DoliCloud est-il compatible RGPD (GDPR en anglais) ?

dolibarr_adaptable

Il faut distinguer 2 questions.
- Le service DoliCloud est-il conforme au RGPD au sens du respect, par la société qui propose le service, des règles de conformité vis à vis de vos informations en tant que client ?
- Et d'un autre point de vue, l'application que vous utilisez via DoliCloud, vous permet-elle, en tant que collecteur des données de vos propres clients, d'être conforme ?






Le respect du RGPD, vis à vis de vos informations de Client Dolicloud


Les recommendations du RGPD a bien été mis en oeuvre par DoliCloud :


Informations collectées et usage:

* Vos informations Client (email, mot de passe de votre compte client, et éventuellement raison sociale, nom et prénom de contact, adresse, code postal, pays et numéro de TVA) sont stockées suite à la saisie de votre inscription. Ces informations nous permettent de réaliser la facturation au service, si vous avez choisi l'offre payante.

* Si vous avez souscrit à l'offre payante, nous stockons aussi les informations suivantes: Votre mandat SEPA si vous avez opté pour le paiement SEPA, les 4 derniers chiffres de votre carte bancaire si vous avez opté pour le paiement par carte. Les informations complètes de votre carte bancaire (requises pour le paiement par carte) ne sont pas stockés par nos soins, mais chez notre prestataire de paiement Stripe (leader mondial du paiement en ligne). Nous n'en avons pas connaissance, chaque prélèvement passe par une demande que nous adressons à ce prestataire. Lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe et ne font donc l'objet d'aucun stockage sur nos serveurs.

* Vous bénéficiez de la possibilité de demander la suppression de votre compte et des informations précédemment citées à tout moment.

* Le contact référent RGPD pour le service DoliCloud est le suivant : Laurent Destailleur, contact+dpo@dolicloud.com


Stockage des données et sauvegardes:

* Le stockage des données collectées (voir point 'Informations collectées et usage') est réalisé dans une base de données. Le mot de passe n'y est pas stocké, mais pour permettre la validation de votre connexion à votre espace client, nous stockons l'emprunte cryptée de ce mot de passe, générée par l'algorithme de cryptage non réversible Bcrypt.

* L'hébergement de DoliCloud est assuré dans un datacenter par OVH en France (production)

* Dès lors que vous avez souscrit à l'offre payante, une sauvegarde est réalisée de manière journalière et stockée sur disques de stockages indépendant hébergés sur un autre datacenter de OVH (2eme jeu de données) ainsi que sur le datacenter de Scaleway en France également (3eme jet de données). Un niveau suplémentaire de sauvegarde est également encore assuré dans nos locaux. Nous ne pratiquons pas la politique de sauvegarde 3-2-1 (3 jeux de données, 2 supports différents, 1 sur site déporté) car nous la jugeons très insuffisante vis à vis des menaces d'aujourd'hui, mais du 4-3-2d (4 jeux de données, 3 supports différents, 2 sur sites déportés via 2 directions différentes pour le transfert des données sur ces sites déportés: 1 en push, l'autre en pull). Seuls les 30 derniers jours sont conservés. Les jeux de sauvegardes sont dans un format fichier et SQL standard garantissant la possibilité de les restaurer chez n'importe quelle autre hébergeur, quelque soit le système de base de donnée.


Sous-traitants:

* DoliCloud s'appuie sur les sous-traitants et services suivant:
** L'hébergeur des serveurs informatiques, qui est OVH (production et 1er niveau de sauvegardes) ainsi que ScaleWay (2eme niveau de sauvegardes). Ces serveurs sont hébergées en Europe (France). Aucune information client DoliCloud n'est communiquée à ces sous-traitant qui ne fournissent que la couche matérielle et réseau, l'installation et l'exploitation étant réalisée par DoliCloud directement.
** Le service de paiement en ligne Stripe. Celui-ci est utilisé, dans le but d'assurer le paiement régulier de l'abonnement. Ce n'est pas DoliCloud qui communique vos informations cartes bancaires car nous ne les possédons pas. En effet, lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe (via un interface hébergées par Stripe) lors de la saisie du numéro pour réaliser le paiement (nous récupérons toutefois de Stripe les 4 derniers chiffres, ce qui nous permet de pouvoir identifier/analyser des problèmes de paiement, nous récupérons aussi un jeton propre à votre compte qui nous permet de demander à Stripe de réaliser le paiement à chaque nouvelle échéance).
** Le service de supervision DataDog. Celui-ci est utilisé pour la supervision. Seules des informations statistiques (indicateurs de comptage) sur l'état des serveurs et résultats des traitements sont transmises à ce sous-traitant.
** Le service de validation IPQualityScore. Celui-ci est utilisé afin de valider que votre adresse IP utilisée pour l'inscription n'est pas recensée comme une adresses IP utilisée pour des actions douteuses comme du SPAM ou des tentatives de piratages. Seul le couple adresse IP / User agent utilisé lors de l'inscription est transmise à ce service.


Protection des logiciels:

* DoliCloud tourne sur des systèmes et logiciels de type Linux Ubuntu. Ils bénéficient des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation (Ubuntu Canonical) les publient. La solution de déploiement et d'administration est basée sur le logiciel Open Source Sell-Your-Saas.

* L'espace client ainsi que les instances Clients sont accessibles en mode HTTPS (HTTP crypté) ou HTTP (au choix) pour les comptes créés avant le 1er juin 2018, et obligatoirement en HTTPS (HTTP crypté) via l'algorithme SHA256 pour les comptes crées après le 1er juin 2018.

* L'espace client ainsi que les instances Clients sont protégés par différents dispositifs représentant l'état de l'art en terme de sécurité informatique: FireWall, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection et anti-XSS. Des tests de qualité et non régressions, aussi bien sur le code des composants logiciels qui gèrent votre espace client que sur le code du logiciel qui est fourni par le service DoliCloud, sont réalisés de manière automatique via les outils PHP-Unit, Travis-CI, Qodana, PHPStan.


Vols de données:

* En cas de suspiscion d'un vol des données que nous avons collectés (voir premier point 'Informations collectées et usage'), les clients DoliCloud seront informés par email, à l'email correspondant à leur compte client


 

 

J'utilise une solution sur DoliCloud, suis-je en règle avec le RGPD ?


En utilisant un logiciel de gestion, vous stockez des informations et vous devenez "collecteur de données". A ce titre, si vous êtes en Europe, ou si vous stockez des informations sur des entités européennes, vous devez respecter les règles du RGPD.

Ce n'est pas le logiciel qui fait que vous respectez ou non le RGPD mais l'utilisation que vous en fait et la documentation de vos processus d'entreprise que vous exécutez. Quelquesoit les logiciels utilisés, vous vous devez de:

* Décrire les informations que vous stocker avec le logiciel, leur moyen de collecte, et ce que vous en faites.

* Permettre aux personnes concernés par le stockage de données personnelles de demander la suppression de leur données si vous n'en avez plus besoin.

* Si vous communiquez les données que vous collectez/stockez à des sous-traitant, vous devez informer sur la nature de ces données et à qui elles sont communiquées.

* Définir et publier un contact référent RGPD.

* Communiquer dans le cas de connaissance d'un vol de données ou d'intrusion non désirée dans votre logiciel.

* Pour vous aider à remplir votre Registre RGPD, voici quelques informations sur le logiciel que vous utilisez:

    - Le système d'exploitation qui héberge l'instance de votre logiciel est de type Linux Ubuntu. Il bénéficie des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation (Ubuntu Canonical) les publient.

    - Les données sont stockées dans une base de données de type MariaDb, le logiciel proposé sur DoliCloud ne stocke pas les informations de type "Mot de passe" (empêchant donc tout vol direct) mais uniquement une emprunte réalisée par un algorithme de cryptage non réversible qui est Bcrypt.

    - L'instance de votre logiciel est accessible en mode HTTPS (HTTP crypté) ou HTTP (au choix) pour les comptes créés avant le 1er juin 2018, et obligatoirement en HTTPS (HTTP crypté) via l'algorithme SHA256 pour les comptes crées après le 1er juin 2018.

    - L'instance de votre logiciel est protégée par différents dispositifs représentant l'état de l'art en terme de sécurité informatique: FireWall, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection, anti-XSS. Des tests sur le code du logiciel mis à disposition sont réalisés de manière automatique via les outils PHP-Unit, Travis-CI, Qodana, PHPStan.

    - Dès lors que vous avez souscrit à l'offre payante, une sauvegarde de votre instance est réalisée de manière journalière, et stockée sur disques de stockages indépendants. Le stockage de ces sauvegardes est réalisé sur un deuxième datacenter (séparé de plusieurs centaines de kilomètres) hébergés par OVH en Europe (France) et également (triplication) sur un troisième datacenter (lui aussi séparé de plusieurs centaines de kilomètres) hébergé par ScaleWay toujours en Europe (France). Remarque, seuls les 30 derniers jours sont conservés.

 

 

 

 

FAQ written by DoliCloud support team.