Vos données sont en sécurité chez nous

Le RGPD de l’UE et du Royaume-Uni

Si vos données sont hébergées aux États-Unis, elles sont conservées conformément aux exigences du règlement général de l’UE sur la protection des données (RGPD). Si vos données sont hébergées dans l’Union européenne, elles sont stockées en toute sécurité à Francfort, en Allemagne, et une sauvegarde de ces données est conservée à Amsterdam, aux Pays-Bas, dans le strict respect des exigences du RGPD.  

Pour plus d’informations sur l’hébergement de vos données, cliquez ici.

NAVEX va plus loin pour protéger vos données

À propos de l’arrêt Schrems II et du Data Privacy Framework

Bien que l’arrêt Schrems II ait suscité une prise de conscience à l’égard des transferts de données vers les États-Unis, il n’a pas d’impact direct sur les activités de NAVEX. Nous agissons dans le strict respect du nouveau Data Privacy Framework (DFP), ce qui renforce notre position en nous permettant de disposer d’un canal conforme et sécurisé pour les transferts de données entre l’UE/le Royaume-Uni et nos activités aux États-Unis. Les transferts de données que nous réalisons sont ainsi entièrement conformes et nous n’avons pas besoin de mettre en œuvre des mesures supplémentaires. 

En outre, les lois américaines en matière de surveillance détaillées dans l’arrêt Schrems II ne s’appliquent pas directement à notre entreprise. Par conséquent, l’arrêt Schrems II n’a pas d’incidence sur les risques réglementaires liés aux transferts de données et à la confidentialité des données si vous utilisez les services de NAVEX.

Explication

1. Les pratiques de collecte de données concernées impliquent la collecte de données de communication, ce qui s’applique presque exclusivement aux grandes entreprises spécialisées dans les services de messagerie électronique ou les réseaux sociaux. 
2. D’autres entreprises peuvent rentrer dans le champ d’application si elles sont considérées comme posant un risque pour la sécurité en vertu de la législation des États-Unis. NAVEX n’entre pas dans cette catégorie. 
3. En vertu de la législation des États-Unis, NAVEX est classée en tant que « U.S. Person ». Dans l’éventualité peu probable où NAVEX entrerait dans le champ d’application de la loi, le gouvernement des États-Unis ne pourrait pas cibler les communications de NAVEX (et de ses tiers) sans respecter des procédures très spécifiques et strictes. Ces mesures de protection supplémentaires dont nous bénéficions en tant que « U.S. Person » ne s’appliqueraient pas aux entreprises qui ne sont pas classées en tant que « U.S. Person », y compris celles basées dans l’UE.

Pour aller plus loin, NAVEX met également en œuvre les mesures complémentaires recommandées par l’EDPB en plus d’utiliser les dernières clauses types de protection des données (CCT).   

* Il s’agit de l’avis raisonnable de NAVEX après consultation du conseil d’experts juridiques internes et externes. Les clients peuvent contacter notre équipe responsable de la confidentialité des données pour obtenir davantage d’informations sur les aspects techniques.

Ne négliger aucun détail

Nos clients peuvent faire confiance à nos mesures de sécurité. Nous mettons tout en œuvre pour gagner cette confiance.  

Pour maintenir vos données en sécurité, nous réalisons des analyses des applications web chaque mois, des analyses du réseau interne chaque semaine et des analyses du réseau externe pour les systèmes et les applications chaque jour.   

Des experts tiers indépendants effectuent également un test d’intrusion (pen test) de l’ensemble de nos applications web et de notre infrastructure tous les ans, car il existe toujours des moyens d’apporter des améliorations et nos experts sont toujours à l’affût.

Traiter les données sensibles avec soin

Pour limiter l’accès à vos données, un niveau accru de confidentialité et de protection s’impose.   

En plus des mesures de sécurité intégrées à notre logiciel et de nos certifications, nous limitons l’accès aux données des clients de diverses manières :  

• Services : nous ne traitons que les données des clients nécessaires pour fournir les services convenus.  
• Autorisations : nous appliquons le principe du moindre privilège, ne donnant à nos collaborateurs que le niveau d’accès minimal requis pour vous fournir les services.   
• Collaboration avec nos partenaires : nous veillons à ce que nos sous-traitants ultérieurs comprennent et appliquent le même niveau de confidentialité que nous en toutes circonstances.  
• Protection des mots de passe : nous protégeons l’accès de tous nos collaborateurs aux systèmes back-end en mettant en œuvre l’authentification multifacteur et des mesures de sécurité des mots de passe strictes – ce que chaque entreprise devrait faire.

En outre, nous veillons à ce que tous nos collaborateurs suivent régulièrement des formations sur la cybersécurité, la confidentialité des données et le respect de la vie privée pour maintenir leurs connaissances à jour et leur vigilance à l’égard de ces questions.