Comment la protection des données est-elle assurée par Saaswedo ?

Saaswedo au travers son activité et ses plateformes (MyTEM360 et Datalert), respecte les obligations réglementaires du GDPR.

Saaswedo, comme ses clients, signe un contrat RGPD qui engage les parties au respect de ses dispositions.

 

Principales dispositions de conformité au RGPD

Qui est Responsable de Traitements ?

Au sens de l'article 28-1 du GPRD, Saaswedo n'est pas Responsable de Traitement mais Sous-Traitant. A ce titre Saaswedo présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la
personne concernée. Le Responsable de Traitement est le client.

 

Comment est géré la rétention des données / purge ?

Les données personnelles sont stockées pour le seul but des missions confiées par le Responsable des Traitements.

En standard, les données brutes d’usage sont stockées pendant 1 an dans la base de données Saaswedo. Pour des raisons de performance, le sous-traitant peut stocker les statistiques et agrégats présentes dans l’application pendant 2 ans. Les données brutes de facturation sont stockées pendant 2 ans maximum.

A l'issue du contrat, les données (qui sont propriété du Client) relatives au Client et à ses utilisateurs sont détruites dans un délai maximum de 12 mois.

 

Comment est géré le droit à l'oubli ?

A la demande écrite du client, Saaswedo a la possibilité de supprimer ou d’anonymiser des données relatives à un utilisateur.

Dans ce cas, les résultats fournies par l’application pourront potentiellement comporter des erreurs (ex : statistiques ou résultats d’analyse erronés).

Les données brutes de facturations transmises par les opérateurs et les données brutes RH transmises par l'entreprise ne rentre pas dans ce cadre, l’effacement des données devant se faire à la source.

 

Comment est géré le consentement des utilisateurs ?

L’obtention du consentement des utilisateurs pour le stockage et le traitement des données par Datalert est de la responsabilité du Client (Responsable de Traitements)

 

Comment est géré les cas (éventuels) de violation des données ?

En cas d’incident de sécurité se traduisant par la violation des données (ex : intrusion ou divulgation, perte...), Saaswedo prévient le Client et fournit les informations relatives à l’incident. Le Client est responsable de l’information des utilisateurs.

 

Comment Saaswedo garantie l'exactitude des données ?

Saaswedo met en œuvre de nombreux tests lors du développement de ses logiciels pour garantir l’exactitude des données produites par les différents traitements, et s’assure du bon déroulement de ces traitements dans l’environnement de production.

Le Client est néanmoins responsable de l’exactitude des données qui sont fournies en input des traitements notamment celles concernant son organisation et ses utilisateurs.

 

Comment Saaswedo garantie l'intégrité des données ?

Saaswedo met en œuvre une architecture sécurisé et redondante pour garantir un bon fonctionnement du service 24h/24.

De plus, les données sont sauvegardées de manière incrémentale quotidiennement, et de manière complète hebdomadairement.

 

Saaswedo a-t-il nommé un Délégué à la Protection des Données (DPO) ?

Oui, Saaswedo a nommé un DPO.

 

 

Nature des données traitées

Saaswedo traite-il des données sensibles ?

Non, Saaswedo ne traite aucune données sensibles (Origine raciale ou ethnique, Opinions politiques, Convictions religieuses ou philosophiques, Appartenance syndicale, Données génétiques, Données biométriques aux fins d’identifier une personne physique de manière unique, Données concernant la santé, Données concernant la vie sexuelle ou l’orientation sexuelle).

 

Saaswedo traite-il des données personnelles ?

Oui, le métier de Saaswedo comporte du traitement de données personnelles dans le cadre du traitements des données d'usage ou de facturations télécoms ainsi que les données RH reflétant l'organisation de l'entreprise cliente (directement ou indirectement) et qui est Responsable de Traitements.

 

Quelles données sont stockées dans les bases de données de Saaswedo ?

Pour Datalert :

• Pour chaque utilisateur : Nom complet, email, matricule, numéro de ligne, opérateur, forfait télécom, policy, volume de données échangé toutes les 15 minutes, pays d'usage, usage par App (pour Android seulement), historique d'activité Datalert. Historique de des données pour la durée légale et utile à la mission.
• Au niveau de l'entreprise : opérateurs, détails des forfaits, policies, réglage MDM, logo, accès administateur à Datalert. Historique des données pour la durée légale et utile à la mission.

Pour MyTEM360 :

• Pour chaque utilisateur : Nom complet, email, matricule, numéro de ligne, opérateur, forfait et options télécom attachés à la ligne, volumes de communications et coûts, détail des communications voix, data, sms et mms (seul horodatage et aucun contenu), appareil, nom du responsable hiérarchique, code analytique. Historique de des données pour la durée légale et utile à la mission.
• Au niveau de l'entreprise : opérateurs, détails des forfaits, policies, réglage MDM, logo, accès administateur à Datalert. Historique de des données pour la durée légale et utile à la mission.
  
  

Parmi ces données, quelles sont les données considérées comme des données personnelles ?

Les données permettant d’identifier l’utilisateur (nom, email, numéro de téléphone), ainsi que les données d’usage.

Datalert transmet-il des détails sur les données contenues dans les applications utilisée ?

Non, Datalert suit uniquement les volumes de données consommées. Il n'existe aucun accès d'aucune sorte au contenu même des données.

 

Où se trouve les données d’un client ?

Le client choisit de localiser ses données soit sur la plate-forme AWS de la région « Europe-Frankfort » soit sur la plate-forme AWS de la région « US-Virginie du Nord ». Les données sont alors localisés dans les Datacenters de la région choisie.

Pour des raisons opérationnelles, Saaswedo pourra modifier la localisation de sa plate-forme UE vers une autre région AWS européenne, et de sa plate-forme US vers une autre région AWS US.

AWS ne déplace pas le contenu du client en dehors des régions choisies par le client, sauf si nécessaire pour respecter la loi ou un décret officiel. Amazon Web Services : Risques et conformité

Traitements des données

Quels sont les traitements réalisés sur les données d’usage ?

Les données d’usage sont agrégées pour permettre à un administrateur de maîtriser la consommation des ressources Télécom mis à la disposition des utilisateurs par l’entreprise et de mettre en place des règles d’utilisation de ces ressources.

Les données d’usage permettent de prévoir en temps réel les montants qui seront facturés par les opérateurs Télécom.

 

Sécurisation des données sur le terminal utilisateur

Sur le terminal, l’application Datalert (agent) qui collecte les données d’usage ne partage aucune information avec les autres applications ou le terminal.

En cas de désinstallation de l’agent, les données présentes dans le container applicatif sont effacées.

Le transfert de données qui s’opère toutes les 15 minutes est crypté (protocole https).

 

Sécurisation des données sur la plate-forme Datalert

La plate-forme Datalert est hébergée par Amazon. Amazon garantit la sécurité physique et logique de ses Datacenter et de l’environnement dans lequel la plate-forme Datalert s’exécute.

Saaswedo met en œuvre les ressources AWS et les règles applicatives permettant de protéger l’accès aux données.

• Filtrage réseau
• Restriction des accès à la plate-forme

 

Accès aux données

Accès via l’application Datalert par le Client

Les accès à l’application sont authentifiés ce qui permet de restreindre l’accès des administrateurs et des utilisateurs à leurs données.

La gestion des utilisateurs est de la responsabilité des administrateurs. L’application permet de sécuriser la création de nouveaux logins / mot de passe et propose des procédures d’enrollment pour la gestion des MDM.

 

Gestion des mots de passe pour les utilisateurs et administrateurs Client

L’application applique une politique de gestion de mots de passe standard : nombre de caractères minimum, type de caractères mixtes, renouvellement régulier.

 

Accès à la plate-forme pour des besoins de maintenance et d’exploitation

L’accès direct aux données dans la base de données est possible pour l’équipe Saaswedo habilitée à intervenir sur la plate-forme.

La gestion des habilitations et de l’authentification est réalisée en utilisant les outils AWS correspondant (AWS IAM).