Garanties de sécurité d'Act! LLC
Sommaire
Cette page rend compte des mesures de sécurité techniques et organisationnelles prises par Act! LLC à l’égard des :
- produits Act! LLC,
- données personnelles traitées par Act! LLC pour ses utilisateurs finaux en tant que sous-traitant, et
- données personnelles gérées par Act! LLC en tant que responsable du traitement des données.
L’objectif est d’aider nos clients à se mettre en conformité avec le GDPR et à respecter leurs obligations de sécurité dans le cadre de leur contrat avec Act! LLC.
Contexte
Le règlement général sur la protection des données (GDPR) est entré en application le 25 mai 2018. Ce texte de loi vise à renforcer la protection des données personnelles des résidents européens en imposant un certain nombre d’obligations aux entreprises qui utilisent leurs données. Parmi les articles GDPR, le principe de sécurité oblige les entreprises à « mettre en place des mesures techniques et organisationnelles adéquates pour assurer la sécurité et la confidentialité des données » au cours de leur traitement. Dans ce document, nous reprendrons les définitions énoncées dans le GDPR.
Quelles mesures techniques ont été mises en place par Act! LLC pour assurer la sécurité de ses produits : Act! Pro, Act! CRM Cloud, Act! emarketing et Act! LLC emarketing ?
Explication des différents types de produits Act!
Les mesures techniques mises en place dépendent de la manière dont l’utilisateur a déployé Act!. Il est possible d’acheter Act! à Act! LLC en « déploiement Cloud », à savoir que le logiciel et la base de données Act! CRM sont installés par Act! LLC sur des serveurs hébergés dans un centre de données à distance, avec un accès par connexion Internet (ou « Cloud ») via un navigateur. Act! CRM, Act! CRM Cloud et la Suite Croissance Act! « déploiement Cloud » sont des exemples de nos produits cloud. Une autre possibilité est d’installer Act! Premier sur des ordinateurs sous le contrôle direct de l’utilisateur (ou de son sous-traitant), nous appelons cela l’« auto-hébergement » appelé également « auto-hébergement sur site » ou « desktop ». (Pour Act! Premium ou Act! Pro, seul l’auto-hébergement est possible). Pour vérifier si vous utilisez Act! en auto-hébergement ou en déploiement Cloud, veuillez consulter votre facture et la documentation Act! associée.
Logiciels Act! auto-hébergés
Pour les logiciels auto-hébergés Act!, le niveau de sécurité dépend de la configuration définie par l’administrateur. Si vous n’êtes pas l’administrateur et que vous avez besoin de plus d’informations, vous devez contacter l’administrateur. Si celui-ci a externalisé l’hébergement du logiciel Act! (en faisant appel, par exemple, à un fournisseur d’hébergement ou un Consultant Certifié Act!/ACC), il doit contacter le fournisseur ou l’ACC en question.
Quel niveau de sécurité produit est disponible pour sécuriser Act! avec l’option auto-hébergement ?
Diverses mesures de sécurité (toutes gérées par l’administrateur Act!) sont intégrées à Act! CRM, par exemple :
- Nom d’utilisateur et mots de passe,
- Politique de configuration de mot de passe
- Sécurité au niveau des champs (contrôle des données que les utilisateurs peuvent voir)
- Accès au niveau des fiches (contrôle de l’accès à des éléments spécifiques)
- Cinq rôles de sécurité
- Configuration du client Act! Web pour sécuriser la connexion, par exemple au moyen d’un cryptage SSL.
Pour savoir comment les produits auto-hébergés s’inscrivent dans notre démarche de conformité GDPR, lisez notre ebook sur cette page https://www.act.com/fr/ressources/conformite-rgpd.
Produits Act! CRM
Cette partie est consacrée aux produits Act! CRM hébergés par Act! Software Limited et sa filiale Act! LLC (« Act! LLC »), qui inclut Act! CRM Cloud, La Suite Croissance Act! (cloud et déployé) et Act! CRM (« Act! CRM »). Elle concerne les données personnelles enregistrées par les clients sur des bases de données Act! CRM. Comme Act! LLC ne détermine pas l’usage de ces données, il est « sous-traitant de données personnelles » (cf définition du GDPR).
Sécurité d’Act! CRM Cloud
Les mesures de sécurité produit que nous venons de définir s’appliquent également à Act! CRM, à l’exception d’Act! Cloud, sachant que le cryptage des connexions par navigateur est géré par Act! LLC. Cette partie détaille les mesures de sécurité supplémentaires pour Act! CRM Cloud.
Communication entre votre appareil et votre instance (ou copie) Act! CRM Cloud
Quand vous accédez à Act! CRM, vous utilisez un appareil qui vous appartient pour vous connecter avec un navigateur. Vous devez donc vous assurer que l’appareil est sécurisé. Votre appareil va utiliser la sécurisation standard SSL pour communiquer avec Act! Cloud. Par exemple, à la rédaction de ce document (mai 2018), la version prise en charge est TLS 1.2. Nous actualiserons la sécurité des communications en fonction des développements de l’industrie.
Sécurisation d’une instance Act! CRM Cloud sur nos serveurs sur la plateforme Amazon
Les serveurs Act! CRM Cloud sont hébergés par Amazon et Amazon Web Service (AWS). Ils sont localisés à Frankfort, en Allemagne, pour les clients avec une adresse de facturation européenne (à l’exclusion de la GB), et à Londres, en Angleterre, pour les clients avec une adresse de facturation britannique. De plus, ce service est régi par un accord de traitement des données conforme au GDPR, signé par Act! LLC et Amazon. Pour plus d’informations sur Amazon Web Service et la conformité GDPR, consulter la page d’information GDPR d’Amazon. Chaque base de donnée client Act! est séparée des instances d’autres clients sur le même serveur au moyen d’un répertoire virtuel unique, ce qui signifie qu’il est impossible d’une part que les données de différents clients du même serveur se mélangent, et d’autre part qu’un client accède aux données d’un autre client. Une solution anti-virus, qui est régulièrement mise à jour, est installée sur chaque instance. Dans l’arrière-plan, des outils de contrôle permettent à l’équipe des opérations Act! CRM Cloud de Act! LLC de surveiller les serveurs pour détecter rapidement un problème d’activité ou de performance. La surveillance s’opère en continu (24h/24 et 7j/7), ce qui permet à l’équipe des opérations d’avoir un signalement des problèmes et de réagir dans l’immédiat. Pour les clients qui souhaitent sécuriser encore plus leur instance Act! CRM Cloud, l’option d’hébergement « Cloud privé » est possible. Si cette option vous intéresse, veuillez contacter votre service commercial ou ACC
Sécurité des datacenters
Act! LLC utilise le service Google Cloud Platform pour l’hébergement d’Act! CRM Cloud. Ce service est régi par un accord de traitement des données conforme au GDPR, signé par Google et Act! LLC, qui engage Google à garantir la protection des données transférées vers les États-Unis, conformément aux exigences du GDPR. Les bases de données Act! de clients de l’UE sont hébergées sur des serveurs dans les datacenters européens de Google. Pour plus d’informations sur la sécurité de Google Cloud Platform, consulter la page de Google sur la sécurité de ses datacenters..
Act! Marketing Automation
Act! Marketing Automation est un logiciel de marketing automation qui est proposé comme service via Internet, intégré à Act! CRM (déploiement Cloud ou auto-hébergement), avec un accès via un navigateur. Les serveurs Act! Marketing Automation sont hébergés par Amazon (service AWS). Ils sont localisés à Francfort (Allemagne) pour les clients avec une adresse de facturation européenne (sauf pour la GB), et à Londres (Angleterre) pour les clients avec une adresse de facturation britannique. De plus, ce service est régi par un accord de traitement des données conforme au GDPR, signé par Act! LLC et Amazon. Pour plus d’informations sur AWS et la conformité GDPR, consulter la page d’information GDPR d’Amazon. Nous utilisons Sparkpost pour livrer les e-mails envoyés via AMA; dans le cadre de l’utilisation de ce service, les e-mails des destinataires sont stockés temporairement (pendant environ 10 jours) sur les serveurs de Sparkpost, situés aux États-Unis. Un accord de traitement de données conforme au GDPR est en place entre Act! LLC et Sparkpost concernant ce service.
Act! emarketing
Act! emarketing est un produit d’email marketing Cloud intégré à tous les produits Act!, avec l’option de déploiement auto-hébergé ou Cloud. Ce produit est retiré de la vente à partir du 1er janvier 2021. Quand vous envoyez une campagne dans Act! en utilisant Act! emarketing, les données personnelles de tous les destinataires sont transférées vers les serveurs Act! emarketing. Ces serveurs Act! emarketing sont hébergés par Amazon (service AWS) et sont localisés aux États-Unis. Le service Act! emarketing est régi par un accord de traitement des données conforme au GDPR, signé par Google et Act! LLC, qui engage Google à garantir la protection des données transférées vers les États-Unis, conformément aux exigences du GDPR. Pour plus d’informations sur AWS et la conformité GDPR, consulter la page d’informations GDPR d’Amazon.
Act! LLC emarketing
Act! LLC emarketing est un service d’email marketing Cloud indépendant que Act! LLC a retiré du marché. Il était hébergé sur des serveurs situés à Denver, Colorado (États-Unis) et gérés par Viawest. Il n’y avait pas d’accord de traitement des données personnelles conforme au GDPR ni de garantie de protection des données transférées vers les États-Unis..
Quelles mesures organisationnelles prend Act! LLC pour garantir la sécurité des données personnelles ?
Notre entreprise et nos promesses de marque
L’accès aux sites de Act! LLC est contrôlé par des badges de proximité. Il y a un processus pour gérer l’activation et la désactivation de ces badges pour l’accès des employés et un autre processus pour sécuriser l’accès des visiteurs. Les zones de stockage informatique (où se trouvent par exemple les serveurs et le matériel de communications) sont verrouillées et seul le personnel informatique y a accès. Des caméras CCTV surveillent l’accès à ces zones 24h/24 et 7j/7 sur tous les sites Act! LLC.
En règle générale, aucune information personnelle issue des bases de données client Act! n’est enregistrée sur les sites Act! LLC, la seule exception étant en cas de demande de service directe nécessitant l’utilisation de vos données, par exemple le service de professionnels pour déplacer votre base de donnée Act! vers la dernière version. Pour savoir comment nous utilisons et enregistrons des données (personnelles ou autre) dans ce type de situation, veuillez consulter les documents que vous nous avons fournis à propos de ce service.
Nos employés et leur engagement de confidentialité
Tous nos collaborateurs sont soumis à des contrôles d’identité à l’étape recrutement. Ils doivent signer un contrat de confidentialité avec nous. Les A-team de notre bureau européen de Newcastle upon Tyne (GB) ont suivi des formations GDPR. Tous nos A-team bénéficient de formations et programmes d’insertion spécifiques à leur rôle ; par exemple, notre équipe commerciale suit une formation annuelle sur le thème de la conformité PCI et notre équipe d’assistance technique est régulièrement soumise à des audits qualité. Tous les appels téléphoniques sont enregistrés à des fins de sécurité et formation ; lorsque des améliorations sont nécessaires, notamment en matière de conformité, les enregistrements sont rediffusés aux A-team concernés, en présence de leur manager, et une intervention appropriée s’ensuit.
Nos pratiques professionnelles
Nous avons des politiques d’utilisation informatique que tous nos employés sont tenus de respecter pour assurer la sécurité de nos systèmes et infrastructures matériels. Nous avons rédigé des procédures normales d’exploitation pour les activités orientées client. Ces politiques garantissent le respect de nos procédures par les A-team ainsi que la qualité et la cohérence de nos services. (« Agir correctement » est une valeur fondamentale de Act! LLC).
Certifications SOC2 et SOC3
En 2017, nous avons réalisé un rapport « Service Organization Control » SOC 2. Nous le mettons à jour chaque année et le renforçons avec un rapport SOC 3, disponible sur demande écrite. Chaque rapport est le résultat d’un examen d’audit en 2 étapes indépendant et rigoureux destiné à évaluer nos systèmes internes en s’appuyant sur les « principes et critères de services de tiers de confiance », notamment la sécurité, l’intégrité des traitements, la disponibilité, la protection des données personnelles et la confidentialité. Chaque principe contient jusqu’à 35 sous-catégories. Pour réaliser le rapport, l’auditeur a évalué la totalité de notre offre de services, y compris la sécurité des données personnelles, la récupération après sinistre, la sécurité physique, les ressources humaines et les processus commerciaux associés. SOC 2 est composé de 2 types d’audit. L’audit de Type 1 visait à contrôler que nos contrôles (ou « processus ») respectaient les principes et normes énoncés au début de l’audit. L’audit de Type 2, réalisé au minimum quatre mois après le 1er audit, a attesté le bon fonctionnement au jour le jour des processus de contrôle évalués dans le cadre de l’audit de Type 1. Nous avons fourni plus de 450 pièces pour l’audit de Type 1 et 200 pour l’audit de Type 2. Les audits ont été réalisés sur nos sites et ont duré cinq jours (Type 1) et trois jours (Type 2). Le rapport final a conclu notre conformité. Afin de maintenir cette conformité sur la durée, nous allons faire des audits annuels. Pour demander une copie du rapport SOC 3 (synthèse du rapport SOC 2, destinée au grand public), envoyez un email à privacy@Act! LLC.com.
Sous-traitants (cf définition GDPR)
Act! LLC emploie les services de plusieurs organisations pour le traitement des données personnelles client. Conformément aux exigences du GDPR, nous demandons à tous nos sous-traitants de signer un accord régissant les modalités de traitement des données. Parallèlement, nous demandons aux sous-traitants localisés à l’extérieur de l’EU/EEA de prendre des mesures adéquates pour assurer la sécurité des données personnelles.
Mesures organisationnelles supplémentaires prises pour Act! CRM Cloud
- Sécurité relative aux employés : Les employés de Act! n’ont pas d’accès physique aux serveurs d’Act! CRM, à l’exception des visiteurs occasionnels des sites concernés. L’accès physique aux serveurs par les employés d’Amazon est régi par les pages web correspondantes (cf liens ci-dessus) et Amazon.
- Sécurité relative aux données client : Les employés de Act! LLC ont accès aux données client hébergées sur les serveurs des produits Act! CRM uniquement au moyen de logiciels internes exclusifs, ce qui garantit que l’accès à ces données client est contrôlé, vérifié, et limité aux personnes autorisées.
Lorsque, dans certaines situations exceptionnelles, nous devons importer des données client Act! CRM manuellement, nous informons le client des mesures de sécurité au moment de l’importation.
Pour les données hébergées sur les bases de données d’Act! CRM, la propriété et le contrôle de ces données sont sous la responsabilité du client et c’est au client d’informer à Act! LLC des modalités de chargement, ou de suppression (le cas échéant) au début du contrat. Au terme d’un contrat Act! CRM, le client aura la possibilité d’exporter ses données en utilisant les dispositifs prévus à cet effet dans Act. Act! LLC gardera les données concernées durant une période limitée (environ sept jours) à la fin du contrat, puis Act! LLC les supprimera conformément à sa politique interne actuelle. - Sauvegarde des bases de données Act! CRM : Les sauvegardes des bases de données Act! CRM se font toutes les 6 heures. La première sauvegarde, entière, de la journée a lieu à 2h00 (heure UTC), puis des sauvegardes différentielles sont effectuées toutes les 6 heures tout au long de la journée. Le programme de sauvegarde complet est : 2h00 UTC, 8h00 UTC, 14h00 UTC et 20h00 UTC. Les heures de sauvegarde sont données en UTC pour avoir un programme universel pour toutes les zones horaires. Les sauvegardes sont conservées durant 7 jours consécutifs à partir de leur création. Par exemple, une sauvegarde créée un lundi à 2h00 UTC sera disponible jusqu’au lundi suivant à 2h00 UTC. Ces informations sont correctes en mai 2018.
- Sous-traitants : Les sous-traitants qui fournissent les services de datacenters à Act! LLC sont Amazon pour Act! CRM et Act! Marketing Automation. Amazon nous a donné des informations sur ses sous-traitants, qui sont accessibles sur les pages web correspondantes (cf liens ci-dessus).
Pour respecter l’obligation GDPR à ce sujet, est-il possible de signer un accord de sous-traitant de données pour notre utilisation des produits Act! Cloud ?
Oui. Envoyez un email à GDPR.DPA@Act.com pour demander un exemplaire pré-rempli que vous pourrez signer, scanner et nous renvoyer par email. NB : Seul cet accord est recevable ; nous ne pourrons pas accepter d’autres accords ou signer des contrats différents rédigés par un avocat. Par ailleurs, le formulaire standard ne sera pas accepté s’il a été modifié. Pour le traitement de données personnelles des employés de votre entreprise par Act! LLC dans le cadre de transactions entre votre organisation et Act! LLC, aucun accord de responsable des données n’est nécessaire. En effet, dans ces circonstances, c’est Act! LLC qui détermine l’utilisation des données personnelles et qui est le responsable du traitement devant répondre aux obligations du GDPR.
Est-ce que certaines données personnelles sont transférées à l’extérieur de l’UE ? Le cas échéant, pouvez-vous garantir une protection adéquate ?
Pour obtenir des informations récentes sur ce sujet, veuillez consulter notre document Politique de confidentialité.
Quels sont les sous-traitants que Act! LLC a engagés pour le traitement des données personnelles associées à ses propres activités ? Y-a-t-il des garanties de sécurité suffisantes ?
Pour répondre à ses obligations GDPR, Act! LLC a mis en place des contrats écrits avec les responsables sous-traitants qui assurent le traitement de vos données personnelles.
Les prestataires localisés aux États-Unis ont effectué une auto-certification « Privacy Shield Framework » auprès du US Department of Commerce.