Livre blanc GDPR

En 2016, l'Union européenne (UE) a approuvé un nouveau règlement sur la protection de la vie privée appelé le règlement général sur la protection des données. Plus communément appelé "GDPR", il entrera en vigueur le mai 25, 2018.
En tant qu'entreprise qui a toujours pris le respect de la vie privée très au sérieux, le succès de nos clients à l'ère du GDPR est très important pour nous. C'est pourquoi nous avons rassemblé ce document pour donner un aperçu de ce que CloudAlly a fait pour préparer notre solution de sauvegarde au GDPR.

***

Quelle est la vision de CloudAlly sur le GDPR?
Nous nous félicitons des changements positifs apportés par le GDPR, tels que l'harmonisation accrue et l'approche «privacy by design et privacy by default». Notre avis est que le GDPR est une opportunité de construire des produits respectueux de la vie privée tout en augmentant la confiance des clients.

Que fait CloudAlly pour se conformer?
Avec des clients dans presque tous les pays du monde, préparer notre produit pour le GDPR est un "must".

Ceci est un résumé de haut niveau de ce que nous avons fait jusqu'à présent:

  • Stratégie GDPR.
    - Nous avons retenu les services d'un avocat externe pour nous aider à comprendre le GDPR et préparer un plan de conformité GDPR pour notre solution de sauvegarde.
    - Nous avons créé un groupe de travail interne avec des membres de différents départements (sécurité, ventes, développement de produits et autres) pour mettre en œuvre les changements de produits.
    - Le PDG de CloudAlly a été personnellement impliqué dans la supervision de sa mise en œuvre.
  •   Cartographie des données.
    Nous avons cartographié les pratiques de collecte de données de CloudAlly et déterminé que lors de l'utilisation de notre produit, CloudAlly est un processeur de données. En tant que fournisseur d'une solution de sauvegarde, CloudAlly ne détermine pas les «moyens» ou les «finalités» du traitement des données personnelles de nos clients. Au lieu de cela, CloudAlly traite les données personnelles pour le compte de nos clients.
  • Sécurité.
    Nous avons obtenu une certification ISO27001 dans 2014, que nous renouvelons
    périodiquement. Parmi d'autres éléments, il comprend la mise en œuvre de robustes
    des techniques de cryptage, des tests de pénétration périodiques et une politique de violation de données.
    Nos clients peuvent en lire plus sur notre site dédié à la sécurité:
    https://www.cloudally.com/resources/secure-online-backup/

2.    -   Authentification . Nous supportons les outils d'authentification fournis par Google, Facebook et Microsoft Azure. Toutes ces entités ont annoncé qu'elles se préparaient pour le GDPR. De plus, nous fournissons également notre propre solution d'authentification, avec une approche d'authentification à deux facteurs.
- Nouvelles fonctionnalités. Nous avons apporté un certain nombre de modifications à notre produit et à nos systèmes afin qu'il soit plus facile pour nos clients de localiser les données personnelles et de répondre aux demandes du droit à l'oubli. En outre, nous sommes heureux de fournir un certain niveau d'assistance manuelle, si nos clients en ont besoin. Dans ce cas, nos clients peuvent nous contacter en envoyant un email à support@cloudally.com et nous analyserons la demande et déciderons de l'étendue de l'assistance disponible dans chaque cas.

  • Transferts de données
    - Flexibilité du serveur Nous laissons nos clients choisir l'emplacement des centres de données où leurs informations de sauvegarde seront stockées. Par exemple, nos clients peuvent choisir d'héberger leurs informations dans le centre de données Amazon Web Services EU situé en République d'Irlande.
    - Amazon Web Services. AWS a déjà annoncé qu'il se conformera au GDPR et qu'ils sont également enregistrés auprès de PrivacyShield UE-USA (voir: https://www.privacyshield.gov/list ).
    - Le personnel de CloudAlly. Notre personnel se trouve en Israël, qui a été déclaré par la Commission européenne en tant que pays offrant un niveau adéquat de protection des données (voir: https://ec.europa.eu/info/law/law-
    topic / dataprotection / data-transferts-outside-eu / adéquation-protection-
    personaldata-non-eu-countries_en).
    - Processeurs de paiement. Nous travaillons avec des processeurs de paiement conformes à la norme PCI et des partenaires de facturation qui ont annoncé qu'ils se conformeront au GDPR.
    - O autres fournisseurs et partenaires. Nous travaillons avec des fournisseurs et des partenaires qui, comme Amazon Web Services, ont annoncé qu'ils se conformeront au GDPR.
  • La conservation des données. Nous développons de nouveaux outils et fonctionnalités qui permettront à nos clients de définir des périodes de rétention limitées.
  • Conformité permanente. Nous n'approuvons pas la conformité au GDPR comme un exercice ponctuel et nous nous engageons à revoir périodiquement notre feuille de route et à assurer une connaissance permanente des exigences du GDPR. Enfin, CloudAlly comprend que nos clients veulent une preuve que notre produit est prêt pour le GDPR. (A) nous sommes certifiés ISO 27001 comme mentionné ci-dessus et (b) suivons la création de mécanismes pour démontrer la conformité avec le GDPR (tels que les certifications et sceaux GDPR) et, en fonction de l'expérience des autres, considérerons la valeur pour nos clients de l'adhésion à celui-ci.

3   ***   Devrais-je, en tant que client CloudAlly, être préoccupé par le GDPR? Notre recommandation est que tous nos clients évaluent soigneusement s'ils sont soumis au GDPR et, dans l'affirmative, dans quelle mesure. Les conséquences de la violation du GDPR sont très graves et pourraient inclure des amendes allant jusqu'à 20 million d'euros ou 4% du chiffre d'affaires global de la société en infraction (oui, le chiffre d'affaires global!).

Si je suis un client non basé dans l'UE, devrais-je encore être concerné par le GDPR? Compte tenu de l'effet extraterritorial du GDPR, nos clients basés dans l'UE sont également encouragés à évaluer si le GDPR s'applique à eux ou non. Le GDPR s'appliquera non seulement aux entreprises qui traitent les données personnelles de personnes protégées et sont présentes dans l'UE (bureaux ou établissements), mais aussi aux entreprises qui n'existent pas dans l'UE mais offrent des biens ou des services à des personnes protégées.
dans l'UE et / ou surveillent leur comportement lorsqu'un tel comportement a lieu au sein de l'UE.

En tant que client CloudAlly, où devriez-vous commencer votre «voyage GDPR»? Si le GDPR s'applique à votre entreprise, nous vous recommandons fortement de procéder à une vérification diligente interne afin de cartographier vos pratiques spécifiques de collecte de données. Cela inclut, entre autres, de comprendre quelles sont les données personnelles spécifiques (y compris les données personnelles sensibles) des personnes protégées par le GDPR que votre entreprise collecte (par exemple les utilisateurs finaux, les clients, les employés, etc.), de qui proviennent les données. être hébergé, à quelles fins est-il utilisé, avec qui est-il divulgué, et si les données personnelles sont transférées en dehors de l'Union européenne ou de l'Espace économique européen.

Et maintenant quoi? Réfléchissez aux données personnelles que vous partagez avec CloudAlly lors de l'utilisation de nos services et, si nécessaire, signez notre accord de traitement des données.

Où puis-je en savoir plus sur GDPR? Des informations complémentaires sont disponibles sur le site internet de la Commission européenne ( http://ec.europa.eu/justice/dataprotection/reform/index_en.htm ).

J'ai plus de questions. Qui dois-je contacter? Si vous avez des questions supplémentaires sur le GDPR, vous êtes invités à nous contacter à support@cloudally.com .

***

Avertissement: Les informations contenues dans ce document ne peuvent être interprétées comme des conseils juridiques sur l'interprétation ou l'application de toute loi, règlement ou directive réglementaire. Les clients et les clients potentiels doivent rechercher leur propre conseiller juridique pour comprendre l'applicabilité de toute loi sur le traitement de leurs données personnelles.

Dernière mise à jour: mars 21, 2018