GDPR

Livre blanc GDPR

In 2016, the European Union (EU) approved a new privacy regulation called the General Data Protection Regulation. More commonly known as the “GDPR”, it came into force on mai 25, 2018.
As a company that has always taken privacy very seriously, the success of our customers in the GDPR era is very important to us. This is why we have put this document together to provide an overview of what CloudAlly has done to get our back-up solution prepared for the GDPR.

Quelle est la vision de CloudAlly sur le GDPR?
Nous nous félicitons des changements positifs apportés par le GDPR, tels que l'harmonisation accrue et l'approche «privacy by design et privacy by default». Notre avis est que le GDPR est une opportunité de construire des produits respectueux de la vie privée tout en augmentant la confiance des clients.

Que fait CloudAlly pour se conformer?
Avec des clients dans presque tous les pays du monde, préparer notre produit pour le GDPR est un "must".

    • Stratégie GDPR.
      — We retained outside counsel to help us understand the GDPR and prepare a GDPR compliance plan for our back-up solution.
      — We built an internal taskforce with members of different departments (security, sales, product development, and others) to implement the product changes.
      — The CEO of CloudAlly has been personally involved in the supervision of its implementation.

    • Data Mapping.
      We mapped CloudAlly’s data collection practices and determined that when using our product, CloudAlly is a data processor. As a provider of a backup solution, CloudAlly does not determine the “means” or the “purposes” of the processing of our customers’ personal data. Instead, CloudAlly processes the personal data on behalf of our customers.

    •  Security.
      We obtained an ISO27001 certification in 2014, which we renew periodically.
      Among other items, it includes the implementation of robust encryption techniques, periodical penetration tests and a data breach policy. Our customers can read more on our security dedicated site: https://www.cloudally.com/resources/secure-online-backup/

1.    -   Authentification . Nous supportons les outils d'authentification fournis par Google, Facebook et Microsoft Azure. Toutes ces entités ont annoncé qu'elles se préparaient pour le GDPR. De plus, nous fournissons également notre propre solution d'authentification, avec une approche d'authentification à deux facteurs.
- Nouvelles fonctionnalités. Nous avons apporté un certain nombre de modifications à notre produit et à nos systèmes afin qu'il soit plus facile pour nos clients de localiser les données personnelles et de répondre aux demandes du droit à l'oubli. En outre, nous sommes heureux de fournir un certain niveau d'assistance manuelle, si nos clients en ont besoin. Dans ce cas, nos clients peuvent nous contacter en envoyant un email à support@cloudally.com et nous analyserons la demande et déciderons de l'étendue de l'assistance disponible dans chaque cas.

    • Transferts de données
      — Server flexibility. We let our customers choose the location of the data centers where their back-up information will be stored. For example, our customers may choose to have their information hosted in the Amazon Web Services EU data center located in the Republic of Ireland.
      — Amazon Web Services. AWS has already announced that will comply with the GDPR and they are also registered with the EU-US PrivacyShield (see: https://www.privacyshield.gov/list).
      — CloudAlly’s Staff. Our staff sits in Israel, which was declared by the European Commission as a country that offers adequate level of data protection (see: https://ec.europa.eu/info/law/law-
      topic/dataprotection/data-transfers-outside-eu/adequacy-protection-
      personaldata-non-eu-countries_en).
      — Payment Processors. We work with PCI compliant payment processors and billing partners that have announced they will comply with GDPR.
      — Other vendors and partners. We work with vendors and partners who, like Amazon Web Services, have announced they will comply with the GDPR.

    • Data Retention. We are developing new tools and functionalities which will allow our customers to set limited retention periods.
    •   Conformité permanente. Nous n'approuvons pas la conformité au GDPR comme un exercice ponctuel et nous nous engageons à revoir périodiquement notre feuille de route et à assurer une connaissance permanente des exigences du GDPR. Enfin, CloudAlly comprend que nos clients veulent une preuve que notre produit est prêt pour le GDPR. (A) nous sommes certifiés ISO 27001 comme mentionné ci-dessus et (b) suivons la création de mécanismes pour démontrer la conformité avec le GDPR (tels que les certifications et sceaux GDPR) et, en fonction de l'expérience des autres, considérerons la valeur pour nos clients de l'adhésion à celui-ci.

2. Should I, as a CloudAlly customer, be concerned about the GDPR?
Our recommendation is that all our customers assess carefully whether they are subject to the GDPR and, if so, to what extent. The consequences of breaching the GDPR are very serious and could include fines of up to 20 million Euro or 4% of the breaching company’s global turnover (yes, the global turnover!).

If I am a customer not based in the EU, should I still be concerned about the GDPR?
Given the GDPR’s extraterritorial effect, our non-EU based customers are also encouraged to assess whether the GDPR applies to them or not. The GDPR will not only apply to companies that process the personal data of protected individuals and have a presence in the EU (e.g. offices or establishments) but also to companies that do not have any presence in the EU but offer goods or services to protected individuals in the EU and/or monitor their behavior where such behavior takes place within the EU.

En tant que client CloudAlly, où devriez-vous commencer votre «voyage GDPR»?
Si le GDPR s'applique à votre entreprise, nous vous recommandons fortement de procéder à une vérification diligente interne afin de cartographier vos pratiques spécifiques de collecte de données. Cela inclut, entre autres, de comprendre quelles sont les données personnelles spécifiques (y compris les données personnelles sensibles) des personnes protégées par le GDPR que votre entreprise collecte (par exemple les utilisateurs finaux, les clients, les employés, etc.), de qui proviennent les données. être hébergé, à quelles fins est-il utilisé, avec qui est-il divulgué, et si les données personnelles sont transférées en dehors de l'Union européenne ou de l'Espace économique européen.

Et maintenant quoi?
Réfléchissez aux données personnelles que vous partagez avec CloudAlly lors de l'utilisation de nos services et, si nécessaire, signez notre accord de traitement des données.

Où puis-je en savoir plus sur GDPR?
Des informations complémentaires sont disponibles sur le site internet de la Commission européenne ( http://ec.europa.eu/justice/dataprotection/reform/index_en.htm ).

I have more questions. Who should I contact?
If you have any additional questions about the GDPR you are welcome to contact us at support@cloudally.com.

Avertissement: Les informations contenues dans ce document ne peuvent être interprétées comme des conseils juridiques sur l'interprétation ou l'application de toute loi, règlement ou directive réglementaire. Les clients et les clients potentiels doivent rechercher leur propre conseiller juridique pour comprendre l'applicabilité de toute loi sur le traitement de leurs données personnelles.

Dernière mise à jour: novembre 5, 2018