Conformité de Wimi (RGPD)

Conformité RGPD

1. Préambule

Même si l’obligation n’est pas formellement établie dans le RGPD il est indispensable que les logiciels, progiciels ou autres applications (que nous appelons par commodité de langage « produit ») permettent à leurs utilisateurs (entreprises ou acteurs publics) de respecter les obligations posées par le RGPD.

On peut distinguer 3 types de contraintes :

  • les contraintes relatives au produit lui-même ;
  • les contraintes relatives à l’usage du produit ;
  • les contraintes relatives à la sécurité du produit.

Il est précisé qu’en tant que client Wimi, vous êtes responsable de traitement au sens du RGPD et vous devez répondre directement aux exigences de ce référentiel.

Le présent document constitue la liste de ces exigences et précise comment Wimi vous permet d’y répondre.

2. Points relatifs au produit

Il s’agit essentiellement de contraintes endogènes, liées au produit lui-même.

2.1 Mise a jour des donnees

  • Art. 16 RGPD : Droit de rectification« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »
  • Réponse Wimi
    Chaque utilisateur Wimi peut à tout moment modifier et rectifier ses données personnelles (Section Mon compte) et reçoit un message qui indique que l’enregistrement de ses modifications ont bien eu lieu.

2.2 Acces et copie de donnees

  • Art. 15.1 RGPD : Droit d’accès de la personne concernée
    « La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées (…) »
  • Art. 15.3 RGPD : Droit de copie
    « Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement. »
  • Réponse Wimi
    Droit d’accès de la personne concernée : la politique de protection des données personnelles liste les traitements réalisés sur les données personnelles par Wimi. Le responsable de traitement peut à tout moment transmettre ce document à une personne souhaitant exercer ce droit.
    Droit de copie : les données susceptibles d’être utilisées pour un traitement sont celles affichées dans la section Mon Compte (accessibles, modifiables et copiables par l’utilisateur final)

2.3 Portabilite des donnees

  • Art.20 RGPD : Droit à la portabilité des données : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle… »
  • Réponse Wimi
    Wimi propose une fonctionnalité d’export de toutes les activités liées à un utilisateur et permet la copie des données personnelles depuis la section Mon Compte.

2.4 Purge totale ou partielle

  • Art. 5 e) RGPD : suppression des données au terme d’un certain délai : « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation); »
  • Réponse Wimi
    La durée de rétention des données personnelles n’excède pas celle nécessaire aux finalités pour lesquelles elles sont traitées (travail d’équipe transparent, gestion de projet, traçabilité).
    Lorsqu’un compte Wimi est supprimé (les finalités des traitements étant devenues obsolètes), l’ensemble des données personnelles des utilisateurs de ce compte sont également supprimées dans les 30 jours suivant la suppression du compte.

2.5 Limitation

  • Art.18 RGPD : Droit à la limitation du traitement :
    1. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
    a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel;
    b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;
    c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice;
    d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
    La notion de « limitation » est explicitée à l’article 4 « définitions » du RGPD qui précise
    – « limitation du traitement », le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur »
  • Réponse Wimi
    Wimi peut mettre en place une limitation de traitement sur simple demande écrite du client (responsable de traitement) à dpo-wimi@racine.eu spécifiant la nature de la limitation souhaitée, le ou les traitements concernés et le ou les utilisateurs concernés.

2.6 Effacement

  • Art.17 RGPD : droit à l’effacement (« droit à l’oubli ») :
    « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’appliquent :
    a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière; 4.5.2016 L 119/43 Journal officiel de l’Union européenne ;
    b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
    c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux (…) »
  • Réponse Wimi
    Wimi s’engage à supprimer les données personnelles d’un utilisateur souhaitant exercer son droit à l’oubli sur simple demande écrite du client (responsable de traitement) à dpo-wimi@racine.eu spécifiant le ou les utilisateurs concernés.

2.7 Compte utilisateur

  • Art.13 et 14 RGPD : Information et accès aux données à caractère personnel :
    Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit plusieurs informations dont :
    – L’identité et les coordonnées du responsable de traitement (à défaut son représentant) ;
    – Les finalités du traitement des données ;
    – Les destinataires des données ; etc.
  • Réponse Wimi
    Tout utilisateur de Wimi peut consulter notre politique de protection des données personnelles depuis le site www.wimi-teamwork.com qui fournit à l’utilisateur l’ensemble des informations requises par le RGPD.

2.8 Consentement

  • Art. 7 : Conditions applicables au consentement :
    « 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »
  • Réponse Wimi
    Lorsqu’un nouvel utilisateur est ajouté sur un compte Wimi, il donne son consentement au traitement qui sera fait des données personnelles qu’il déposera sur Wimi.

3. Points relatifs à la sécurité

3.1 Sécurité du traitement

  • L’article 32 « sécurité du traitement » :
    précise que le responsable de traitement (client) et le sous-traitant (prestataire) mettent en œuvre les mesures techniques et opérationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
  • Réponse Wimi
    Le serveur frontal chiffre toutes les connexions externes avec un mécanisme de politique de sécurité web (HTTP Strict Transport Security aka HSTS). Cela protège nos services contre les attaques de réseau actif et passif (écoute). Un attaquant « man-in-the-middle » a une capacité très réduite à intercepter les requêtes et les réponses entre un utilisateur et nos serveurs d’applications web.
    Par ailleurs, Wimi bénéficie d’une isolation réseau. L’isolation réseau signifie que tous les serveurs de notre infrastructure sont isolés à l’intérieur du centre de données et reliés par des réseaux privés dédiés.

3.2 Conditions d’accès au produit

  • Considérant 57 RGPD :
    « L’identification devrait comprendre l’identification numérique d’une personne concernée, par exemple au moyen d’un mécanisme d’authentification tel que les mêmes identifiants utilisés par la personne concernée pour se connecter au service en ligne proposé par le responsable du traitement ».
  • Réponse Wimi
    Wimi propose une authentification renforcée via l’activation de l’option « Politique de mot de passe avancée ». Dans ce cas, Les mots de passe doivent remplir les conditions suivantes :
    – au moins 8 caractères
    – une minuscule et une majuscule
    – un chiffre ou un symbole
    – ne pas avoir déjà été utilisé
    Par ailleurs, Wimi propose une authentification via les identités existantes sur l’annuaire d’entreprise de ses clients via SAML V2. Dans ce cas, les identifiants sont strictement identiques à ceux utilisés chez le responsable de traitement (client).

3.3 Conditions d’accès au produit

  • Art. 5 f) RGPD :
    Traitement garantissant la sécurité des données, protection contre le traitement illicite et la perte
  • Réponse Wimi
    Wimi dispose de journaux d’historisation et d’alertes permettant de tracer une activité suspecte.Les accès à ces journaux sont strictement contrôlés et limités. D’une manière générale, tous les accès à l’infrastructure Wimi se font via VPN – seules certaines Ips prédéfinies sont autorisées à établir un tunnel (liste blanche d’adresses Ips) à l’aide d’une clé RSA 4096. Ce tunnel de communication est alors chiffré en AES-256-CBC et haché en SHA-512. Les administrateurs doivent s’authentifier en SSH à l’aide de leur clé privée (ED25519 ou ECDSA) protégée par passphrase. Les centres de données utilisés par Wimi ont une sécurité physique maximale. Tous les accès aux locaux sont strictement contrôlés. Pour se prémunir contre les intrusions et les dangers, les centres de données sont sécurisés avec des clôtures barbelées. Des systèmes de détection de mouvement et de la surveillance vidéo sont également en fonctionnement continu. L’activité dans les centres de données et à l’extérieur des bâtiments est contrôlée et enregistrée sur les serveurs sécurisés, et l’équipe de surveillance est sur place 24/7.

3.4 Sécurité technique et organisationnelle

  • Art.32 1. RGPD :
    « (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) »
    Art. 39 RGPD :
    « Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement. ».
  • Réponse Wimi
    Le nombre d’employés de Wimi ayant accès à l’infrastructure est extrêmement limité. Ces personnes sont tenues par un engagement de confidentialité spécifique et par une clause de confidentialité sur leur contrat de travail.
    Tous les accès à l’infrastructure Wimi sont strictement contrôlés, monitorés et se font via VPN – seules certaines Ips prédéfinies sont autorisées à établir un tunnel (liste blanche d’adresses Ips) à l’aide d’une clé RSA 4096
    Ce tunnel de communication est alors chiffré en AES-256-CBC et haché en SHA-512.
    Les administrateurs doivent alors s’authentifier en SSH à l’aide de leur clé privée (ED25519 ou ECDSA) protégée par passphrase
    Les bases de données sont sauvegardées toutes les 3 heures. Les fichiers sont quant à eux répliqués et sauvegardés toutes les nuits. Les serveurs de sauvegarde sont sécurisés, isolées et accessible uniquement par les applications de sauvegarde.

3.5 Gestion des failles de sécurité

  • Référentiel RGPD Obligation de sécurité du RGPD
  • Mise en oeuvre
    Notre infrastructure s’appuie très majoritairement sur des technologies open-source qui ont pour avantage de fédérer des communautés de contributeurs et d’utilisateurs extrêmement vastes grâce auxquelles les failles de sécurité sont découvertes rapidement. Nous appliquons systématiquement tous les patchs de sécurité approuvés et considérés comme stables.