bento icon close

Sarbacane Suite

Débuter avec Sarbacane
Gérer mon compte
Gérer vos listes
Créer une campagne emailing
Créer une campagne SMS
Créer une campagne automatique
Créer des formulaires
Créer des landing pages
Gérer vos modèles
Analyser vos statistiques
Optimiser votre délivrabilité
Intégrer Sarbacane
Offre, paiement et facturation
Affiliation
Protection des données
arrow_forward RGPD
arrow_forward Qu'est-ce que le RGPD ?
arrow_forward Qui est concerné par le RGPD ?
arrow_forward Qu'est-ce qu'une donnée personnelle ?
arrow_forward Qu'est-ce qu'un traitement de données ?
arrow_forward Qu'est-ce qu'un responsable de traitement et un sous-traitant ?
arrow_forward Quelles sont les sanctions prévues par le RGPD ?
arrow_forward Une adresse email professionnelle est-elle une donnée personnelle ?
arrow_forward Qu'est-ce que le profilage au sens du RGPD ?
arrow_forward Quels sont les nouveaux droits des personnes avec le RGPD ?
arrow_forward Qu'est-ce que le droit à l'oubli ?
arrow_forward Le RGPD rend-il obligatoire le consentement ?
arrow_forward Les règles Opt in / Opt out sont-elles modifiées avec le RGPD ?
arrow_forward Ma base de données peut-elle encore être utilisée avec l'application du RGPD ?
arrow_forward Quelles sont mes principales nouvelles obligations ?
arrow_forward Les engagements de Sarbacane face au RGPD

Les engagements de Sarbacane face au RGPD

Voici les principaux engagements pris par Sarbacane, en qualité de sous-traitant, en matière de protection des données afin de se mettre en conformité avec le RGPD.

Nomination interne d'un délégué à la protection des données (DPO)

Le DPO (Data Protection Officer) est une évolution du Correspondant Informatique et Libertés (CIL).

Il est chargé chez Sarbacane :

  • d’informer et sensibiliser, diffuser la culture Informatique et Libertés ;
  • de veiller au respect du cadre légal du Règlement européen et de la loi informatique et libertés ;
  • d’assurer la médiation avec notre clientèle : il reçoit les réclamations éventuelles des clients et de leurs destinataires de campagne et veille au respect des droits ;
  • d’interagir avec la CNIL

Vous pouvez le contacter à l’adresse suivante : dpo@sarbacane.com

 

Traitement des données uniquement sur instruction documentée du responsable de traitement

Sarbacane s'engage notamment :

  • à recueillir les instructions documentées;
  • à ne recruter un autre sous-traitant qu’avec l'autorisation préalable ;
  • à supprimer les données confiées sur sa demande et dans tous les cas dans les délais prévus contractuellement ;
  • à ne pas traiter, consulter les données à caractère personnel ou les fichiers auxquels nous pouvons accéder ainsi que nos intervenants pour d’autres fins que l’exécution du contrat ;
  • à ne pas les divulguer, sous quelle que forme que ce soit sauf pour les besoins de l’exécution des prestations et sauf application d’une disposition légale ou réglementaire obligeant à divulguer les données à caractère personnel ;

 

Mise en oeuvre de mesures techniques et organisationnelles à l'image des exigences du RGPD

  • prise en compte des impacts sur la protection des données dès la conception et par défaut : Privacy by design et Privacy by default ;
  • analyse d’impact sur la protection des données ;
  • sensibilisation et formation de notre personnel ; tenue de registres de traitement ;
  • mise en place de processus et de leur contrôle périodique;
  • révision de l’ensemble des documents informatifs et contractuels vis-à-vis de nos clients et de nos sous-traitants

 Vous pouvez rerouver la liste des mesures techniques et organisationnelles mises en place en suivant ce lien.

 

Contrôles d'accès physique aux locaux et aux installations de Sarbacane Software

Mesures appropriées pour contrôler et empêcher l’accès physique des personnes non autorisées aux locaux et installations, autant dans nos locaux que dans ceux des centres d'hébergement  mis en œuvre :

  • système d’alarme
  • personnel de sécurité, concierges
  • installations de vidéo surveillance
  • système automatique de contrôle d’accès
  • lecteur d’identification, badges, cartes à puce, cartes magnétiques, système de verrouillage à transpondeur
  • serrures de sécurité
  • vérification d’identité
  • enregistrement des visiteurs

Il est nécessaire de prendre en compte que tous les dispositifs ne sont pas présents et nécessaires sur tous les locaux ou installations.

 

Contrôles d'accès aux données et aux systèmes

Mesures appropriées pour l’identification et l’authentification des utilisateurs :

  • Attribution des droits des utilisateurs
  • Création de profils utilisateur :
    • Droits d’accès différenciés (profils, rôles, transactions et objets)
    • Administration des droits par les administrateurs système
  • Politique de mot de passe (y compris les caractères spéciaux, la longueur minimale, le changement de mot de passe etc.)
  • Authentification avec nom d’utilisateur / mot de passe
  • Utilisation de la technologie VPN
  • Utilisation de systèmes de détection d’intrusion
  • Utilisation de logiciels anti-virus/ firewalls
  • Actes d’administration tracés, enregistrement des logs systèmes et applicatif en particulier en cas d’accès, d’entrée, de modification ou suppression de données
  • Utilisation de déchiqueteurs de documents

Selon le rôle, le type de logiciel, le niveau de risque, des exigences clients spécifiques et la nécessité, une combinaison des mesures est en place.

 

Contrôles de disponibilité

Mesures prévoyant la disponibilité et la protection des données contre la destruction ou la perte accidentelle :

  • Procédures de sauvegarde
  • Stockage de sauvegarde
  • Stockage à distance
  • Systèmes d’alarme incendie et fumée
  • Systèmes anti-virus / pare-feu
  • Détection automatique des incendies (Certification APSAD R7)
  • Extinction automatique à gaz (Certification APSAD R13)
  • Détection des intrusions (Certification APSAD R81)
  • Présence d’extincteurs portatifs et mobiles (Certification APSAD R4)
  • Alimentation électrique de secours en cas de défaillance
  • Plan de maintenance préventive et tests basés sur les préconisations des constructeurs

Il est nécessaire de prendre en compte que tous les dispoitifs ne sont pas présents et nécessaires sur tous les locaux ou installations.

 

Contrôles de ségrégation

Mesures pour prévoir un traitement distinct (stockage, modification, suppression, transmission) de données à des fins différentes :

  • Séparation du système de test et de production
  • Séparation du système de développement et de production

 

Notifications en cas de violation de vos données

En cas de destruction, perte, altération, divulgation, consultation non autorisée, de manière accidentelle ou illicite, de vos données à caractère personnel,  Sarbacane notifie le Responsable de Traitement dans un délai maximum de quarante-huit (48) heures après avoir constaté une telle violation, en  fournissant tous les détails nécessaires.

 

Mise à disposition des informations nécessaires pour démontrer le respect du RGPD

Sur demande du Responsable de Traitement, la documentation de conformité de Sarbacane est mise à sa disposition. Elle comprend notamment : notre politique de protection des données, nos différents processus : de respect des droits, de violation de données, de gestion des droits et de contrôle d’accès, ainsi que les mesures de sécurité de nos prestataires, etc.

 

Assistance, alertes et conseils au Responsable de Traitement

 Alerte en cas d'instruction non conforme

Sarbacane informe le Responsable de Traitement quand une de ses instructions apparaît être en violation du règlement ou de la loi informatique et libertés.

 

Alerte et conseils pour répondre aux demandes des destinataires de campagnes

Lorsque Sarbacane reçoit directement des demandes de désinscription de destinataires ou encore des demandes d'exercice de droits (droit d’accès et autres droits), des échanges avec le demandeur sont réalisés afin d'identifier le Responsable de Traitement et de lui transférer la demande en vue de sa bonne prise en  charge.

 

Assistance afin d'aider au respect des obligations

Compte tenu de la nature du traitement et des informations que nous disposons sur demande du Responsable de Traitement, Sarbacane peut être amené à apporter l'aide nécessaire au bon respect des obligations prévues aux articles 32 à 36, soit en matière :

  • de sécurité du traitement ;
  • de la mise à disposition d’informations dans le cadre d’une notification de violation de données à la CNIL ;
  • d’aide à la communication auprès des personnes concernées par une violation de données ;
  • d’analyse d’impact

 

Liste des sous traitants de Sarbacane

Vous pouvez retrouver la liste des sous traitants ultérieurs de Sarbacane en suivant ce lien.

 

Durée de conservation des données

Les données insérées par le Responsable de traitement au sein des produits édités par Sarbacane, et sauf demande contraire écrite, peuvent être conservées au maximum 6 mois au terme de l'abonnement souscrit.

En savoir plus sur les engagements pris par Sarbacane.

 

 

Articles relatifs

Qu'est-ce que le RGPD ? Qui est concerné par le RGPD ? Qu'est-ce qu'une donnée personnelle ? Qu'est-ce qu'un traitement de données ? Qu'est-ce qu'un responsable de traitement et un sous-traitant ? Quelles sont les sanctions prévues par le RGPD ? Une adresse email professionnelle est-elle une donnée personnelle ? Qu'est-ce que le profilage au sens du RGPD ? Quels sont les nouveaux droits des personnes avec le RGPD ? Qu'est-ce que le droit à l'oubli ? Le RGPD rend-il obligatoire le consentement ? Les règles Opt in / Opt out sont-elles modifiées avec le RGPD ? Ma base de données peut-elle encore être utilisée avec l'application du RGPD ? Quelles sont mes principales nouvelles obligations ? Les engagements de Sarbacane face au RGPD

Si votre message concerne un problème technique, nous vous invitons à utiliser le formulaire d'assistance technique, prévu à cet effet.