GDPR Compliancy Update
Pour vous informer le plus rapidement et le plus précisément possible, l’article ci-dessous est en anglais. Pour toute question, n’hésitez pas à contacter security@goodhabitz.com.
Le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield. Il n’existe donc plus de base juridique pour échanger des données avec des parties américaines. Chaque organisation faisant appel à des (sous-)processeurs aux États-Unis devra conclure une clause contractuelle type (SCC) avec chacune de ces parties. GoodHabitz ne fait pas exception. La prochaine étape consiste à prouver que le niveau de protection offert par ces SCC répond aux exigences du RGPD.
Votre vie privée est notre priorité absolue. C'est pourquoi nous souhaitons vous montrer les mesures que nous prenons pour nous conformer au RGPD, en ce qui concerne nos sous-traitants. Notre objectif est bien sûr de garantir de manière démontrable la protection de vos données personnelles.
- Nous avons répertorié tous les sous-traitants susceptibles de traiter vos données personnelles en dehors de l'EEE.
- Nous avons contacté ces sous-traitants pour leur demander quelles mesures ont été prises après l'invalidation du Privacy Shield.
- Nous avons constitué une équipe d'intervention d'urgence pour décider de la marche à suivre avec les sous-traitants basés aux États-Unis.
- Nous avons décidé de trouver des alternatives européennes pour nos deux sous-traitants basés aux États-Unis.
- Nous avons mis en œuvre les services des nouveaux sous-traitants européens.
Le contrat de traitement des données conclu restera en vigueur. Cela étant dit, la liste des sous-traitants mentionnés dans le contrat devra être mise à jour. Il est de notre devoir en tant que sous-traitant d’informer les clients de tout changement de sous-traitant.
Nouveau sous-traitant pour la vérification des adresses e-mail.
GoodHabitz ne pouvait plus garantir la conformité au RGPD pour Kickbox, notre ancien sous-traitant basé aux États-Unis pour la vérification des adresses e-mail. C'est pourquoi nous avons décidé de passer à un fournisseur au sein de l'EEE, nommé Bouncer. Nous avons soigneusement examiné et testé les services de ce fournisseur polonais. Le contrôle de sécurité a montré que toutes les mesures techniques et organisationnelles nécessaires ont été prises par Bouncer pour se conformer pleinement au RGPD. Seules les adresses e-mail sont partagées avec ce fournisseur. Bouncer stocke et traite en toute sécurité ces adresses e-mail dans une infrastructure cloud basée dans l'Union européenne, une solution hybride de cloud AWS (région de Francfort) et de cloud OVH (France). Aucune donnée n'est transférée en dehors de l'EEE et Bouncer effacera toutes les données personnelles du système après 60 jours. Nous n'utilisons plus les services de Kickbox.
Nouveau sous-traitant pour l'envoi d'e-mails transactionnels
Malgré les nombreuses mesures d'atténuation prises par notre ancien fournisseur américain Mailchimp/Mandrill après l'invalidation du Privacy Shield, nous avons décidé de passer à un fournisseur au sein de l'EEE. Nous avons examiné et testé l'outil SMTPeter, qui propose un serveur SMTP basé sur le cloud pour une livraison rapide et sécurisée des e-mails. SMTPeter est fourni par Copernica. Copernica est un fournisseur néerlandais de logiciels d'automatisation du marketing, situé à Amsterdam. Toutes les données sont stockées dans des centres de données néerlandais. Le contrôle de sécurité et le test de démonstration technique ont tous deux été réalisés avec succès. Début décembre, l'équipe de sécurité de GoodHabitz a informé tous les clients de notre changement prévu. Depuis le 10 décembre, nous sommes entièrement passés aux services de SMTPeter.
Sous-traitant pour la fourniture d'un CRM de vente et d'un système de tickets à des fins d'assistance client
GoodHabitz a conclu des clauses contractuelles types (CCT) avec Salesforce. De plus, Salesforce a mis en place des règles d'entreprise contraignantes (BCR), qui sont conformes au RGPD. Malgré ces mesures appropriées, nous avons engagé Privacy Company en tant que partie externe pour effectuer une évaluation de l'impact sur la protection des données (DPIA) sur notre mise en œuvre de Salesforce, afin de garantir une conformité démontrable au RGPD.
Cela a donné lieu aux constatations et mesures d'atténuation suivantes :
1 - Salesforce est utilisé comme CRM par GoodHabitz. Selon le RGPD, GoodHabitz n'agit pas en tant que sous-traitant mais en tant que responsable du traitement concernant l'utilisation de Salesforce.
Mesure d'atténuation :
Salesforce ne faisant pas partie du contrat entre GoodHabitz et ses clients, il ne sera plus répertorié comme sous-traitant dans l'accord de traitement des données et les aperçus des sous-traitants associés.
2 - Pardot fait partie de notre contrat Salesforce et il a donc été supposé que les données étaient stockées sur les serveurs Salesforce EU18 (localisés en France et en Allemagne), tout comme toutes nos données Salesforce. Cependant, l'analyse d'impact approfondie de la protection des données a révélé que toutes les données Pardot sont stockées aux États-Unis.
Mesures d'atténuation :
Il est vérifié que les règles d'entreprise contraignantes de Salesforce s'appliquent également aux services Pardot.
GoodHabitz a conclu un avenant de garanties supplémentaires avec Salesforce afin de protéger les données personnelles contre toute interférence allant au-delà de ce qui est nécessaire dans une société démocratique pour préserver la sécurité nationale, la défense et la sécurité publique.
Nous avons veillé à ce qu'aucune donnée personnelle des étudiants ne soit partagée avec Pardot, de sorte que seuls les comptes Salesforce créés à des fins commerciales sont partagés avec Pardot. Un étudiant qui contacte notre service d'assistance sera enregistré dans Salesforce, mais pas dans Pardot.
Si vous avez des questions, n'hésitez pas à contacter security@goodhabitz.com, et notre équipe de sécurité y répondra en conséquence.
Nous vous tiendrons au courant de ces développements, alors surveillez cet espace !