Règlement Général de la Protection des Données (RGPD)

-

Date de publication: 2020/12/02

KeeeX prend toutes les précautions afin de préserver la sécurité et la confidentialité des données à caractère personnel traitées. Notre objectif est notamment d’empêcher qu’elles soient déformées, endommagées, partagées ou que des tiers non autorisés y aient accès.

PRÉAMBULE RELATIF AUX DONNÉES PERSONNELLES ET AU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD)

La nouvelle réglementation générale européenne sur la protection des données est applicable depuis le 25 Mai 2018 et vise à renforcer la protection des données personnelles des citoyens de l’Union Européenne.

KeeeX en respecte l’esprit et la lettre. Notamment :

  • Les données relatives aux utilisateurs sont seulement collectées afin de permettre l’accès aux logiciels et services de KeeeX ainsi que leur bon fonctionnement.
  • KeeeX ne fait aucun commerce de vos données, de vos métadonnées ou de vos traces d’activité ni ne les utilise pour entrainer des systèmes d’apprentissage automatique ou intelligences artificielles.
  • Dans la plus grande majorité des cas, les services de KeeeX ne voient pas vos données, ne voient pas vos métadonnées et ne peuvent pas tracer votre activité, car tout se déroule sur vos propres dispositifs (applications, services on premises ou applications mobiles).
  • KeeeX ne prélève que le strict minimum de données requis pour votre utilisation des logiciels et services : nom, prénom, email, clé publique et le cas échéant clé privée (chiffrée par l’utilisateur donc non lisible). Lorsque c’est possible, des services anonymes ou pseudonymes au moyen d’identités numériques librement choisies et sous seul contrôle des usagers sont privilégiés.
  • Dans les applications qui le permettent, KeeeX chiffre tous les échanges directs entre usagers de bout en bout avec des secrets sous leur seul contrôle, et chiffre toutes les connexions des logiciels entre eux et aux services web en utilisant des connexions chiffrées sous TLS/SSL.
  • KeeeX ne conserve aucune trace de votre activité autre que strictement nécessaire au fonctionnement des logiciels et services, et détruit sauf obligation légale toute notification ou donnée chiffrée sous un délai maximal de trois mois.

Notez que KeeeX ne vous demandera jamais vos données personnelles sensibles.

Nous tenons à jour des documents de synthèse comportant un registre des activités de traitement relatif aux données personnelles et un document concernant nos procédures de gestion des risques.

Dans la quasi-totalité des cas, les données personnelles seront conservées uniquement le temps nécessaire pour fournir au client le ou les services souhaités.

UTILISATION DES DONNÉES PAR KEEEX ET UTILISATION DES DONNÉES À CARACTÈRE PERSONNEL

La technologie KeeeX permet, sauf demande ou solution spécifique acceptée par écrit par KeeeX et l’usager, que les données des utilisateurs restent exclusivement sur leurs Dispositifs et sous leur contrôle total. KeeeX n’a aucune possibilité d’exploiter ces données notamment au moyen d’outils d’IA ou de Data Mining ni d’en dériver des profils d’utilisateur à des fins commerciales.

KeeeX propose dans tous les cas qui le permettent des services de collaboration offrant une confidentialité ultime lors des échanges, notamment par :

  • l’utilisation systématique de connexions chiffrées par TLS/SSL vers les serveurs de KeeeX avec des certificats Let’s Encrypt ou d’autres origines, y compris des certificats à validation étendue lorsque la situation le demande.
  • le chiffrement de bout en bout des données transmises entre utilisateurs (les ingénieurs de KeeeX n’ont aucun moyen d’accéder au contenu chiffré, sauf à en être explicitement destinataires).
  • l’obfuscation des données chiffrées (absence d’information permettant d’inférer la nature, l’émetteur, les destinataires d’une donnée chiffrée).
  • le libre choix par l’utilisateur du canal de transport de ses données, notamment via des moyens de synchronisation sous son contrôle (cloud privé, disque réseau d’entreprise…).
  • la signature numérique par des moyens sous contrôle exclusif de l’usager (clés privées et/ou clés Fido ou autres).

Afin de permettre le fonctionnement du service, KeeeX pourra utiliser les Métadonnées suivantes : idx (empreinte du fichier, transmise seulement pour horodatage) et idr (empreinte du profil de l’utilisateur, transmis pour les notifications). Ces empreintes sont dites non inversibles : c’est à dire ne permettant de formuler aucune hypothèse sur le contenu qu’elles représentent.

Aux fins d’assurer le fonctionnement des services, KeeeX ne transfère aucune donnée en clair ou inversible si cela n’est pas strictement requis techniquement.

Sauf lorsque cela est requis par la loi, KeeeX ne conserve aucune donnée provenant des utilisateurs au-delà des exigences requises pour leur utilisation technique et la fourniture d’une expérience utilisateur de qualité. A ce jour, les notifications et les données chiffrées ne sont pas conservées plus de trois mois.

Vous comprenez et acceptez que l’utilisation des services de validation, publication ou révocation d’identité numérique ou d’ancrage blockchain comportant des informations destinées à être incorporées dans des registres publiquement auditables en ligne impliquent une diffusion publique des données non inversibles suivantes : empreintes de documents, clés publiques cryptographiques et signatures associées et toute autre donnée que vous y auriez incluse.

Vous comprenez également que les données inscrites sur une blockchain publique ne peuvent pas être effacées ou modifiées.

Les données à caractère personnel recueillies par KeeeX font l’objet d’un traitement informatique destiné à assurer la gestion de votre compte KeeeX et des droits qui y sont attachés. A ce jour, KeeeX ne conserve que les noms, prénoms, emails et traces des mots de passe de ses utilisateurs. Les mots de passe ne sont jamais reçus par les serveurs de KeeeX autrement que sous la forme de dérivations non inversibles et réalisées de manière à rendre les attaques dites par « dictionnaire » très difficiles.

Aux fins d’améliorer le service et de permettre la facturation à l’usage, vous acceptez le recueil et l’utilisation par KeeeX de statistiques d’utilisation des Services, notamment le nombre de fichiers traités, transmis, signés, vérifiés, horodatés. Ces statistiques ne sont associées à aucune autre information que votre profil d’utilisateur et/ou entreprise.

EN CAS DE VIOLATION DES DONNÉES

KeeeX met en œuvre plusieurs mesures de sécurité. Nous anticipons cependant tous les scénarios, y compris ceux incluant une violation d’informations.

Dans cette éventualité, nous nous engageons à informer les clients concernés dans les meilleurs délais. Cette notification précisera la nature de l’incident, ses conséquences prévisibles, ainsi que les mesures prises pour résoudre ou minimiser cette violation.

SYSTÈME DE STOCKAGE SÉCURISÉ DES DONNÉES

Sauf demande expresse d’un client, le stockage se fait dans des Data Centers situés en Europe, principalement en France, auprès de deux prestataires : OVH et Amazon Web Services. Les contrats qui nous lient garantissent le maintien des données en Europe.

L’accès au service de stockage de nos prestataires est strictement limité à KeeeX et sécurisé par plusieurs systèmes d’authentification, notamment Fido, Yubikey et SSH.

Les données en transit sont chiffrées via TLS ce qui permet une sécurisation des échanges entre KeeeX et les services de ses prestataires.

KeeeX a pris le soin de s’informer et de vérifier que ces deux prestataires OVH et AWS étaient eux aussi vigilants au respect des consignes relatives à la protection données de leurs clients, qu’elles soient physiques ou numériques.

REGISTRE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

Nous disposons, pour l’ensemble de nos logiciels et applications, d’un registre des activités de traitement permettant de dresser un inventaire complet des types de traitements de données réalisés, du type de données nécessaires à ces traitements, de leur durée de conservation et des personnes et destinataires concernés.

Ce registre est mis à jour en temps réel et fait l’objet d’un contrôle régulier.

RECOURS À DES SOUS-TRAITANTS

À l’exception de sociétés sous-traitantes à qui nous faisons appel, aucune autre entreprise n’est en capacité de visualiser ou accéder aux données personnelles de nos clients.

Si toutefois KeeeX était amené dans le futur à sous-traiter des activités impliquant une visualisation ou un accès à des données avec un nouveau sous-traitant, cette démarche serait conditionnée à l’accord de nos clients.

Tous nos sous-traitants se situent sur le territoire Européen et sont donc soumis aux mêmes engagements préconisés par le règlement Européen sur la protection des données.

Nous disposons d’une liste exhaustive pour l’ensemble de nos sous-traitants, et sommes assurés que tous ceux qui traitent des données personnelles s’engagent à se conformer aux cadres légaux existants et à venir.

Cette liste est mise à jour en temps réel et fait l’objet d’un contrôle régulier.

GESTION DES COOKIES

Les cookies utilisés sur notre site et nos applications ne récoltent aucune donnée personnelle et sont simplement utilisés pour l’authentification et comme témoin de connexion.

DÉSIGNATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

Nous avons désigné un DPO qui a pour mission de contrôler le respect du RGPD au sein de l’entreprise. Il est également l’interlocuteur privilégié de nos clients pour toute information relative à la protection des données.

Conformément à la loi « informatique et libertés » du 6 janvier 1978 » et au règlement (UE) 2016/679 du parlement européen et du conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, Vous bénéficiez d’un droit d’accès et de rectification des informations qui Vous concernent.

Contacter notre DPO : dpo@keeex.net.

LES ENGAGEMENTS DE KEEEX EN QUALITÉ DE SOUS-TRAITANT

KeeeX s’engage à mettre en œuvres les actions suivantes :

  • traiter les données à caractère personnel aux seules fins de la bonne exécution des services: KeeeX ne traitera jamais vos informations à d’autres fins (marketing, etc.).
  • ne pas faire commerce de vos données.
  • ne pas transférer vos données hors Union Européenne.
  • vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel.
  • à mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
  • vous notifier dans les meilleurs délais en cas de violation de données.

Merci d’utiliser KeeeX !