Manifeste de Webu pour le respect de la RGPD

Protection des personnes et de leur données personnelles (RGPD)

Notre activité de développement et d'hébergement de site web conduit Webu à traiter des données à caractère personnel pour le compte de ses clients.

La collecte d'informations personnelles* propre au fonctionnement des projets de nos clients les catégorise alors en responsable de traitement*, et Webu comme sous-traitant*, au sens du règlement général sur la protection des données (RGPD). Par conséquent, nous nous engageons au respect des différentes obligations légales résultant de ce règlement.

Obligations de Webu concernant l'hébergement du site web

En sa qualité de sous-traitant, Webu s'engage auprès de ses clients à

  • traiter les données à caractère personnel uniquement aux fins de bonne exécution des services (pas d’exploitation à des fins de marketing, de publicité, etc.) ;
  • transférer les données vers un pays tiers uniquement s'il dispose d'un niveau de protection conforme aux conditions de la Commission européenne ;
  • recueillir le consentement* explicite des utilisateurs pour la collecte et l’utilisation de données à caractère personnel.

Par ailleurs, les membres de l’équipe amenés à manipuler des données à caractère personnel sont soumis à une obligation légale de confidentialité et font donc particulièrement attention à ce que :

  • les données réelles ne soient exploitées dans un environnement de développement que dans le but précis de reproduire et corriger un bug qui n'est pas reproductible sans ce jeu de données particulier ;
  • les données réelles ne sont conservées en local que le temps nécessaire à la correction du problème ;
  • lors de la conception et la réalisation d'un site, la question de la collecte des données personnelles soit étudiée et proportionnée aux besoins du site.

Au terme de la prestation d’hébergement et sans contre-ordre du client, Webu s’engage à :

  • restituer les données au client ou les supprimer ;
  • détruire les copies existantes sauf obligation légale de les conserver ;

Obligations en tant que responsable de traitement

Pour le bon fonctionnement de ses services, Webu peut être considérée à son tour comme responsable de traitement, notamment pour des fins de monitoring et d'analytique. À ce titre, nous nous engageons :

  • à restreindre strictement l’accès aux données critiques uniquement aux personnes autorisées à les traiter et mettre en œuvre des mesures de sécurité adéquates ;
  • à restreindre la collecte de données personnelles uniquement à celles utiles ;
  • à une non-utilisation des données collectées à d’autres fins que celles pour lesquelles elles l’ont été initialement ;
  • à ne conserver les données à caractère personnel que pour une durée n'excédant pas celle nécessaire aux finalités de leur traitement.

Sécurité des données à caractère personnel

La politique générale de sécurité à Webu, tant technique qu’organisationnelle, comprend à la fois des règles sur l'hébergement physique et la sécurisation des accès en ligne. Nous mettons en œuvre notamment :

  • l'indépendance de notre hébergement en centre de données, basé sur Grenoble ;
  • des procédures de sécurité physique et logicielle visant à prévenir tout accès non-autorisé aux infrastructures dans lesquelles sont stockées les données de nos clients ;
  • un accès limité aux locaux et aux données uniquement aux personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité ;
  • une vérification de l'intégrité des informations, leur sauvegarde sur un site distant et leur restauration en cas d’altération ;
  • une isolation des différents clients hébergés par Webu.

Assistance et gestion de crise

En cas de violation de sécurité et d'accès non-autorisé par des tiers ou de divulgation d'informations non prévue de données personnelles, Webu s'engage à prévenir le client dans les plus brefs délais, à lui fournir des informations détaillées concernant :

  • la nature de la violation de données, y compris si possible les catégories et nombre approximatif de personnes impactées ;
  • les conséquences probables de la violation de données ;
  • les mesures déjà prises en compte pour la remédiation et la diminution de l'impact ;
  • et à entretenir un dialogue transparent auprès du client pour toute la durée de la crise.

Glossaire

Information personnelle : toute information propre à une personne identifiée ou susceptible d’identifier une personne physique, directement ou indirectement, en particulier et de manière non exhaustive - nom, prénom, numéro unique (sécurité sociale, téléphone…), mail, coordonnées géographiques, etc.

Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel (le plus souvent dans notre cas : le client).

Sous-traitant : personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement (le plus souvent dans notre cas : Webu).

Consentement : toute manifestation de volonté, libre, spécifique, informée et non équivoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, le traitement des données à caractère personnel la concernant.

Définitions reprises et complétées depuis https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4.