PROCÉDURES D’APPLICATION DU RDGP (Règlement Général sur la Protection des Données)

Note préliminaire

L’activité d’appels à la générosité du grand public n’est pas assujettie aux mêmes restrictions légales et réglementaires que le démarchage commercial qui lui est totalement étranger. Les lois et règlements en vigueur comportent des exclusions expressément formulées en faveur de l’appel à dons. Par exemple, la collecte de dons peut s’adresser à une personne inscrite sur Bloctel, ce qui est formellement interdit pour le démarchage commercial.

Les données détenues sont exclusivement destinées à la finalité qui est de collecter des dons pour des associations, organismes et autres entités à but humanitaire et caritatif. Elles comprennent de façon exhaustive :

• Les données d’identification : Civilité, nom et prénom.
• Les données de contact : adresse postale, numéro(s) de téléphone(s) fixes et portables si renseigné et l’adresse email si renseignée.
• L’historique d’appels par FIDELIS (accord de soutien, refus, non joint).
• La date et le montant du dernier don quand la base d’appels est fournie par l’entité caritative qui nous mandate pour appeler ses donateurs.

Aucune information personnelle et aucune information sensible n’est détenue.

La préoccupation RGPD de FIDELIS et de ses clients est permanente et dynamique.

Le groupe FIDELIS et ses clients partagent la même philosophie qui est que le RGPD permet de pérenniser la relation avec le grand public.

Les attendus RGPD, concernent les aspects suivants :

Les capacités IT, réseaux et télécoms :

• • Sécurité des échanges avec les clients,
  • Fonctionnalités adaptées aux besoins de sécurité et protection des données,
  • Sécurité générale,
  • Evolutivité ;

Les procédures Qualité et la conformité RGPD :

• • Contrôle qualité interne et avec les clients de FIDELIS,
  • Procédures qualité,
  • Engagement de confidentialité,
  • Respect des dispositions du RGPD.

Concernant la conformité technique, FIDELIS apporte les garanties nécessaires.

Pour le respect des dispositions du RGPD, FIDELIS a mis en place les mesures nécessaires à la conformité des méthodes et procédures de mise en place et réalisation de l’ensemble de ses campagnes.

Comme indiqué plus haut, ces dispositions sont en constante évolution et amélioration.

Des mises à jour des procédures sont effectuées tous les 3 mois ou à chaque fois que nécessaire.

DONNÉES DÉTENUES ET DURÉE DE CONSERVATION DES DONNÉES

• Les demandes de suppressions sont conservées 6 ans.
• Les refus et autres statuts (faux numéros, répondeurs, refus argumentés et non argumentés, etc…) sont conservés 1 mois après la fin des appels.
• Les enregistrements vocaux sont conservés 1 mois.
• L’historique d’appels est conservé 20 jours.
• Les données confiées par les entités humanitaires et caritatives sont détruites en fin de campagne d’appels et non conservées.

SI, INFORMATIQUE ET RÉSEAUX

L’ensemble des mesures de sécurité pour la protection des données sont prises conformément aux dispositions du RGPD et les mesures de sécurité logique.

Les interfaçages des SI sont prévus, puis déployés.

Des tests de fonctionnement des accès informatiques sont réalisés.

Les contraintes techniques de ses clients sont précisées et FIDELIS les intègre dans son fonctionnement et ses outils :

• Formats des fichiers importés par FIDELIS et exportés vers ses clients :
  • Fichiers d’appels ;
  • Fichiers de restitution suite à l’enrichissement téléphonique et aux appels ;
  • Fichier des PA et dons reçus en ligne ;
  • Fichier des dons reçus par courrier.
• Serveurs FTP sécurisés, cryptage des données, protection des données lors de l’enrichissement en numéros de téléphone, etc… ;
• Fichiers transmis par mail avec code de sécurité. Procédure à valider sur les envois quotidiens de dons reçus par chèque et en ligne ;
• Liens avec le prestataire web pour les PA et les dons en ligne ;
• Procédures d’envois de courriers de confirmation (par FIDELIS ou via un prestataire du client FIDELIS) ;
• Génération des reportings statistiques pour le suivi de la performance et de l’avancement de la campagne.

SÉCURITÉ DES INSTALLATIONS ET MATÉRIELS

L’accès aux locaux où sont situés les serveurs est contrôlé. Les entrées et les sorties des locaux sont tracées nominativement.

Les locaux techniques remplissent les conditions générales d’environnement des matériels. Ces conditions sont conformes aux bonnes pratiques:

L’accès physique sur les équipements d’infrastructure SI est strictement limité aux seules personnes autorisées. Tous ces matériels sont dans plusieurs baies verrouillées. En cas d’intervention dans la zone protégée des équipements, celle-ci est réalisée par ou sous le contrôle permanent d’une personne autorisée.

Les autorisations d’accès aux locaux techniques font l’objet d’une gestion rigoureuse :

• Seules les personnes ayant besoin d’accéder aux locaux sont autorisées.
• Les personnes ayant un accès permanent ont signé l’engagement personnel de confidentialité selon leur profil.
• Les personnes nécessitant un accès temporaire sont sous le contrôle permanent d’une personne autorisée.
• La liste des personnes autorisées à accéder aux locaux est tenue à jour et fait l’objet de revues régulières.
• L’historique des accès, consultable à tout moment, couvre une période minimale de 3 mois.

Plan de la charte utilisateurs et administrateurs IT

• Préambule et définition
• Contrôle du respect de la charte
• Accès aux ressources informatiques et services internet
• Analyse et contrôle de l’utilisation des ressources
• Règles d’utilisation, de sécurité et de bon usage
• Préservation de l’intégrité des systèmes informatiques
• Usage des services internet (email, web,…)
• Engagement personnel

Afin de garantir l’intégrité matérielle et logicielle, la configuration des équipements d’infrastructure SI et des équipements bureautiques n’est modifiable que par une personne habilitée.

Les postes de travail et les serveurs disposent d’un antivirus mis à jour au moins une fois par jour et actif en permanence. Une analyse complète de la machine est effectuée périodiquement.

Les systèmes d’exploitation sont exempts de failles de sécurité connues et exploitables.

L’ouverture d’une session se fait de manière nominative et après authentification. Après quinze minutes d’inactivité, une nouvelle authentification doit être demandée. Après sept tentatives d’accès infructueuses, le compte est verrouillé automatiquement.

Les mots de passe respectent les règles ci-dessous :

• Comporter au moins huit caractères.
• Être composés de lettres, chiffres et caractères spéciaux.
• Être changés régulièrement, a minima tous les trois mois.
• Être différents des quatre derniers mots de passe.
• Être secrets.

La solution de numérotation automatique de FIDELIS répond aux caractéristiques suivantes :

Solution Easyphone Altitude sotfware : L’environnement téléphonique est constitué de matériels Alcatel et Altitude software dans une architecture ToIP client-serveur :

• 2 Vbox et un IPBX Alcatel Omni PCX 9 (redondés pour assurer un taux de disponibilité du service maximal). Ils assurent le service de signalisation pour l’ensemble des terminaux téléphoniques (softphone SIP) des téléconseillers FIDELIS.
• Des passerelles fournissent l’interface entre le réseau ToIP interne FIDELIS et les liens T2 vers le réseau opérateur
• Un serveur de supervision, paramétrage et statistiques
• Un serveur SVI Altitude (redondé)
• Un serveur CTI Altitude (redondé)

Les données de FIDELIS sont stockées en France dans un Datacenter sécurisé, géré par l’opérateur OVH.

Gestion des risques d’incendie

Chaque salle du datacentre est équipée d’un système de détection et d’extinction d’incendie ainsi que de portes coupe-feu. OVH respecte la règle APSAD R4 pour l’installation des extincteurs portatifs et mobiles, et possède le certificat de conformité N4 pour tous ses datacentres.

Sécurité réseau

OVH déploie son réseau en fibre optique à travers le monde. À la pointe de la technologie, le matériel est choisi, installé et maintenu par les équipes d’ingénieurs de l’hébergeur.

Ce réseau en propre permet de délivrer une qualité de service irréprochable à tous les clients de l’entreprise, où qu’ils se trouvent. L’entreprise a également fait le choix de construire son réseau de manière totalement redondée : plusieurs boucles de sécurisation ont ainsi été mises en place, afin d’éliminer tout risque d’indisponibilité. Cette multiplicité des liens permet également à vos données d’emprunter le chemin le plus court et donc d’afficher des temps de latences minimums.

Alimentation électrique

Les centres de données d’OVH sont alimentés par deux arrivées électriques indépendantes l’une de l’autre et sont également équipés d’onduleurs. Des groupes électrogènes d’une autonomie de 48 heures permettent de pallier une éventuelle panne du réseau de fourniture d’électricité.

PROTECTION DES DONNÉES PERSONNELLES

La politique de sécurité informatique ainsi que l’ensemble des procédures, plans  &  standards sont conçus en conformité avec le RGPD. FIDELIS a adapté ses processus et procédures pour qu’ils répondent à l’esprit de la réglementation.

Plus particulièrement et avant de lancer un nouveau traitement FIDELIS procède systématiquement à une première analyse afin de déterminer les risques, par exemple  sur la vie privée. FIDELIS intervient en étroite collaboration avec son client (responsable de traitement) pour la mise en œuvre des mesures techniques et/ou organisationnelles afin de réduire le risque à un niveau acceptable.

On notera parmi ces actions (liste non exhaustive) :

• Le cryptage des données sensibles : Les données classées sensibles sont chiffrées lors de leur stockage (y compris les sauvegardes) et lors du transport dans le SI dédié à la prestation et via internet.
  Le chiffrement est conforme aux recommandations de l’ANSSI (RGS_B_1 qui impose un chiffrement asymétrique de 2048 bits depuis le 1er janvier 2011 et un symétrique de 128 bits). Les données temporaires ne sont pas enregistrées sur les postes des opérateurs.
• L’accès nominatifs aux outils de travail
• Le cloisonnement logique et/ou physique des supports de données et/ou de l’environnement de traitement
• Limitation et/ou réduction du nombre d’intervenants sur un processus au strict minimum

Une communication transparente et continue sera établie avec le client durant la mise en place de ces actions.

Dans le cadre de cette prestation l’ensemble des outils et applications utilisés par les équipes de FIDELIS seront hébergés au data center d’OVH en France.

CONFORMITÉ DES NUMÉROS AFFICHÉS AVEC LES DISPOSITIONS ARCEP

FIDELIS affiche des numéros géographiques conformes. Les numéros évoluent régulièrement. Ces numéros commencent par 01, 02, 03, 04 et 05.

FIDELIS n’utilise pas de numéros de portables (06 ou 07).

Cette utilisation est conforme aux dispositions actuelles de l’ARCEP.

Nos opérateurs télécoms valident également la conformité avec ces dispositions.