des Données (RGPD) est un pilier essentiel de notre engagement envers la sécurité et la confidentialité des données au sein de Magnétis.

Cette base documentaire a été conçue pour fournir une vue d'ensemble transparente et détaillée des documents, procédures et actions mises en œuvre pour garantir notre conformité au RGPD. De la collecte minutieuse des données à leur traitement sécurisé, chaque aspect de notre démarche est documenté pour refléter notre dévouement à protéger les informations personnelles de nos clients et utilisateurs.

Par la mise à disposition de cet article, Magnétis souligne son engagement à instaurer une culture de la protection des données, en assurant une gestion responsable et conforme aux standards européens les plus stricts.

1. Registre des activités de traitement

Ce document est central pour la conformité RGPD. Il répertorie toutes les activités de traitement de données personnelles effectuées par Magnétis, y compris les finalités du traitement, les catégories de données traitées, et les destinataires des données.
Les activités de traitement sont listées dans le tableau ci-dessous. Chaque traitement dispose également d'une fiche détaillée interne à Magnetis.

Identification du traitementFinalité du traitementDonnées sensibles ?
Nom du traitementN° / RÉFDate de création de la ficheDernière mise à jour de la ficheOui/non
Gestion des comptes clients MagnétisFR-00110/5/201818/1/2024Gestion des clients, Collecte des coordonnées des entreprises clientes (B2B) et du responsable de l'entrepriseNon
Gestion des sous-comptes clientsFR-00210/5/201818/1/2024Gestion des sous-comptes clients créés par les clients en réseau et clients partenaires (agences de communication, cabinet de conseil). Organisation des données par cloisonnementNon
Gestion des accès à la plateforme MagnétisFR-00310/5/201818/1/2024Gestion des accès aux comptes clients et sous comptes clientsNon
Gestion des données d'appel téléphoniques transférésFR-00410/5/201818/1/2024Gestion des statistiques, Collecte des données d'appels entrants sur les numéros trackés mis à disposition des clients. Elaboration du journal d'appels. Elaboration des statistiques globales (volumes) par support de communicationNon
Gestion du module webFR-00510/5/201818/1/2024Gestion du module web permettant l'affichage des numéros trackés en fonction du canal d'origine du visiteur web ou du visiteur individualiséNon
Gestion de la facturationFR-00610/5/201818/1/2024Gestion de la facturation, envoi des factures (email), suivi des soldes de paiement clients, relancesNon
Gestion des prospectsFR-00710/5/201818/1/2024Gestion des prospects, suivi des évènements relationnels (meeting, échanges téléphoniques et email)Non
Gestion des paiementsFR-00812/3/201918/1/2024Gestion des paiements en ligne, débits sur cartes bancaires et mandat SEPANon
Gestion de l'email trackingFR-00912/3/201918/1/2024Gestion des statistiques, Collecte des emails reçu unitaire et consultation des statistiques de volume par canaux de communicationNon
Gestion du support techniqueFR-01029/11/201918/1/2024Gestion du support technique, suivi de l'onboarding client, aide à l'installation et au paramétrageNon
Enregistrement des conversations téléphoniquesFR-01112/12/201918/1/2024Collecte des enregistrements des conversations téléphoniques, consultation des fichiers audioNon
Gestion de la paie et RHFR-01212/12/201918/1/2024Gestion de la paie, Calcul des rémunérations, Calcul du montant des versements adressés aux organismes sociauxNon
Gestion des envois de SMS sur appelsFR-01312/9/202329/3/2024Gestion des numéros de téléphone, des évènements réseau et des évènements de clicNon
Gestion des landing pages avec formulaireFR-01412/9/202329/3/2024Gestion du consentement, des données collectées et de la notification de réceptionNon

2. Politique de confidentialité

Notre politique de confidentialité est disponible au lien suivant, expliquant comment Magnétis collecte, utilise, et protège les données personnelles des individus et de ses utilisateurs : Politique de confidentialité Magnétis [https://www.magnetis.fr/politique-de-confidentialite/]

Les Conditions Générales d'Utilisation (CGU), bien qu'étant principalement orientées vers la définition des termes d'utilisation d'un service ou d'un produit, jouent un rôle significatif dans le cadre du RGPD : Conditions générales d'utilisation du service [https://app.magnetis.fr/console/assets/cgv/cgv-cgu-magnetis.pdf]

3. Notices d'information

Ces éléments informent les individus au moment de la collecte de leurs données personnelles sur l'utilisation qui sera faite de ces données, sur la base juridique du traitement, et sur leurs droits en vertu du RGPD.
La collecte de données commerciales et de prospection se fait via nos formulaires produits et nos formulaires de contact sur notre site internet www.magnetis.fr : 
  1. Demande de lien de démonstration : Magnetis (Finesime SARL) traite vos données à caractère personnel afin de vous permettre d’obtenir une démo de notre plateforme de call-tracking et des informations sur nos solutions. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, veuillez-vous reporter à notre Politique de confidentialité
  2. Téléchargement de livres blancs et tarification : Magnetis (Finesime SARL) traite vos données à caractère personnel afin de nous permettre de vous envoyer des informations, notamment tarifaires, concernant notre plateforme de call-tracking et les services proposés. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, veuillez-vous reporter à notre Politique de confidentialité
  3. Formulaire de contact : Magnetis (Finesime SARL) traite vos données à caractère personnel afin de nous permettre de vous recontacter et répondre à vos questions. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, veuillez-vous reporter à notre Politique de confidentialité
Lors de la souscription d'un utilisateur à notre plateforme de call-tracking via le lien https://app.magnetis.io/register, l'acception des conditions générales d'utilisation du service permet de confirmer l'information et l'acceptation par nos clients de la clarification des rôles et responsabilités, de l'information sur le traitement des données, des droits des utilisateurs, de la sécurité des données, du consentement dans l'utilisation de certains services, et de la logique de modifications et mises à jour de ces conditions.

Dans le cadre de notre service d'alerte par SMS avec landing page de contact (SMS/LP), des conditions particulières s'appliquent lors de la collecte des informations de contact auprès des appelants. Vous pouvez retrouver ces éléments dans l'article dédié Conformité de la fonctionnalité SMS/LP [https://support.magnetis.io/portal/fr/kb/articles/conformite-fonctionnalite-sms-lp]

4. Contrats de traitement de données

Lorsque nous faisons appel à des sous-traitants pour traiter des données personnelles en notre nom, nous nous assurons que ces relations sont régies par des contrats spécifiant les obligations en matière de protection des données de chaque partie.

Nous disposons de contrats de traitement de données (ou Data Processing Addendum (DPA)) avec nos sous-traitants :
  1. fournisseurs d'infrastructure informatique et fournisseur Cloud
  2. fournisseurs de téléphonie
  3. fournisseurs de solution de gestion de nos données d'entreprise, et en particulier notre suite CRM, de stockage en ligne et de messagerie email
  4. fournisseurs d'envoi de SMS
  5. fournisseurs de solution de paiement en ligne
  6. partenaires avec lesquels nous échangeons des données par l'intermédiaire de flux ou de SFTP
Nous veillons à ce que les avenants de traitement des données couvrent les points suivants : 
  1. Conformité au RGPD : Que les traitements de données sont en pleine conformité avec les exigences du RGPD. Cela inclut la sécurisation des données, la limitation de leur traitement à ce qui est explicitement autorisé par le responsable du traitement, et la garantie de droits suffisants pour les personnes concernées.
  2. Clarification des Responsabilités : L'avenant définit clairement les responsabilités et les obligations de chaque partie en matière de protection des données, réduisant ainsi les risques de malentendus et augmentant la transparence du traitement des données.
  3. Mesures de Sécurité : Il détaille les mesures techniques et organisationnelles spécifiques que le sous-traitant doit mettre en place pour protéger les données personnelles contre les accès non autorisés, les pertes ou les divulgations.
  4. Gestion des Violations de Données : Que les dispositions sur la manière dont les violations de données sont gérées et communiquées, y compris les obligations de notification envers les autorités de contrôle et, le cas échéant, envers les personnes concernées.
  5. Sous-traitance : Il précise les conditions sous lesquelles le sous-traitant est autorisé à engager des sous-traitants supplémentaires et les obligations associées à ce processus.
  6. Transferts Internationaux : Lorsque les données personnelles sont transférées en dehors de l'Espace Économique Européen, l'avenant doit s'assurer que ces transferts respectent les conditions strictes du RGPD pour le transfert de données à l'international.

5. Consentement lors de l'utilisation du service de call-tracking

Dans le cadre de notre service de call-tracking, les activités de traitement de données personnelles réalisées par notre entreprise ne sont pas systématiquement soumises à l'obtention du consentement des personnes concernées, conformément au Règlement Général sur la Protection des Données (RGPD).
En effet, le RGPD reconnaît plusieurs bases légales autorisant le traitement des données personnelles en dehors du consentement. Pour le fonctionnement de notre service de call-tracking standard, nous nous appuyons principalement sur la base légale des intérêts légitimes poursuivis par notre entreprise ou par nos clients. Cette approche est justifiée par le besoin d'analyser les interactions téléphoniques afin d'améliorer la qualité de services, d'optimiser les stratégies de communication et de fournir un support client efficace. Nous veillons à ce que l'évaluation des intérêts légitimes soit méticuleusement réalisée pour s'assurer qu'ils ne soient pas supplantés par les droits et libertés des personnes concernées, conformément aux exigences du RGPD.

Cependant, l'utilisation du module de call-tracking avec suivi du parcours visiteur installé sur le site Internet implique la mise en place d'outils de consentement des visiteurs. 

Le module utilise le cookie suivant : 
NomDescriptionDurée
mgt_visitorCookie Magnétis. Ce cookie est un identifiant visiteur unique. Amélioration de la performance du site, personnalisation de l'expérience utilisateur et optimisation des contenus et publicités30 jours

Le Local Storage est également utilisé afin de stocker les informations suivantes :
L'élément utilisé est nommé mgt_session, de type Objet avec :
  1. Condition : chaine de caractères unique correspond à la condition de trafic référencé dans la configuration du module de call-tracking
  2. Landing : page d’entrée du visiteur lors de sa première visite sur le site (suivi en first entry). Si paramètre du module est sur last_entry, alors il s’agit de la page d’entrée du visiteur lors de sa dernière visite sur le site
  3. Last_action : horodatage de la dernière page visitée
  4. Last_url : url de la dernière page visitée
  5. Referrer : Adresse du site d’origine du visiteur par lequel il est arrivé sur le site. Par défaut, direct.
  6. Source : condition de trafic interne Magnetis
  7. To_swap : tableau contenant les numéros à remplacer sur le site et les numéros trackés correspondants
  8. Tracking_ids (**) : ID de suivi externes présents sur la première page d’entrée sur le site (en paramétrage first_entry), ou la dernière page d’entrée sur le site (en last_entry). ID par défaut : gclid (Google), gbraid (Google), wbraid (Google), fbclid (Facebook), msclkid (Microsoft), valueTracks (Google), _ga (Google), _pk_id (Matomo) ou paramétrage sur mesure (collecte de cookies, variables d’url, local storage, de console (window.xxx))
Plusieurs niveaux de collecte sont disponibles dans le paramétrage du module Magnétis. En fonction du mode de suivi sélectionné, différents types de données sont stockées et collectées. Ci-dessous un tableau de synthèse de ces éléments : 

Modes

Type de suivi

Cookie / Local Storage / Consentement

Collecte de données

Disponibilité (G2 = par source de trafic, G3 = parcours visiteur)

Approche probabiliste disponible en option (***)

Invisible

Permet le remplacement des numéros sans condition d’origine de trafic

Aucun / Aucun / Non

Aucun

Module G2

Non

Rotation

Permet le remplacement des numéros avec condition d’origine de trafic, de page d’entrée et des pages vues

Oui / Oui / Optionnel

Aucun

Module G2

Oui

Origine

Permet le remplacement des numéros avec condition d’origine de trafic, de page d’entrée et des pages vues. Collecte des entrées sur le site

Oui / Oui / Oui

Id visiteur

Pages d’entrées sur le site

Referrer

TrackingIds (**) si présents

Module G2 & G3 

Oui

Trafic

Permet le remplacement des numéros avec condition d’origine de trafic, de page d’entrée et des pages vues. Collecte des entrées sur le site et du nombre de pages vues.

Oui / Oui / Oui

Id visiteur

Pages d’entrées sur le site

Referrer

TrackingIds (**) si présents

Nombre de pages vues (compteur)

Module G2 & G3

Oui

Parcours

Permet le remplacement des numéros avec condition d’origine de trafic, de page d’entrée et des pages vues. Collecte de toutes les pages vues.

Oui / Oui / Oui

Id visiteur

Pages d’entrées sur le site

Referrer

TrackingIds (**) si présents

Détails de chaque page vue

Module G2 & G3

Oui


A partir du mode de collecte Origine, le consentement doit être obtenu dans le respect des lignes directrices du 4 juillet 2019 ajustées pour tenir compte de la décision du Conseil d’État du 19 juin 2020.
Nous vous recommandons l'ajout dans votre politique de confidentialité d'un paragraphe dédié aux traitements pré et post appels (croisement avec des outils tiers, utilisation du numéro de l'appelant...). Vous pouvez solliciter votre account manager pour qu'il vous fournisse les mentions types que nous utilisons avec nos clients.
Pour faciliter le recueil, la gestion et la justification du consentement, nous vous recommandons les outils dédiés :
  1. Piwik Pro - https://piwikpro.fr/gdpr-consent-manager/
  2. Axeptio - https://www.axeptio.eu/fr/home
  3. Didomi - https://www.didomi.io/fr/
  4. Tarte au citron - https://tarteaucitron.io/fr/
En plus de l'ajout du cookie mgt_visitor dans la liste de vos cookies sur site (voir tableau ci-dessus), voici un exemple de paragraphe à personnaliser pour votre politique de confidentialité : 
Info
Nous utilisons des cookies de suivi pour analyser le trafic sur notre site web et améliorer la qualité de nos services. Ces cookies collectent des informations telles que :
  1. Le site d'origine de la visite (referrer)
  2. Les pages visitées
Ces données nous aident à améliorer la performance de notre site, à personnaliser votre expérience utilisateur et à adapter nos contenus et publicités en fonction de vos préférences.

Approche probabiliste (***) : l’approche probabiliste permet le suivi sans utilisation du cookie et du local storage. Cette fonctionnalité peut-être utilisée de façon générale ou dans le cas de non acceptation du consentement par le visiteur. Elle est paramétrable via l’interface de call-tracking Magnetis.
Elle permet un suivi probabiliste du visiteur, avec un fonctionnement du module de call-tracking, mais sans identification unique du visiteur. Elle est donc moins précise que l’approche par cookie/local storage mais propose une solution alternative efficace.

6. Documentation sur la sécurité des données

Afin d'assurer le bon fonctionnement de ses services et leur maintient opérationnel, Magnétis a mis en place les actions ou outils suivants : 
  1. Hébergement des Données à caractère personnel sur des serveurs situés au sein de l’Union européenne sur le sol d’un pays membre ;
  2. Sensibilisation des membres de son personnel amenés à traiter les Données des Personnes Concernées notamment par l’intermédiaire d’une Charte relative à l’utilisation des données et des ressources informatiques de l’entreprise ;
  3. Dispositifs d’authentification des utilisateurs avec accès personnel et sécurisé via des identifiants et mots de passe robustes, confidentiels et fréquemment modifiés ;
  4. Procédure de gestion des habilitations (définition et revue des profils d’habilitations selon le profil des utilisateurs de son système d’information, suppression des accès obsolètes) ;
  5. Dispositifs de traçage des accès, journalisation des connexions, gestion des incidents et le cas échéant chiffrement de certaines Données à caractère personnel ;
  6. Mise en œuvre régulière d’audits internes et le cas échéant tests de pénétration différenciés permettant de contrôler et évaluer l’efficacité des mesures de sécurité mises en place ;
  7. Sécurisation physique des locaux (codes, clés et badges d’accès) et des postes de travail (verrouillage automatique des sessions, antivirus et pare-feu).
  8. Un chiffrement des outils de stockage dans la Cloud et sur les machines
  9. Un chiffrement systématique des échanges web (https)
  10. Une centralisation de la gestion des antivirus, surveillance malware et des mises à jour systèmes
  11. Des outils de sauvegardes et de restauration en ligne (XTS-AES 256-bit) et hors ligne (avec authentification matérielle à 7 chiffres)
  12. Un plan de sauvegarde automatisé et basé sur des politiques
  13. Un Plan de Continuité d'Activitié
  14. Un plan de formation continu des équipes aux risques cybers et à la gestion des données
  15. Une assurance Cyber Risques
Ces éléments font l'objet de documentations internes détaillées.

7. Registre des violations de données personnelles

Le registre est structuré pour contenir les détails de toute violation de données personnelles, y compris les effets et les mesures correctives prises. Il est crucial non seulement pour la gestion interne mais aussi pour les obligations de notification aux autorités de contrôle.
En cas de Violation de données, Magnetis s’engage à notifier la CNIL dans les conditions prescrites par la Règlementation Applicable et, si ladite violation fait peser un risque élevé sur les Personnes Concernées, à les en aviser et à leur communiquer le cas échant les informations et recommandations nécessaires. La notification se fera via le service en ligne dédié https://notifications.cnil.fr/notifications/

En interne, la documentation de toute violation de données personnelles est structurée en fonction des points suivants :
  1. la nature de la violation
  2. si possible, les catégories et le nombre approximatif de personnes concernées par la violation
  3. les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  4. décrire les conséquences probables de la violation de données ;
  5. décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
Le registre de violation est actuellement vierge.

8. Procédures pour les droits des personnes concernées

Magnétis a mis en place des procédures pour permettre aux individus d'exercer leurs droits en vertu du RGPD, tels que le droit d'accès, de rectification, d'effacement, et de portabilité des données.

Toute personne directement ou indirectement utilisatrice du service de call-tracking peut notifier sa demande via le formulaire suivant : https://www.magnetis.fr/formulaire-acces-donnees/

Magnétis s'engage, en se basant sur les recommandations de la CNIL, à répondre dans un délai maximal d'un mois à compter de la date de réception de la demande.

9. Analyse d'impact relative à la protection des données (AIPD)

Notre service de call-tracking a été conçu et mis en œuvre avec une attention particulière à la protection de la vie privée et à la sécurité des données, en respectant scrupuleusement les principes du RGPD.

Après une évaluation approfondie de nos processus de traitement des données, nous sommes arrivés à la conclusion qu'une Analyse d'Impact sur la Protection des Données (AIPD) n'est pas nécessaire dans notre cas. Cette décision repose sur le constat que nos activités de traitement ne présentent pas de risque élevé pour les droits et libertés des personnes concernées. En effet, les données traitées dans le cadre de notre service de call-tracking sont limitées à des informations essentiellement techniques et ne comportent pas de données sensibles ou susceptibles d'engendrer un risque pour la vie privée des individus.

De plus, nos mesures de sécurité et nos pratiques de confidentialité assurent une protection efficace contre tout accès non autorisé ou toute utilisation abusive des données. En conséquence, conformément aux lignes directrices du RGPD, nous estimons que notre approche proportionnée et notre évaluation des risques justifient l'absence de nécessité de réaliser une AIPD pour notre service

10. Politique de conservation des données

Cette politique définit la durée de conservation des différentes catégories de données personnelles, en alignement avec les obligations légales et les besoins opérationnels. La gestion des délais de conservation est automatisée et journalière.
Les principaux traitement en place pour la conservation des données sont :
Données concernéesDélai de conservationPersonnalisableImpact en base de données applicativeImpact en stockage matériel
Ensemble des données d'application, de gestion commerciale et de prospection3 ans suite à dernière utilisation/sollicitationNonOuiOui
Fichiers CSV - Liste des appels manqués7 joursNonNonOui
Fichiers CSV - Rapport de synthèse7 joursNonNonOui
Extraction SFTP25 jours par défautOuiNonOui
Audios recording25 jours par défautOuiNonOui
Audios voicemail25 jours par défautOuiNonOui
Logs APIEn base de données : 25 derniers calls par clé puis stockage disqueNonOuiOui
Logs webhookEn base de données : 25 derniers calls par clé puis stockage disqueNonOuiOui
Module Evenements VisiteurEn base de données : 30 jours par défaut, en fonction de la durée du cookie définie par le clientOuiOuiNon
Email-tracking25 jours par defaut si collecte de contenu activéeOuiOuiOui

11. Evaluation du niveau de sécurité des données personnelles

L'évaluation globale du niveau de sécurité des données personnelles se fait en suivant le Guide de la sécurité des données personnelles communiqué par la CNIL et sur la base des guidelines de la norme 27001.
Une synthèse des statuts de traitement de chacun des points est disponible dans le tableau ci-dessous : 

FichesMesuresEtat
1
Piloter la sécurité des données
Faire de la sécurité un enjeu partagé et porté par l’équipe dirigeanteFinalisé
Évaluer régulièrement l’efficacité des mesures de sécurité mises en œuvre et adopter une démarche d’amélioration continueFinalisé
2
Définir un cadre pour les utilisateurs
Rédiger une charte informatique comprenant les modalités d’utilisation des systèmes informatiques, les règles de sécurité et les moyens d’administration en placeFinalisé
Donner une force contraignante à la charte et y rappeler les sanctions encourues en cas de non-respectFinalisé
3
Impliquer et former les utilisateurs
Sensibiliser les personnes manipulant les donnéesFinalisé
Adapter le contenu des sensibilisations à la population ciblée et à leurs tâchesFinalisé
4
Authentifier
les utilisateurs
Octroyer un identifiant (« login ») unique à chaque utilisateurFinalisé
Adopter une politique de mot de passe conforme aux recommandations de la CNILFinalisé
Obliger l’utilisateur à changer le mot de passe attribué automatiquement ou par un administrateurEn cours d'optimisation
5
Gérer les habilitations
Définir des profils d’habilitationFinalisé
Supprimer les permissions d’accès obsolètesFinalisé
Réaliser une revue annuelle des habilitationsFinalisé
6
Sécuriser
les postes de travail
Prévoir une procédure de verrouillage automatique de sessionFinalisé
Installer et configurer un pare-feu logiciel / firewallFinalisé
Utiliser des antivirus régulièrement mis à jourFinalisé
Recueillir l’accord de l’utilisateur avant toute intervention sur son posteFinalisé
7
Sécuriser
l’informatique
mobile
Sensibiliser les utilisateurs aux risques spécifiques du nomadismeFinalisé
Prévoir des moyens de chiffrement des équipements mobilesFinalisé
Exiger un secret pour le déverrouillage des smartphonesFinalisé
8
Protéger
le réseau
informatique
Limiter les flux réseau au strict nécessaireFinalisé
Sécuriser les réseaux Wi-Fi, notamment en mettant en œuvre le protocole WPA3Finalisé
Sécuriser les accès distants des appareils informatiques nomades par VPNFinalisé
Cloisonner le réseau, entre autres en mettant en place une DMZ (zone démilitarisée)En cours d'optimisation
9
Sécuriser les
serveurs
Désinstaller ou désactiver les services et interfaces inutilesFinalisé
Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitéesFinalisé
Installer sans délai les mises à jour critiques après les avoir testées le cas échéantFinalisé
10
Sécuriser
les sites web
Sécuriser les flux d’échange des donnéesFinalisé
Vérifier qu'aucun secret ou donnée personnelle ne passe par les URLFinalisé
Contrôler que les entrées des utilisateurs correspondent à ce qui est attenduFinalisé
11
Encadrer
les développements
informatiques
Prendre en compte la protection des données personnelles dès la conceptionFinalisé
Proposer des paramètres respectueux de la vie privée par défautFinalisé
Réaliser des tests complets avant la mise à disposition ou la mise à jour d’un produitEn cours d'optimisation
Utiliser des données fictives ou anonymisées pour le développement et les testsFinalisé
12
Protéger
les locaux
Restreindre les accès aux locaux au moyen de portes verrouilléesFinalisé
Installer des alarmes anti-intrusion et les vérifier périodiquementFinalisé
13
Sécuriser
les échanges avec
l’extérieur
Chiffrer les données avant leur envoiFinalisé
S'assurer qu'il s'agit du bon destinataireFinalisé
Transmettre le secret lors d'un envoi distinct et via un canal différentFinalisé
14
Gérer
la sous-traitance
Prévoir des clauses spécifiques dans les contrats des sous-traitantsFinalisé
Prévoir les conditions de restitution et de destruction des donnéesFinalisé
S'assurer de l'effectivité des garanties prévues (ex. : audits de sécurité, visites)Finalisé
15
Encadrer la maintenance et la fin
de vie des matériels et des logiciels
Enregistrer les interventions de maintenance dans une main couranteFinalisé
Encadrer les interventions de tiers par un responsable de l'organismeFinalisé
Effacer les données de tout matériel avant sa mise au rebutFinalisé
16
Tracer
les opérations
Prévoir un système de journalisationFinalisé
Informer les utilisateurs de la mise en place du système de journalisationFinalisé
Protéger les équipements de journalisation et les informations journaliséesFinalisé
Analyser régulièrement les traces pour détecter la survenue d’un incidentFinalisé
17
Sauvegarder
Effectuer des sauvegardes régulièresFinalisé
Protéger les sauvegardes, autant pendant leur stockage que leur convoyageFinalisé
Tester régulièrement la restauration des sauvegardes et leur intégritéEn cours de mise en place
18
Prévoir la continuité
et la reprise d’activité
Prévoir un plan de continuité et de reprise d’activitéFinalisé
Effectuer des exercices régulièrementEn cours de mise en place
19
Gérer les incidents
et les violations
Traiter les alertes remontées par le système de journalisationFinalisé
Prévoir les procédures et les responsabilités internes pour la gestion des incidents, dont la procédure
de notification aux régulateurs des violations de données personnelles		Finalisé
20
Analyse de risques
Mener une analyse de risques, même minimale, sur les traitements de données envisagésEn cours d'optimisation
Suivre au cours du temps l’avancement du plan d’action décidé à l’issue de l’analyse de risquesEn cours d'optimisation
Revoir régulièrement l’analyse de risquesEn cours d'optimisation
21
Chiffrement, hachage, signature
Utiliser des algorithmes, des logiciels et des bibliothèques reconnues et sécuriséesFinalisé
Conserver les secrets et les clés cryptographiques de manière sécuriséeFinalisé
22
Cloud : Informatique en nuage
Inclure les services cloud dans l’analyse de risquesFinalisé
Évaluer la sécurité mise en place par le fournisseurFinalisé
Veiller à la répartition des responsabilités de sécurité dans le contratFinalisé
Assurer le même niveau de sécurité dans le cloud que sur siteFinalisé
23
Applications
mobiles :
Conception
et développement
Prendre en compte les spécificités de l’environnement mobile pour réduire les données personnelles
collectées et limiter les permissions demandées
Encapsuler les communications dans un canal TLS
Utiliser les suites cryptographiques du système d’exploitation et les protections matérielles des secrets
24
Intelligence artificielle :
Conception et apprentissage
Adopter les bonnes pratiques de sécurité applicables au développement informatiqueEn cours de mise en place
Veiller à la qualité et l'intégrité des données utilisées pour l'apprentissage et l'inférenceEn cours de mise en place
Documenter le fonctionnement et les limitations du systèmeEn cours de mise en place
25
API : Interfaces de programmation applicative
Organiser et documenter la sécurité des accès aux API et aux donnéesFinalisé
Limiter le partage des données uniquement aux personnes et aux finalités prévuesFinalisé

12. Contact DPO 

Pour toute information complémentaire, vous pouvez adresser vos demandes via les coordonnées ci-dessous ou par l'intermédiaire de l'équipe Magnétis.
  1. Par courrier : Magnetis – Demande RGPD – 47 rue de Bitche, 92400 Courbevoie, France


    • Related Articles

    • RGPD et mon compte de call-tracking. Règles et paramétrage.

      L’entrée en vigueur du Réglement Général sur la Protection des Données (RGPD) le 25 mai 2018 a renforcé les règles de traitement et de gestion des données à caractère personnel. Dans notre activité d'exploitation de l'outil de Call-tracking Magnétis, ...

    • Conformité de la fonctionnalité SMS/LP

      Contexte technique Magnétis met à disposition de ses clients une plateforme en ligne de « call tracking », qui permet de déterminer l’origine des appels téléphoniques reçus ou émis passant par la mise à disposition de numéros de téléphone trackés et ...

    • Module de call-tracking - Paramètres

      Cet onglet, le plus à droite dans l'interface de gestion de votre module, vous permet de gérer les paramètres généraux et avancés de celui-ci. Les paramètres généraux Adresse url de votre site Ce champs vous permet de spécifier le site sur lequel ...

    • GDPR compliance

      Achieving compliance with the General Data Protection Regulation (GDPR) is a cornerstone of our commitment to data security and confidentiality at Magnétis. This documentary base has been crafted to offer a transparent and detailed overview of the ...

    • Comment mettre en place la redirection des appels ?

      Activer la redirection des appels Lorsque vous utilisez le call-tracking, vous pouvez avoir besoin de rediriger vos appels vers un autre numéro. Pour cela, il vous faudra créer un calendrier de redirection des appels. Vous pouvez rediriger vos ...