Mesures, politiques et procédures de sécurité appliquées chez Betterway

Certifications

ISO 27001 V2022 par Bureau Veritas Group

La certification ISO 27001 V2022 offre un cadre solide pour mettre en place les pratiques de sécurité et de gestion de risques qui permettent de répondre aux exigences du RGPD. En établissant un SMSI, l’ISO 27001 aide les entreprises à renforcer leur gestion des données personnelles et à démontrer leur engagement envers la protection de la vie privée et la conformité réglementaire. Ce label est venu reconnaître et renforcer nos engagements en matière de sécurité et de confidentialité des données.

Veuillez noter que le certificat et le domaine d’applicabilité vous sont disponibles sur demande.

PCI DSS

Application RGPD

Introduction

Pour Betterway, le respect du RGPD est essentiel afin de garantir la confidentialité et la sécurité des données de nos utilisateurs, renforcer la confiance de nos partenaires, et assurer une conformité avec les standards éthiques et légaux de protection de la vie privée. Cela passe tant par l’intégration des mesures de vigilance autour du respect du RGPD dès la conception (principe “by design”) que par des politiques et processus formalisées pour assurer le respect quotidien du RGPD. Enfin, Betterway dispose de certifications attestant de nos efforts en ce sens.

PIA (Privacy Impact Assessment)

En réalisant un PIA dès le début de la conception de l’Application, Betterway a pu identifier et évaluer les risques pour la vie privée associés au traitement des données, puis mettre en place des mesures pour les réduire dès la phase de conception de l'application.

Principe de minimisation des données

Chez Betterway, seules les données strictement nécessaires sont collectées, utilisées et stockées. Le respect de ce principe prouve que l'application respecte les principes de limitation et de minimisation des données du RGPD.

Protection physique et logique des données

Betterway s'engage à assurer la sécurité des données grâce à l'utilisation de services reconnus pour leurs normes élevées de sécurité, tels qu’AWS.
Les données sont échangées et stockées de manière cryptée et sécurisée, en utilisant des protocoles comme HTTPS et des disques durs chiffrés. De plus, nos partenaires disposent de certifications de sécurité rigoureuses (PCI DSS, ISO27001, SOC2), que nous pouvons fournir sur demande.

Nous archivons régulièrement les données avec des sauvegardes toutes les heures pour les dernières 24 heures, quotidiennes pour les 30 derniers jours et mensuelles pour les trois dernières années, sur des systèmes redondants et indépendants. L'accès et la gestion des données sont strictement encadrés par une politique d'habilitation, avec authentification forte lorsque des données personnelles ou sensibles (telles que les données bancaires) sont impliquées, et aucune suppression n'est effectuée sans demande explicite et écrite du client.

Équipe DPO

Pour garantir la conformité avec les régulations en vigueur et pour répondre efficacement aux demandes relatives à la protection des données personnelles, nous avons constitué une équipe dédiée à la protection des données personnelles (DPO) composée d’un délégué à la protection des données (DPO) et de deux référents RGPD dont les rôles et responsabilités sont précisément définis.

Formation des collaborateurs en interne

Chez Betterway, nous veillons à ce que nos collaborateurs soient régulièrement sensibilisés et formés aux exigences du RGPD. Chaque année, une formation dédiée est organisée pour garantir qu’ils maîtrisent les bonnes pratiques de gestion des données personnelles et les évolutions législatives en matière de protection des données. Cette démarche permet d'assurer un haut niveau de conformité et de renforcer notre culture de la sécurité et du respect de la vie privée dans l’ensemble de nos opérations.

Audits réguliers et tests de sécurité

Betterway met en place des audits réguliers et des tests de sécurité afin de s'assurer que les mesures de sécurité et de protection des données sont effectives et adaptées aux risques. Ces audits sont documentés.

Politique de confidentialité

La politique de confidentialité assure la transparence et le respect des droits des
personnes, deux principes fondamentaux du RGPD. La politique de confidentialité décrit la base légale du traitement, les durées de conservation, les droits des personnes en matière de données personnelles, tels que le droit d'accès, de rectification, d'effacement, de limitation, de portabilité, et d'opposition.

Mentions d’information aux personnes concernées

Dans les formulaires de collecte des données, conformément aux articles 12 et suivants du RGPD, Betterway informe les personnes concernées de leurs droits et collecte leur consentement libre et éclairé.

Mention et mise à jour des registres de traitement

Pour appuyer la démonstration de conformité RGPD, Betterway tient à jour, en qualité de responsable de traitement pour son activité d’employeur et en qualité de sous-traitant pour les besoins de son activité, deux registres de traitements. Ceux-ci permettent d’identifier clairement les finalités et l’objet des traitements effectués. La politique de mise à jour des registres veille à ce que les informations figurant dans les registres soient toujours à jour.

Procédure de gestion des droits des personnes concernées et registres

Betterway dispose d'une politique dédiée à la gestion des droits des personnes concernées, garantissant que chaque demande d'accès, de rectification, de suppression ou de portabilité des données est traitée avec rigueur et dans les délais impartis par le RGPD. De plus, nous tenons des registres des demandes à jour, assurant ainsi la transparence et la conformité de nos pratiques en matière de
protection des données personnelles.

Procédure de gestion des violations de données et registres