DoliCloud est-il compatible RGPD (GDPR en anglais) ?

dolibarr_adaptable

 

Il faut distinguer 2 questions. Le service DoliCloud est-il conforme au RGPD au sens du respect, par la société qui propose le service, des règles de conformité vis à vis de vos informations en tant que client ? Et indépendemment, l'application que vous utilisez via DoliCloud, vous permet-elle, en tant que collecteur des données de vos propres clients, d'être conforme .

 

 

 

 

 

Le respect du RGPD, vis à vis de vos informations client

 

Les recommendations du RGPD a bien été mis en oeuvre par DoliCloud :


Informations collectées et usage:

* Vos informations Client (email, mot de passe de votre compte client, et éventuellement raison sociale, nom et prénom de contact, adresse, code postal, pays et numéro de TVA) sont stockées suite à la saisie de votre inscription. Ces informations nous permettent de réaliser la facturation au service, si vous avez choisi l'offre payante.

* Si vous avez souscrit à l'offre payante, nous stockons aussi les informations suivantes: Votre mandat SEPA si vous avez opté pour le paiement SEPA, les 4 derniers chiffres de votre carte bancaire si vous avez opté pour le paiement par carte. Les informations complètes de votre carte bancaire, requises pour le paiement par carte, ne sont pas stockés par nos soins, mais chez notre prestataire de paiement Stripe (leader mondial du paiement en ligne). Nous n'en avons pas connaissance, chaque prélèvement passe par une demande que nous adressons à ce prestataire. Lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe et ne font donc l'objet d'aucun stockage sur nos serveurs.

* Vous bénéficiez de la possibilité de demander la suppression de votre compte et des informations précédemment citées à tout moment.

* Le contact référent RGPD pour le service DoliCloud est le suivant : Laurent Destailleur, contact@dolicloud.com


Stockage des données et sauvegardes:

* Le stockage des données collectées (voir point 'Informations collectées et usage') est réalisé dans une base de données. Le mot de passe n'y est pas stocké, mais pour permettre la validation de votre connexion à votre espace client, nous stockons l'emprunte cryptée de ce mot de passe, générée par l'algorithme de cryptage non réversible SHA256.

* Dès lors que vous avez souscrit à l'offre payante, une sauvegarde est réalisée de manière journalière et stockée sur disques de stockages indépendant hébergés par OVH en Europe (France). Seuls les 30 derniers jours sont conservés.


Sous-traitants:

* DoliCloud s'appuie sur les sous-traitants et services suivant:
** L'hébergeur des serveurs informatiques, qui est OVH. Ces serveurs sont hébergées en Europe (France). Aucune information client DoliCloud n'est communiquée à ce sous-traitant qui ne fournit que la couche matérielle et réseau, l'installation et l'exploitation étant réalisé par nos soins directement.
** Le service de paiement en ligne Stripe. Celui-ci est utilisé, dans le but d'assurer le paiement régulier de l'abonnement. Ce n'est pas DoliCloud qui communique vos informations cartes bancaires car nous ne les possédons pas. En effet, lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe (via un interface hébergées par Stripe) lors de la saisie du numéro pour réaliser le paiement (nous récupérons toutefois de Stripe les 4 derniers chiffres, ce qui nous permet de pouvoir identifier/analyser des problèmes de paiement, nous récupérons aussi un jeton propre à votre compte qui nous permet de demander à Stripe de réaliser le paiement à chaque nouvelle échéance).


Protection des logiciels:

* DoliCloud tourne sur des systèmes et logiciels de type Linux Ubuntu. Ils bénéficient des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation (Ubuntu Canonical) les publient.

* L'espace client ainsi que les instances Clients sont accessibles en mode HTTPS (HTTP crypté) ou HTTP (au choix) pour les comptes créés avant le 1er juin 2018, et obligatoirement en HTTPS (HTTP crypté) via l'algorithme SHA256 pour les comptes crées après le 1er juin 2018.

* L'espace client ainsi que les instances Clients sont protégés par différents dispositifs représentant l'état de l'art en terme de sécurité informatique: FireWall, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection et anti-XSS. Des tests de qualité et non régressions, aussi bien sur les composants logiciels qui gèrent votre espace client que sur le logiciel qui est fourni par le service DoliCloud, sont réalisés de manière automatique via les outils PHP-Unit et Travis-CI.


Vols de données:

* En cas de suspiscion d'un vol des données que nous avons collectés (voir premier point 'Informations collectées et usage'), les clients DoliCloud seront informés par email, à l'email correspondant à leur compte client

 

 

 

J'utilise une solution sur DoliCloud, suis-je en règle avec le RGPD ?

 

En utilisant un logiciel de gestion, vous stockez des informations et vous devenez "collecteur de données". A ce titre, si vous êtes en Europe, ou si vous stockez des informations sur des entités européennes, vous devez respecter les règles du RGPD.

Ce n'est pas le logiciel qui fait que vous respectez ou non le RGPD mais l'utilisation que vous en fait et la documentation de vos processus que vous avez réalisé. Quelquesoit les logiciels utilisés, vous vous devez de:

* Décrire les informations que vous stocker avec le logiciel, leur moyen de collecte, et ce que vous en faites.

* Permettre aux personnes concernés par le stockage de données personnelles de demander la suppression de leur données si vous n'en avez plus besoin.

* Si vous communiquez les données que vous collectez/stockez à des sous-traitant, vous devez informer sur la nature de ces données et à qui elles sont communiquées.

* Définir et publier un contact référent RGPD.

* Communiquer dans le cas de connaissance d'un vol de données ou d'intrusion non désirée dans votre logiciel.

* Pour vous aider à remplir votre Registre RGPD, voici quelques informations sur le logiciel que vous utilisez:

    - Le système d'exploitation qui héberge l'instance de votre logiciel est de type Linux Ubuntu. Il bénéficie des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation (Ubuntu Canonical) les publient.

    - Les données sont stockées dans une base de données de type MariaDb, le logiciel proposé sur DoliCloud ne stocke pas les informations de type "Mot de passe" (empêchant donc tout vol direct) mais uniquement une emprunte réalisée par un double algorithme de cryptage non réversible qui est par défaut le couple MD5+SHA1.

    - L'instance de votre logiciel est accessible en mode HTTPS (HTTP crypté) ou HTTP (au choix) pour les comptes créés avant le 1er juin 2018, et obligatoirement en HTTPS (HTTP crypté) via l'algorithme SHA256 pour les comptes crées après le 1er juin 2018.

    - L'instance de votre logiciel est protégée par différents dispositifs représentant l'état de l'art en terme de sécurité informatique: FireWall, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection, anti-XSS. Des tests sur le logiciel mis à disposition sont réalisés de manière automatique via les outils PHP-Unit et Travis-CI.

    - Dès lors que vous avez souscrit à l'offre payante, une sauvegarde de votre instance est réalisée de manière journalière, et stockée sur disques de stockages indépendants, hébergés par OVH en Europe (France). Seuls les 30 derniers jours sont conservés.

 

 

 

 

FAQ written by DoliCloud support team.