Le RGPD chez inWebo

Écrit par | mai 25, 2018 | Actualités |
GDPR

De security-by-design à privacy-by-design

Dans les semaines et jours précédant (et suivant) le 25 mai 2018, les boites e-mail ont été inondées de courriels tels que « Conformité RGPD » ou « Mise à jour de notre politique de confidentialité ». Vous vous demandez peut-être pourquoi vous n’en avez pas reçu de la part d’inWebo, ce que nous avons fait à ce sujet et quel est notre degré de préparation.

L’activité d’inWebo est la protection des identités. Pour cela, nous concevons et mettons en œuvre des techniques de cybersécurité protégeant les identités des utilisateurs de nos clients. Les données sensibles sont protégées dans nos systèmes grâce à des techniques de chiffrement, des crypto-serveurs (HSMs) et des firewalls. Les exigences du RGPD en matière de sécurité sont donc plus que respectées. Cependant, le RGPD englobe bien plus de choses et nous avons donc dû définir une trajectoire depuis notre situation de départ, « security-by-design », jusqu’à l’objectif de « privacy-by-design ».

Voici les différents sujets abordés ainsi que notre approche :

  • Le consentement de l’utilisateur au traitement des données : en tant que fournisseur de solutions d’authentification B2B, nous ne collectons pas de données auprès des utilisateurs finaux de la solution, ce sont nos clients qui en collectent. Nous recueillons des données auprès des administrateurs lorsqu’ils créent le compte de leur organisation, dans le seul but de créer ce compte et de leur fournir un accès.
  • Collecte minimale de données : nous stockons uniquement dans nos systèmes les données des utilisateurs dont nos clients ont besoin pour exploiter les solutions d’authentification que nous leur fournissons, telles que le nom d’utilisateur, une adresse e-mail et des données résultant de l’usage de la solution (jour et heure, adresse IP, statut d’authentification). Il est de la responsabilité de nos clients d’utiliser des pseudonymes en lieu et place des noms d’utilisateurs s’ils jugent ceux-ci sensibles et de ne pas stocker les adresses e-mail s’ils n’utilisent pas de fonctionnalités telles que « Réinitialiser le code PIN par email » qui nécessitent l’adresse e-mail.
  • La gouvernance des données : l’un des bénéfices du RGPD est de nous avoir fait définir une gouvernance et une politique de conservation des données. Nous avons maintenant standardisé nos durées de conservation des données : par défaut, les données d’usage sont conservées un an. En outre, toutes les données d’une organisation sont supprimées au maximum 6 mois après l’expiration de son compte. Les clients qui ont besoin d’une durée de conservation plus longue, par exemple pour une analyse de sécurité à long terme, peuvent souscrire une option d’archivage.
  • L’accès aux données et leur traçabilité : puisque nous exploitons la plate-forme d’authentification et que nous dépendons de fournisseurs de services pour certains aspects de la solution (fournisseur d’envoi d’e-mail, hébergeur et infogéreur notamment), nous avions besoin de définir des procédures concernant l’accès aux données, à la fois pour nous-mêmes et pour nos fournisseurs. Ces fournisseurs ont publié leur propre déclaration de conformité au RGPD. Nous les avons analysées et les avons estimées compatibles avec nos objectifs et nos pratiques. En ce qui nous concerne, par défaut, nous n’accédons jamais aux données des utilisateurs sauf si un client nous demande de le faire, par exemple pour résoudre un problème de fonctionnement de la solution. Nous avons formalisé la manière dont nos équipes opérationnelles autorisent et enregistrent ces demandes.
  • La protection des données : les données sensibles telles que les facteurs d’authentification sont chiffrées dans notre plateforme grâce à des crypto-serveurs (HSMs). Les noms d’utilisateurs ne sont généralement pas considérés comme sensibles (si c’est le cas, il est de la responsabilité de nos clients d’utiliser des pseudonymes à la place des noms) et il est nécessaire de les avoir en clair afin par exemple de pouvoir exécuter des requêtes de recherche. D’autres identifiants tels que les adresses e-mail ou les noms d’équipement de confiance ne sont généralement pas considérés comme sensibles. Nous avons néanmoins décidé de les chiffrer.
  • Droits (accès, modification, oubli) : nous ne connaissons pas les utilisateurs finaux de nos clients et n’avons aucun moyen de faire correspondre une demande que nous recevrions avec un utilisateur final réel dans notre plate-forme, ni de vérifier qu’une telle demande est légitime. De plus, si un de nos clients a créé un profil d’authentification dans notre plateforme pour un utilisateur, notre responsabilité est de ne pas y accéder, de ne pas le modifier et de ne pas le supprimer. Par conséquent, notre rôle ici de fournir à nos clients les outils et les procédures dont ils ont besoin pour répondre aux demandes de leurs utilisateurs, par exemple une fonction d’API permettant de supprimer des journaux d’authentification de notre plateforme les données d’un utilisateur. Néanmoins, nous avons aussi créé une adresse e-mail pour les demandes des utilisateurs finaux relatives à la confidentialité et aux informations personnelles. Nous limiterons notre rôle à une réponse conseillant à l’utilisateur d’envoyer sa demande à son organisation ou fournisseur de services.
  • Mise à jour de notre politique de confidentialité et de nos conditions générales : nous avons mis à jour notre politique de confidentialité et nos conditions générales en janvier 2018 afin d’inclure les changements résultant de notre conformité au RGPD.


écrit par inWebo