Conformité RGPD

1. Notre engagement en matière de protection des données

Chez MinderServ, nous accordons une importance capitale à la protection des données personnelles. Notre approche de la conformité au Règlement Général sur la Protection des Données (RGPD) va au-delà d'une simple obligation légale : c'est un engagement fondamental envers nos clients et leurs utilisateurs.

Ce document présente notre démarche globale en matière de protection des données, les mesures que nous avons mises en place pour garantir la conformité de notre solution, ainsi que les ressources disponibles pour vous aider à respecter vos propres obligations RGPD lorsque vous utilisez MinderServ.

2. MinderServ et le RGPD

2.1. Nos rôles et responsabilités

Dans le cadre du RGPD, MinderServ (DG-LOG) agit principalement en tant que sous-traitant pour le compte de ses clients. Cela signifie que :

• Nos clients (entreprises de maintenance énergétique) sont les responsables de traitement des données personnelles de leurs propres clients et utilisateurs
• MinderServ traite ces données uniquement sur instruction du responsable de traitement et selon les finalités définies par celui-ci
• Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques

3. Nos mesures de protection des données

3.1. Sécurité technique

MinderServ a mis en place de nombreuses mesures techniques pour protéger les données traitées :

• Chiffrement des données : Toutes les données sont chiffrées, tant en transit (TLS 1.3) qu'au repos (AES-256)
• Authentification forte : Mise en place d'une authentification multi-facteurs (2FA) pour tous les accès administratifs et en option pour les utilisateurs
• Cloisonnement : Architecture multi-tenant avec isolation stricte des données entre les clients
• Surveillance continue : Systèmes de détection d'intrusion et de monitoring 24/7
• Mises à jour régulières : Application systématique des correctifs de sécurité
• Tests de sécurité : Audits et tests de pénétration réguliers par des tiers indépendants
• Sauvegarde : Backup quotidiens chiffrés avec rétention paramétrable

3.2. Mesures organisationnelles

Nous avons également instauré des procédures et politiques internes rigoureuses :

• Formation : Tous nos employés suivent une formation obligatoire sur la protection des données et la sécurité
• Accès limité : Principe du moindre privilège appliqué à tous les accès aux données
• Politique de confidentialité : Engagements contractuels de confidentialité pour tous nos employés et sous-traitants
• Gestion des incidents : Procédure formalisée de détection et de notification des violations de données
• Documentation : Registre des traitements et procédures internes conformes aux exigences du RGPD
• Revue régulière : Évaluation périodique de nos pratiques en matière de protection des données

4. Comment MinderServ vous aide à respecter le RGPD

Notre solution a été conçue avec une approche "Privacy by Design" pour vous aider à respecter vos obligations en tant que responsable de traitement :

4.1. Transparence et consentement

• Outils de gestion du consentement intégrés
• Modèles personnalisables de mentions d'information et de politique de confidentialité
• Suivi des consentements avec horodatage

4.2. Droits des personnes concernées

MinderServ facilite le respect des droits des personnes concernées à travers :

• Droit d'accès : Génération automatique d'exports de données
• Droit de rectification : Interface simple pour modifier les données
• Droit à l'effacement : Suppression en un clic avec confirmation
• Droit à la limitation : Options de gel temporaire des traitements
• Droit à la portabilité : Export des données au format standard (CSV, JSON)
• Gestion des demandes : Suivi des requêtes liées aux droits des personnes

4.3. Registre des traitements

Notre outil inclut un module dédié pour vous aider à maintenir votre registre des activités de traitement, avec :

• Cartographie automatique des données collectées
• Documentation des finalités de traitement
• Suivi des durées de conservation
• Génération de rapports conformes aux exigences de la CNIL

4.4. Minimisation des données

Nous appliquons le principe de minimisation des données à travers :

• Collecte limitée aux données strictement nécessaires
• Paramétrages personnalisables des champs obligatoires
• Systèmes d'anonymisation et de pseudonymisation
• Purge automatique des données après la durée de conservation définie

5. Transferts de données

5.1. Hébergement

Toutes les données traitées par MinderServ sont hébergées exclusivement au sein de l'Union Européenne (France et Allemagne), dans des centres de données certifiés ISO 27001, ISO 27018 et HDS (Hébergeur de Données de Santé).

5.2. Sous-traitants ultérieurs

Nous sélectionnons rigoureusement nos sous-traitants et partenaires selon des critères stricts de conformité RGPD.

Conformément à l'article 28 du RGPD, nous avons conclu des contrats de sous-traitance avec chacun d'entre eux, incluant des clauses spécifiques relatives à la protection des données.

5.3. Transferts hors UE

MinderServ limite au strict minimum les transferts de données personnelles en dehors de l'Espace Économique Européen. Dans les rares cas où de tels transferts sont nécessaires, nous mettons en place des garanties appropriées conformément aux chapitres V du RGPD :

• Clauses contractuelles types de la Commission européenne
• Règles d'entreprise contraignantes (BCR) lorsqu'applicable
• Mesures techniques supplémentaires conformes aux recommandations du Comité Européen de la Protection des Données (CEPD)

6. Gestion des incidents et violations de données

MinderServ dispose d'un processus structuré de gestion des incidents de sécurité :

• Détection : Systèmes automatisés de détection des anomalies et incidents de sécurité
• Qualification : Évaluation rapide de l'impact potentiel sur les données personnelles
• Notification : En cas de violation de données à caractère personnel, nous nous engageons à notifier nos clients responsables de traitement dans les meilleurs délais et au plus tard 48 heures après la découverte
• Documentation : Registre des violations conformément à l'article 33.5 du RGPD
• Remédiation : Mise en œuvre immédiate de mesures correctives et préventives

7. Analyse d'impact relative à la protection des données (AIPD)

Pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées, MinderServ peut vous accompagner dans la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD), conformément à l'article 35 du RGPD.

Nous mettons à votre disposition :

• Une méthodologie conforme aux recommandations de la CNIL
• Des modèles documentaires préétablis
• Notre expertise technique pour évaluer les mesures de sécurité

8. Certifications et conformité

MinderServ s'engage dans une démarche continue d'amélioration de sa conformité :

• ISO 27001 : Notre système de management de la sécurité de l'information est en cours de certification
• ISO 27701 : Extension de notre SMSI pour couvrir spécifiquement la gestion des informations personnelles
• Audits réguliers : Revue annuelle par un cabinet externe spécialisé en protection des données
• Engagement de confidentialité : Tous nos collaborateurs signent un accord de confidentialité et suivent une formation sur la protection des données

9. Conseils pour optimiser votre conformité RGPD avec MinderServ

Pour tirer le meilleur parti des fonctionnalités de conformité RGPD de MinderServ, nous vous recommandons de :

• Configurer les durées de conservation adaptées à vos besoins métiers et obligations légales
• Utiliser les modèles de mentions d'information et les personnaliser selon votre politique
• Activer l'authentification à deux facteurs pour tous vos utilisateurs
• Former vos collaborateurs à l'utilisation responsable des données dans MinderServ
• Réaliser régulièrement des audits internes sur les accès et les traitements
• Maintenir à jour votre registre des traitements avec le module dédié
• Documenter les consentements collectés auprès de vos clients