Politique de violation de données

Présentation

Cette politique et ce plan visent à aider Water2buy à gérer efficacement les violations de données personnelles. Water2buy détient des données personnelles sur nos utilisateurs, employés, clients, fournisseurs et autres personnes à diverses fins commerciales.

Water2buy s'engage non seulement à respecter la lettre de la loi mais également à l'esprit de la loi et accorde une grande importance au traitement correct, licite et équitable de toutes les données personnelles, dans le respect des droits légaux, de la vie privée et de la confiance de tous. personnes avec lesquelles il traite.

Une violation de données fait généralement référence à l'accès et à la récupération non autorisés d'informations pouvant inclure des données d'entreprise et/ou personnelles. Les violations de données sont généralement reconnues comme l’une des failles de sécurité les plus coûteuses des organisations. Ils pourraient entraîner des pertes financières et amener les consommateurs à perdre confiance en Water2buy ou en nos clients.

Les réglementations des différentes juridictions dans lesquelles Water2buy opère exigent que Water2buy prenne des mesures de sécurité raisonnables pour protéger les données personnelles que nous possédons ou contrôlons, afin d'empêcher tout accès, collecte, utilisation, divulgation non autorisés ou risques similaires.

 

Portée

Cette politique s'applique à tout le personnel. Vous devez connaître cette politique et vous conformer à ses conditions. Cette politique complète nos autres politiques relatives à l'utilisation d'Internet et du courrier électronique. Nous pouvons compléter ou modifier cette politique par des politiques et directives supplémentaires de temps à autre. Toute politique nouvelle ou modifiée sera distribuée au personnel avant d'être adoptée.

Formation

Tout le personnel recevra une formation sur cette politique. Les nouveaux employés recevront une formation dans le cadre du processus d'intégration. Une formation complémentaire sera dispensée au moins chaque année ou chaque fois qu'il y aura un changement substantiel dans la loi ou dans notre politique et procédure.

La formation est dispensée chaque année via un séminaire interne et une formation en ligne et couvre les lois applicables relatives à la protection des données, la protection des données de Water2buy et les politiques et procédures associées.

La réussite de la formation est obligatoire.

 

RÈGLEMENT GÉNÉRAL DE L'UE SUR LA PROTECTION DES DONNÉES (UE) 2016/679 (RGPD)

 

La réglementation s'applique également aux organisations basées en dehors de l'Union européenne si elles collectent ou traitent des données personnelles de résidents de l'UE.

 

Selon la Commission européenne, les Données Personnelles sont : « toute information relative à un individu, qu'elle concerne sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une adresse personnelle, d’une photo, d’une adresse e-mail, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d’informations médicales ou de l’adresse IP d’un ordinateur.»

 

Données personnelles

Water2buy définit les données personnelles comme la définition la plus large contenue dans le RGPD.

Water2buy définit les données personnelles sensibles comme la définition la plus large contenue dans le RGPD.

Toute utilisation de données personnelles sensibles doit être strictement contrôlée conformément à cette politique.

Bien que certaines données se rapportent toujours à un individu, d'autres peuvent ne pas, à elles seules, se rapporter à un individu. Ces données ne constituent pas des données personnelles à moins qu’elles ne soient associées ou liées à un individu particulier.

Les informations génériques qui ne concernent pas un individu en particulier peuvent également faire partie des données personnelles d'un individu lorsqu'elles sont combinées avec des données personnelles ou d'autres informations permettant d'identifier un individu.

 

Les données agrégées ne sont pas des données personnelles.

Water2buy collecte des données personnelles à deux fins : identifier et protéger les données qui nous sont fournies par nos clients, et pour les opérations internes.

Les données personnelles destinées au coaching de santé concernent des utilisateurs individuels identifiables et peuvent inclure :

  • Informations de profil utilisateur telles que nom complet, adresse, numéro de téléphone portable et adresse e-mail personnelle ;
  • Messages entre les utilisateurs et notre service client.

Les données personnelles que nous collectons à des fins opérationnelles internes concernent des personnes identifiables telles que des candidats à un emploi, des employés actuels et anciens, du personnel contractuel et autre, des clients, des fournisseurs et des contacts marketing. Les données collectées peuvent inclure les coordonnées des personnes, leurs formations. antécédents, détails financiers et salariaux, détails des certificats et diplômes, éducation et compétences, état civil, nationalité, titre du poste et CV.

 

Causes

Les violations de données peuvent être causées par des employés, des parties externes à l'organisation ou des erreurs du système informatique.

 

Erreur humaine
Les causes d'erreur humaine sont les suivantes :

  • Perte d'appareils informatiques (portables ou autres), de périphériques de stockage de données ou de dossiers papier contenant des données personnelles
  • Divulgation des données à un mauvais destinataire
  • Traitement des données de manière non autorisée (par exemple : téléchargement d'une copie locale des données personnelles)
  • Accès non autorisé ou divulgation de données personnelles par les salariés (ex : partage d'un identifiant)
  • Élimination inappropriée des données personnelles (par exemple : disque dur, support de stockage ou documents papier contenant des données personnelles vendus ou jetés avant que les données ne soient correctement supprimées)

 

Activités malveillantes
Les causes malveillantes incluent :

  • Incidents de piratage / Accès illégal à des bases de données contenant des données personnelles
  • Piratage pour accéder à des données non autorisées via l'application Coaching ou l'API
  • Vol d'appareils informatiques (portables ou non), de dispositifs de stockage de données ou de documents papier contenant des données personnelles
  • Escroqueries qui incitent le personnel de Water2buy à divulguer les données personnelles des individus

 

Erreur du système informatique
Les causes d'erreur du système informatique sont les suivantes :

  • Erreurs ou bugs dans l'application ou l'API de Water2buy
  • Défaillance des services cloud, du cloud computing ou des systèmes de sécurité/authentification/autorisation du stockage cloud

 

Signaler les violations

Tous les membres du personnel ont l'obligation de signaler les manquements réels ou potentiels en matière de conformité à la protection des données. Cela nous permet de :

  • Enquêter sur la panne et prendre des mesures correctives si nécessaire
  • Tenir un registre des échecs de conformité
  • Informer l'autorité de contrôle de tout manquement à la conformité qui est important en soi ou dans le cadre d'un ensemble de manquements

 

En vertu du RGPD, le DPD est légalement tenu d'informer l'autorité de contrôle dans les 72 heures suivant la violation de données (article 33). Les individus doivent être informés si un impact négatif est déterminé (article 34). De plus, Water2buy doit informer immédiatement tous les clients concernés après avoir pris connaissance d'une violation de données personnelles (article 33).

 

Cependant, Water2buy n'est pas tenu d'informer les personnes concernées en cas de violation de données anonymisées. Plus précisément, la notification aux personnes concernées n'est pas requise si le responsable du traitement a mis en œuvre des techniques de pseudo-anonymisation telles que le cryptage ainsi que des mesures de protection techniques et organisationnelles adéquates pour les données personnelles concernées par la violation de données (article 34).

 

Violation de données

L'équipe chargée des violations de données doit être immédiatement alertée de toute violation de données confirmée ou suspectée.

La notification doit inclure les informations suivantes, lorsqu'elles sont disponibles :

  • Étendue de la violation de données
  • Type et volume de données personnelles concernées
  • Cause ou cause suspectée de la violation
  • Si la violation a été corrigée
  • Mesures et processus que l'organisation avait mis en place au moment de la violation
  • Informations indiquant si les personnes concernées par la violation de données ont été informées et, dans le cas contraire, quand l'organisation a l'intention de le faire
  • Coordonnées du personnel de Water2buy avec lequel l'autorité de contrôle peut communiquer pour obtenir des informations complémentaires ou des éclaircissements

 

Lorsque des informations spécifiques sur la violation de données ne sont pas encore disponibles, Water2buy doit envoyer une notification intermédiaire comprenant une brève description de l'incident.

Les notifications effectuées par les organisations ou l'absence de notification, ainsi que la question de savoir si les organisations ont mis en place des procédures de récupération adéquates, affecteront la ou les décisions des autorités de contrôle quant à savoir si une organisation a raisonnablement protégé les données personnelles sous son contrôle ou sa possession.

 

Répondre à une violation de données

 

PLAN DE GESTION DES VIOLATIONS DE DONNÉES

Une fois informée d'une violation de données (soupçonnée ou confirmée), l'équipe chargée des violations de données doit immédiatement activer le plan de réponse et de violation de données.

Le plan de gestion et de réponse aux violations de données de Water2buy est :

  1. Confirmer la violation
  2. Contenir la brèche
  3. Évaluer les risques et l'impact
  4. Signaler l'incident
  5. Évaluer la réponse et la récupération pour prévenir de futures violations

 

CONFIRMER LA VIOLATION

L'équipe Data Breach Team (DBT) doit agir dès qu'elle a connaissance d'une violation de données. Dans la mesure du possible, il doit d'abord confirmer que la violation de données a eu lieu. Il peut être judicieux que le DBT procède au confinement de la violation sur la base d'une violation de données signalée non confirmée, en fonction de la probabilité de la gravité du risque.

 

CONTINER LA VIOLATION

Le DBT doit envisager les mesures suivantes pour contenir la violation, le cas échéant :

  • Arrêtez le système compromis qui a conduit à la violation de données.
  • Déterminez si des mesures peuvent être prises pour récupérer les données perdues et limiter tout dommage causé par la violation. (par exemple : désactiver/effacer à distance un carnet perdu contenant des données personnelles d'individus.)
  • Empêcher tout accès non autorisé au système.
  • Réinitialiser les mots de passe si les comptes et/ou les mots de passe ont été compromis.
  • Isolez les causes de la violation de données dans le système et, le cas échéant, modifiez les droits d'accès au système compromis et supprimez les connexions externes au système.

 

ÉVALUER LES RISQUES ET L'IMPACT

Connaître les risques et l'impact des violations de données aidera Water2buy à déterminer s'il pourrait y avoir des conséquences graves pour les personnes concernées, ainsi que les étapes nécessaires pour informer les personnes concernées.

 

Risque et impact sur les individus

  • Combien de personnes ont été touchées ?
    Un nombre plus élevé ne signifie peut-être pas un risque plus élevé, mais l’évaluer facilite l’évaluation globale du risque.
  • Dont les données personnelles ont été violées ?
    Les données personnelles appartiennent-elles à des employés, des clients ou à des mineurs ? Différentes personnes seront confrontées à différents niveaux de risque en raison d'une perte de données personnelles.
  • Quels types de données personnelles étaient impliqués ?
    Cela aidera à déterminer s'il existe un risque pour la réputation, le vol d'identité, la sécurité et/ou la perte financière des personnes concernées.
  • Des mesures supplémentaires ont-elles été mises en place pour minimiser l'impact d'une violation de données ? Par exemple : un appareil perdu protégé par un mot de passe fort ou un cryptage pourrait réduire l'impact d'une violation de données.

 

Risque et impact sur les organisations

  • Quelle est la cause de la violation de données ?
    Déterminer comment la violation s'est produite (par vol, accident, accès non autorisé, etc.) permettra d'identifier les mesures immédiates à prendre pour contenir la violation et restaurer la confiance du public dans un produit ou un service.
  • Quand et à quelle fréquence la violation s'est-elle produite ?
    L'examen de cela aidera Water2buy à mieux comprendre la nature de la violation (par ex.g malveillant ou accidentel).
  • Qui peut accéder aux données personnelles compromises ?
    Cela permettra de déterminer comment les données compromises pourraient être utilisées. Les personnes concernées doivent notamment être informées si des données personnelles sont acquises par une personne non autorisée.
  • Les données compromises affecteront-elles les transactions avec d'autres tiers ?
    Déterminer cela permettra d'identifier si d'autres organisations doivent être informées.

 

SIGNALER L'INCIDENT

Water2buy est légalement tenu d'informer les personnes concernées si leurs données personnelles ont été violées. Cela encouragera les individus à prendre des mesures préventives pour réduire l'impact de la violation de données et aidera également Water2buy à rétablir la confiance des consommateurs.

Qui informer :

  • Avertissez les personnes dont les données personnelles ont été compromises.
  • Avertissez d'autres tiers tels que les banques, les sociétés de cartes de crédit ou la police, le cas échéant.
  • Avertissez le RGPD, en particulier si une violation de données implique des données personnelles sensibles.
  • Les autorités compétentes (par exemple : la police) doivent être informées si une activité criminelle est suspectée et les preuves nécessaires à l'enquête doivent être conservées (par exemple : piratage, vol ou accès non autorisé au système par un employé).)

 

Quand notifier :

  • Avertissez immédiatement les personnes concernées si une violation de données implique des données personnelles sensibles. Cela leur permet de prendre rapidement les mesures nécessaires pour éviter tout abus potentiel des données compromises.
  • Avertir les personnes concernées lorsque la violation de données est résolue

 

Comment notifier :

  • Utiliser les moyens les plus efficaces pour atteindre les personnes affectées, en tenant compte de l'urgence de la situation et du nombre d'individus affectés (par ex.g communiqués de presse, réseaux sociaux, messagerie mobile, SMS, e-mails, appels téléphoniques).
  • Les notifications doivent être simples à comprendre, spécifiques et fournir des instructions claires sur ce que les individus peuvent faire pour se protéger.

 

Que notifier :

  • Comment et quand la violation de données s'est produite, et types de données personnelles impliquées dans la violation de données.
  • Ce que Water2buy a fait ou fera en réponse aux risques induits par la violation de données.
  • Faits spécifiques sur la violation de données, le cas échéant, et mesures que les individus peuvent prendre pour empêcher que ces données ne soient utilisées à mauvais escient.
  • Coordonnées et modalités selon lesquelles les personnes concernées peuvent contacter l'organisation pour obtenir des informations complémentaires ou une assistance (par ex.g numéros d'assistance téléphonique, adresses e-mail ou site Web).

 

ÉVALUER LA RÉPONSE ET LA RÉCUPÉRATION POUR PRÉVENIR DE FUTURES VIOLATIONS

Une fois que des mesures ont été prises pour résoudre la violation de données, Water2buy doit examiner la cause de la violation et évaluer si les mesures et processus de protection et de prévention existants sont suffisants pour empêcher que des violations similaires ne se produisent et, le cas échéant, mettre un terme aux pratiques qui conduit à la violation de données.

 

Problèmes opérationnels et liés aux politiques :

  • Des audits ont-ils été régulièrement menés sur les mesures de sécurité physiques et informatiques ?
  • Existe-t-il des processus qui peuvent être rationalisés ou introduits pour limiter les dégâts en cas de violations futures ou pour éviter une rechute ?
  • Y avait-il des faiblesses dans les mesures de sécurité existantes, telles que l'utilisation de logiciels et de mesures de protection obsolètes, ou des faiblesses dans l'utilisation de périphériques de stockage portables, la mise en réseau ou la connectivité à Internet ?
  • Les méthodes d'accès et de transmission des données personnelles étaient-elles suffisamment sécurisées, par exemple : accès limité au personnel autorisé uniquement ?
  • Les services d'assistance des parties externes, tels que ceux des fournisseurs et des partenaires, devraient-ils être améliorés pour mieux protéger les données personnelles ?
  • Les responsabilités des fournisseurs et des partenaires ont-elles été clairement définies en ce qui concerne le traitement des données personnelles ?
  • Est-il nécessaire de développer de nouveaux scénarios de violation de données ?

Problèmes liés aux ressources :

  • Des ressources suffisantes ont-elles été allouées pour gérer la violation de données ?
  • Des ressources externes devraient-elles être engagées pour mieux gérer de tels incidents ?
  • Le personnel clé a-t-il reçu des ressources suffisantes pour gérer l'incident ?

 

Problèmes liés aux employés :

  • Les employés étaient-ils conscients des problèmes liés à la sécurité ?
  • Une formation a-t-elle été dispensée sur les questions de protection des données personnelles et sur les compétences en matière de gestion des incidents ?
  • Les employés ont-ils été informés de la violation de données et des enseignements tirés de l'incident ?

 

Problèmes liés à la gestion :

  • Comment la direction a-t-elle été impliquée dans la gestion de la violation de données ?
  •  Y avait-il une ligne claire de responsabilité et de communication pendant la gestion de la violation de données ?

 

Surveillance

Tout le monde doit respecter cette politique.

Conséquences du non-respect

Nous prenons très au sérieux le respect de cette politique. Le non-respect de ces règles met en danger vous et l’organisation.

L'importance de cette politique signifie que le non-respect d'une exigence peut entraîner des mesures disciplinaires dans le cadre de nos procédures pouvant entraîner un licenciement.