introduction

Cette politique et ce plan visent à aider Water2buy à gérer efficacement les violations de données personnelles. Water2buy détient des données personnelles sur nos utilisateurs, employés, clients, fournisseurs et autres personnes à diverses fins commerciales.

Water2buy s’engage non seulement à respecter la lettre de la loi, mais également à l’esprit de la loi et accorde une grande importance au traitement correct, licite et équitable de toutes les données personnelles, dans le respect des droits légaux, de la vie privée et de la confiance de toutes les personnes avec lesquelles il traite.

Une violation de données fait généralement référence à l’accès non autorisé et à la récupération d’informations qui peuvent inclure des données d’entreprise et / ou personnelles. Les violations de données sont généralement reconnues comme l’une des défaillances de sécurité les plus coûteuses des organisations. Ils pourraient entraîner des pertes financières et faire perdre aux consommateurs la confiance en Water2buy ou en nos clients.

Les réglementations des différentes juridictions dans lesquelles Water2buy opère obligent Water2buy à prendre des dispositions de sécurité raisonnables pour protéger les données personnelles que nous possédons ou contrôlons, afin d’empêcher l’accès, la collecte, l’utilisation, la divulgation non autorisés ou des risques similaires.

Portée

Cette politique s’applique à tout le personnel. Vous devez être familier avec cette politique et vous conformer à ses conditions. Cette politique complète nos autres politiques relatives à l’utilisation d’Internet et du courrier électronique. Nous pouvons compléter ou modifier cette politique par des politiques et des directives supplémentaires de temps à autre. Toute politique nouvelle ou modifiée sera diffusée au personnel avant d’être adoptée.

Formation

Tout le personnel recevra une formation sur cette politique. Le nouveau personnel recevra une formation dans le cadre du processus d’intégration. Une formation complémentaire sera dispensée au moins chaque année ou chaque fois qu’il y a un changement substantiel dans la loi ou notre politique et procédure.

La formation est dispensée dans le cadre d’un séminaire interne et d’une formation en ligne sur une base annuelle, et couvre les lois applicables relatives à la protection des données, à la protection des données de Water2buy et aux politiques et procédures associées.

L’achèvement de la formation est obligatoire.

RÈGLEMENT GÉNÉRAL DE L’UE SUR LA PROTECTION DES DONNÉES (UE) 2016/679 (GDPR)

Le règlement s’applique également aux organisations basées en dehors de l’Union européenne si elles collectent ou traitent des données personnelles de résidents de l’UE.

Selon la Commission européenne, les Données Personnelles sont: « toute information relative à un individu, qu’elle concerne sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une adresse personnelle, d’une photo, d’une adresse e-mail. , coordonnées bancaires, publications sur des sites Web de réseaux sociaux, informations médicales ou adresse IP d’un ordinateur.  »

Données personnelles

Water2buy définit les données personnelles comme la plus large des définitions contenues dans le RGPD.

Water2buy définit les données personnelles sensibles comme la plus large des définitions contenues dans le RGPD.

Toute utilisation de données personnelles sensibles doit être strictement contrôlée conformément à cette politique.

Bien que certaines données se rapportent toujours à un individu, d’autres données peuvent ne pas, à elles seules, se rapporter à un individu. De telles données ne constitueraient pas des données personnelles à moins qu’elles ne soient associées ou liées à une personne en particulier.

Les informations génériques qui ne concernent pas une personne en particulier peuvent également faire partie des données personnelles d’un individu lorsqu’elles sont combinées avec des données personnelles ou d’autres informations pour permettre l’identification d’une personne.

Les données agrégées ne sont pas des données personnelles.

Water2buy collecte des Données Personnelles à deux fins, pour identifier et protéger les données qui nous sont fournies par nos clients, et pour les opérations internes.

Les données personnelles pour le coaching de santé concernent des utilisateurs individuels identifiables et peuvent inclure:

• Informations sur le profil de l’utilisateur telles que le nom complet, l’adresse, le numéro de téléphone portable et l’adresse e-mail personnelle;
• Messages entre les utilisateurs et notre service client.

Les données personnelles que nous recueillons à des fins opérationnelles internes concernent des personnes identifiables telles que des candidats à un emploi, des employés actuels et anciens, des contractuels et autres employés, des clients, des fournisseurs et des contacts marketing, et les données collectées peuvent inclure les coordonnées des individus, leur formation, leurs finances et les détails de la paie, les détails des certificats et diplômes, l’éducation et les compétences, l’état matrimonial, la nationalité, le titre du poste et le CV.

Les causes

Les violations de données peuvent être causées par des employés, des parties externes à l’organisation ou des erreurs du système informatique.

Erreur humaine
Les causes d’erreur humaine comprennent:

• Perte d’appareils informatiques (portables ou autres), de dispositifs de stockage de données ou de registres papier contenant des données personnelles
• Divulgation de données à un mauvais destinataire
• Traitement des données de manière non autorisée (par exemple: téléchargement d’une copie locale de données personnelles)
• Accès non autorisé ou divulgation de données personnelles par les employés (par exemple: partage d’un identifiant)
• Élimination incorrecte des données personnelles (par exemple: disque dur, support de stockage ou documents papier contenant des données personnelles vendues ou jetées avant que les données ne soient correctement supprimées)

Activités malveillantes
Les causes malveillantes comprennent:

• Incidents de piratage / Accès illégal aux bases de données contenant des données personnelles
• Piratage pour accéder à des données non autorisées via l’application Coaching ou l’API
• Vol d’appareils informatiques (portables ou autres), de dispositifs de stockage de données ou de dossiers papier contenant des données personnelles
• Les escroqueries qui poussent le personnel de Water2buy à divulguer des données personnelles d’individus

Erreur système informatique
Les causes d’erreur du système informatique incluent:

• Erreurs ou bogues dans l’application ou l’API de Water2buy
• Défaillance des services cloud, du cloud computing ou des systèmes de sécurité / authentification / autorisation du stockage cloud

Signaler des violations

Tous les membres du personnel ont l’obligation de signaler les manquements réels ou potentiels au respect de la protection des données. Cela nous permet de:

• Enquêter sur l’échec et prendre des mesures correctives si nécessaire
• Tenir un registre des échecs de conformité
• Informer l’autorité de surveillance de tout manquement à la conformité qui est significatif en soi ou dans le cadre d’un schéma de défaillances

En vertu du RGPD, le DPD est légalement tenu d’informer l’Autorité de surveillance dans les 72 heures suivant la violation de données (article 33). Les personnes doivent être informées si un impact négatif est déterminé (article 34). En outre, Water2buy doit notifier sans délai indu tout client concerné après avoir eu connaissance d’une violation de données personnelles (article 33).

Cependant, Water2buy n’a pas à informer les personnes concernées en cas de violation de données anonymisées. Plus précisément, la notification aux personnes concernées n’est pas requise si le responsable du traitement a mis en œuvre des techniques de pseudo-anonymisation telles que le cryptage ainsi que des mesures de protection techniques et organisationnelles adéquates des données à caractère personnel concernées par la violation de données (article 34).

Violation de données

L’équipe Data Breach doit être immédiatement alertée de toute violation de données confirmée ou suspectée.

La notification doit inclure les informations suivantes, lorsqu’elles sont disponibles:

• Ampleur de la violation de données
• Type et volume de données personnelles concernées
• Cause ou cause présumée de la violation
• Si la violation a été corrigée
• Mesures et processus que l’organisation avait mis en place au moment de la violation
• Informations indiquant si les personnes concernées de la violation de données ont été informées et, dans la négative, quand l’organisation a l’intention de le faire
• Coordonnées du personnel de Water2buy avec qui l’autorité de contrôle peut se mettre en rapport pour obtenir de plus amples informations ou clarifications

Lorsque des informations spécifiques sur la violation de données ne sont pas encore disponibles, Water2buy doit envoyer une notification intermédiaire comprenant une brève description de l’incident.

Les notifications faites par les organisations ou l’absence de notification, ainsi que la question de savoir si les organisations ont mis en place des procédures de recouvrement adéquates, auront une incidence sur la ou les décisions des autorités de contrôle sur la question de savoir si une organisation a raisonnablement protégé les données personnelles sous son contrôle ou sa possession.

Répondre à une violation de données

PLAN DE GESTION DES VIOLATIONS DE DONNÉES

Après avoir été informé d’une violation de données (suspectée ou confirmée), l’équipe de violation de données doit immédiatement activer le plan de violation de données et de réponse.

Le plan de gestion et de réponse aux violations de données de Water2buy est:

1. Confirmer la violation
2. Contenir la brèche
3. Évaluer les risques et l’impact
4. Signaler l’incident
5. Évaluer la réponse et la récupération pour éviter de futures violations

CONFIRMER LA VIOLATION

L’équipe Data Breach (DBT) doit agir dès qu’elle a connaissance d’une violation de données. Dans la mesure du possible, il doit d’abord confirmer que la violation de données s’est produite. Il peut être judicieux que le DBT procède à Contenir la violation sur la base d’une violation de données signalée non confirmée, en fonction de la probabilité de la gravité du risque.

CONTENIR LA VIOLATION

Le DBT devrait envisager les mesures suivantes pour contenir la violation, le cas échéant:

• Arrêtez le système compromis qui a conduit à la violation de données.
• Déterminez si des mesures peuvent être prises pour récupérer les données perdues et limiter les dommages causés par la violation. (par exemple: désactiver / effacer à distance un ordinateur portable perdu contenant des données personnelles d’individus.)
• Empêchez tout accès non autorisé au système.
• Réinitialisez les mots de passe si les comptes et / ou les mots de passe ont été compromis.
• Isolez les causes de la violation de données dans le système et, le cas échéant, modifiez les droits d’accès au système compromis et supprimez les connexions externes au système.

ÉVALUER LES RISQUES ET L’IMPACT

Connaître les risques et l’impact des violations de données aidera Water2buy à déterminer s’il pourrait y avoir des conséquences graves pour les personnes concernées, ainsi que les étapes nécessaires pour informer les personnes concernées.

Risque et impact sur les individus

• Combien de personnes ont été touchées?
  Un nombre plus élevé peut ne pas signifier un risque plus élevé, mais l’évaluation de cela aide à évaluer le risque global.
• Quelles données personnelles ont été violées?
  Les données personnelles appartiennent-elles à des employés, des clients ou des mineurs? Différentes personnes seront confrontées à des niveaux de risque variables en raison d’une perte de données personnelles.
• Quels types de données personnelles étaient concernés?
  Cela aidera à déterminer s’il existe un risque pour la réputation, le vol d’identité, la sécurité et / ou la perte financière des personnes concernées.
• Des mesures supplémentaires ont-elles été mises en place pour minimiser l’impact d’une violation de données? Par exemple: un appareil perdu protégé par un mot de passe fort ou un cryptage pourrait réduire l’impact d’une violation de données.

Risque et impact sur les organisations

• Qu’est-ce qui a causé la violation de données?
  Déterminer comment la violation s’est produite (par le vol, un accident, un accès non autorisé, etc.) aidera à identifier les mesures immédiates à prendre pour contenir la violation et restaurer la confiance du public dans un produit ou un service.
• Quand et à quelle fréquence la violation s’est-elle produite?
  L’examen de cela aidera Water2buy à mieux comprendre la nature de la violation (par exemple, malveillante ou accidentelle).
• Qui pourrait avoir accès aux données personnelles compromises?
  Cela permettra de vérifier comment les données compromises pourraient être utilisées. En particulier, les personnes concernées doivent être informées si des données personnelles sont acquises par une personne non autorisée.
• Les données compromises affecteront-elles les transactions avec d’autres tiers?
  Déterminer cela aidera à déterminer si d’autres organisations doivent être notifiées.

SIGNALER L’INCIDENT

Water2buy est légalement tenu d’informer les personnes concernées si leurs données personnelles ont été violées. Cela encouragera les individus à prendre des mesures préventives pour réduire l’impact de la violation de données et aidera également Water2buy à rétablir la confiance des consommateurs.

Qui notifier:

• Informer les personnes dont les données personnelles ont été compromises.
• Avertissez les autres tiers tels que les banques, les sociétés de cartes de crédit ou la police, le cas échéant.
• Notifier le RGPD, en particulier si une violation de données implique des données personnelles sensibles.
• Les autorités compétentes (par exemple: la police) doivent être informées si une activité criminelle est suspectée et les preuves d’enquête doivent être préservées (par exemple: piratage, vol ou accès non autorisé au système par un employé).

Quand notifier:

• Avertissez immédiatement les personnes concernées si une violation de données implique des données personnelles sensibles. Cela leur permet de prendre rapidement les mesures nécessaires pour éviter un abus potentiel des données compromises.
• Informer les personnes concernées lorsque la violation de données est résolue

Comment notifier:

• Utilisez les moyens les plus efficaces pour atteindre les personnes touchées, en tenant compte de l’urgence de la situation et du nombre de personnes touchées (par exemple, communiqués de presse, médias sociaux, messagerie mobile, SMS, e-mails, appels téléphoniques).
• Les notifications doivent être simples à comprendre, spécifiques et fournir des instructions claires sur ce que les individus peuvent faire pour se protéger.

Que notifier:

• Comment et quand la violation de données s’est produite, et les types de données personnelles impliquées dans la violation de données.

• Ce que Water2buy a fait ou fera en réponse aux risques engendrés par la violation de données.
• Faits spécifiques sur la violation de données, le cas échéant, et mesures que les individus peuvent prendre pour empêcher que ces données ne soient utilisées à mauvais escient ou abusées.
• Coordonnées et comment les personnes concernées peuvent contacter l’organisation pour obtenir de plus amples informations ou obtenir de l’aide (par exemple, numéros d’assistance téléphonique, adresses électroniques ou site Web).

ÉVALUER LA RÉPONSE ET LA RÉCUPÉRATION POUR PRÉVENIR LES INFRACTIONS FUTURES

Une fois que des mesures ont été prises pour résoudre la violation de données, Water2buy devrait examiner la cause de la violation et évaluer si les mesures et processus de protection et de prévention existants sont suffisants pour empêcher des violations similaires de se produire et, le cas échéant, mettre un terme aux pratiques qui ont conduit au violation de données.

Problèmes opérationnels et politiques:

• Des audits ont-ils été régulièrement menés sur les mesures de sécurité physiques et informatiques?
• Existe-t-il des processus qui peuvent être rationalisés ou mis en place pour limiter les dommages en cas de futures violations ou pour empêcher une rechute?
• Y avait-il des faiblesses dans les mesures de sécurité existantes telles que l’utilisation de logiciels et de mesures de protection obsolètes, ou des faiblesses dans l’utilisation de périphériques de stockage portables, de mise en réseau ou de connectivité à Internet?
• Les méthodes d’accès et de transmission des données personnelles étaient-elles suffisamment sécurisées, par exemple: l’accès limité au personnel autorisé uniquement?
• Les services de support des parties externes, tels que les fournisseurs et les partenaires, devraient-ils être améliorés pour mieux protéger les données personnelles?
• Les responsabilités des fournisseurs et partenaires ont-elles été clairement définies en ce qui concerne le traitement des données personnelles?
• Est-il nécessaire de développer de nouveaux scénarios de violation de données?

Problèmes liés aux ressources:

• Des ressources suffisantes ont-elles été allouées pour gérer la violation de données?

• Faut-il engager des ressources externes pour mieux gérer ces incidents?
• Le personnel clé a-t-il reçu des ressources suffisantes pour gérer l’incident?

Problèmes liés aux employés:

• Les employés étaient-ils conscients des problèmes de sécurité?
• Une formation a-t-elle été dispensée sur les questions de protection des données personnelles et sur les compétences en gestion des incidents?
• Les employés ont-ils été informés de la violation de données et des points d’apprentissage de l’incident?

Problèmes liés à la gestion:

• Comment la direction a-t-elle été impliquée dans la gestion de la violation de données?
• Y avait-il une ligne claire de responsabilité et de communication lors de la gestion de la violation de données?

surveillance

Chacun doit respecter cette politique.

Conséquences du non-respect

Nous prenons très au sérieux le respect de cette politique. Le non-respect de cette directive met à la fois vous et l’organisation en danger.

L’importance de cette politique signifie que le non-respect de toute exigence peut entraîner des mesures disciplinaires en vertu de nos procédures qui peuvent entraîner un licenciement.