DoliCloud est-il compatible RGPD (GDPR en anglais) ?

dolibarr_adaptable

Il faut distinguer 2 questions.
- Le service DoliCloud est-il conforme au RGPD au sens du respect, par la société qui propose le service, des règles de conformité vis à vis de vos informations en tant que client ?
- Et d'un autre point de vue, l'application que vous utilisez via DoliCloud, vous permet-elle, en tant que collecteur des données de vos propres clients, d'être conforme ?






Le respect du RGPD, vis à vis de vos informations de Client Dolicloud


Les recommendations du RGPD a bien été mis en oeuvre par DoliCloud :


Informations collectées et usage:

* Vos informations Client (email, mot de passe de votre compte client, et éventuellement raison sociale, nom et prénom de contact, adresse, code postal, pays et numéro de TVA) sont stockées suite à la saisie de votre inscription. Ces informations nous permettent de réaliser la facturation au service, si vous avez choisi l'offre payante.

* Si vous avez souscrit à l'offre payante, nous stockons aussi les informations suivantes: Votre mandat SEPA si vous avez opté pour le paiement SEPA, les 4 derniers chiffres de votre carte bancaire si vous avez opté pour le paiement par carte. Les informations complètes de votre carte bancaire (requises pour le paiement par carte) ne sont pas stockés par nos soins, mais chez notre prestataire de paiement Stripe (leader mondial du paiement en ligne). Nous n'en avons pas connaissance, chaque prélèvement passe par une demande que nous adressons à ce prestataire. Lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe et ne font donc l'objet d'aucun stockage sur nos serveurs.

* Les factures générés pour la fourniture du service ainsi que les échanges pour assurer le support de ces services sont conservées durant le délai obligatoire légal, soit 10 ans après la cloture du compte.

* Vous bénéficiez de la possibilité de demander la suppression de votre compte et des informations précédemment citées à tout moment.

* Le contact référent RGPD pour le service DoliCloud est le suivant : Laurent Destailleur, contact+dpo@dolicloud.com


Stockage des données et sauvegardes:

* Le stockage des données collectées (voir point 'Informations collectées et usage') est réalisé dans une base de données. Le mot de passe n'y est pas stocké, mais pour permettre la validation de votre connexion à votre espace client, nous stockons l'emprunte cryptée de ce mot de passe, générée par l'algorithme de cryptage non réversible Bcrypt.

* L'hébergement de DoliCloud est assuré dans un datacenter par OVH en France (production)

* Dès lors que vous avez souscrit à l'offre payante, une sauvegarde est réalisée de manière journalière et stockée sur disques de stockages indépendant hébergés sur un autre datacenter de OVH (2eme jeu de données) ainsi que sur le datacenter de Scaleway en France également (3eme jet de données). Un niveau suplémentaire de sauvegarde est également encore assuré dans nos locaux. Nous ne pratiquons pas la politique de sauvegarde 3-2-1 (3 jeux de données, 2 supports différents, 1 sur site déporté) car nous la jugeons très insuffisante vis à vis des menaces d'aujourd'hui, mais du 4-3-2d (4 jeux de données, 3 supports différents, 2 sur sites déportés via 2 directions différentes pour le transfert des données sur ces sites déportés: 1 en push, l'autre en pull). Seuls les 30 derniers jours sont conservés. Les jeux de sauvegardes sont dans un format fichier et SQL standard garantissant la possibilité de les restaurer chez n'importe quelle autre hébergeur, quelque soit le système de base de donnée.



Portabilité:

* Le service DoliCloud est un service ouvert, l'utilisateur peut à tout moment accéder en direct à ses données (via les identifiants de bases de données fournis dans son espace client). Il peut également réaliser par lui même, à tout moment, un export de ses données (depuis l'application soit par la fonction du module Export, soit par la fonction Sauvegarde intégrale de base de données). Le code source du programme de l'application peut également être récupéré (soit via les codes SFTP de son espace client, soit par récupération des sources de l'application depuis le site officiel des sources https://github.com/Dolibarr/dolibarr), ce qui permet une portabilité total chez un autre fournisseur ou pour un hébergement en local sur site.



Sous-traitants:

* DoliCloud s'appuie sur les sous-traitants et services suivant:
** L'hébergeur des serveurs informatiques, qui est OVH (production et 1er niveau de sauvegardes) ainsi que ScaleWay (2eme niveau de sauvegardes). Ces serveurs sont hébergées en Europe (France). Aucune information client DoliCloud n'est communiquée à ces sous-traitant qui ne fournissent que la couche matérielle et réseau, l'installation et l'exploitation étant réalisée par DoliCloud directement.
** Le service de paiement en ligne Stripe. Celui-ci est utilisé, dans le but d'assurer le paiement régulier de l'abonnement. Ce n'est pas DoliCloud qui communique vos informations cartes bancaires car nous ne les possédons pas. En effet, lorsque vous renseignez vos informations bancaires, elles sont envoyées directement à Stripe (via un interface hébergées par Stripe) lors de la saisie du numéro pour réaliser le paiement (nous récupérons toutefois de Stripe les 4 derniers chiffres, ce qui nous permet de pouvoir identifier/analyser des problèmes de paiement, nous récupérons aussi un jeton propre à votre compte qui nous permet de demander à Stripe de réaliser le paiement à chaque nouvelle échéance).
** Le service de supervision DataDog. Celui-ci est utilisé pour la supervision. Seules des informations statistiques (indicateurs de comptage) sur l'état des serveurs et résultats des traitements sont transmises à ce sous-traitant.
** Le service de validation IPQualityScore. Celui-ci est utilisé afin de valider que votre adresse IP utilisée pour l'inscription n'est pas recensée comme une adresses IP utilisée pour des actions douteuses comme du SPAM ou des tentatives de piratages. Seul le couple adresse IP / User agent utilisé lors de l'inscription est transmise à ce service.


Protection des logiciels:

* DoliCloud tourne sur des systèmes et logiciels de type Linux Ubuntu. Ils bénéficient des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation (Ubuntu Canonical) les publient. La solution de déploiement et d'administration est basée sur le logiciel Open Source Sell-Your-Saas.

* L'espace client ainsi que les instances Clients sont accessibles en mode HTTPS (HTTP crypté) ou HTTP (au choix) pour les comptes créés avant le 1er juin 2018, et obligatoirement en HTTPS (HTTP crypté) via l'algorithme SHA256 pour les comptes crées après le 1er juin 2018.

* L'espace client ainsi que les instances Clients sont protégés par différents dispositifs représentant l'état de l'art en terme de sécurité informatique: Règles de robustesse des mots de passe, FireWall, Outils de bannissement, Système de détection d'utilisation de SPAM, protection logiciel Anti-injection et anti-XSS. La Protection DOS est assuré en partie par l'hébergeur et par les applicatifs. Des tests de qualité et non régressions, aussi bien sur le code des composants logiciels qui gèrent votre espace client que sur le code du logiciel qui est fourni par le service DoliCloud, sont réalisés de manière automatique via les outils PHP-Unit, Travis-CI, Qodana, PHPStan.

* Le documents et informations internes de l'entreprise sont stockés dans l'ERP de l'entreprise hébergé chez OVH et fait l'objet des mêmes règles de protection vu précédemment pour les outils mis à disposition des clients.

* Chiffrement des courriels: Les envois des emails (emails de services et supports) ne sont pas chiffrés. Il appartient au receveur de les supprimer si il veut se prémunir d'une fuite qui aurait lieu sur son propre serveur de réception des emails.

* Les modifications de données au sein de l'ERP font l'objet du niveau de traçabilité qui est le niveau maximum disponible intégré à l'ERP.



Sécurité physique et logique:

* DoliCloud étant hébergé par OVH et ScaleWay, les règles d'accès physiques aux serveurs ainsi que de sécurité physique (alimentation, incendie, ..) sont celles de ces fournisseurs (Voir https://www.ovhcloud.com/fr/personal-data-protection/security/ et https://www.scaleway.com/fr/politique-confidentialite/).

* L'accès logique aux données est réservés aux administrateurs et équipes supports (via système d'habilitations basé sur le principe du "moindre privilège" et du "besoin de savoir"). Les données restent sur les serveurs et ne font pas l'objet de téléchargement ou copie sur poste local ni smartphone. Les accès se font par SHH. L'accès exclusif via VPN est prévu pour 2025.



Supervision:

* DoliCloud étant hébergé par OVH et ScaleWay, la supervision matériel est assurées par ces fournisseurs (Voir https://www.ovhcloud.com/fr/personal-data-protection/security/ et https://www.scaleway.com/fr/politique-confidentialite/).

* La supervision applicative est assurée par DoliCloud via DataDog.



Restauration des données:

* DoliCloud peut assurer la restauration de données corrompues ou perdues via son système de backup/restauration dans les délais définis par son SLA.



Vols de données:

* En cas de suspiscion d'un vol des données que nous avons collectés (voir premier point 'Informations collectées et usage'), les clients DoliCloud seront informés par email, à l'email correspondant à leur compte client



Autre:

* DoliCloud met en oeuvre au sein de l'entreprise ce qui est nécessaire en vue d'éviter les conflits d'intérêts, d'assurer le respect des lois et règlementations applicables, y compris, sans limitation, toutes les législations applicables sur les droits humains, la concurrence, le respect des marques, la lutte contre la corruption, fraude et évasion fiscale, et la mise en oeuvre des bonnes pratiques du secteur en vigueur.
En dehors de repas dans le cadre de certaines occasions (team building, rencontres partenaires), Dolicloud n'offre et n'accepte pas de cadeaux de fournisseurs ou clients.
DoliCloud essaie également d'avoir une démarche éco-reponsable. Voir ici pour plus d'information.

 

 

J'utilise une solution sur DoliCloud, suis-je en règle avec le RGPD ?


En utilisant un logiciel de gestion, vous stockez des informations et vous devenez "collecteur de données". A ce titre, si vous êtes en Europe, ou si vous stockez des informations sur des entités européennes, vous devez respecter les règles du RGPD.

Ce n'est pas le logiciel qui fait que vous respectez ou non le RGPD mais l'utilisation que vous en fait et la documentation de vos processus d'entreprise que vous exécutez. Quelquesoit les logiciels utilisés, vous vous devez de:

* Décrire les informations que vous stocker avec le logiciel, leur moyen de collecte, et ce que vous en faites.

* Permettre aux personnes concernés par le stockage de données personnelles de demander la suppression de leur données si vous n'en avez plus besoin.

* Si vous communiquez les données que vous collectez/stockez à des sous-traitant, vous devez informer sur la nature de ces données et à qui elles sont communiquées.

* Définir et publier un contact référent RGPD.

* Communiquer dans le cas de connaissance d'un vol de données ou d'intrusion non désirée dans votre logiciel.

* Pour vous aider à remplir votre Registre RGPD, voici quelques informations sur le logiciel que vous utilisez:

    - Le système d'exploitation qui héberge l'instance de votre logiciel est de type Linux Ubuntu. Il bénéficie des mises à jours de sécurité réalisées régulièrement lorsque l'éditeur du système d'exploitation (Ubuntu Canonical) les publient.

    - Les données sont stockées dans une base de données de type MariaDb, le logiciel proposé sur DoliCloud ne stocke pas les informations de type "Mot de passe" (empêchant donc tout vol direct) mais uniquement une emprunte réalisée par un algorithme de cryptage non réversible qui est Bcrypt.

    - L'instance de votre logiciel est accessible en mode HTTPS (HTTP crypté) ou HTTP (au choix) pour les comptes créés avant le 1er juin 2018, et obligatoirement en HTTPS (HTTP crypté) via l'algorithme SHA256 pour les comptes crées après le 1er juin 2018.

    - L'instance de votre logiciel est protégée par différents dispositifs représentant l'état de l'art en terme de sécurité informatique: FireWall, Outils de bannissement, Système de détection d'utilisation de SPAM et Protection DOS (assuré par OVH), protection logiciel Anti-injection, anti-XSS. Des tests sur le code du logiciel mis à disposition sont réalisés de manière automatique via les outils PHP-Unit, Travis-CI, Qodana, PHPStan.

    - Dès lors que vous avez souscrit à l'offre payante, une sauvegarde de votre instance est réalisée de manière journalière, et stockée sur disques de stockages indépendants. Le stockage de ces sauvegardes est réalisé sur un deuxième datacenter (séparé de plusieurs centaines de kilomètres) hébergés par OVH en Europe (France) et également (triplication) sur un troisième datacenter (lui aussi séparé de plusieurs centaines de kilomètres) hébergé par ScaleWay toujours en Europe (France). Remarque, seuls les 30 derniers jours sont conservés.

 

 

 

 

FAQ written by DoliCloud support team.
 

dolibarr_people_small

Devenez partenaire/revendeur
DoliCloud

Produit et Services

Outils

Informations légales




DoliCloud, solutions ERP CRM en Cloud et Open Source ©Copyright 2011-2024 - DoliCloud. Tous droits réservés.
DoliCloud, 14 B Rue Razon, 33600 Pessac, France - SIRET: 49386149600054

Labellisé Dolibarr preferred partner Adhérent du collectif Dolibarr ERP CRM Membre de la French Tech Labellisé Activateur FranceNum Membre France Digitale