Politique de confidentialité

Charte CDS GROUPE relative à la sécurité et protection des données personnelles

La présente charte a pour objet de décrire les conditions dans lesquelles la société CDS GROUPE est amenée à traiter les données à caractère personnel de ses clients qu’elle collecte sur ses applications pour la réservation et l’organisation de leur voyage d’affaires

Données collectées :

Dans le cadre de la fourniture des Services, CDS GROUPE demande à ses clients au moment de leur inscription et de la réservation de leurs voyages de lui communiquer des informations personnelles

Ces Données Personnelles peuvent être collectées sur les applications, mais elles peuvent aussi être communiquées par téléphone ou par fax.

Informations fournies par l’utilisateur – Lorsque vous faites appel aux services de CDS Groupe, nous vous demandons des informations personnelles (telles que votre nom, votre société, fonction, téléphone, votre adresse e-mail). Ces informations fournies peuvent être combinées avec celles issues d’autres services ou de tiers, dans le but de cibler vos éventuels besoins et de voir quelles seront les prestations susceptibles de vous intéresser.

Communications de l’utilisateur – Lorsque vous envoyez un e-mail ou toute autre communication à CDS Groupe, nous pourrions les conserver afin de traiter vos demandes, répondre à vos questions et améliorer nos services.

CDS Groupe ne traite les informations personnelles que pour les finalités précisées dans la Charte de confidentialité en vigueur et dans les règles de confidentialité propres à certains services. Outre ce qui précède, ces finalités incluent :

  • La fourniture des produits et services
  • L’audit, la recherche et l’analyse afin d’assurer la maintenance, la protection et l’amélioration de nos services
  • Le développement de nouveaux services
  • Les informations personnelles sont traitées sur les serveurs de CDS Groupe en France.

Confidentialité :

CDS GROUPE s’engage à protéger les informations communiquées par ses clients contre toute divulgation ou utilisation non autorisée.

Sécurité des applications

CDS GROUPE permet à ses clients d’effectuer leurs réservations en ligne dans des conditions de sécurité et de confidentialité optimales. (protocole SSL -Secure Socket Layers), qui est actuellement l’un des systèmes de sécurisation de données les plus efficaces et les plus répandu sur Internet.

SSL garantit que les données échangées entre l’ordinateur de ses clients et les applications de CDS GROUPE ne puissent être lues par des tiers.

Sécurité des installations et de l’infrastructure – Accès à votre compte

Les installations qui regroupent les données sont installées dans des centres sécurisés en France comprenant les dernières technologies telles que la protection :

  • Anti-intrusion
  • Anti-incendie
  • Protection des plateformes par vidéosurveillance

Chaque serveur est protégé des attaques externes : firewall, anti-virus, anti-spam, anti intrusion

Les mots de passe de chaque client sont chiffrés pour toutes les personnes et ce même après leur modification par le client

L’accès aux informations personnelles est strictement réservé aux employés, sous-traitants et agents de CDS Groupe qui ont besoin d’y accéder afin d’exploiter, de développer ou d’améliorer nos services. Ces personnes sont liées par des obligations de confidentialité et sont susceptibles de faire l’objet de sanctions pouvant aller jusqu’au licenciement et aux poursuites judiciaires, en cas de manquement à ces obligations.

Sécurité des données

Les informations personnelles et toutes les données que vous confiez à CDS GROUPE sont stockées sur les serveurs sécurisés de notre hébergeur en France.

L’accès à ces informations est protégé et limité aux opérations d’enregistrement et de traitement de vos demandes ou besoins.

CDS Groupe prend toutes mesures de sécurité nécessaires pour éviter tout accès non autorisé, modification, divulgation ou destruction des données.

Ces mesures comprennent notamment la réalisation d’audits internes sur la collecte, le stockage, le traitement des informations et les mesures de sécurité, physiques ou logicielles, destinées à empêcher tout accès non autorisé aux systèmes dans lesquels sont stockées les données personnelles.

Droits d’accès aux informations

En utilisant les applications de CDS groupe le client accepte que des Données Personnelles soient collectées et traitées conformément à la présente charte.

Conformément aux dispositions de la loi n°78-17 du 6 janvier 1978, le client ou toute autre personne dont les Données Personnelles auront été communiquées par le client à CDS GROUPE disposent d’un droit d’accès, de rectification et de suppression des Données Personnelles les concernant en s’adressant par mail à donnees-personnelles@cdsgroupe.com

Déclaration de conformité

Règlement européen sur la protection des données personnelles (RGPD)
A la date du 17 mai 2018

RÉGLEMENTATION

En tant que sous-traitant, notre société s’engage à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, «le règlement européen sur la protection des données ») et de la loi Informatique et Libertés modifiée.

OBJET

L’objet de la présente déclaration est d’établir un descriptif des garanties minimales et suffisantes au regard des mesures de sécurité technique et organisationnelles demandées par la CNIL dans son Guide du sous-traitant RGPD :
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

INTRODUCTION

Depuis plusieurs années, CDS Groupe est engagé dans un processus interne de gestion de la sécurité du système d’information. Depuis quelques mois, nous avons intégré à ce processus la « Mise en conformité RGPD » pour l’ensemble des données que nous collectons pour notre propre compte mais également dans le cadre de nos traitements en tant que sous-traitant.
A ce jour, notre offre de service est conforme à la législation européenne sur la protection des données. Nous poursuivons d’améliorer sans cesse la sécurité des données via un cycle d’amélioration continue et notamment la révision et la validation juridique actuellement en cours de certaines mentions légales présentes sur nos outils, sites web, formulaires, prospectus et conditions générales de vente.

PILOTE ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

Pour toute demande relative à notre mise en conformité et aux traitements des données, vous pouvez vous adresser à Monsieur Antoine LAUREAU, DPO externe sur son adresse antoine.laureau@mantaconsulting.fr

OBLIGATION DE TRANSPARENCE ET DE TRAÇABILITÉ

  1. CDS Groupe met à disposition un système permettant de réaliser des réservations de chambres d’hôtel. Nous sommes ainsi amenés à traiter des données personnelles au travers de ce système. Toutefois, CDS Groupe n’utilisera jamais ces contenus pour ses propres besoins, ni à les vendre, ni à les céder à un tiers.
  2. Tous nos outils traitant des informations personnelles sont intégralement stockés et localisées en France soit dans nos Centres de Données situé à « Clichy (92) et Saint Denis (93) » soit dans nos bureaux situés à « Saint Cloud (92) »
  3. Nos fournisseurs techniques et de services par lesquels peuvent transiter nos flux informatiques sont soit Français soit de grands groupes respectant eux-mêmes le RGPD avec des stockages de données garanties en Europe (ECRITEL et Google).
  4. Les données à caractères personnelles que vous importez dans nos outils ne font l’objet d’aucun traitement pouvant dépasser la simple finalité de réservation d’hotel.
  5. Nous garantissons qu’aucun traitement ou algorithme du type « big-data » ne s’applique sur vos données et qu’aucun processus ne traite, agrège, combine, mélange, exploite ou tire profit d’une quelconque manière de vos données et celles de nos autres clients. Les seules statistiques fournies par nos outils restent cloisonnées à votre seul accès client privatif et ne viennent en aucun cas peupler une quelconque base de données comportementale.
  6. Toutes statistiques globales pouvant être produite par notre société dans un but de communication ou de relation presse sont intégralement anonymisées et globalisées

PROTECTION DES DONNÉES DÈS LA CONCEPTION

Nous avons depuis plus de 17 ans, mis en place de nombreux éléments de protection pour empêcher l’accès à vos données par des tiers ou des robots.
1. Ces protections peuvent être d’ordre matériel (firewall, proxy, réseau fermé, renouvellement régulier de nos postes de travail et serveurs, etc.)
2. Ces protections peuvent être d’ordre méthodologique (intégration de diverses couches de sécurité et de tests lors de nos phases de développement, utilisation d’outils de monitoring, sauvegardes quotidiennes et incrémentales, utilisation des normes de sécurité SSL/HTTPS sur tous nos outils y compris les échanges d’email)
3. Ces protections peuvent être d’ordre logiciel (utilisation d’anti-virus, mise à jour et renouvellement régulier de nos licences logiciel, choix d’outils ou de modules Français ou Européens le cas échéant)
4. Ces protections peuvent également être d’ordre structurel (fourniture de matériel et de liaisons cryptées VPN pour nos télétravailleurs, choix d’un Data justify de qualité)

SÉCURITÉ ET CONFIDENTIALITÉ

  1. Tous nos outils proposent d’importer, d’extraire et/ou d’effacer vos données en cas de rupture de contrat ou de migration depuis ou vers un concurrent
  2. Nous avons nommé un délégué à la protection des données (DPO) pour traiter les obligations RGPD dans le cadre de nos relations commerciales et techniques
  3. Nos employés sont formés à la protection des données et soumis à une obligation de confidentialité
  4. Tout accès à vos données par nos employés, se fait uniquement sur votre demande ou pour des raisons légales et administratives (comptabilité principalement)

DURÉE DE CONSERVATION DES DONNÉES

  1. 3 ans et 45 jours après la fin d’un contrat, un ensemble de processus viennent purger les données. Certains travaux de purge font partie de notre « Mise en conformité » notamment la purge des données stockées au niveau de nos outils internes comme notre outil de ticketing, nos sauvegardes ou nos logs.
  2. Tout client peut également de son propre chef demander une purge de ses données. Cette purge entrainera la possibilité d’effectuer de futures reservations. Seules sont conservées les données strictement nécessaires à un contrôle fiscal ou juridique
  3. Tout client ou contact ayant échangé des données avec notre société peut faire une demande explicite de suppression de ses données auprès de notre délégué à la protection des données (DPO).

PORTABILITÉ

Tous nos outils proposent d’extraire dans un format lisible et standardisé vos données en cas de rupture de contrat ou de migration vers un concurrent.

ASSISTANCE, ALERTES ET CONSEIL

  1. En cas de fuite ou vol de données, nous sommes prêts à couper tous les accès publics à nos outils et le cas échéant à couper l’accès physique à notre réseau si l’accès informatique était corrompu ou n’était plus contrôlable à distance
  2. En cas de fuite ou de vol de données, notre DPO est disposé à déclarer d’incident initial auprès de la CNIL et son suivi complémentaire dans les 72 heures comme le prévoit le règlement européen sur la protection des données et d’alerter nos clients par tout moyen fonctionnel en notre possession
  3. Enfin, nous sommes assurés par une assurance dite « RC Pro » auprès d’AXA qui inclut un volet contre le cyber-risque

RESPONSABILITÉS PARTAGÉES

Cette déclaration de conformité en tant que sous-traitant n’exempte pas nos clients finaux à se mettre eux-mêmes en conformité avec le RGPD et notamment à bien maîtriser le flux des personnes accédant à nos outils, à bien utiliser des mots de passes forts, à mettre en place toutes les protections physiques et logicielles nécessaire à la sécurisation de leurs données qu’elles soient entrantes ou sortantes, et bien entendu à ne pas mentir sur l’origine de leur collecte de données, de ne pas utiliser abusivement nos outils pour des opérations répréhensives et à bien suivre nos recommandations éthiques et technologiques