.png)
RGPD OCTOPUCE
Application du règlement général sur les données personnelles par Octopuce envers ses clients. En tant que sous-traitant Octopuce est un hébergeur de serveurs, données et applications pour ses clients. Nous sommes un sous-traitant au sens de l'article 4 du règlement général sur les données personnelles (nommé RGPD par la suite), et ce à plusieurs titres :
- nous sommes en partie responsable de la sécurité de vos serveurs (système d'exploitation, accès réseau et physique, logiciels standards) susceptible d'effectuer du stockage et traitement de données personnelles
- nous configurons un certain nombre de logiciels (serveurs web & email par exemple) qui conservent par défaut un historique des actions effectuées (nommé « log »), qui stocke entre autres l'adresse IP des visiteurs, et effectuons donc un stockage de données personnelles pour votre compte.
- nous transmettons sur Internet les pages web et autres services Internet de vos serveurs et applications, à votre demande ou à celle de tiers visitant vos sites par exemple. Ces données peuvent être parfois à caractère personnel, il est de notre devoir de vous conseiller pour assurer leur sécurité et leur non dissémination.
- nous effectuons des sauvegardes de vos serveurs sur des serveurs d'Octopuce situés en France, qui peuvent contenir des données personnelles. Nous sommes donc responsables de leur sécurité dans ce contexte.
- en cas de violation sur des données personnelles présentes sur un de vos serveurs infogéré par nous, nous serions amenés à extraire des informations précises sur la violation afin de vous aider à faire remonter de manière précise cet événement à l'autorité compétente, conformément à l'article 33 du RGPD. À l'inverse, nous ne sommes en aucun cas 'responsable du traitement' des informations personnelles que vous pourriez collecter dans vos applications. Vous seul restez responsable du traitement des données personnelles hébergées sur vos serveurs. Liste des traitements effectués pour votre compte et à votre demande :
- stockage et conservation pendant des visites effectuées sur vos sites web, comprenant l'adresse IP du visiteur, l'URL demandée, l'URL de provenance (referrer), le navigateur utilisé (User-Agent). L'effacement de ces logs est automatique La durée de conservation de ces informations est la DURÉE DE LOG WEB
- stockage et conservation des métadonnées d'email échangés via vos serveurs, comprenant l'adresse IP du serveur de l'expéditeur, l'email de l'expéditeur et des destinataires, la taille du message, son éventuelle livraison ou non livraison. L'effacement de ces logs est automatique La durée de conservation de ces informations est la DUREE DE LOG EMAIL
- stockage de copies de sauvegarde de l'ensemble des données de tous les serveurs dont vous confiez l'infogérance à Octopuce. Les serveurs de sauvegarde ne sont accessibles qu'au personnel d'Octopuce, sont hébergés en France, et font l'objet d'un suivi sécurité importante, reprenant notamment les bonnes pratiques du métier.
Nous conservons au maximum 4 mois les données ainsi sauvegardées. L'effacement est automatique. Chaque client serveur dédié d'Octopuce doit donc nous demander la durée voulue de log web et email, afin que nous ajustions vos paramètres en conséquence. La valeur par défaut est de 5 semaines. Politique relative aux données personnelles Octopuce, Octopuce est un hébergeur et société d'infogérance de serveurs sur Internet. À ce titre, nous conservons et traitons des données personnelles de nos clients, au titre de responsable de traitement tel que défini par l'article 1 du RGPD. Voici la liste des traitements effectués :
- Stockage et conservation pendant 5 semaines de toute commande exécutée sur un Shell interactif sur un serveur infogéré par Octopuce. Cette historique, pour tous les serveurs, n'est accessible qu'aux administrateurs système d'Octopuce, et les commande d'un serveur donné sont accessible à toute personne ayant officiellement un accès au compte ssh « root » du serveur.
- Stockage et conservation pendant 5 semaines des visites sur le site d'Octopuce https://www.octopuce.fr/ et les interfaces d'administration (panel) client sur https://panel.octopuce.fr/ Sur les serveurs mutualisés d'Octopuce, nous choisissons les durées de logs suivantes :
- Stockage et conservation pendant 5 semaines des métadonnées d'email échangés via nos serveurs mutualisés, comprenant l'adresse IP du serveur de l'expéditeur, l'email de l'expéditeur et des destinataires, la taille du message, son éventuelle livraison ou non livraison. - Traitement automatisé de données, visant à la lutte contre le spam et les virus, par l'utilisation de logiciels traitant le mail en interne sans le recopier sur un autre serveur, des emails reçus sur nos serveurs mutualisés et dédiés. Ce traitement de données est effectué sans consentement sous le régime de l'intérêt légitime au sens du RGPD, nos clients s'attendant à ce que notre service d'email soit accompagné d'un antispam et un antivirus (cf considérant 47 du RGPD).
- Traitement automatisé de données, visant à la lutte contre les attaques informatiques, par l'utilisation d'une version modifiée par Octopuce du logiciel Fail2Ban, qui mémorise sur une machine centrale accessible uniquement aux administrateurs système d'Octopuce, et ce pendant 5 semaines, les connexions ayant échoué sur l'ensemble des serveur, services et protocoles gérés par Octopuce, et banni automatiquement sur tous nos serveur toute adresse IP qui dépasserait certains seuils en nombre d'échecs ou de machines. Ce traitement de données est effectué sans consentement sous le régime de la sécurité des systèmes d'information.
Politique relative aux données personnelles Octopuce, Liste des traitements et conservations de données personnelles par Octopuce en tant que responsable du traitement, Applicable à l'application FOCUS MANAGER, dont Octopuce est éditeur. Si vous êtes client d'Octopuce dans le cadre d'un contrat Focus Manager (voir https://www.focus-manager.com ), nous vous fournissons une application web vous permettant de gérer vos salles de focus-group.
Cette application conserve un certain nombre de données personnelles pendant une certaine durée, et effectue des traitements de ces données dans le cadre de l'application FocusManager uniquement. Octopuce n'effectue aucun traitement de données en dehors de l'application FocusManager.
Vos données restent sur les serveurs d'Octopuce dans le pays de la société du client, et nous avons avec vous une stricte clause de confidentialité sur les données ainsi traitées et hébergées. Enfin, l'application FocusManager ne dépend d'aucun service externe pour son fonctionnement, nous n'avons donc aucun sous-traitant concerné par RGPD dans ce contexte. On appellera ci-dessous « utilisateur » la société cliente d'Octopuce utilisant une instance dédiée de FocusManager, « clients » les clients de cette société, et « participant » toute personne ayant participé à une séance de focusgroup organisée par le client. Liste des stockages et traitements de données personnelles :
- le stockage de la liste des clients de chaque utilisateur de FocusManager sur son instance, comprenant le nom et l'adresse des sociétés clientes, les prénom, nom, adresse email et téléphone des personnes travaillant chez ces clients. - le stockage de l'ensemble des devis & factures des clients. Cela comprend les commandes, réservations, services, note de débours, services et matériels spécifiques demandés, paiements.
- le traitement de l'ensemble de ces données en vue d'obtenir des statistiques d'utilisation du service FocusManager, des salles de l'utilisateur, des bilans financiers, des taux de remplissage etc. Ces données sont conservées sans limite de durée, sous le régime de l'intérêt légitime d'un utilisateur de connaître ses clients. Il s'agit en effet des données commerciales et carnet d'adresse d'entreprise des utilisateurs. Vidéos : - Dans le cadre de FocusManager, Octopuce conserve sur ses serveurs l'ensemble des vidéos et fichiers audio (avec éventuelle piste audio de traduction en temps-réel), des sessions de focusgroup auxquelles ont participés des participants. Ces vidéos sont misent à disposition aux clients et stockées pendant une durée précisée par chaque utilisateur. Ces données ne font l'objet d'aucun traitement par Octopuce, hormis leur stockage dans 2 serveurs situés dans le pays de l'utilisateur.
- Octopuce n'étant pas responsable des salles de focusgroup, c'est l'utilisateur qui reste responsable du traitement des vidéos ainsi captées, et doit donc obtenir le consentement des participants et clients à la captation et à sa transmission au client. L'utilisateur doit par ailleurs connaître l'usage (traitement) précis qui sera fait des vidéos par son client. Politique relative aux données personnelles Octopuce,
02042018