Introduction

Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018. Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales. À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.

Easy Digital Key en tant que structure traitant des données à caractère personnel, est assujetti aux dispositions du RGPD. À cet égard, Easy Digital Key est soumis à des obligations réglementaires en tant que responsable de traitement et sous-traitant. Il en est de même pour ses prestataires EASY DIGITAL KEY, OVH MMPHYGITAL qui, au regard leurs situation, disposerons d’obligations : en qualité de sous-traitant.

Définitions

Obligations réglementaires incombant à Easy Digital Key et à ses sous-traitants.

  • Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
  • Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
  • Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
  • Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

EASY DIGITAL KEY EN QUALITE DE SOUS-TRAITANT

Les données hébergées par le client dans le cadre des services de la société EASY DIGITAL KEY restent la propriété du client. EASY DIGITAL KEY n’y accède et ne les utilises que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques. EASY DIGITAL KEY s’interdit toute revente desdites données, de même que toute utilisation à des fins personnelles (telles des activités de datamining, de profilage ou de marketing direct).

  • Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : EASY DIGITAL KEY ne traitera jamais vos informations à d’autres fins (marketing, etc.).
  • Ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas un datacenter dans une zone géographique hors UE.
  • Vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors des équipements hardwares (borne, totem, trophée) produits par groupe EASY DIGITAL KEY et de son prestataire cloud OVH. SFR étant en charge de la transmission des données sur le réseau internet (4G).
  • À mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
  • Vous notifier dans les meilleurs délais en cas de violation de données.
  • Vous assister à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de nos services.

EASY DIGITAL KEY EN QUALITE DE RESPONSABLE DE TRAITEMENT

EASY DIGITAL KEY est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel. C’est typiquement le cas quand EASY DIGITAL KEY collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsqu’EASY DIGITAL KEY traite les données à caractère personnel de ses propres salariés. Dans cette hypothèse, « vos » données, celles que vous stockez sur les services de la société EASY DIGITAL KEY, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur EASY DIGITAL KEY dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi EASY DIGITAL KEY tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.

  • Limiter la collecte de données à celles strictement utiles : c’est dans le cadre de cette démarche que lors de la commande d’un service, vous ne renseignez que des données nécessaires pour qu’EASY DIGITAL KEY puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données(notamment sur le fondement de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique).
  • Ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles furent collectées.
  • Conserver les données à caractère personnel durant une période limitée et proportionnée. C’est ainsi qu’à titre d’exemple, les données traitées à des fins de gestion de la relation entre le client et EASY DIGITAL KEY (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et les trente-six (36) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes, ou conservés à la demande du client.
  • Ne pas transférer ces données à des tiers autres que les sociétés apparentées à EASY DIGITAL KEY qui interviennent dans le cadre de l’exécution du contrat. Dans le cadre de ces transferts intra-Groupe, certaines données peuvent être transférées en dehors de l’Union Européenne sur le fondement des règles d’entreprise contraignantes mises en œuvre par le Groupe EASY DIGITAL KEY.
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.

 

ENGAGEMENTS EASY DIGITAL KEY ET DE SES PARTENAIRES POUR LA PROTECTION DES DONNEES A CARACTERE PERSONNEL.

A travers ses engagements EASY DIGITAL KEY assure une parfaite transparence à ses clients. La société EASY DIGITAL KEY est un interlocuteur unique et indépendant qui garantit une parfaite traçabilité de vos données sur le territoire européen.

EASY DIGITAL KEY en tant prestataire exécute pour vous les services suivants.

- Production d’objets connectés permettant de stocker vos données en local et d’accéder à vos données via tout réseaux : 2G, 3G, 4G, 5G, WIFI.

- Transmission de vos données via le FAI utilisé sur le territoire Français.

- Stockage de vos données via le cloud OVH, le datacenter exploité est situé en France.

- Exploitation de vos objets connectés et édition de vos données via la plateforme (logiciel) cloud ioconstellation.com, propriété complète et exclusive de EASY DIGITAL KEY.

 

Engagement n° 1 : la non-réutilisation des données hébergées sur nos services


EASY DIGITAL KEY s’engage à traiter les données à caractère personnel du client aux seules fins de la bonne exécution des services et selon ses seules instructions. Les informations hébergées dans le cadre de nos services restent la propriété du client. Nous nous interdisons toute revente desdites données, de même que toute utilisation à des fins commerciales (telles des activités de profilage ou de marketing direct).

Engagement n° 2 : permettre la réversibilité de vos données « Donner ses données, reprendre c’est possible. »

La réversibilité des informations – c’est-à-dire le fait de pouvoir migrer ou rapatrier ses données sous un format standard – n’est pas possible avec toutes les offres cloud du marché. Du moins, elle peut être rendue complexe par l’existence de verrous technologiques. Or, le cloud est devenu un sujet stratégique pour les entreprises. Trop stratégique pour prendre des risques ou s’engager à vie avec un opérateur. Défendre un cloud ouvert, c’est empêcher un acteur dominant d’imposer ses règles simplement parce qu’il contrôle une partie du secteur. Chez EASY DIGITAL KEY, 100 % de nos solutions de cloud sont basées sur des standards, dont un certain nombre de technologies open source. Vous pouvez donc récupérer vos données facilement : la réversibilité et l’interopérabilité sont toujours possibles

Engagement n °3 : savoir précisément où sont stockées et traitées vos données

Lorsque vous sélectionnez un service permettant de stocker du contenu et, notamment, des données à caractère personnel, la localisation ou la zone géographique du ou des datacenters est précisée sur demande. Vous pouvez même opter pour celle de votre choix au moment de la commande.

Le « stockage des données » n’est cependant pas synonyme de « traitement des données ». Le RGPD fixe en effet des règles applicables en matière de « traitement » et non de simple « stockage ». Il convient donc d’être particulièrement attentif lors de l’utilisation de ces deux termes. Lorsque vous sélectionnez une zone de stockage située dans l’Union européenne, EASY DIGITAL KEY vous garantit qu’il ne traite pas vos informations en dehors de l’Union européenne ou de tout pays reconnu par la Commission européenne comme disposant d’un niveau de protection des données à caractère personnel suffisant (au regard de la protection de la vie privée, des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants [décision d’adéquation]). De plus, nous nous engageons à ne jamais traiter vos données aux États-Unis.

Engagement n° 4 : garantir une transparence totale en matière de recours à des sous-traitants

EASY DIGITAL KEY maîtrise toute la chaîne de l’hébergement, de la création des serveurs à la gestion des datacenters. À l’exception de nos sociétés apparentées, et sauf stipulations spécifiques au sein des conditions particulières d’un service, aucune autre entreprise n’est amenée à pouvoir visualiser ou accéder aux données de nos clients.

La liste des sociétés apparentées du groupe EASY DIGITAL KEY est disponible sur simple demande auprès de notre équipe Support. Tout ajout de société apparentée fait également l’objet d’un délai de prévenance de 30 jours préalablement à son recours. Enfin, si EASY DIGITAL KEY était amené dans le futur à sous-traiter des activités impliquant une visualisation ou un accès à des données, cette démarche serait conditionnée à l’accord de nos clients.

 

LES ENGAGEMENTS DE EASY DIGITAL KEY EN MATIÈRE DE SÉCURITÉ

EASY DIGITAL KEY prend toutes les précautions afin de préserver la sécurité et la confidentialité des données à caractère personnel traitées. Notre objectif est notamment d’empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

 

Engagement n°1. Répartition des actions de sécurité à mettre en œuvre

Il est essentiel de faire la distinction entre la sécurité des données hébergées par le client et la sécurité des infrastructures sur lesquelles ces informations sont stockées.

• Sécurité des données hébergées en local : le client est seul responsable de la sécurisation des ressources et des systèmes applicatifs qu’il déploie (objets connectés), dans le cadre de l’utilisation de nos services. Des outils sont toutefois mis à disposition par EASY DIGITAL KEY afin de l’accompagner dans la sécurisation des objets connectés (selon prestations). EASY DIGITAL KEY garantie le respect des normes CE de ses équipements en termes de conception.

• Sécurité des infrastructures : EASY DIGITAL KEY et Son partenaire OVH s’engage à sécuriser ses infrastructures de façon optimale. Nous avons notamment mis en place une politique de sécurité des systèmes d’information (PSSI) et nous répondons aux exigences de plusieurs normes et certifications : certification PCI-DSS, certification ISO/IEC 27001, attestations SOC 1 type 2 et SOC 2 type 2, etc.

 

Engagement n°2. Les mesures de sécurité garanties par EASY DIGITAL KEY

Nos mesures de sécurité garanties dépendent des services souscrits. Pour chacun d’eux, nous nous engageons à fournir l’ensemble de la documentation idoine. Cela permet à nos clients de déterminer si une solution est adaptée aux traitements de données personnelles qu’il met en œuvre. Pour l’ensemble de ses services, EASY DIGITAL KEY s’engage à mettre en place :

• des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures (cloud) par des personnes non autorisées ;

• un système de gestion des permissions permettant de limiter l’accès aux locaux et aux données aux seules personnes habilitées, dans le cadre de leurs fonctions et de leurs périmètres d’activité ;

• un système d’isolation physique et/ou logique (selon les services) des clients entre eux ;

• des processus d’authentification forts des utilisateurs et administrateurs grâce, notamment, à une politique stricte de gestion des mots de passe.

• des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur notre système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données de nos clients.

• transmission et stockage en local (dans l’objet connecté).

 

Annexe

MISE EN GARDE LIEE AU STOCKAGE ET A LA TRANSMISSION DES DONNEES DE L’OBJET CONNECTE EASY DIGITAL KEY VERS LE AU RESEAU INTERNET VIA VOTRE FAI (box ou mobile).

EASY DIGITAL KEY ne peut être tenu responsable des données stockées dans l’objet connecté présent dans les locaux du client et ce à compter de la livraison du produit. Tout vol ou dommage causé par une mauvaise utilisation ou dommages causé sur le matériel entrainera la pleine responsabilité du client ; EASY DIGITAL KEY a une obligation de moyen et ne peut être tenu responsable des contraintes rencontrées dans le cadre de l’exploitation des objets connectés vendus.

Le Client reconnaît être pleinement informé du défaut de fiabilité du réseau Internet, et notamment de l'absence de sécurité, de confidentialité, de garantie d’intégrité et de performance. La transmission, l’utilisation ou l’exploitation de données, de services accessibles ou de contenus disponibles via le réseau Internet seront effectuées aux frais et risques exclusifs du Client.

A ce titre, EASY DIGITAL KEY ne saurait être tenue responsable des données, services ou contenus que le Client aurait transmis, utilisés, exploités et/ou introduits sur le réseau Internet et des éventuelles conséquences dommageables qui en résulteraient pour le Client ou un tiers.

Dans le cas où la responsabilité de EASY DIGITAL KEY serait recherchée du fait de l’utilisation des Services par le Client, de la nature et du contenu des messages et données hébergés, stockés, transmis ou reçus au moyen des Services, le Client indemnisera EASY DIGITAL KEY de l’ensemble des conséquences de toute réclamation, action et/ou procédure intentée de ce fait contre EASY DIGITAL KEY, quelle qu’en soit la nature

EASY DIGITAL KEY se réserve le droit, en cas d’injonction d’une autorité publique, ou lorsque EASY DIGITAL KEY aura été alertée de l’illicité d’un contenu ou d’un message, de suspendre ou d’interrompre immédiatement tout ou partie des Services et l’accès au Réseau EASY DIGITAL KEY au Client, sans préavis ni indemnité. EASY DIGITAL KEY pourra remettre lesdits contenus et/ou messages aux autorités, conformément à la réglementation en vigueur.