Mesures techniques et organisationnelles

Mise à jour: 05.07.2021

Les mesures techniques et organisationnelles (TOM) montrent ce que Dualoo (ci-après également dénommé le prestataire) fait pour protéger les données et dans quelles conditions une utilisation sans heurts est garantie. Elles
sont mises à jour de temps en temps par le prestataire et reflètent toujours l’état actuel.

Le contenu de cettes mesures techniques et organisationnelles a été traduit automatiquement. Seul l’original en allemande est juridiquement valable. La version en ligne en allemand se trouve ICI.

Dualoo est un Software as a Service (SaaS) et est exécuté via le navigateur (https://login.dualoo.com). Les documents générés par l’application sont stockés sur le serveur sous forme de fichiers Microsoft Office (docx) et Adobe (PDF). Toutes les données sont stockées dans le jeu de caractères UTF-8, ce qui permet de mapper toutes les langues. Pour utiliser Dualoo, il faut disposer d’un accès à Internet avec un navigateur Web compatible et d’une adresse électronique. Sinon, aucune installation n’est nécessaire.

Chrome: dernière version
Firefox: dernière version
Edge: dernière version
Safari: dernière version

Si des données personnelles sont éditées ou utilisées automatiquement, l’organisation interne doit être aménagée conformément à la loi sur la protection des données (GDPR) de manière à répondre aux exigences particulières de la protection des données. Dualoo soutient l’utilisateur dans cette démarche.

Par définition, le traitement des données mandaté est effectué par le prestataire. Toutefois, le prestataire ne peut y avoir accès que pendant une période limitée à des fins de soutien et d’assistance et uniquement avec son consentement. Comme le prestataire est concerné par le traitement de données commissionné, ce document énumère ci-dessous les points qui sont requis pour le traitement de données commissionné.

Le contrat type pour le traitement de données sur commande est basé sur les conditions d’utilisation, la politique de confidentialité et les mesures techniques et organisationnelles publiées de manière transparente. Il est conclu par l’acceptation des conditions d’utilisation et de la déclaration de protection des données.

Si des modifications divergentes ou un contrat séparé sont nécessaires, les coûts s’élèvent à 300 CHF / heure (sur la base du temps et des efforts) qui sont nécessaires au prestataire pour vérifier ou conclure un contrat.

L’accès aux locaux du fournisseur est assuré au moyen d’une carte d’identité d’employé et de clés personnelles. L’accès à l’application, respectivement aux données, ne fonctionne que via un login personnel au moyen d’un nom d’utilisateur (adresse e-mail) et d’un mot de passe. Le mot de passe de chaque utilisateur individuel est stocké dans la base de données sous forme cryptée (fonction de hachage).

Les données des utilisateurs sont stockées exclusivement sur le serveur protégé ISO-27001 et non sur les appareils locaux des employés, ce qui garantit la sécurité des données. En principe, le prestataire n’a pas accès aux données de l’utilisateur, sauf autorisation explicite.

Contrôle du support des données personnelles: Les utilisateurs sont responsables de la protection adéquate de leurs appareils et de leurs mots de passe. Le prestataire ne peut être tenu responsable de tout dommage causé par la négligence de la protection des appareils et des mots de passe des utilisateurs.

Des droits individuels peuvent être attribués au sein de l’application (ce que peut faire tel ou tel utilisateur). L’utilisateur (par exemple l’administrateur de l’entreprise) est entièrement responsable de l’autorisation d’accès interne. Il contrôle les droits d’accès des autres utilisateurs (par exemple, les employés).

Le fournisseur, quant à lui, est responsable de l’accès aux données depuis l’extérieur en protégeant et en cryptant les données avec précision.

Toutes les données transmises entre l’utilisateur et le serveur sont cryptées de bout en bout. La connexion est transmise en utilisant le protocole TLS 4096bit (SSL).

Le fournisseur enregistre toutes les connexions entre l’utilisateur et le serveur. Si une infraction est commise, le fournisseur permet aux administrateurs de consulter le fichier journal de l’entreprise.

Le stockage et l’hébergement des données sont effectués dans le centre de données de Metanet www.metanet.ch à Zurich (Suisse). Le centre de données répond aux normes de sécurité les plus élevées. L’exploitation est certifiée selon la norme ISO 9001. En outre, les centres de données de Zurich sont certifiés selon la norme ISO 27001 pour la sécurité de l’information et accrédités PCI DSS.

Sauvegardes: Le fournisseur effectue des sauvegardes des données des clients plusieurs fois par jour. Afin d’éviter la perte de données même dans des cas extrêmes (p. ex. destruction du centre de données par un tremblement de terre), les sauvegardes cryptées sont stockées en parallèle dans plusieurs centres de données en Suisse et à l’étranger. Rotation: 30 jours avec archivage sur 12 mois.

Protection contre les virus: L’utilisateur porte la seule responsabilité et est tenu de vérifier l’absence de virus dans les données reçues et transmises. Le fournisseur doit également rechercher les virus dans tous les fichiers transmis. Le fournisseur ne peut en être tenu pour responsable, mais contribue à réduire le risque.

Approvisionnement en énergie / durabilité: Les serveurs du prestataire, le site web et les locaux du bureau sont alimentés par de l’énergie durable.