Dernière mise à jour : 01/12/2025

Engagement concernant la sécurité des données

1. Introduction

Cet engagement concernant la sécurité des données (« ESD ») décrit les pratiques que nous, chez HalfSerious, avons mises en place pour protéger les données confiées par chacun de nos clients, c'est-à-dire par chaque personne ayant souscrit à nos termes et conditions de services (« TCS ») (« Client »). Nous alignons nos pratiques sur des cadres reconnus, tels que le NIST, et les meilleures pratiques de l'industrie informatique.

 

Dans cet ESD, « renseignement personnel » (« RP ») signifie tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

2. Collecte et utilisation des données

Notre solution ne collecte que les RP nécessaires à l'authentification des utilisateurs et au fonctionnement du système. Plus précisément, nous pouvons collecter et stocker les noms d'utilisateur et les courriels fournis par notre fournisseur d'authentification, pour faciliter un accès sécurisé via l'authentification unique (Single Sign-On, « SSO »).

 

De plus, nous pouvons recueillir des données anonymisées à des fins de contrôle de la qualité, d'amélioration, d'optimisation du système et de surveillance de la sécurité.

Les utilisations secondaires des données peuvent inclure :

 

  • Support et communication aux utilisateurs : L’utilisation des informations de contact, telles que les courriels, pour fournir un support, envoyer des notifications importantes et communiquer des mises à jour ou des modifications concernant les services.
  • Conformité et obligations légales : La conservation des données nécessaires pour se conformer aux obligations légales, répondre aux demandes légales des autorités compétentes, ou à des fins d'audit et de rapport.
  • Amélioration des services : L’analyse des tendances des données anonymisées pour améliorer et développer de nouvelles fonctionnalités, améliorer l'expérience utilisateur et affiner la fonctionnalité globale de nos systèmes.

 

  • Améliorations de la sécurité : L’utilisation des données collectées pour détecter, prévenir et répondre aux incidents de sécurité, y compris les tentatives d'accès non autorisées et les menaces potentielles.

 

  • Contrôle de la qualité : L’utilisation des données pour améliorer la qualité de nos produits et services.

3. Stockage et conservation des données

Où seront stockées les données du Client ?

Les données du Client seront stockées, par défaut, sur des serveurs sécurisés situés dans des juridictions conformes aux exigences opérationnelles du Client. Si un Client en fait la demande, nous choisirons une juridiction où les serveurs sont situés ; un tel cas peut impliquer des choix technologiques que le Client devra approuver au préalable.

 

Quels sont les engagements de conservation et de suppression des données ?

Lorsque les services Azure OpenAI sont sélectionnés par le Client :

  • Les données, y compris toutes les invites (prompts) et le contenu généré, sont stockées en toute sécurité par les services d’Azure OpenAI pendant une durée maximale de trente (30) jours, principalement pour le suivi des abus. Azure OpenAI n'utilise pas ces données pour entraîner, réentraîner ou améliorer des modèles.

 

  • Un Client souhaitant se désengager de la conservation des données d'Azure OpenAI peut soumettre une demande via notre portail de support ou contacter directement notre responsable de la protection des renseignements personnels aux coordonnées décrites ci-après (« Responsable »). À la réception de la demande et après approbation, toutes les invites et complétions précédemment stockées seront supprimées des systèmes d'Azure OpenAI conformément à leurs politiques de conservation et de suppression.

 

Pour les données conservées dans nos systèmes, y compris les noms d'utilisateur, les courriels et d'autres données opérationnelles, celles-ci ne seront pas conservées après la fin des TCS entre nous et le Client, sauf pour la période prescrite dans les TCS pour la destruction des données.

 

Un Client peut demander la suppression des données internes en soumettant une demande à notre Responsable, et nous traiterons cette demande sous réserve des lois applicables sur la protection des données et des TCS, ainsi que de la conservation des données pour protéger nos intérêts légitimes légaux.

4. Accès et contrôle des données

Qui aura accès aux données du Client ?

Nous maintenons des mesures administratives, techniques et physiques appropriées conçues pour préserver la confidentialité, l'intégrité et la disponibilité des RP et des données du Client.

 

L'accès aux données du Client est limité aux utilisateurs finaux désignés et au personnel autorisé au sein de notre organisation. Aucun vendeur tiers n'a accès aux données du Client, sauf autorisation spécifique dans le cadre d'un accord incluant des dispositions de protection des données.

 

Cependant, nos fournisseurs de services infonuagiques (cloud), tels qu'Azure et OpenAI, peuvent avoir accès à des versions cryptées des données pendant leur transit ou lorsqu'elles sont stockées au repos dans le cadre de leurs responsabilités de gestion d'infrastructure.

 

L'accès est contrôlé par des méthodes d'authentification sécurisées, telles que la SSO et le contrôle d'accès basé sur les rôles (role-based access control, « RBAC »), pour s’assurerque seules les personnes ayant un besoin légitime peuvent accéder aux données. Toutes les activités d'accès sont consignées et surveillées pour maintenir la responsabilité et assurer la conformité avec les politiques de sécurité.

 

Quelles mesures sont en place pour contrôler et surveiller l’accès aux données du Client ?

Notre solution met en œuvre des contrôles d'accès et des mesures de surveillance pour protéger les données du Client. Nous utilisons la SSO pour une authentification sécurisée, pour s’assurer que seul le personnel autorisé peut accéder à nos systèmes. L'accès aux bases de données et aux consoles de gestion au sein de nos fournisseurs de services infonuagiques (par exemple, AWS, Azure) est contrôlé par RBAC, l'authentification multi-facteurs (multi-factor authentification, « MFA ») et des examens réguliers de l'accès pour appliquer le principe du moindre privilège.

 

En plus de ces contrôles, tous les accès aux environnements de production sont consignés et surveillés. Les journaux incluent des détails sur les tentatives d'accès, les modifications apportées et l'identité de l'utilisateur effectuant les actions. Ces journaux sont stockés de manière sécuritaire, surveillés en continu pour détecter toute activité suspecte et audités régulièrement pour assurer la conformité avec les politiques de sécurité. De plus, les entrées de requêtes et d'autres informations potentiellement sensibles sont exclues des journaux pour éviter l'exposition involontaire de données privées.

 

Ensemble, ces mesures offrent une protection contre l'accès non autorisé et veillent à ceque toutes les activités impliquant les données du Client soient correctement contrôlées et surveillées.

5. Mesures de sécurité des données

Quels protocoles de sécurité sont en place pour protéger les données du Client ?

Notre solution est conçue avec un ensemble robuste de protocoles de sécurité pour protéger les données du Client. Nous mettons en œuvre un chiffrement conforme aux normes de l'industrie pour les données en transit et au repos, assurant la confidentialité et l'intégrité dans nos systèmes. Pour la transmission des données, nous utilisons des méthodes de chiffrement avancées telles que TLS, tandis que les données stockées dans nos bases de données sont sécurisées à l'aide de technologies de chiffrement conformes aux normes de l'industrie. Pour atténuer les menaces potentielles, un pare-feu d'application Web (Web Application Firewall, WAF) est employé pour se protéger contre divers types de cyberattaques. La gestion des clés cryptographiques est prise en chargepar un système de gestion des clés sécurisé.

 

Comment gérons-nous les violations de sécurité ou les fuites de données ?

Nous utilisons Service Hub par HubSpot comme notre plateforme (ITSM) de gestion des incidents, des problèmes et des changements.

En cas d'incident de sécurité des données, nous suivons un processus structuré pour assurer une réponse efficace. Notre plan de réponse aux incidents comprend les étapes suivantes :

 

  • Détection et identification : La surveillance à l'aide d'outils de sécurité pour détecter un accès non autorisé ou des fuites de données.

 

  • Confinement : Des actions sont prises pour isoler les systèmes affectés, restreindre l'accès ou arrêter des opérations pour empêcher tout accès non autorisé ou perte de données supplémentaire.

 

  • Enquête : Une enquête est menée pour identifier la cause de la violation, y compris l'examen des journaux, l'analyse judiciaire et l'identification des vulnérabilités.

 

  • Notification au Client : Nous notifierons sans délai la propre personne responsable de la protection des RP du Client de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et nous collaborerons raisonnablement avec ladite personne responsable du Client pour effectuer toute vérification relative à cette confidentialité.

 

  • Actions correctives : Des actions correctives sont prises pour remédier aux vulnérabilités ayant conduit à la violation, y compris l'application de correctifs et le renforcement des protocoles de sécurité.

 

  • Révision post-incident : Une révision est menée après la résolution de l'incident pour évaluer la réponse, identifier les leçons apprises et améliorer les pratiques de sécurité.

6. Partage des données et tiers

Les données du Client seront-elles partagées avec des tiers ?

Les données du Client peuvent être partagées avec des fournisseurs de services tiers, y compris les fournisseurs d’informatique en nuage (cloud computing), pour soutenir la fonctionnalité et la sécurité de nos services. Nous utilisons des outils comme Microsoft Presidio pour gérer et protéger les RP, en veillant à ce que les données sensibles soient correctement anonymisées ou expurgées avant traitement. Bien que nous nous efforcions de minimiser le partage des RP, certains détails tels que le prénom, le nom et les courriels peuvent être transmis à ces tiers à des fins opérationnelles spécifiques, y compris la livraison de courriels et la gestion des journaux. Toutes les interactions avec des tiers sont régies par des accords de protection des données pour protéger les informations du Client.

 

Quels accords ou sauvegardes sont en place avec les tiers traitant les données du Client ?

Les invitations (prompts) sont partagées avec Microsoft pour assurer des vérifications de sécurité complètes. LangFuse contribue à améliorer l'intégrité globale du système. Les données stockées dans la base de données vectorielle ne comprendront que des informations préalablement anonymisées pour supprimer tout RP.

7. Obligations du Client

Quelles sont les obligations du Client concernant la sécurité des données ?

Le Client doit utiliser nos services de manière sécurisée et responsable. Cela inclut le respect de nos directives de sécurité, telles que l'utilisation de la SSO pour l'authentification, et la garantie que les informations d'accès soient sécurisées. Le Client doit également suivre les meilleures pratiques en matière de sécurité des données, telles que l'utilisation de la MFA et la mise en œuvre de ses propres mesures de sécurité internes pour protéger ses données lors de l'utilisation de nos services. Ces obligations sont cruciales pour maintenir la sécurité globale du service et protéger les informations sensibles.

8. Responsable

Le Client peut contacter notre Responsable, nom, à courriel.

Dernière mise à jour : 01/12/2025

Engagement concernant la

sécurité des données

1. Introduction

Cet engagement concernant la sécurité des données (« ESD ») décrit les pratiques que nous, chez HalfSerious, avons mises en place pour protéger les données confiées par chacun de nos clients, c'est-à-dire par chaque personne ayant souscrit à nos termes et conditions de services (« TCS ») (« Client »). Nous alignons nos pratiques sur des cadres reconnus, tels que le NIST, et les meilleures pratiques de l'industrie informatique.

 

Dans cet ESD, « renseignement personnel » (« RP ») signifie tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

2. Collecte et utilisation des données

Notre solution ne collecte que les RP nécessaires à l'authentification des utilisateurs et au fonctionnement du système. Plus précisément, nous pouvons collecter et stocker les noms d'utilisateur et les courriels fournis par notre fournisseur d'authentification, pour faciliter un accès sécurisé via l'authentification unique (Single Sign-On, « SSO »).

 

De plus, nous pouvons recueillir des données anonymisées à des fins de contrôle de la qualité, d'amélioration, d'optimisation du système et de surveillance de la sécurité.

Les utilisations secondaires des données peuvent inclure :

 

  • Support et communication aux utilisateurs : L’utilisation des informations de contact, telles que les courriels, pour fournir un support, envoyer des notifications importantes et communiquer des mises à jour ou des modifications concernant les services.
  • Conformité et obligations légales : La conservation des données nécessaires pour se conformer aux obligations légales, répondre aux demandes légales des autorités compétentes, ou à des fins d'audit et de rapport.
  • Amélioration des services : L’analyse des tendances des données anonymisées pour améliorer et développer de nouvelles fonctionnalités, améliorer l'expérience utilisateur et affiner la fonctionnalité globale de nos systèmes.

 

  • Améliorations de la sécurité : L’utilisation des données collectées pour détecter, prévenir et répondre aux incidents de sécurité, y compris les tentatives d'accès non autorisées et les menaces potentielles.

 

  • Contrôle de la qualité : L’utilisation des données pour améliorer la qualité de nos produits et services.

3. Stockage et conservation des données

Où seront stockées les données du Client ?

Les données du Client seront stockées, par défaut, sur des serveurs sécurisés situés dans des juridictions conformes aux exigences opérationnelles du Client. Si un Client en fait la demande, nous choisirons une juridiction où les serveurs sont situés ; un tel cas peut impliquer des choix technologiques que le Client devra approuver au préalable.

 

Quels sont les engagements de conservation et de suppression des données ?

Lorsque les services Azure OpenAI sont sélectionnés par le Client :

  • Les données, y compris toutes les invites (prompts) et le contenu généré, sont stockées en toute sécurité par les services d’Azure OpenAI pendant une durée maximale de trente (30) jours, principalement pour le suivi des abus. Azure OpenAI n'utilise pas ces données pour entraîner, réentraîner ou améliorer des modèles.

 

  • Un Client souhaitant se désengager de la conservation des données d'Azure OpenAI peut soumettre une demande via notre portail de support ou contacter directement notre responsable de la protection des renseignements personnels aux coordonnées décrites ci-après (« Responsable »). À la réception de la demande et après approbation, toutes les invites et complétions précédemment stockées seront supprimées des systèmes d'Azure OpenAI conformément à leurs politiques de conservation et de suppression.

 

Pour les données conservées dans nos systèmes, y compris les noms d'utilisateur, les courriels et d'autres données opérationnelles, celles-ci ne seront pas conservées après la fin des TCS entre nous et le Client, sauf pour la période prescrite dans les TCS pour la destruction des données.

 

Un Client peut demander la suppression des données internes en soumettant une demande à notre Responsable, et nous traiterons cette demande sous réserve des lois applicables sur la protection des données et des TCS, ainsi que de la conservation des données pour protéger nos intérêts légitimes légaux.

4. Accès et contrôle des données

Qui aura accès aux données du Client ?

Nous maintenons des mesures administratives, techniques et physiques appropriées conçues pour préserver la confidentialité, l'intégrité et la disponibilité des RP et des données du Client.

 

L'accès aux données du Client est limité aux utilisateurs finaux désignés et au personnel autorisé au sein de notre organisation. Aucun vendeur tiers n'a accès aux données du Client, sauf autorisation spécifique dans le cadre d'un accord incluant des dispositions de protection des données.

 

Cependant, nos fournisseurs de services infonuagiques (cloud), tels qu'Azure et OpenAI, peuvent avoir accès à des versions cryptées des données pendant leur transit ou lorsqu'elles sont stockées au repos dans le cadre de leurs responsabilités de gestion d'infrastructure.

 

L'accès est contrôlé par des méthodes d'authentification sécurisées, telles que la SSO et le contrôle d'accès basé sur les rôles (role-based access control, « RBAC »), pour s’assurerque seules les personnes ayant un besoin légitime peuvent accéder aux données. Toutes les activités d'accès sont consignées et surveillées pour maintenir la responsabilité et assurer la conformité avec les politiques de sécurité.

 

Quelles mesures sont en place pour contrôler et surveiller l’accès aux données du Client ?

Notre solution met en œuvre des contrôles d'accès et des mesures de surveillance pour protéger les données du Client. Nous utilisons la SSO pour une authentification sécurisée, pour s’assurer que seul le personnel autorisé peut accéder à nos systèmes. L'accès aux bases de données et aux consoles de gestion au sein de nos fournisseurs de services infonuagiques (par exemple, AWS, Azure) est contrôlé par RBAC, l'authentification multi-facteurs (multi-factor authentification, « MFA ») et des examens réguliers de l'accès pour appliquer le principe du moindre privilège.

 

En plus de ces contrôles, tous les accès aux environnements de production sont consignés et surveillés. Les journaux incluent des détails sur les tentatives d'accès, les modifications apportées et l'identité de l'utilisateur effectuant les actions. Ces journaux sont stockés de manière sécuritaire, surveillés en continu pour détecter toute activité suspecte et audités régulièrement pour assurer la conformité avec les politiques de sécurité. De plus, les entrées de requêtes et d'autres informations potentiellement sensibles sont exclues des journaux pour éviter l'exposition involontaire de données privées.

 

Ensemble, ces mesures offrent une protection contre l'accès non autorisé et veillent à ceque toutes les activités impliquant les données du Client soient correctement contrôlées et surveillées.

5. Mesures de sécurité des données

Quels protocoles de sécurité sont en place pour protéger les données du Client ?

Notre solution est conçue avec un ensemble robuste de protocoles de sécurité pour protéger les données du Client. Nous mettons en œuvre un chiffrement conforme aux normes de l'industrie pour les données en transit et au repos, assurant la confidentialité et l'intégrité dans nos systèmes. Pour la transmission des données, nous utilisons des méthodes de chiffrement avancées telles que TLS, tandis que les données stockées dans nos bases de données sont sécurisées à l'aide de technologies de chiffrement conformes aux normes de l'industrie. Pour atténuer les menaces potentielles, un pare-feu d'application Web (Web Application Firewall, WAF) est employé pour se protéger contre divers types de cyberattaques. La gestion des clés cryptographiques est prise en chargepar un système de gestion des clés sécurisé.

 

Comment gérons-nous les violations de sécurité ou les fuites de données ?

Nous utilisons Service Hub par HubSpot comme notre plateforme (ITSM) de gestion des incidents, des problèmes et des changements.

En cas d'incident de sécurité des données, nous suivons un processus structuré pour assurer une réponse efficace. Notre plan de réponse aux incidents comprend les étapes suivantes :

 

  • Détection et identification : La surveillance à l'aide d'outils de sécurité pour détecter un accès non autorisé ou des fuites de données.

 

  • Confinement : Des actions sont prises pour isoler les systèmes affectés, restreindre l'accès ou arrêter des opérations pour empêcher tout accès non autorisé ou perte de données supplémentaire.

 

  • Enquête : Une enquête est menée pour identifier la cause de la violation, y compris l'examen des journaux, l'analyse judiciaire et l'identification des vulnérabilités.

 

  • Notification au Client : Nous notifierons sans délai la propre personne responsable de la protection des RP du Client de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et nous collaborerons raisonnablement avec ladite personne responsable du Client pour effectuer toute vérification relative à cette confidentialité.

 

  • Actions correctives : Des actions correctives sont prises pour remédier aux vulnérabilités ayant conduit à la violation, y compris l'application de correctifs et le renforcement des protocoles de sécurité.

 

  • Révision post-incident : Une révision est menée après la résolution de l'incident pour évaluer la réponse, identifier les leçons apprises et améliorer les pratiques de sécurité.

6. Partage des données et tiers

Les données du Client seront-elles partagées avec des tiers ?

Les données du Client peuvent être partagées avec des fournisseurs de services tiers, y compris les fournisseurs d’informatique en nuage (cloud computing), pour soutenir la fonctionnalité et la sécurité de nos services. Nous utilisons des outils comme Microsoft Presidio pour gérer et protéger les RP, en veillant à ce que les données sensibles soient correctement anonymisées ou expurgées avant traitement. Bien que nous nous efforcions de minimiser le partage des RP, certains détails tels que le prénom, le nom et les courriels peuvent être transmis à ces tiers à des fins opérationnelles spécifiques, y compris la livraison de courriels et la gestion des journaux. Toutes les interactions avec des tiers sont régies par des accords de protection des données pour protéger les informations du Client.

 

Quels accords ou sauvegardes sont en place avec les tiers traitant les données du Client ?

Les invitations (prompts) sont partagées avec Microsoft pour assurer des vérifications de sécurité complètes. LangFuse contribue à améliorer l'intégrité globale du système. Les données stockées dans la base de données vectorielle ne comprendront que des informations préalablement anonymisées pour supprimer tout RP.

7. Obligations du Client

Quelles sont les obligations du Client concernant la sécurité des données ?

Le Client doit utiliser nos services de manière sécurisée et responsable. Cela inclut le respect de nos directives de sécurité, telles que l'utilisation de la SSO pour l'authentification, et la garantie que les informations d'accès soient sécurisées. Le Client doit également suivre les meilleures pratiques en matière de sécurité des données, telles que l'utilisation de la MFA et la mise en œuvre de ses propres mesures de sécurité internes pour protéger ses données lors de l'utilisation de nos services. Ces obligations sont cruciales pour maintenir la sécurité globale du service et protéger les informations sensibles.

8. Responsable

Le Client peut contacter notre Responsable, nom, à courriel.

Dernière mise à jour : 01/12/2025

Engagement concernant la

sécurité des données

1. Introduction

Cet engagement concernant la sécurité des données (« ESD ») décrit les pratiques que nous, chez HalfSerious, avons mises en place pour protéger les données confiées par chacun de nos clients, c'est-à-dire par chaque personne ayant souscrit à nos termes et conditions de services (« TCS ») (« Client »). Nous alignons nos pratiques sur des cadres reconnus, tels que le NIST, et les meilleures pratiques de l'industrie informatique.

 

Dans cet ESD, « renseignement personnel » (« RP ») signifie tout renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier.

2. Collecte et utilisation des données

Notre solution ne collecte que les RP nécessaires à l'authentification des utilisateurs et au fonctionnement du système. Plus précisément, nous pouvons collecter et stocker les noms d'utilisateur et les courriels fournis par notre fournisseur d'authentification, pour faciliter un accès sécurisé via l'authentification unique (Single Sign-On, « SSO »).

 

De plus, nous pouvons recueillir des données anonymisées à des fins de contrôle de la qualité, d'amélioration, d'optimisation du système et de surveillance de la sécurité.

Les utilisations secondaires des données peuvent inclure :

 

  • Support et communication aux utilisateurs : L’utilisation des informations de contact, telles que les courriels, pour fournir un support, envoyer des notifications importantes et communiquer des mises à jour ou des modifications concernant les services.
  • Conformité et obligations légales : La conservation des données nécessaires pour se conformer aux obligations légales, répondre aux demandes légales des autorités compétentes, ou à des fins d'audit et de rapport.
  • Amélioration des services : L’analyse des tendances des données anonymisées pour améliorer et développer de nouvelles fonctionnalités, améliorer l'expérience utilisateur et affiner la fonctionnalité globale de nos systèmes.

 

  • Améliorations de la sécurité : L’utilisation des données collectées pour détecter, prévenir et répondre aux incidents de sécurité, y compris les tentatives d'accès non autorisées et les menaces potentielles.

 

  • Contrôle de la qualité : L’utilisation des données pour améliorer la qualité de nos produits et services.

3. Stockage et conservation des données

Où seront stockées les données du Client ?

Les données du Client seront stockées, par défaut, sur des serveurs sécurisés situés dans des juridictions conformes aux exigences opérationnelles du Client. Si un Client en fait la demande, nous choisirons une juridiction où les serveurs sont situés ; un tel cas peut impliquer des choix technologiques que le Client devra approuver au préalable.

 

Quels sont les engagements de conservation et de suppression des données ?

Lorsque les services Azure OpenAI sont sélectionnés par le Client :

  • Les données, y compris toutes les invites (prompts) et le contenu généré, sont stockées en toute sécurité par les services d’Azure OpenAI pendant une durée maximale de trente (30) jours, principalement pour le suivi des abus. Azure OpenAI n'utilise pas ces données pour entraîner, réentraîner ou améliorer des modèles.

 

  • Un Client souhaitant se désengager de la conservation des données d'Azure OpenAI peut soumettre une demande via notre portail de support ou contacter directement notre responsable de la protection des renseignements personnels aux coordonnées décrites ci-après (« Responsable »). À la réception de la demande et après approbation, toutes les invites et complétions précédemment stockées seront supprimées des systèmes d'Azure OpenAI conformément à leurs politiques de conservation et de suppression.

 

Pour les données conservées dans nos systèmes, y compris les noms d'utilisateur, les courriels et d'autres données opérationnelles, celles-ci ne seront pas conservées après la fin des TCS entre nous et le Client, sauf pour la période prescrite dans les TCS pour la destruction des données.

 

Un Client peut demander la suppression des données internes en soumettant une demande à notre Responsable, et nous traiterons cette demande sous réserve des lois applicables sur la protection des données et des TCS, ainsi que de la conservation des données pour protéger nos intérêts légitimes légaux.

4. Accès et contrôle des données

Qui aura accès aux données du Client ?

Nous maintenons des mesures administratives, techniques et physiques appropriées conçues pour préserver la confidentialité, l'intégrité et la disponibilité des RP et des données du Client.

 

L'accès aux données du Client est limité aux utilisateurs finaux désignés et au personnel autorisé au sein de notre organisation. Aucun vendeur tiers n'a accès aux données du Client, sauf autorisation spécifique dans le cadre d'un accord incluant des dispositions de protection des données.

 

Cependant, nos fournisseurs de services infonuagiques (cloud), tels qu'Azure et OpenAI, peuvent avoir accès à des versions cryptées des données pendant leur transit ou lorsqu'elles sont stockées au repos dans le cadre de leurs responsabilités de gestion d'infrastructure.

 

L'accès est contrôlé par des méthodes d'authentification sécurisées, telles que la SSO et le contrôle d'accès basé sur les rôles (role-based access control, « RBAC »), pour s’assurerque seules les personnes ayant un besoin légitime peuvent accéder aux données. Toutes les activités d'accès sont consignées et surveillées pour maintenir la responsabilité et assurer la conformité avec les politiques de sécurité.

 

Quelles mesures sont en place pour contrôler et surveiller l’accès aux données du Client ?

Notre solution met en œuvre des contrôles d'accès et des mesures de surveillance pour protéger les données du Client. Nous utilisons la SSO pour une authentification sécurisée, pour s’assurer que seul le personnel autorisé peut accéder à nos systèmes. L'accès aux bases de données et aux consoles de gestion au sein de nos fournisseurs de services infonuagiques (par exemple, AWS, Azure) est contrôlé par RBAC, l'authentification multi-facteurs (multi-factor authentification, « MFA ») et des examens réguliers de l'accès pour appliquer le principe du moindre privilège.

 

En plus de ces contrôles, tous les accès aux environnements de production sont consignés et surveillés. Les journaux incluent des détails sur les tentatives d'accès, les modifications apportées et l'identité de l'utilisateur effectuant les actions. Ces journaux sont stockés de manière sécuritaire, surveillés en continu pour détecter toute activité suspecte et audités régulièrement pour assurer la conformité avec les politiques de sécurité. De plus, les entrées de requêtes et d'autres informations potentiellement sensibles sont exclues des journaux pour éviter l'exposition involontaire de données privées.

 

Ensemble, ces mesures offrent une protection contre l'accès non autorisé et veillent à ceque toutes les activités impliquant les données du Client soient correctement contrôlées et surveillées.

5. Mesures de sécurité des données

Quels protocoles de sécurité sont en place pour protéger les données du Client ?

Notre solution est conçue avec un ensemble robuste de protocoles de sécurité pour protéger les données du Client. Nous mettons en œuvre un chiffrement conforme aux normes de l'industrie pour les données en transit et au repos, assurant la confidentialité et l'intégrité dans nos systèmes. Pour la transmission des données, nous utilisons des méthodes de chiffrement avancées telles que TLS, tandis que les données stockées dans nos bases de données sont sécurisées à l'aide de technologies de chiffrement conformes aux normes de l'industrie. Pour atténuer les menaces potentielles, un pare-feu d'application Web (Web Application Firewall, WAF) est employé pour se protéger contre divers types de cyberattaques. La gestion des clés cryptographiques est prise en chargepar un système de gestion des clés sécurisé.

 

Comment gérons-nous les violations de sécurité ou les fuites de données ?

Nous utilisons Service Hub par HubSpot comme notre plateforme (ITSM) de gestion des incidents, des problèmes et des changements.

En cas d'incident de sécurité des données, nous suivons un processus structuré pour assurer une réponse efficace. Notre plan de réponse aux incidents comprend les étapes suivantes :

 

  • Détection et identification : La surveillance à l'aide d'outils de sécurité pour détecter un accès non autorisé ou des fuites de données.

 

  • Confinement : Des actions sont prises pour isoler les systèmes affectés, restreindre l'accès ou arrêter des opérations pour empêcher tout accès non autorisé ou perte de données supplémentaire.

 

  • Enquête : Une enquête est menée pour identifier la cause de la violation, y compris l'examen des journaux, l'analyse judiciaire et l'identification des vulnérabilités.

 

  • Notification au Client : Nous notifierons sans délai la propre personne responsable de la protection des RP du Client de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité du renseignement communiqué et nous collaborerons raisonnablement avec ladite personne responsable du Client pour effectuer toute vérification relative à cette confidentialité.

 

  • Actions correctives : Des actions correctives sont prises pour remédier aux vulnérabilités ayant conduit à la violation, y compris l'application de correctifs et le renforcement des protocoles de sécurité.

 

  • Révision post-incident : Une révision est menée après la résolution de l'incident pour évaluer la réponse, identifier les leçons apprises et améliorer les pratiques de sécurité.

6. Partage des données et tiers

Les données du Client seront-elles partagées avec des tiers ?

Les données du Client peuvent être partagées avec des fournisseurs de services tiers, y compris les fournisseurs d’informatique en nuage (cloud computing), pour soutenir la fonctionnalité et la sécurité de nos services. Nous utilisons des outils comme Microsoft Presidio pour gérer et protéger les RP, en veillant à ce que les données sensibles soient correctement anonymisées ou expurgées avant traitement. Bien que nous nous efforcions de minimiser le partage des RP, certains détails tels que le prénom, le nom et les courriels peuvent être transmis à ces tiers à des fins opérationnelles spécifiques, y compris la livraison de courriels et la gestion des journaux. Toutes les interactions avec des tiers sont régies par des accords de protection des données pour protéger les informations du Client.

 

Quels accords ou sauvegardes sont en place avec les tiers traitant les données du Client ?

Les invitations (prompts) sont partagées avec Microsoft pour assurer des vérifications de sécurité complètes. LangFuse contribue à améliorer l'intégrité globale du système. Les données stockées dans la base de données vectorielle ne comprendront que des informations préalablement anonymisées pour supprimer tout RP.

7. Obligations du Client

Quelles sont les obligations du Client concernant la sécurité des données ?

Le Client doit utiliser nos services de manière sécurisée et responsable. Cela inclut le respect de nos directives de sécurité, telles que l'utilisation de la SSO pour l'authentification, et la garantie que les informations d'accès soient sécurisées. Le Client doit également suivre les meilleures pratiques en matière de sécurité des données, telles que l'utilisation de la MFA et la mise en œuvre de ses propres mesures de sécurité internes pour protéger ses données lors de l'utilisation de nos services. Ces obligations sont cruciales pour maintenir la sécurité globale du service et protéger les informations sensibles.

8. Responsable

Le Client peut contacter notre Responsable, nom, à courriel.