Garanties de sécurité Swiftpage

 

Sommaire

Cette page rend compte des mesures de sécurité techniques et organisationnelles prises par Swiftpage à l’égard des :

  • produits Swiftpage,
  • données personnelles traitées par Swiftpage pour ses utilisateurs finaux en tant que sous-traitant, et
  • données personnelles gérées par Swiftpage en tant que responsable du traitement des données.

L’objectif est d’aider nos clients à se mettre en conformité avec le GDPR et à respecter leurs obligations de sécurité dans le cadre de leur contrat avec Swiftpage.

 

Contexte

Le règlement général sur la protection des données (GDPR) est entré en application le 25 mai 2018. Ce texte de loi vise à renforcer la protection des données personnelles des résidents européens en imposant un certain nombre d’obligations aux entreprises qui utilisent leurs données. Parmi les articles GDPR, le principe de sécurité oblige les entreprises à « mettre en place des mesures techniques et organisationnelles adéquates pour assurer la sécurité et la confidentialité des données » au cours de leur traitement. Dans ce document, nous reprendrons les définitions énoncées dans le GDPR.

 

Quelles mesures techniques ont été mises en place par Swiftpage pour assurer la sécurité de ses produits : Act! Pro, Act! CRM Cloud, Act! emarketing et Swiftpage emarketing ?

Explication des différents types de produits Act! CRM
Les mesures techniques mises en place dépendent de la manière dont l’utilisateur a déployé Act!. Il est possible d’acheter Act! CRM à Swiftpage en « déploiement Cloud », à savoir que le logiciel et la base de données Act! CRM sont installés sur des serveurs hébergés dans un centre de données à distance, avec un accès par connexion Internet (ou « Cloud ») via un navigateur. Une autre possibilité est d’installer Act! CRM sur des ordinateurs sous le contrôle direct de l’utilisateur (ou de son sous-traitant), un mode de déploiement appelé « auto-hébergement », « sur site » ou « desktop ». (Pour Act! Pro, seul l’auto-hébergement est possible). Pour vérifier si vous utilisez Act! en auto-hébergement ou en déploiement Cloud, veuillez consulter votre facture et la documentation Act! associée.

Logiciels Act! auto-hébergés
Pour les logiciels auto-hébergés Act!, le niveau de sécurité dépend de la configuration définie par l’administrateur. Si vous n’êtes pas l’administrateur et que vous avez besoin de plus d’informations, vous devez contacter l’administrateur. Si celui-ci a externalisé l’hébergement du logiciel Act! (en faisant appel, par exemple, à un fournisseur d’hébergement ou un Consultant Certifié Act!/ACC), il doit contacter le fournisseur ou l’ACC en question.

Quel niveau de sécurité produit est disponible pour sécuriser Act! avec l’option auto-hébergement ?
Diverses mesures de sécurité (toutes gérées par l’administrateur Act!) sont intégrées à Act! CRM, par exemple :

  • Nom d’utilisateur et mots de passe,
  • Politique de configuration de mot de passe
  • Sécurité au niveau des champs (contrôle des données que les utilisateurs peuvent voir)
  • Accès au niveau des fiches (contrôle de l’accès à des éléments spécifiques)
  • Cinq rôles de sécurité
  • Configuration du client Act! Web pour sécuriser la connexion, par exemple au moyen d’un cryptage SSL.

Pour savoir comment les produits auto-hébergés s’inscrivent dans notre démarche de conformité GDPR, lisez notre ebook sur cette page https://www.act.com/fr-fr/ressources/conformite-rgpd.

Produits Act! CRM Cloud
Cette partie est consacrée à Act! CRM Cloud développé par Swiftpage (« Act! CRM Cloud »). Elle concerne les données personnelles enregistrées par les clients sur des bases de données de serveurs dédiés aux produits Act! CRM Cloud. Comme Swiftpage ne détermine pas l’usage de ces données, il est « sous-traitant de données personnelles » (cf définition du GDPR).

Sécurité d’Act! CRM Cloud
Les mesures de sécurité produit que nous venons de définir s’appliquent également à Act! CRM Cloud, à l’exception d’Act! Cloud, sachant que le cryptage des connexions par navigateur est géré par Swiftpage. Cette partie détaille les mesures de sécurité supplémentaires pour Act! CRM Cloud.

Communication entre votre appareil et votre instance (ou copie) Act! CRM Cloud
Quand vous accédez à Act! CRM Cloud, vous utilisez un appareil qui vous appartient pour vous connecter avec un navigateur. Vous devez donc vous assurer que l’appareil est sécurisé. Votre appareil va utiliser la sécurisation standard SSL pour communiquer avec Act! CRM Cloud. Par exemple, à la rédaction de ce document (mai 2018), les versions prises en charge sont TLS 1.2 et TLS 1.1. . Nous actualiserons la sécurité des communications en fonction des développements de l'industrie.

Sécurisation d’une instance Act! CRM Cloud
Les serveurs Act! CRM Cloud sont hébergés par Google (service Google Compute Engine). Ils sont localisés à Bruxelles (Belgique) pour les clients avec une adresse de facturation européenne (à l’exclusion de la GB), et à Londres (Angleterre) pour les clients avec une adresse de facturation britannique. De plus, ce service est régi par un accord de traitement des données conforme au GDPR, signé par Swiftpage et Google. Pour plus d’informations sur Google Computer Engine et la conformité GDPR, consulter la page d’information GDPR de Google. Chaque instance client d’Act! CRM Cloud est séparée des instances d’autres clients sur le même serveur au moyen d’un répertoire virtuel unique, ce qui signifie qu’il est impossible d’une part que les données de différents clients du même serveur se mélangent, et d’autre part qu’un client accède aux données d’un autre client. Une solution anti-virus, qui est régulièrement mise à jour, est installée sur chaque instance. Dans l’arrière-plan, des outils de contrôle permettent à l’équipe des opérations Act! CRM Cloud de Swiftpage de surveiller les serveurs pour détecter rapidement un problème d’activité ou de performance. La surveillance s’opère en continu (24h/24 et 7j/7), ce qui permet à l’équipe des opérations d’avoir un signalement des problèmes et de réagir dans l’immédiat. Pour les clients qui souhaitent sécuriser encore plus leur instance Act! CRM Cloud, l’option d’hébergement « Cloud privé » est possible. Si cette option vous intéresse, veuillez contacter votre service commercial ou ACC

Sécurité des datacenters
Swiftpage utilise le service Google Cloud Platform pour l’hébergement d'Act! CRM Cloud. Ce service est régi par un accord de traitement des données conforme au GDPR, signé par Google et Swiftpage, qui engage Google à garantir la protection des données transférées vers les États-Unis, conformément aux exigences du GDPR. Les bases de données Act! de clients de l’UE sont hébergées sur des serveurs dans les datacenters européens de Google. Pour plus d’informations sur la sécurité de Google Cloud Platform, consulter la page de Google sur la sécurité de ses datacenters..

Act! Marketing Automation
Act! Marketing Automation est un logiciel de marketing automation qui est proposé comme service via Internet, intégré à Act! CRM (déploiement Cloud ou auto-hébergement), avec un accès via un navigateur. Les serveurs Act! Marketing Automation sont hébergés par Amazon (service AWS). Ils sont localisés à Francfort (Allemagne) pour les clients avec une adresse de facturation européenne (sauf pour la GB), et à Londres (Angleterre) pour les clients avec une adresse de facturation britannique. De plus, ce service est régi par un accord de traitement des données conforme au GDPR, signé par Swiftpage et Amazon. Pour plus d’informations sur AWS et la conformité GDPR, consulter la page d’information GDPR d’Amazon.

Act! emarketing
Act! emarketing est un produit d’email marketing Cloud intégré à tous les produits Act!, avec l’option de déploiement auto-hébergé ou Cloud. Quand vous envoyez une campagne dans Act! en utilisant Act! emarketing, les données personnelles de tous les destinataires sont transférées vers les serveurs Act! emarketing. Ces serveurs Act! emarketing sont hébergés par Amazon (service AWS) et sont localisés aux États-Unis. Le service Act! emarketing est régi par un accord de traitement des données conforme au GDPR, signé par Google et Swiftpage, qui engage Google à garantir la protection des données transférées vers les États-Unis, conformément aux exigences du GDPR. Pour plus d’informations sur AWS et la conformité GDPR, consulter la page d’informations GDPR d’Amazon.

Swiftpage emarketing
Swiftpage emarketing est un service d’email marketing Cloud indépendant que Swiftpage a retiré du marché. Il était hébergé sur des serveurs situés à Denver, Colorado (États-Unis) et gérés par Viawest. Il n’y avait pas d’accord de traitement des données personnelles conforme au GDPR ni de garantie de protection des données transférées vers les États-Unis..

 

Quelles mesures organisationnelles prend Swiftpage pour garantir la sécurité des données personnelles ?

Notre entreprise et nos promesses de marque
L’accès aux sites de Swiftpage est contrôlé par des badges de proximité. Il y a un processus pour gérer l’activation et la désactivation de ces badges pour l’accès des employés et un autre processus pour sécuriser l’accès des visiteurs. Les zones de stockage informatique (où se trouvent par exemple les serveurs et le matériel de communications) sont verrouillées et seul le personnel informatique y a accès. Des caméras CCTV surveillent l’accès à ces zones 24h/24 et 7j/7 sur tous les sites Swiftpage.
En règle générale, aucune information personnelle issue des bases de données client Act! n’est enregistrée sur les sites Swiftpage, la seule exception étant en cas de demande de service directe nécessitant l’utilisation de vos données, par exemple pour essayer de restaurer une base de données Act! corrompue. Pour savoir comment nous utilisons et enregistrons des données (personnelles ou autre) dans ce type de situation, veuillez consulter les documents que vous nous avons fournis à propos de ce service.

Nos employés et leur engagement de confidentialité
Tous nos collaborateurs (que nous surnommons « Swifties ») sont soumis à des contrôles d’identité à l’étape recrutement. Ils doivent signer un contrat de confidentialité avec nous. Les Swifties de notre bureau européen de Newcastle upon Tyne (GB) ont suivi des formations GDPR. Tous nos Swifties bénéficient de formations et programmes d’insertion spécifiques à leur rôle ; par exemple, notre équipe commerciale suit une formation annuelle sur le thème de la conformité PCI et notre équipe d’assistance technique est régulièrement soumise à des audits qualité. Tous les appels téléphoniques sont enregistrés à des fins de sécurité et formation ; lorsque des améliorations sont nécessaires, notamment en matière de conformité, les enregistrements sont rediffusés aux Swifties concernés, en présence de leur manager, et une intervention appropriée s’ensuit.

Nos pratiques professionnelles
Nous avons des politiques d’utilisation informatique que tous nos employés sont tenus de respecter pour assurer la sécurité de nos systèmes et infrastructures matériels. Nous avons rédigé des procédures normales d’exploitation pour les activités orientées client. Ces politiques garantissent le respect de nos procédures par les Swifties ainsi que la qualité et la cohérence de nos services. (« Agir correctement » est une valeur fondamentale de Swiftpage).

Certifications SOC2 et SOC3
En 2017, nous avons réalisé un rapport « Service Organization Control » SOC 2. En novembre 2018, nous l’avons mis à jour et renforcé avec un rapport SOC 3, disponible sur demande écrite. Chaque rapport est le résultat d’un examen d’audit en 2 étapes indépendant et rigoureux destiné à évaluer nos systèmes internes en s’appuyant sur les « principes et critères de services de tiers de confiance », notamment la sécurité, l’intégrité des traitements, la disponibilité, la protection des données personnelles et la confidentialité. Chaque principe contient jusqu’à 35 sous-catégories. Pour réaliser le rapport, l’auditeur a évalué la totalité de notre offre de services, y compris la sécurité des données personnelles, la récupération après sinistre, la sécurité physique, les ressources humaines et les processus commerciaux associés. SOC 2 est composé de 2 types d’audit. L’audit de Type 1 visait à contrôler que nos contrôles (ou « processus ») respectaient les principes et normes énoncés au début de l’audit. L’audit de Type 2, réalisé au minimum quatre mois après le 1er audit, a attesté le bon fonctionnement au jour le jour des processus de contrôle évalués dans le cadre de l’audit de Type 1. Nous avons fourni plus de 450 pièces pour l’audit de Type 1 et 200 pour l’audit de Type 2. Les audits ont été réalisés sur nos sites et ont duré cinq jours (Type 1) et trois jours (Type 2). Le rapport final a conclu notre conformité. Afin de maintenir cette conformité sur la durée, nous allons faire des audits annuels. Pour demander une copie du rapport SOC 3 (synthèse du rapport SOC 2, destinée au grand public), envoyez un email à privacy@swiftpage.com.

Sous-traitants (cf définition GDPR)
Swiftpage emploie les services de plusieurs organisations pour le traitement des données personnelles client. Conformément aux exigences du GDPR, nous demandons à tous nos sous-traitants de signer un accord régissant les modalités de traitement des données. Parallèlement, nous demandons aux sous-traitants localisés à l’extérieur de l’EU/EEA de prendre des mesures adéquates pour assurer la sécurité des données personnelles.

Mesures organisationnelles supplémentaires prises pour Act! CRM  Cloud

  • Sécurité relative aux employés : Les employés de Swiftpage n’ont pas d’accès physique aux serveurs d'Act! CRM Cloud, à l’exception des visiteurs occasionnels des sites concernés. L’accès physique aux serveurs par les employés de Google et Amazon est régi par les pages web correspondantes (cf liens ci-dessus) de Google et Amazon.
  • Sécurité relative aux données client : Les employés de Swiftpage ont accès aux données client hébergées sur les serveurs des produits Cloud uniquement au moyen de logiciels internes exclusifs, ce qui garantit que l’accès à ces données client est contrôlé, vérifié, et limité aux personnes autorisées.
    Lorsque, dans certaines situations exceptionnelles, nous devons importer des données client Cloud manuellement, nous informons le client des mesures de sécurité au moment de l’importation.
    Pour les données hébergées sur les bases de données d'Act! CRM Cloud, la propriété et le contrôle de ces données sont sous la responsabilité du client et c’est au client d’informer à Swiftpage des modalités de chargement, ou de suppression (le cas échéant) au début du contrat. Au terme d’un contrat Act! CRM Cloud, le client aura la possibilité d’exporter ses données en utilisant les dispositifs prévus à cet effet dans Act. Swiftpage gardera les données concernées durant une période limitée à la fin du contrat, puis les supprimera conformément à sa politique actuelle.
  • Sauvegarde des bases de données Act! CRM Cloud : Les sauvegardes des bases de données Act! CRM Cloud se font toutes les 6 heures. La première sauvegarde de la journée a lieu à 2h00 (heure UTC), puis toutes les 6 heures tout au long de la journée. Le programme de sauvegarde complet est : 2h00 UTC, 8h00 UTC, 14h00 UTC et 20h00 UTC. Les heures de sauvegarde sont données en UTC pour avoir un programme universel pour toutes les zones horaires. Les sauvegardes sont conservées durant 7 jours consécutifs à partir de leur création. Par exemple, une sauvegarde créée un lundi à 2h00 UTC sera disponible jusqu’au lundi suivant à 2h00 UTC. Ces informations sont correctes en mai 2018 ; pour obtenir la dernière version, lire cet article.
  • Sous-traitants : Les sous-traitants qui fournissent les services de datacenters à Swiftpage sont Google pour Act! CRM Cloud, Amazon pour Act! Emarketing. Google et Amazon nous ont donné des informations sur leurs sous-traitants, qui sont accessibles sur les pages web correspondantes (cf liens ci-dessus).

 

Pour respecter l’obligation GDPR à ce sujet, est-il possible de signer un accord de sous-traitant de données pour notre utilisation des produits Act! Cloud ?

Oui. Envoyez un email à GDPR.DPA@swiftpage.com pour demander un exemplaire pré-rempli que vous pourrez signer, scanner et nous renvoyer par email. NB : Seul cet accord est recevable ; nous ne pourrons pas accepter d’autres accords ou signer des contrats différents rédigés par un avocat. Par ailleurs, le formulaire standard ne sera pas accepté s’il a été modifié. Pour le traitement de données personnelles des employés de votre entreprise par Swiftpage dans le cadre de transactions entre votre organisation et Swiftpage, aucun accord de responsable des données n’est nécessaire. En effet, dans ces circonstances, c’est Swiftpage qui détermine l’utilisation des données personnelles et qui est le responsable du traitement devant répondre aux obligations du GDPR.

 

Est-ce que certaines données personnelles sont transférées à l’extérieur de l’UE ? Le cas échéant, pouvez-vous garantir une protection adéquate ?

Pour obtenir des informations récentes sur ce sujet, veuillez consulter notre document Politique de confidentialité..

 

Quels sont les sous-traitants que Swiftpage a engagés pour le traitement des données personnelles associées à ses propres activités ? Y-a-t-il des garanties de sécurité suffisantes ?

Pour répondre à ses obligations GDPR, Swiftpage a mis en place des contrats écrits avec les responsables sous-traitants qui assurent le traitement de vos données personnelles.
Les prestataires localisés aux États-Unis ont effectué une auto-certification « Privacy Shield Framework » auprès du US Department of Commerce.