Informations générales relatives à la sécurité
L’objectif de cette section est de vous aider à mieux comprendre la sécurité des données sous toutes ses formes et, en particulier, connaître les exigences de conformité à respecter au sein de votre pays en matière de protection des données. Pour nos clients basés en UE, nous disposons d’un guide supplémentaire portant sur la protection des données au sein de l’UE, disponible ici.
Comment la sécurité des données que je détiens est-elle assurée au sein de Capsule ?
Notre page consacrée à la Sécurité technique explique l’approche que nous appliquons pour assurer la sécurité de vos données, notamment des informations sur la sécurité du centre de données, le chiffrement des données, la localisation, les mises à jour de sécurité et les examens par des tiers.
Qui peut accéder à mes données ?
Vous choisissez les personnes à inviter sur votre compte Capsule et les autorisations dont elles disposent. Vous pouvez également choisir d’accorder l’accès à d’autres applications qui sont compatibles avec Capsule. Quelle que soit l’application ou la tierce partie à laquelle vous accordez l’accès, l’évaluation de sécurité appliquée doit être la même.
Lorsque vous invitez un utilisateur à se connecter à Capsule, il choisit un nom d’utilisateur et un mot de passe qu’il utilisera pour se connecter à Capsule. Actuellement, lorsqu’un utilisateur définit un mot de passe, Capsule suit les directives du National Institute of Standards and Technology (NIST), ce qui signifie que l’utilisateur doit choisir un mot de passe sécurisé d’au moins 8 caractères et qui n’est pas un mot de passe couramment utilisé (tel que motdepasse
ou 12345678)
. Il est tout à fait possible que nous révisions les règles applicables aux mots de passe en fonction de l’évolution des directives du NIST ou d’autres bonnes pratiques.
Les utilisateurs doivent également activer l’authentification à deux facteurs (2FA) qui permet de protéger le compte d’un utilisateur même si quelqu’un a obtenu ou deviné son mot de passe.
Dans la liste des Utilisateurs figurant dans les paramètres du compte Capsule, vous pouvez voir quels utilisateurs ont activé l’authentification à deux facteurs.
Ces exigences sont présentées à vos utilisateurs dans le Guide de démarrage utilisateur.
Quels sont les niveaux de service de Capsule et puis-je accéder à mes données où que je sois et quand je le souhaite ?
Nous veillons à ce que Capsule soit disponible 24 heures sur 24, 7 jours sur 7. Vous pouvez vous connecter en toute sécurité et accéder à vos données au moment et à l’endroit qui vous conviennent, à partir d’un PC, d’un Mac ou de votre téléphone portable.
Capsule bénéficie de l’accord sur les niveaux de service EC2 d’Amazon, prévu pour offrir une disponibilité de 99,95 %. En règle générale, nous dépassons ce chiffre et le rapport publié sur la disponibilité confirme ces résultats.
Capsule fonctionne avec une capacité de réserve qui permet de satisfaire la demande de tous les clients et comme Capsule est hébergé sur une plateforme dans le cloud, nous sommes en mesure d’augmenter la capacité rapidement. Des limites d’utilisation raisonnable ainsi que d’autres dispositifs de protection sont également appliqués à tous les clients Capsule afin d’éviter qu’un client en particulier n’ait un impact sur la qualité du service.
Personnel Capsule et sécurité de vos données
Vos données vous appartiennent et nous n’accédons jamais à vos données sans votre autorisation explicite.
Afin de garantir la fourniture du service, certains membres du personnel opérationnel autorisés ont accès à l’infrastructure sous-jacente et donc aux données sous-jacentes sous forme brute. Toutefois, nous n’accédons jamais aux données d’un client en particulier, sauf si nous travaillons avec ce client en vue de résoudre un problème et si nous sommes explicitement autorisés à exécuter une requête spécifique sur les données pour circonscrire le problème.
La sécurité au niveau de notre équipe :
- Chaque membre de notre équipe est tenu de respecter, selon les termes de son contrat, le plus haut niveau de confidentialité.
- Le personnel de Capsule (ou les tiers auxquels nous faisons appel) n’a pas accès aux mots de passe et n’est pas en capacité de se connecter à votre compte. Vous pouvez choisir de nous inviter en tant qu’utilisateur temporaire pour nous aider à résoudre une problématique.
- Nous n’avons jamais accès à l’intégralité des informations relatives aux cartes de paiement, qui sont toutes stockées en dehors de nos serveurs.
Mes données seront-elles communiquées à des tiers ?
Jamais nous ne divulguerons vos informations personnelles à qui que ce soit, sauf selon les termes de notre politique de confidentialité, en particulier la section intitulée « Divulgation de vos informations ».
Quelles sont les informations disponibles afin de contrôler qui accède à mes données ?
Votre ou vos super administrateur(s) peuvent contrôler l’activité liée aux connexions au compte en consultant la page :
- Paramètres du compteUtilisateurs et équipes.
- Puis, Connexions récentes.
Certification Capsule
Nous nous conformons aux exigences du règlement général sur la protection des données (RGPD) de l’UE. Les bureaux de la Commission européenne de la protection des données n’exigent ni ne proposent de certificat dont nous pourrions faire la demande. Il est exigé que nous respections la législation, ce qui est déjà le cas.
Cet article est particulièrement utile pour mieux comprendre. Aucun organisme n’a été habilité par les bureaux de la Commission européenne de la protection des données à vérifier et à certifier la conformité au RGPD. Cela dit, nous pouvons vous assurer que Capsule offre la sécurité nécessaire pour que vous soyez en conformité, notamment concernant le chiffrement et les contrats, et Capsule dispose d’une fonctionnalité vous permettant d’agir de manière responsable avec les données de vos clients.
Nous avons été interrogés sur les certifications ISO et SOC. Elles ne sont pas directement liées au RGPD. Il s’agit de certifications qui confirment les niveaux de sécurité, ISO principalement au sein de l’UE et SOC principalement aux États-Unis. Nous avons obtenu notre accréditation SOC 2 Type II ; cet article vous en dit davantage à ce propos.
Comment mes données sont-elles chiffrées ?
Les données qui sont transférées entre vous et Capsule sont chiffrées en transit à l’aide du protocole TSL, « Transport Layer Security » (Sécurité de la couche de transport). Nous nous efforçons de nous conformer aux normes de chiffrement les plus élevées possibles pour le chiffrement des données en transit et nous refusons la prise en charge de toute norme plus ancienne qui ne serait plus considérée comme fiable. Toutes les données des clients sont soumises à un chiffrement au repos.
Que se passe-t-il lorsque j’annule mon compte ?
Comme décrit dans la section consacrée à la Résiliation & à l’Annulation au sein des Conditions Capsule :
« Lorsqu’un compte est résilié ou annulé, le compte et tout son contenu deviendront inaccessibles. Après l’annulation d’un compte, vous pouvez nous demander de restaurer ledit compte dans un délai de 14 jours. Passé ce délai, votre compte et toutes les données clients qu’il contient seront définitivement supprimés et l’accord qui nous lie, tel qu’il est défini dans les présentes conditions d’utilisation, sera automatiquement résilié. Veuillez noter que des données partielles peuvent être conservées dans nos systèmes de sauvegarde et/ou d’archivage pendant une période pouvant aller jusqu’à 50 jours ».
Comment effectuer la sauvegarde de mes données ?
Capsule propose une fonction vous permettant d’exporter vos données vers un fichier ZIP. Le fichier ZIP contient un fichier CSV avec vos contacts, un autre avec vos projets et un autre avec vos opportunités, comportant tous les détails, y compris l’historique des notes et e-mails. Pour ouvrir les fichiers CSV, vous pouvez utiliser divers tableurs. Pour exporter une sauvegarde, l’administrateur doit procéder comme suit :
- Naviguer jusqu’à la page Paramètres du compte, puis sélectionner Exporter des données.
- Cliquer sur le bouton Exporter vers un fichier ZIP.
- Un e-mail permettant d’obtenir le fichier ZIP contenant les données est envoyé à la première adresse e-mail figurant dans votre fiche utilisateur.
Pour en savoir plus sur l’exportation de votre compte à des fins de sauvegarde, consultez notre article consacré à l’exportation.
Comment mes données sont-elles protégées contre la destruction accidentelle ?
Nos systèmes répliquent automatiquement vos données sur plusieurs sites en temps réel afin d’en maximiser la disponibilité. Les données font également l’objet d’une sauvegarde permanente afin que nous puissions restaurer l’accès à vos données et au service dans le cas peu probable d’une défaillance simultanée des données répliquées provenant de tous les sites.
Si l’un de vos utilisateurs supprime accidentellement une fiche, le super administrateur dispose de 30 jours pour la restaurer. En savoir plus sur la restauration des fiches
En outre, vous avez la possibilité de télécharger et de conserver votre propre copie de sauvegarde, ce que nous vous encourageons à faire.
En cas de violation des données, quel est le processus de notification et d’alerte que propose Capsule ?
Amazon est chargé de la sécurité de ses centres de données et des services qu’ils fournissent et doit nous informer en cas de violation. Amazon prend très au sérieux la sécurité, à la fois la sécurité physique et la sécurité réseau, ce qui garantit la sécurité de vos données : http://aws.amazon.com/security/. Nous garantissons la sécurité, au-delà de ces services, grâce à l’infrastructure.
En ce qui concerne les violations, l’approche que nous privilégions consiste à limiter en premier lieu la possibilité qu’elles se produisent. Nous disposons de robustes procédures internes qui visent à assurer l’installation rapide des mises à jour de sécurité, la protection de nos actifs (notamment, l’authentification à deux facteurs pour les systèmes critiques) et à limiter l’accès aux données uniquement au personnel qui en a absolument besoin. En outre, personne au sein de notre entreprise n’a le droit d’accéder à vos données sans votre autorisation. Nous faisons également appel à une organisation tierce spécialisée dans les tests d’intrusion pour valider notre sécurité et examiner le code de nos applications.
Si une faille de sécurité était détectée, nous mènerions une enquête pour comprendre l’ampleur de la faille et déterminer si des données ont été affectées. En fonction de la nature de la faille, nous ferions tout notre possible pour comprendre le plus rapidement ce qui s’est passé. Nous nous efforcerions de vous informer dans les plus brefs délais et au plus tard dans les 72 heures en cas de faille vous concernant.
Bien que nous soyons en mesure de sécuriser nos serveurs, il vous incombe, en tant que responsable du traitement des données de votre compte, de veiller à ce que votre équipe emploie également de bonnes pratiques en matière de sécurité. Par exemple, il convient de s’assurer que chaque service utilisé est associé à un mot de passe fort et unique et d’envisager d’activer l’authentification à deux facteurs.
Protection des données et législation RGPD de l’UE
Capsule s’est appuyé sur le Règlement général sur la protection des données (RGPD) de l’UE pour définir la norme en matière de protection des données. Ce règlement s’applique à toute personne qui stocke des données à caractère personnel concernant un résident de l’UE. Nous encourageons tous nos clients à évaluer leur conformité en matière de protection des données, que ce soit dans l’UE ou ailleurs dans le monde, en s’inspirant de la manière dont nous respectons ces normes. En plus de cet article, nous avons préparé une FAQ consacrée au RGPD qui vous aidera à réaliser une analyse de risque pour vous-même ou votre entreprise.
Localisation des données
Toutes les données de Capsule sont stockées sur Amazon Web Services (AWS) aux États-Unis. Toutes les données stockées en dehors de l’UE doivent être stockées dans un pays sûr ou auprès d’une entreprise qui respecte les dispositions de la législation RGPD.
Nous avons convenu avec AWS d’un addendum sur le traitement des données qui engage la société à respecter les clauses contractuelles types définies par la Commission européenne. Cela garantit que les données sont transférées de manière sûre vers AWS, conformément à la législation de l’UE sur la protection des données.
Pour obtenir de plus amples informations au sujet des clauses contractuelles types, consultez le guide de l’Information Commissioner’s Office (ICO, bureau du commissaire à l’information) du Royaume-Uni.
Obligations et exigences contractuelles vous concernant en votre qualité de responsable du traitement des données
Il incombe au responsable du traitement des données de respecter la réglementation. En votre qualité de responsable du traitement des données en ce qui concerne les données personnelles que vous stockez sur Capsule, il est de votre responsabilité de veiller au respect de cette réglementation si vous stockez des données de clients provenant de l’UE.
Afin d’évaluer si Capsule vous permet de répondre à ces exigences, nous vous recommandons de procéder à une simple analyse des risques. Pour faciliter l’analyse des risques pour vous-même ou pour votre entreprise, consultez les réponses à ces questions courantes sur le RGPD. Nous avons la ferme conviction que Capsule met tout en œuvre pour protéger les données personnelles que vous nous confiez.
Obligations et relations contractuelles en notre qualité de sous-traitant de données
Capsule a l’obligation légale de protéger les éléments d’identification de vos clients. Veuillez lire l’accord sur le traitement des données pour comprendre nos engagements et notre approche vis-à-vis de la protection des données que vous stockez sur votre compte.
Obligations et relations contractuelles avec nos sous-traitants ultérieurs
Capsule a recours à un certain nombre de sous-traitants ultérieurs, par exemple AWS. Tous ces sous-traitants ultérieurs ont conclu des accords garantissant que vos données clients sont protégées comme si nous nous en occupions directement en étant au sein de l’UE. Une liste à jour de nos sous-traitants ultérieurs est mise à votre disposition ici.
Fonctionnalités de Capsule permettant de répondre à vos exigences en matière de conformité
Enregistrement du consentement
Le RGPD exige que toutes les données provenant de clients de l’UE soient soumises à un traitement fondé sur une base légale. Le consentement est l’un des moyens d’assurer la licéité du traitement. D’autres incluent le droit de traiter les données d’un client en se fondant sur l’intérêt légitime. L’Information Commissioner’s Office (ICO, bureau du commissaire à l’information) du Royaume-Uni a publié un projet de notes d’orientation consacré à la base légale du traitement qui peut vous aider à mieux comprendre ce que cela implique et à décider si vous devez ou non demander le consentement proactif. Cliquez ici pour consulter ces notes.
Si vous avez besoin d’enregistrer le consentement proactif d’un client, vous pouvez utiliser la fonction Champs personnalisés de Capsule et ajouter un champ de case à cocher pour enregistrer le consentement formulé. Ce champ peut être associé à un champ de date pour enregistrer la date à laquelle le consentement a été donné.
Parmi les autres moyens de distinguer les clients qui ont consenti à ce que vous traitiez leurs données figure la DataTag (étiquette de données). Les DataTags vous permettent de saisir des informations supplémentaires à l’aide d’une étiquette. Par exemple, vous pouvez créer une étiquette « Consentement » et enregistrer la date à laquelle le consentement a été donné avec l’étiquette.
Droit à l’oubli
Le RGPD accorde une grande importance au droit à l’oubli, qui permet à une personne de demander la suppression de ses données. Si l’un de vos clients vous demande de supprimer ses informations, vous pouvez utiliser la fonction « Corbeille » de Capsule.
Un contact supprimé reste dans la corbeille pendant 30 jours ; passé ce délai, les données sont définitivement supprimées de notre base de données. Il existe également une option qui permet aux super administrateurs de purger immédiatement les différentes fiches de contacts du compte, sans tenir compte du délai de 30 jours dans la corbeille.
Capsule conserve toutefois les sauvegardes. Comme expliqué dans nos conditions d’utilisation, nous nous assurons que toutes les données résiduelles sont effacées dans les 50 jours suivant leur suppression des systèmes actifs. Vous pouvez consulter la politique de suppression et de conservation des données en vigueur ici.
Demandes d’accès des personnes concernées (SAR, Subject Access Request)
Les demandes d’accès des personnes concernées constituent une exigence provenant de la législation précédente, toutefois, elles ont gagné en importance avec l’arrivée du RGPD. Ainsi, une personne peut demander l’accès à toutes les données que vous avez stockées à son sujet au sein de Capsule.
Sur demande, une demande d’accès aux données peut être préparée par un utilisateur administrateur Capsule disposant de droits d’exportation grâce à la fonction « Imprimer le résumé ». Celui-ci contient les coordonnées du client, ainsi que l’historique et les notes qui le concernent. Pour ce faire :
- Ouvrez le contact qui a demandé ses données.
- À côté du nom du contact, utilisez la flèche vers le bas pour afficher un menu d’actions.
- Sélectionnez Imprimer le résumé.
- Imprimez la page
- Vous pouvez désormais utiliser la fonction d’impression de votre navigateur pour imprimer les informations, ou alors générer un PDF.
Comment Capsule traite vos données
Nous traitons vos données personnelles dans le strict respect des instructions que vous nous fournissez en votre qualité de responsable du traitement des données, conformément à nos conditions et à notre politique de confidentialité.