Le RGPD ou GDPR (Règlement Général sur la Protection des Données – Général Data Protection Regulation) vise à créer un cadre juridique harmonisé sur la protection des données au sein de l’UE. L’objectif est de rendre aux citoyens le contrôle sur leurs données personnelles, tout en imposant des règles strictes à ceux qui hébergent et traitent ces données partout dans le monde. Ce règlement européen introduit également des règles en matière de libre circulation des données personnelles au sein et en dehors de l’UE.
Organisation interne
Un délégué à la protection des données est en charge de contrôler la bonne application du RGPD. Il est le point de contact interne et externe pour toutes les problématiques liées aux traitements de données.
Audit
Nous effectuons un audit régulier des postes de travail de nos collaborateurs pour s’assurer qu’aucun fichier n’a été conservé en local. Par ailleurs nous avons sensibilisé l’ensemble de nos équipes internes à la documentation des cadres juridique : politique d’utilisation des données, code de bonne conduite, documentation des processus, évaluation dans le temps de la conformité…
Suppression de données
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel. Chez CARRENET à la fin d’un projet, toutes les données ayant été utilisées sont systématiquement supprimées.
Stockage cloisonné et sécurisé
Les fichiers de chaque client sont stockés dans un espace de stockage spécifique et cloisonné. Seules les personnes devant travailler sur les fichiers d’un client ont un accès à cet espace. Il n’y a aucune sauvegarde externe de ces fichiers. Par ailleurs CARRENET s’engage à avertir la CNIL et les personnes concernées en cas de faille de sécurité et/ou de fuite de données.
SAS d’échange
Un sas sécurisé pour l’échange des fichiers contenant des données personnelles entre le client et CARRENET a été mis en place. Chaque client dispose de son propre accès. La loi sur le RGPD appelle à ne collecter que les données absolument nécessaires à l’accomplissement des traitements (principe de minimisation des données), ainsi que limiter l’accès aux données personnelles à ceux qui en ont besoin. Les fichiers sont supprimés du sas dès qu’ils ont été récupérés.
Données hébergées par CARRENET
CARRENET s’engage à héberger toutes les données dans des datacenters situés en France. Les sauvegardes sont chiffrées et envoyées vers un second data center. Aucune sauvegarde n’est effectuée sur des serveurs externes : Cloud publique (Type AWS, Azure, Google…).
