Accueil    Privacy & cookies     Cookies Plantyn sécurité

Sécurité

Sécurité des données à caractère personnel

En qualité de ‘responsable du traitement’ ainsi qu’en qualité de ‘sous-traitant’, Plantyn SA prend des mesures techniques et organisationnelles adéquates afin de garantir un niveau de sécurité adapté au risque. Vous découvrirez ci-dessous les mesures de sécurité prises par Plantyn SA.

Mesures garantissant que seul le personnel habilité a accès aux données à caractère personnel Plantyn SA applique une politique d’autorisation pour déterminer qui doit avoir accès à quelles données. Sur la base de ce système, les collaborateurs n’ont pas accès à plus de données qu’il est strictement nécessaire pour leur fonction.

  •  Accès

Les collaborateurs du service clientèle et consultants ont accès aux informations de licence à la demande d’une école. Ils peuvent entre autres voir les élèves pour lesquels un matériel pédagogique a été activé.
Le service clientèle ne verra les données de l’école/l’enseignant/l’élève qu’à la demande et avec le consentement formel de l’enseignant, dans l’unique but d’apporter un soutien à l’utilisateur final.

  • Opérations

Opérations administratives effectuées dans le cadre du fonctionnement du matériel pédagogique, des systèmes d’administration scolaire, des commandes et des licences.


Soutien apporté à l’utilisateur final.

  •  Accès

Les analystes / experts dans le domaine du développement de matériel pédagogique ont accès à des ensembles de résultats anonymisés concernant l’utilisation du matériel pédagogique/des systèmes d’administration scolaire.

  • Opérations

Analyse du matériel pédagogique, destinée à améliorer ce matériel, à développer et à optimiser du matériel pédagogique adaptatif, à déceler et à améliorer la qualité du matériel.

  •  Accès

Les gestionnaires de base de données informatiques ont accès aux bases de données.

  • Opérations

Les opérations des gestionnaires de bases de données informatiques concernent la continuité et la gestion des systèmes ICT.

Mesures visant à protéger les données à caractère personnel contre la destruction involontaire ou illicite, la perte ou la modification involontaires, l’enregistrement, le traitement, l’accès ou la divulgation non autorisés ou illicites

Organisation de la sécurité des informations et des processus de communication

  • Plantyn SA a rédigé une déclaration de protection des données et de sécurité qui décrit les différents rôles. Les rôles ci-dessous sont importants.

  • Plantyn SA a désigné un responsable de la protection des données, qui a pour principale responsabilité d’informer et de conseiller Plantyn SA quant à ses obligations en vertu du RGPD et de surveiller leur respect. Les responsabilités de ce responsable (PDO) sont décrites dans la politique d’Infinitas prévue à cet effet.

  • Le Corporate Security Officer (CSO) est responsable de la politique de sécurité d’Infinitas.

  • Infinitas a nommé, par filiale et par domaine juridique, une personne de contact locale en matière de vie privée (« Privacy Contact ») dont la tâche est d’exécuter et de développer, avec les directions des filiales et en collaboration avec le DPO, la politique de protection des données et les procédures de l’entité.

  • Les incidents liés à la sécurité des informations sont documentés et sont exploités afin d’optimiser la politique de la sécurité des informations.

  • Plantyn SA a instauré un processus de gestion des incidents liés à la sécurité des informations (procédure fuite de données) (et à la communication à ce sujet).

Collaborateurs

  • Des déclarations d’obligation de non-divulgation sont convenues avec tous les collaborateurs dans leurs conditions de travail.

  • Plantyn SA encourage la sensibilisation, l’éducation et la formation à l’égard de la sécurité des informations.

  • Sur la base d’un système d’autorisation, les collaborateurs n’ont pas accès à plus de données qu’il est strictement nécessaire pour leur fonction.

Sécurité physique et continuité des moyens  

  • Les données à caractère personnel sont exclusivement traitées dans un environnement fermé, physiquement sécurisé par une protection contre les menaces extérieures. Un protocole d’accès a été mis en place. L’accès est en outre enregistré.

  • Les données à caractère personnel sont exclusivement traitées sur des appareils sur lesquels des mesures ont été prises pour leur sécurisation physique et pour assurer la continuité des services.

  • Des back-ups périodiques sont réalisés afin d’assurer la continuité des services. Ces back-ups sont traités de manière confidentielle et conservés dans un environnement fermé.

  • Les endroits où les données sont traitées sont sécurisés au moyen de clés, de systèmes d’alarme, testés et entretenus périodiquement et les risques en matière de sécurité font l’objet d’une évaluation régulière. Plantyn SA dispose de plans de continuité reprenant des points de dégagement.

  • Sécurité et maintenance des réseaux, des serveurs et des applications

  • L’environnement de réseau dans lequel les données sont traitées est strictement sécurisé. En outre, les flux de données sont séparés et des mesures contre l’utilisation abusive et les attaques sont mises en œuvre.

  • L’environnement dans lequel les données à caractère personnel sont traitées est surveillé.

  • Le matériel pédagogique/les systèmes d’administration scolaire numériques dans lesquels les données à caractère personnel sont traitées sont créés sur la base du principe étude du système, vérification de sécurité et acceptation (DTAP). Les modifications apportées dans les applications sont testées en matière de vulnérabilité avant leur mise en production.

  • Les derniers patchs (de sécurité) sont périodiquement installés sur les systèmes, sur la base de la gestion des patchs.

  • Les données qui sont traitées dans le cadre des applications sont classées en fonction des risques.

  • Des tests de pénétration et des évaluations de vulnérabilité sont réalisés périodiquement.

  • Les informations qui ne sont pas (plus) utilisées sont supprimées.

  • Des mesures cryptographiques sont appliquées aux mots de passe afin d’enregistrer ces données en toute sécurité.

  • Des connexions chiffrées sont utilisées pour les processus de connexion. L’échange de données à caractère personnel avec des tiers sur ordre de l’institution d’enseignement est chiffré.

Description des mesures visant à identifier les points faibles

La sécurité des systèmes de Plantyn SA fait l’objet de contrôles périodiques. En outre, la politique de sécurité de Plantyn SA prévoit des processus internes visant à identifier les vulnérabilités, dont une politique de ‘responsible disclosure’ (voir ci-dessous).

Communication d’une violation en rapport avec des données à caractère personnel

Plantyn SA surveille ses services 24 heures sur 24 et 7 jours sur 7 et a pris des mesures visant à éviter et à identifier l’accès illicite ou illégitime aux données. Les signaux indiquant une violation en rapport avec des données à caractère personnel sont évalués par le Corporate Security Officer et le responsable de la protection des données de Plantyn SA. Ils analysent s’il peut être question d’une violation en rapport avec des données à caractère personnel, le type de violation et s’il s’agit d’une violation relevant de son rôle de sous-traitant ou de son rôle de responsable du traitement.

Lorsqu’une violation en rapport avec des données à caractère personnel se produit à l’égard de données à caractère personnel que Plantyn SA traite en tant que sous-traitant, le responsable du traitement est informé par e-mail par ou au nom de Plantyn SA dans les 24 heures suivant le constat de cette violation. En fonction de la situation, des informations peuvent également être communiquées par le biais de notre site Internet et des canaux officiels de réseaux sociaux et/ou de distributeurs et/ou d’agents commerciaux.

Plantyn SA communique les informations suivantes aux responsables du traitement lorsqu’une violation en rapport avec des données à caractère personnel se produit :

  • Caractéristiques de l’incident, telles que la date et l’heure du constat, résumé de l’incident, caractéristiques et nature de l’incident (élément de la sécurité concerné, manière dont la violation s’est produite, lecture, copie, modification, suppression/effacement et/ou vol de données à caractère personnel).

  • Cause de l’incident de sécurité.

  • Mesures prises pour éviter un éventuel dommage/dommage ultérieur. • Désignation de personnes concernées qui peuvent subir des conséquences de l’incident et degré de ces conséquences.

  • Ampleur du groupe de personnes concernées.

  • Nature des données à caractère personnel concernées par l’incident (notamment données particulières ou données de nature sensible, dont les données d’accès ou d’identification, données financières ou performances pédagogiques).

Lorsqu’une situation concrète s’y prête, Plantyn SA peut faire une (première) déclaration de violation en rapport avec les données à caractère personnel auprès de l’autorité. Le responsable du traitement en est informé et reste aussi dans ce cas le responsable final de la déclaration.

Lorsqu’une violation en rapport avec des données à caractère personnel se produit à l’égard de données à caractère personnel que Plantyn SA traite en tant que responsable du traitement :

Lorsqu’une violation en rapport avec des données à caractère personnel que Plantyn SA traite en tant que responsable du traitement s’est produite, Plantyn SA la signale au plus tard 72 heures après en avoir pris connaissance à l’autorité de contrôle compétente, sauf s’il est improbable que la violation en rapport avec des données à caractère personnel comporte un risque pour les droits et libertés de personnes physiques. Lorsqu’une violation en rapport avec des données à caractère personnel implique probablement un risque élevé pour les droits et libertés de personnes physiques, Plantyn SA informe la personne concernée de la violation en rapport avec des données à caractère personnel.

Responsible disclosure

Responsible disclosure Vous pouvez signaler un point faible dans nos systèmes via [email protected]. Signalez la vulnérabilité avant de la divulguer à l’extérieur. Nous pourrons de la sorte prendre d’abord des mesures. Cela s’appelle la ‘responsible disclosure’.

Si vous signalez une vulnérabilité dans un système ICT, pensez aux éléments suivants :

  • Communiquez suffisamment d’informations pour reproduire le problème. Nous pouvons de la sorte résoudre le problème au plus vite. Généralement, l’adresse IP ou l’URL du système touché et une description de la vulnérabilité sont suffisantes.

  • Laissez vos coordonnées (adresse e-mail ou numéro de téléphone) de manière à ce que nous puissions vous contacter.

  • Faites la déclaration au plus vite après la découverte de la vulnérabilité.

  • Ne partagez pas les informations sur le problème de sécurité avec autrui avant sa résolution.

  • Gérez la connaissance du problème de sécurité de manière responsable. N’effectuez aucune opération au-delà de ce qui est nécessaire pour démontrer le problème de sécurité.

  • Si vous découvrez une vulnérabilité, n’en abusez pas en installant par exemple un logiciel malveillant, en copiant, modifiant ou supprimant des données dans un système, en apportant des changements dans le système, en accédant à plusieurs reprises au système ou en partageant l’accès avec autrui, en faisant des attaques par force brute, déni de service ou ingénierie sociale.

Votre signalement répond à ces conditions ? Il n’entraînera alors aucune conséquence juridique.

Que faisons-nous de votre signalement ‘responsible disclosure’ ?

Vous avez signalé un point faible dans un système ICT ? Nous y réagissons dans les 3 jours ouvrables. En tant que déclarant, nous vous tenons informé de l’évolution de la résolution du problème et nous résolvons le problème de sécurité au plus vite. Nous établirons avec vous si et comment le problème signalé sera communiqué. La communication n’aura lieu qu’après la résolution du problème. Nous vous offrons par ailleurs une récompense en remerciement de votre aide et nous traiterons votre signalement en toute confidentialité. Nous ne partagerons pas vos données sans votre consentement sauf en cas d’obligation légale. Si vous le souhaitez, nous pouvons mentionner votre nom comme personne qui a découvert la vulnérabilité signalée.