Déclaration de conformité

Règlement européen sur la protection des données personnelles (RGPD)
A la date du 17 mai 2018

RÉGLEMENTATION

En tant que sous-traitant, notre société s’engage à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, «le règlement européen sur la protection des données ») et de la loi Informatique et Libertés modifiée.

OBJET

L’objet de la présente déclaration est d’établir un descriptif des garanties minimales et suffisantes au regard des mesures de sécurité technique et organisationnelles demandées par la CNIL dans son Guide du sous-traitant RGPD :
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

INTRODUCTION

Depuis plusieurs années, CDS Groupe est engagé dans un processus interne de gestion de la sécurité du système d’information. Depuis quelques mois, nous avons intégré à ce processus la « Mise en conformité RGPD » pour l’ensemble des données que nous collectons pour notre propre compte mais également dans le cadre de nos traitements en tant que sous-traitant.
A ce jour, notre offre de service est conforme à la législation européenne sur la protection des données. Nous poursuivons d’améliorer sans cesse la sécurité des données via un cycle d’amélioration continue et notamment la révision et la validation juridique actuellement en cours de certaines mentions légales présentes sur nos outils, sites web, formulaires, prospectus et conditions générales de vente.

PILOTE ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

Pour toute demande relative à notre mise en conformité et aux traitements des données, vous pouvez vous adresser à Monsieur Antoine LAUREAU, DPO externe sur son adresse antoine.laureau@mantaconsulting.fr

OBLIGATION DE TRANSPARENCE ET DE TRAÇABILITÉ

  1. CDS Groupe met à disposition un système permettant de réaliser des réservations de chambres d’hôtel. Nous sommes ainsi amenés à traiter des données personnelles au travers de ce système. Toutefois, CDS Groupe n’utilisera jamais ces contenus pour ses propres besoins, ni à les vendre, ni à les céder à un tiers.
  2. Tous nos outils traitant des informations personnelles sont intégralement stockés et localisées en France soit dans nos Centres de Données situé à « Clichy (92) et Saint Denis (93) » soit dans nos bureaux situés à « Saint Cloud (92) »
  3. Nos fournisseurs techniques et de services par lesquels peuvent transiter nos flux informatiques sont soit Français soit de grands groupes respectant eux-mêmes le RGPD avec des stockages de données garanties en Europe (ECRITEL et Google).
  4. Les données à caractères personnelles que vous importez dans nos outils ne font l’objet d’aucun traitement pouvant dépasser la simple finalité de réservation d’hotel.
  5. Nous garantissons qu’aucun traitement ou algorithme du type « big-data » ne s’applique sur vos données et qu’aucun processus ne traite, agrège, combine, mélange, exploite ou tire profit d’une quelconque manière de vos données et celles de nos autres clients. Les seules statistiques fournies par nos outils restent cloisonnées à votre seul accès client privatif et ne viennent en aucun cas peupler une quelconque base de données comportementale.
  6. Toutes statistiques globales pouvant être produite par notre société dans un but de communication ou de relation presse sont intégralement anonymisées et globalisées

PROTECTION DES DONNÉES DÈS LA CONCEPTION

Nous avons depuis plus de 17 ans, mis en place de nombreux éléments de protection pour empêcher l’accès à vos données par des tiers ou des robots.
1. Ces protections peuvent être d’ordre matériel (firewall, proxy, réseau fermé, renouvellement régulier de nos postes de travail et serveurs, etc.)
2. Ces protections peuvent être d’ordre méthodologique (intégration de diverses couches de sécurité et de tests lors de nos phases de développement, utilisation d’outils de monitoring, sauvegardes quotidiennes et incrémentales, utilisation des normes de sécurité SSL/HTTPS sur tous nos outils y compris les échanges d’email)
3. Ces protections peuvent être d’ordre logiciel (utilisation d’anti-virus, mise à jour et renouvellement régulier de nos licences logiciel, choix d’outils ou de modules Français ou Européens le cas échéant)
4. Ces protections peuvent également être d’ordre structurel (fourniture de matériel et de liaisons cryptées VPN pour nos télétravailleurs, choix d’un Data justify de qualité)

SÉCURITÉ ET CONFIDENTIALITÉ

  1. Tous nos outils proposent d’importer, d’extraire et/ou d’effacer vos données en cas de rupture de contrat ou de migration depuis ou vers un concurrent
  2. Nous avons nommé un délégué à la protection des données (DPO) pour traiter les obligations RGPD dans le cadre de nos relations commerciales et techniques
  3. Nos employés sont formés à la protection des données et soumis à une obligation de confidentialité
  4. Tout accès à vos données par nos employés, se fait uniquement sur votre demande ou pour des raisons légales et administratives (comptabilité principalement)

DURÉE DE CONSERVATION DES DONNÉES

  1. 3 ans et 45 jours après la fin d’un contrat, un ensemble de processus viennent purger les données. Certains travaux de purge font partie de notre « Mise en conformité » notamment la purge des données stockées au niveau de nos outils internes comme notre outil de ticketing, nos sauvegardes ou nos logs.
  2. Tout client peut également de son propre chef demander une purge de ses données. Cette purge entrainera la possibilité d’effectuer de futures reservations. Seules sont conservées les données strictement nécessaires à un contrôle fiscal ou juridique
  3. Tout client ou contact ayant échangé des données avec notre société peut faire une demande explicite de suppression de ses données auprès de notre délégué à la protection des données (DPO).

PORTABILITÉ

Tous nos outils proposent d’extraire dans un format lisible et standardisé vos données en cas de rupture de contrat ou de migration vers un concurrent.

ASSISTANCE, ALERTES ET CONSEIL

  1. En cas de fuite ou vol de données, nous sommes prêts à couper tous les accès publics à nos outils et le cas échéant à couper l’accès physique à notre réseau si l’accès informatique était corrompu ou n’était plus contrôlable à distance
  2. En cas de fuite ou de vol de données, notre DPO est disposé à déclarer d’incident initial auprès de la CNIL et son suivi complémentaire dans les 72 heures comme le prévoit le règlement européen sur la protection des données et d’alerter nos clients par tout moyen fonctionnel en notre possession
  3. Enfin, nous sommes assurés par une assurance dite « RC Pro » auprès d’AXA qui inclut un volet contre le cyber-risque

RESPONSABILITÉS PARTAGÉES

Cette déclaration de conformité en tant que sous-traitant n’exempte pas nos clients finaux à se mettre eux-mêmes en conformité avec le RGPD et notamment à bien maîtriser le flux des personnes accédant à nos outils, à bien utiliser des mots de passes forts, à mettre en place toutes les protections physiques et logicielles nécessaire à la sécurisation de leurs données qu’elles soient entrantes ou sortantes, et bien entendu à ne pas mentir sur l’origine de leur collecte de données, de ne pas utiliser abusivement nos outils pour des opérations répréhensives et à bien suivre nos recommandations éthiques et technologiques.