Le RGPD entre vous et nous

I. Les données collectées

Elles varient en fonction des traitements qui les utilisent, mais ne dépassent jamais le cadre de la finalité annoncée.

A. En tant que client de DDO Organisation

A ce titre, et même si ce n’est pas vous, personne physique qui êtes le client final mais votre société, nous avons potentiellement en notre possession des données à caractère personnel qui vous appartiennent.

1. Les données collectées pour la facturation:

Personne Physique Personne Morale
Code interne de traitement Code interne de traitement
Civilité, nom, prénom  Civilité, nom, prénom du contact facturation
Adresse de courrier électronique Adresse de courrier électronique du contact facturation
N° de téléphone fixe  N° de téléphone du contact facturation
(N° de téléphone mobile) (N° de téléphone mobile du contact facturation)
(N° de fax) (N° de fax du contact facturation)
Adresse postale
Modalité de règlement
RIB ou n° de compte (chèque)
Détail du service souscrit
Remises
Soldes
Impayés

Ces données sont conservées dans notre système informatique de facturation tant que vous restez client chez nous.

Puis nous les conservons, toujours dans notre système de facturation, pendant 10 ans à compter de la clôture de l’exercice pendant lequel a eu lieu la dernière opération mentionnée dans notre système conformément aux exigences des articles L123-22 du code de commerce et 1316-1 du code civil.

Seules les personnes habilitées à accéder aux données comptables au sein de DDO Organisation peuvent consulter ces données lorsque cela est nécessaire à l’exécution de leurs missions. Elles sont transmises mensuellement à la société qui gère notre comptabilité.

2. Les données collectées pour la réalisation de vos projets

a. Quant aux données générales présentent dans votre Contrat avec DDO Organisation

Dans chaque contrat que vous concluez avec nous, sont mentionnés à minima:

  • le nom, le prénom, la qualité du signataire, sa société,
  • Si le contrat est conclu avec une personne physique, son adresse postale privée peut également être mentionnée,
  • La civilité, le nom, le prénom, l’adresse électronique, le téléphone fixe et/ou  portable du chef de projet, sa société,
  • La civilité, le nom, le prénom, l’adresse électronique, le téléphone fixe et/ou  portable des différents interlocuteurs quant au projet, leur société.

Ces données sont stockées dans notre logiciel de Gestion de Clientèle.

Le code interne de traitement est le même que celui utilisé pour la facturation.

Elles sont conservées pendant toute la durée du contrat correspondant afin d’assurer la bonne exécution du contrat sus-cité, puis pendant un délai de 3 ans à compter de la fin de la relation commerciale à des fins de prospection commerciale conformément aux spécification de la CNIL dans sa Norme simplifiée NS-048 du 21 Juillet 2016 .

Ces données sont exclusivement destinées aux responsables projet de DDO Organisation et de leurs équipes techniques dans le cadre de la mise en œuvre des projets auxquelles elles font référence. Elles peuvent être toutefois partagées entre les différentes équipes pour permettre le bon déroulement d’une procédure ou une gestion du projet sans discontinuité.

Ces données ne sont pas transmises à des tiers, sauf  dans certains cas particuliers mentionnés ci-dessous en b.

b. Quant aux données spécifiques à votre projet

Dans cette section nous verrons qu’il est possible que nous ayons à traiter des données à caractère personnel qui vont au delà de la simple identité des personnes identifiées au contrat.

Nous verrons également qu’il est tout aussi possible que ces données soient transmises à des tiers partenaires.

Dans tous les cas les données dont nous parlons ici sont directement liées au type de service que vous commandez chez nous.

De fait, elles sont stockées dans notre logiciel de gestion des produits et services. Ce logiciel est développé par nos soins, toutes les informations ne sont pas encore en consultation publique (ie par vous avec un code et un mot de passe bien entendu).

Elles ne sont, sauf mention contraire ci-dessous, conservées que durant l’exécution du contrat pour lesquelles elles nous ont été transmises.

  • Noms de domaine

En tant que bureau d’enregistrement généraliste, nous appliquons pour chaque enregistrement de nom de domaine la procédure du Registre impliqué.

Même si les procédures se ressemblent, il peut arriver que l’on nous demande en plus du nom de contact propriétaire, des informations spécifiques ou des documents particuliers sur lesquels se trouvent des données à caractère personnel (Ex. Carte d’identité, KBis).

Nous ne tenons pas un fichier des procédures relatives aux données à caractère personnel des différents Registres, mais nous pouvons vous informer au cas par cas  en fonction du nom de domaine que vous souhaitez enregistrer.

  • Certificats SSL

Il en va de même en ce qui concerne notre métier de revendeur de certificat SSL. Les procédures sont celles des différentes Autorités de Certification.

Nous avons pris l’habitude de travailler avec certaines Autorités mais rien est immuable et nous ne vous ferons donc pas de liste exhaustive. En outre, vous pourriez vous-même nous demander un certificat provenant d’une Autorité différente et qui aurait une procédure différente.

Toujours est-il que nous pouvons vous renseigner au cas par cas et en fonction de notre politique interne actuelle en ce qui concerne et le choix de l’Autorité et le choix du niveau de certificat et la procédure particulière ou non relative à ce choix et donc les éventuelles transmissions de données à caractère personnel (nom d’un responsable, n° de téléphone portable…) ainsi que de documents particuliers sur lesquels se trouvent des données à caractère personnel (Ex. Carte d’identité, KBis).

  • Téléphonie

Parce que oui, nous sommes également revendeur en téléphonie et nous avons même plusieurs partenaires. Évidemment, selon les partenaires avec qui nous travaillons, encore une fois, les procédures peuvent changer.

– Par exemple, pour certains, nous pouvons être amenés à jouer un rôle d’intermédiaire jusque dans la facturation. Auquel cas, un moyen nous donnant accès au détail des communications est mis à notre disposition par notre partenaire : numéro de téléphone appelé, nature de l’appel – sous la forme : local, départemental, national, international – durée, date et heure de début et de fin de l’appel, nombre de taxes, coût de la communication. Selon le moyen mis à notre disposition nous y adjoignons un système qui va traiter cette information afin d’établir les documents nécessaires au remboursement du coût des communications. Ces données sont conservées jusqu’au paiement des dépenses téléphoniques par vos soins et jusqu’au règlement du litige en cas de contestation du relevé justificatif détaillé des consommations téléphoniques.

– Autre exemple, selon le contrat que vous avez souscrit, vous nous avez demandé une gestion de votre annuaire téléphonique. Auquel cas, vous nous avez communiqué la liste nominative des utilisateurs des postes téléphoniques (nom, prénom, numéro de poste). Cette liste est nécessairement déclarée auprès du partenaire téléphonie choisi.

Dans tous les cas,  nous veillons à nous conformer à la Norme simplifiée NS-039 du 20/12/1994 de la CNIL.

De votre côté, n’oubliez pas d’informer vos salariés, collaborateurs etc. que leurs données (nom, prénom) sont transmises à des tiers, en l’occurrence nous: DDO Organisation.

  • Messagerie électronique

Afin de satisfaire au mieux le contrat que vous avez souscrit et dans le cas où vous n’avez pas choisi d’avoir accès à la console de gestion des adresses électroniques, nous sommes amenés à vous demander de nous communiquer la liste des adresses électroniques relatives au nombre de  boîtes-aux-lettres et éventuels alias ou listes de distribution mentionnés dans le contrat (ci-après: boîtes)  afin de créer les boîtes en question et de pouvoir les gérer (quantité, quota > facturation) .

Dans le cas où vous avez accès à la console, vous ne communiquez rien à nos équipes, la console est synchronisée avec notre logiciel produits et services: vous êtes maîtres et responsables de la gestion de vos boîtes.

A ce propos, une adresse de courier électronique n’étant pas forcément générique (par exemple contact@, info@, noc@ etc.), de votre côté, vous devez informer vos salariés, collaborateurs etc. que leurs données (nom, prénom, adresse de courrier électronique) sont transmises à des tiers, en l’occurrence nous: DDO Organisation.

Pour notre part, ces données ne sont transmises à aucun autre tiers.

  • Compte Cloud

Sur le même principe que précédemment: si vous ne souscrivez-pas à la console d’administration du service Cloud, nous vous demanderons de nous communiquer les informations nécessaires à la création de chacun des comptes sur notre Cloud (nom, prénom, adresse de courrier électronique).

Les informations relatives à ces ouvertures de comptes ne sont pas encore disponibles dans notre logiciel produits et services. En tant qu’utilisateur du service, vous serez informé dès que ce sera le cas.

Évidemment, pensez à informer vos salariés, collaborateurs etc. que leurs données (nom, prénom, adresse de courrier électronique) sont transmises à des tiers, en l’occurrence nous: DDO Organisation.

Ces données ne sont transmises à aucun autre tiers.

c. Quant aux données relatives au Support

 

  • Notre Plateforme de ticketing

Dans le cadre de nos missions d’assistance et de support technique nous mettons à votre disposition une plateforme de ticketing.

Cette plateforme nécessite, pour s’y connecter, un nombre d’informations à caractères personnels obligatoires vous concernant (nom, prénom, adresse de courrier électronique) et qui sont donc stockées sur la plateforme.

Vous pouvez également utiliser le ticketing sans créer de compte sur la plateforme. Vous n’aurez alors pas accès à la vision d’ensemble de vos tickets. Vous recevrez simplement les courriers électroniques associés.

Ces données ne sont utilisées que par nos équipes techniques et uniquement dans le but de répondre à vos demandes techniques.

Dans des cas très particuliers, cependant, il peut arriver que l’on transfère ces données à un de nos prestataires ou sous-traitants par le biais du champ « copie » d’un courrier électronique par exemple, afin de vous tenir parfaitement informé du déroulement du processus de résolution du ticket.

Ces données sont stockées pendant toute la durée du contrat que votre société a conclu avec nous.

Si pour quelque raison que ce soit durant le contrat vous deviez être amené à transmettre vos fonctions à une autre personne au sein de votre société, votre compte sera clôturé mais le contenu des tickets lui sera automatiquement assigné.

  • Les données techniques permettant le debugging

Afin que nos équipes techniques puissent vous apporter toute l’aide dont vous avez besoin dans la mise en place de vos projets, nous démarrons sur chacun de nos serveurs des routines permettant de tracer les actions des utilisateurs de chacun desdits serveurs.

Selon la plateforme concernée, il peut s’agir de logs Apache, IIS, Php, etc.

Les données contenues dans ces journaux sont de type: n° d’identification, IP, date /heure, action effectuée

Elles sont stockées sur une période glissante de 1 an pour des raisons liées à la sécurité telle que précisées au 3. ci-dessous.

3. Les données collectées pour la sécurité de notre environnement technique

Nous collectons des données à des fins de surveillance de notre environnement technique.

Cela se traduit techniquement par une journalisation de toutes les données de trafic entrant et sortant sur nos réseaux.

Ces données sont de type n° d’identification, IP, date /heure, action effectuée.

Nous stockons ces données sur une période glissante de 1 an dans le respect de l‘article 6 de la LCEN.

4. Les données en transit sur nos réseaux

Cette partie est un aparté afin de bien clarifier la situation concernant les informations que vous faites transiter par nos réseaux.

En effet, que vous ayez une messagerie électronique, un compte cloud, etc. chez nous,  il est bien évident que nous ne collectons aucune de ces données.

Par contre, de votre côté, vous devez veiller à vous assurer que les informations qui transitent sur nos plateformes n’incluent pas de données à caractère personnel ou sensibles, de données stratégiques pour votre entreprise ou issues d’applications métier (ex: santé) à moins que votre contrat soit précisément prévu/adapté à cet effet.

5. Les données collectées à des fins de communication

Nous avons pris l’habitude de communiquer avec vous par l’intermédiaire d’une lettre d’information.

a.  Votre adresse e-mail

L’adresse e-mail sur laquelle vous recevez cette lettre d’information est issue de notre logiciel CRM, lui même alimenté par les données que vous nous avez confiées au travers de votre contrat avec nous.

Vous pouvez gérer votre abonnement à cette lettre d’information par le biais d’un lien au bas de chaque lettre.

Si l’adresse e-mail que nous avons en notre possession n’est pas de type générique, il vous sera envoyé dans les jours à venir et ce, une fois pour toute, un courriel vous demandant explicitement votre accord pour être sollicité. Sans réponse de votre part, votre adresse mail sera supprimée de nos listes.

b. Les données statistiques

Nous utilisons le logiciel open source Phplist pour faire nos envois.

Ce système permet de tracer, par adresse e-mail, l’ouverture ou non de la lettre d’information, la date et l’heure de cette ouverture, ainsi que les liens cliqués dans cette lettre d’information.

Nous collectons ces données pour nos propres statistiques internes.

Nous stockons ces données sur une période glissante de 2 ans afin de pouvoir faire un comparatif des campagnes.

Nous prévoyons de migrer prochainement vers la dernière version qui permet un contrôle plus précis des données personnelles.

B. En tant qu’utilisateur des sites Internet de DDO Organisation

Nous  possédons plusieurs sites Internet dont le but est de présenter nos produits. Sur ces sites, plusieurs dispositifs recueillent des données à caractères personnelles.

1. La liste de nos sites Internet

2. Les dispositifs de collecte

a. Les cookies

Comme vous le savez sûrement, les cookies sont des fichiers texte de petites tailles que les sites stockent sur votre matériel, ordinateur ou autre terminal. Étant donné que ce sont de simples fichiers texte et non des fichiers exécutables, ils ne sont ni des logiciels espion, ni des virus.

Les cookies sont classés selon leur finalité. Ils peuvent être utilisés pour faciliter la navigation (cookie de session), à des fins de personnalisation ou encore pour tracer les habitudes de navigation.

Tous les cookies ne proviennent pas forcément directement du site que vous êtes en train de visiter. En effet, certaines parties des sites peuvent être fournies par un domaine différents, on les appelles « cookies tierce partie ».

A titre d’information, voici les différents cookies envoyés en temps normal par nos sites:

  • Sur www.ddo.net
Nom Utilité Date d’expiration
PHPSESSID Cookie de session Lorsque vous quittez la session de navigation.
_ga Cookie tierce partie utilisé dans le cadre de nos statistiques. Ce cookie n’est pas actif aujourd’hui. Plus d’info à ce sujet en c/ 2 ans
_gid Cookie tierce partie utilisé dans le cadre de nos statistiques. Ce cookie n’est pas actif aujourd’hui. Plus d’info à ce sujet en c/ 24 heures
lang Cookie tierce partie déposé par cdn.syndication.twimg.com et relatif à la langue du Widget Twitter sur la page d’accueil. Lorsque vous quittez la session de navigation.
  • www.cyberbox.fr
Nom Utilité Date d’expiration
NID Cookie de préférence issu de l’API doc.google.com pour l’affichage du PDF. 6 mois
  • exchange.ddo.net

Aucun cookie.

  • www.smtp-pro.com

Aucun cookie.

A toutes fins utiles nous vous rappelons que vous pouvez paramétrer vos divers navigateurs afin d’accepter ou non l’enregistrement des cookies sur vos terminaux.

Les procédures variant en fonction des navigateurs, voire des versions de navigateurs, nous avons décidé de ne pas les exposées ci-après. Toutefois, si vous avez une quelconque question à ce sujet, n’hésitez pas à nous en faire part.

Et, dernière généralité à propos des cookies: n’oubliez pas que toute restriction dans l’acceptation des cookies est susceptible de modifier votre navigation Internet et vos conditions d’accès à certains services nécessitant l’utilisation de ces mêmes cookies.

b. Les formulaires
  • Les formulaires de contact

Sur chacun de nos sites nous mettons à votre disposition un formulaire de contact vous demandant, pour des questions évidentes de bonne compréhension et de qualité de réponse votre nom, adresse mail, sujet et texte de message.

En choisissant l’envoi au service commercial le bouton « envoyer » des formulaires permet uniquement l’action d’envoyer un courrier électronique contenant ces informations à notre adresse générale.

En choisissant l’envoi au service technique le bouton « envoyer » des formulaires permet l’action d’envoyer un courrier électronique  sur notre plateforme de ticketing mentionnée en I A 2 b > ticketing.

En aucun cas nos sites Internet ne stockent ces données.

  • Autres formulaires ponctuels

Il peut nous arriver de proposer sur nos sites Internet des enquêtes.

Sauf  dans le cas où vous remplissez intentionnellement le formulaire de contact que nous mettons à votre disposition dans le formulaire, nous ne gardons aucune trace de votre passage sur l’enquête, pas même votre IP.

Ces données sont anonymisées dans le mois qui suit la clôture de l’enquête.

c. Statistiques et mesures d’audience

Les cookies _ga et _gid précédemment mentionnés découlent du système d’analyse des statistiques et mesures d’audience que nous avons choisi à la création du site: la plateforme Google Analytics.

Cette plateforme n’étant pas conforme au RGPD, nous avons désactivé temporairement le plugin de notre site en attendant que notre équipe de développement mette en place une solution conforme.

C. En tant que prospect

Vous avez peut-être reçu au cours de l’année, notre lettre d’information alors que vous n’êtes pas client chez nous. Dans ce cas, nous avons en notre possession des données qui vous concernent.

Il s’agit à minima, de votre adresse e-mail, mais nous pouvons avoir plus de données vous concernant car vous êtes probablement inscrit dans notre CRM.

Dans ce cas nous pourrions avoir en notre possession les données suivantes vous concernant: civilité, nom, prénom, qualité, société, adresse postale, téléphone fixe ou portable.

Pour ces données, nous appliquons la Norme simplifiée NS-048 selon laquelle par exemple, « Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect). ».

En outre, nous avons surement des données statistiques relatives aux différentes lettres d’informations que nous vous avons envoyées. Pour plus d’information sur ce sujet, nous vous remercions de bien vouloir lire le paragraphe I A 5 b.

II Vos droits

Le RGPD introduit de nouveaux droits et élargit ceux déjà existants. Nous vous proposons de revoir leur substance et comment vous pouvez les exercer.

A. Liste des droits

Il ne s’agit pas ici de détailler le RGPD. Pour plus d’informations, vous pouvez cliquer sur les n° d’article.

1. Droit d’accès – Article 15 RGPD

Vous avez le droit d’accéder à vos données à caractère personnel.

2. Droit de rectification – Article 16 RGPD

Vous avez le droit de faire rectifier toute donnée à caractère personnel qui serait inexacte.

3. Droit d’effacement – Article 17 RGPD

Vous avez le droit de demander l’effacement de vos données à caractère personnel.

4. Droit à la limitation du traitement – Article 18 RGPD

Vous avez le droit dans certains cas précis de demander la limitation du traitement.

5. Droit à la portabilité – Article 20 RGPD

Vous avez le droit de demander et de recevoir les données à caractère personnel que vous avez fournies vous concernant dans un format structuré, couramment utilisé et lisible par une machine à partir du moment où le traitement qui les utilise contient des procédés automatisés.

6. Droit d’opposition – Article 21 RGPD

Vous avez le droit de vous opposer à un traitement de données à caractère personnel vous concernant.

B. Comment exercer vos droits ?

Nous avons désigné un Délégué à la Protection des données personnelles.

Vous pouvez exercer vos droits par mail, accompagnés d’une copie de tout document d’identité à : dcp@ddo.net.

Par courrier, accompagné d’une copie de tout document d’identité à:

DDO Organisation
Service DCP
125 Bis Chemin du Sang de Serp
31200 Toulouse

III.  La protection des données

La protection des données est un sujet vaste qui nécessite de nous pencher sur des sujets très divers malgré leurs objectifs communs: faire que vos données ne soient pas rendues accessibles à des personnes non autorisées ni utilisées à des fins détournées.

Pour autant, nous ne pensons pas que révéler notre savoir faire technique soit conforme au RGPD … autant laisser les clés de la porte d’entrée sur la serrure…

A. Mesures de sécurité

1. Localisation des données

Qu’elles soient collectées par nos soins ou hébergées pour vous, les données que vous nous confiez sont stockées dans des datacenters sécurisés situés en France, à Toulouse, sur des matériels de stockage dont nous sommes propriétaires.

Seules les personnes habilitées peuvent accéder à ces salles blanches.

2. Nos engagements

En tant qu’hébergeur depuis 1995, nous n’avons bien entendu pas attendu le RGPD pour sécuriser les différentes infrastructures physiques sur lesquelles reposent nos plateformes de serveurs virtuels ainsi que ces dernières.

Notamment, nous nous tenons à jour des informations relatives à la sécurité de nos matériels et des systèmes que nous déployons, et procédons régulièrement à des audits qui nous permettent, soit d’élever le niveau de sécurité des plateformes, soit de fermer celle-ci si nous jugeons qu’elles n’atteignent pas un niveau de sécurité suffisant.

De fait, nous avons plusieurs migrations en cours et d’autres planifiées qui entrent aujourd’hui dans la problématique du RGPD parce que le RGPD s’occupe de sécurité, mais qui auraient eu lieu même sans RGPD.

En bref, nous continuons à nous engager à vous fournir un réseau et des espaces de stockage suffisamment sécurisés pour vos projets.

Ensuite, il faut rester réaliste: le risque zéro n’existe pas. Alors non, ce n’est pas de « hacking international » dont nous voulons vous parler ici, mais de risques plus simples et plus proches auxquels vous ne pensez peut-être pas.

Ainsi par exemple, si quelqu’un, un des partenaires de votre projet, un de vos salariés, dépose, même de manière totalement innocente, sur votre serveur bien sécurisé, la liste en clair des mots de passe utiles à telle ou telle solution que vous utilisez, cette solution devient immédiatement vulnérable si plusieurs personnes possèdent techniquement les droits de lire ledit fichier.

Vous l’aurez compris donc, la sécurité est l’affaire de tous.

Alors, plus précisément – et parce que c’est ce qui vous intéresse -, voici un état des lieux général de nos plateformes du point de vue du RGPD:

Plateforme Conformité RGPD Action de DDO
Exchange 125 90% en cours de conformité
Exchange 99 95% en cours de conformité
Messageries traditionnelles 50% création d’une plateforme conforme de niveau de service équivalent planifiée
ddo.cloud 80% création d’une plateforme conforme de niveau de service étendu en cours
SMTP-pro 100%
Cyberbox 100%
WordPress 100%
OccT Linux 100%
OccT Windows 95% en cours de conformité
Serveurs dédiés virtuels 95% en cours de conformité

Comme vous pouvez le constater, certains n’atteignent pas le taux de 100% ; non que ce soit impossible, mais parce que la plupart de nos plateformes nécessitent, pour atteindre les 100%, une réflexion sur l’homogénéisation et l’automatisation de certains de nos processus.

Mais ne vous inquiétez pas, vous serez tenu au courant des mesures que nous choisirons si celles-ci devaient vous impacter directement.

Pour plus de détail ou concernant des cas particuliers non mentionnés ci-dessus, vous pouvez nous envoyer vos questions à l’adresse dcp@ddo.net.

B. Signalement de violation de données personnelles

Rapidement ici, parce qu’il n’est pas question de faire un cours détaillé de droit, sachez donc que le principe est celui-ci:

Toute faille de sécurité menant à la destruction, la perte, la modification, la divulgation ou simplement à l’accès non autorisé aux données personnelles sera signalée dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance à la CNIL et vous sera évidemment notifié si vous êtes concerné.

 

 


Ce document est susceptible d’évoluer. Il est une première approche détaillée de la problématique « RGPD ». Nous l’historiserons pour une meilleure compréhension des changements que nous y aurons apportés.

Dernière mise à jour: 24/05/2018