‍Parce que la sécurité des données de nos utilisateurs et au centre de nos préoccupations chez Clust, nous souhaitons en toute transparence, porter à votre attention nos engagements RGPD. Notez que certaines de ces actions impliquant un travail continu, nous travaillons au quotidien à leur mise en place. 

Une icône apparaîtra auprès des mesures finalisées tandis qu'une icône ⏳ vous indiquera celles qui sont en cours ou de nature permanente.

Depuis le 25 Mai 2018, Le Règlement Général sur la Protection de Données a pris effet pour l'ensemble au sein de l'Union Européenne.  Ce texte renforce les droits des personnes, responsabilise les acteurs traitant des données et crédibilise la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Découvrez ci-dessous l'ensemble des actions mises en place au sein de notre entreprise dans le cadre de notre démarche RGPD. 

‍1. Mise en place de formations

Chez Clust, les employés ont été formés aux principes du RGPD. Tout nouvel employé, stagiaire, consultant ou freelance rejoignant les équipes de Clust, de manière pérenne ou saisonnière est également tenu de suivre cette formation.


2‍. Désignation d'un délégué à la Protection des données

Conformément aux recommandations de la CNIL (Commission Nationale de l'Informatique et des Libertés) en la matière, nous avons désigné un DPO (Délégué à la Protection des Données). Celui-ci étant mentionné dans notre DPA, Data Privacy Agreement) que chacun de nos clients est invité à demander et signer.

 Notre DPO est chargé des missions suivantes :

  • Informer et de conseiller les équipes Clust quant aux bonnes pratiques sous l'ère RGPD
  • Contrôler le respect des règles en matière de protection des données ;
  • Conseiller Clust quant aux possibilités de réaliser des études d'impact et de suivre son bon déroulement ;
  • Coopérer avec la CNIL et rester son point de contact

3. Elaboration d'une cartographie claire & analyse d'impact

Afin de nous assurer que nous respections les mesures en place dans le cadre du Règlement, nous avons établi une cartographie claire de nos traitements de données personnelles.
Nous tenons à jour, une documentation interne complète à ce sujet concernant :

  •  les différents traitements des données collectées auprès de nos utilisateurs ;
  •  le type de données collectées ;
  •  les objectifs de ces opérations dans le cadre de notre activité ;
  •  les acteurs ayant accès à ces données dans le cadre du traitement ce celles-ci
  •  les flux de données (origine et destination) compte tenu de notre activité à l'international

D‍ans ce cadre, nous avons réalisé une Analyse d'Impact sur la Protection des Données (AIPD) en nous aidant le PIA Tool recommandé par la CNIL

‍4. Bonnes pratiques et sécurisation des données

Par défaut, la communication avec nos services utilise le protocole TLS (Transport Layer Security), qui est mis à jour régulièrement pour utiliser les dernières configurations de chiffrement et les configurations TLS. De plus, nous cryptons toutes les données des clients via l'algorithme AES 256-T.

Nous avons également établi en interne 10 règles clés en terme d'accès et de  protection des données utilisateurs et de sécurité. Nous mettons à disposition de nos employés ces informations et bonnes pratiques pour maintenir un cadre fiable et réglementé au sein de nos locaux. 

Tous les employés de Clust qui sont susceptibles de manipuler des données à caractère personnel sont tenus à la plus stricte confidentialité par une clause contractuelle de confidentialité. Clust s’engage à ne pas utiliser ni céder les données des utilisateurs à d’autres fins que pour les besoins de conception, d’exécution, de maintenance et d’amélioration des services de l’entreprise.


5. Transfert de données

Nous accordons la plus grande importance à l’hébergement de vos données personnelles, tant sur le plan légal que sur le plan technique. 

  • Vos données sont conservées sur plusieurs serveurs afin d'assurer que nos systèmes restent opérationnels et performants même en cas de défaillance d'un de nos serveurs.
  • Nos serveurs physiques dédiés sont répartis dans de nombreux datacenters sur chaque continent. Les données des clients français sont traitées en Ile-de-France. 
  • Les données de nos clients sont cryptées et même notre hébergeur n’y a pas accès.


7. Audit externe de cyber-sécurité et gestion des risques

Nous sommes accompagnés par une société Française dans le cadre de notre démarche de Cyber-sécurité. Cette société effectue des audits réguliers sur notre site afin de piloter les risques de vulnérabilité et de maintenir le bon respect des réglementations.  

‍8. ‍Développement Produit & Intégrations

Nos équipes techniques développent systématiquement les nouvelles fonctionnalités du logiciel en prenant en compte les exigences OWASP en matière de sécurité informatique. 

De même au niveau opérationnel, les :

  • Demandes de fonctionnalités ;
  • Tests logiciels et suivis qualité 
  • Intégrations de partenaires techniques
  • Sous-traitants établis et à venir

Sont sélectionnés/conduits/contrôlés au regard du Règlement sur la Protection des Données clients. 

A ce titre, nous avons également établi des règles de sélection des sous-traitants :

  • Communication de nos engagements RGPD à tous nos sous-traitants
  • Etablissement d'une liste précise de questions de pré-sélection pour les candidats potentiels
  • Contractualisation des engagements en phase avec le RGPD
  • Mise en place et respect des mesures présentées en point 9 dans le cadre de développements informatiques. 

9. Information des clients

Toujours dans un souci de transparence envers nos utilisateurs, nous avions pris le soin de rappeler aussi bien dans nos Conditions du Service, que dans nos conditions particulières attachées au CGV (dont un extrait est affiché ci-dessous) et nos conditions d'utilisation de l'API Clust, les droits des utilisateurs en matière de données personnelles :

  • Accès aux données
  • Rectification des données
  • Suppression des données
  • Exportation des données disponibles sur un support numérique, sous un format “structuré” (ex : fichier .xls, .csv, .xml)
  • Limitation et opposition aux traitements des données

Ces droits s'appliquent également aux clients de nos utilisateurs qui sur simple demande auprès de leur donneur d'ordre, peuvent obtenir l'accès, la rectification, la suppression, l'exportation et la limitation à leurs données. 

L’utilisateur conserve la propriété intellectuelle de ses données personnelles. Elles sont effacées au plus tard 3 mois après la suppression du compte de l’utilisateur. 

Dans le cas d’un abonnement au service Clust souscrit par une organisation, qui met le service à disposition de ses membres : après suppression d’un compte utilisateur, ce dernier peut, en tant que donneur d'ordre conserver les documents de ses clients que si elle atteste contractuellement être propriétaire des droits de ces documents.

L’utilisateur assume seule les conséquences d’une éventuelle atteinte aux droits relatifs aux documents.

Comment appliquer ses droits en tant qu'utilisateur Clust ?

Toutes les données personnelles collectées lors de l’utilisation des services Clust sont consultables et modifiables.

Le Responsable des traitements reste disponible à l'adresse [email protected]. Si vous souhaitez adresser une demande particulière pour faire valoir vos droits sur vos données personnelles, envoyez votre demande via le formulaire de contact disponible depuis votre compte sécurisé Clust.

10. Accompagnement des clients

‍Clust a crée un contrat de DPA (Data Protection Act) de sorte à informer ses utilisateurs (Donneurs d'ordre) de leurs devoirs en termes de protection des données (et à l'égard de leurs propres clients), dans le cadre de l'utilisation de Clust ( en tant que Processeur). La signature du DPA étant requise au cas par cas, il est possible d'en faire la demande en suivant le lien ci-dessous. 

Dans le cadre de l'utilisation des services Clust, le donneur d'ordre dispose de la possibilité de rajouter à l'espace sécurisé de ses clients, un lien vers ses propres CGV qui doivent, elles aussi mettre en place les mesures requises par la législation du pays d'immatriculation. (RGPD et/ou équivalent).

Did this answer your question?