Les Engagements GDPR de Ticket ONE

La GDPR (General Data Protection Regulation) ou RGPD (Règlement Général sur la Protection des Données) est une législation européenne, conçue pour renforcer et unifier les lois sur la protection des données pour tous les individus de l’Union Européenne. Le règlement deviendra effectif et applicable à partir du 25 mai 2018.
One Telecom a fait appel à un conseiller juridique externe pour piloter sa mise en conformité à la législation relative au RGPD.
Depuis sa création, One Telecom a toujours démontré sa volonté de respecter les données sensibles de ses utilisateurs.
Vous pouvez consulter notre page décrivant notre charte relative à la protection des données personnelles.
Concrètement, nous prenons les mesures techniques et organisationnelles nécessaires pour assurer notre conformité GDPR d’ici le 25 mai 2018 et ainsi répondre aux exigences de cette nouvelle réglementation.
Nous améliorons et documentons nos processus de traitement de données et nous nous assurerons que nos sous-traitants et les organisateurs faisant usage de nos services présentent les garanties nécessaires pour être conformes au GDPR.
Voici un résumé des actions entreprises et leur évolution
  • Fournir des informations complètes aux personnes concernées lors de la collecte de leurs données personnelles.
    • Les conditions générales adaptées au RGPD sont en cours de placement sur les différents sites de Ticket.ONE
  • Mettre à disposition à la demande toutes les données concernant une personne (droit d’accès).
    • Un accès sécurisé spécifique sera prochainement proposé aux clients pour visualiser et télécharger l’ensemble de leurs données personnelles.
  • Permettre aux personnes de récupérer les données automatisées qu’elles ont fournies sous une forme aisément réutilisable (droit à la portabilité).
    • Les clients pourront effectuer une demande d’effacement de l’ensemble de leurs données. Celle-ci ne sera prise en compte qu’à l’expiration du délai de réclamation relatif aux organismes bancaires (VISA notamment).
  • Veiller à limiter la quantité de données traitée dès la conception du produit ou du service et par défaut (logique de responsabilisation).
    • Ticket.ONE entend limiter les données demandées aux clients au strict minimum requis pour assurer la bonne exécution de ses services, incluant les éventuelles réclamations.
    • Les données sensibles d’un client seront également automatiquement effacées 14 mois après la dernière utilisation du service.
  • Pouvoir apporter la preuve du consentement des personnes concernées par le traitement des données.
    • Aucun ticket ne sera plus délivré sans le consentement explicite des clients concernant les conditions générales et de traitement des données personnelles de Ticket.ONE, en conformité avec la RGPD
    • Les différents moyens de tracking, notamment Google Analytics, ne pourront plus fonctionner sans l’acceptation d’un bandeau Cookie.
  • Sécuriser le traitement des données grâce à des mesures techniques et organisationnelles appropriées.
    • Les sites de vente et d’administration sont protégés par certificat numérique (HTTPS), par un pare-feu dédié, et les données sensibles délocalisées sur des serveurs spécifiques, cryptés et accessibles uniquement via des machines autorisées en webservices. L’ensemble des données n’est accessible qu’à des personnes dûment autorisées par Ticket.ONE.
  • Pouvoir apporter la preuve de conformité des mesures de protection des données (logique de responsabilisation).
    • Sélection d’un responsable du traitement des données (DPO)
    • Un dossier technique est à disposition en cas de contrôle, reprenant l’ensemble des mesures prises pour sécuriser les données.
  • Pouvoir apporter la preuve que des efforts sont déployés pour s’adapter aux dernières évolutions en matière de technologie et de menace.
    • Toutes les données de Ticket.ONE sont, et on toujours été, localisée au sein d’un centre de données localisé à Strasbourg (France) de type ‘private cloud’ chez OVH doté des mesures de sécurité ISO 27001 et conforme au code de conduite CISPE.
      • Sécurité des infrastructures : OVH s’engage sur une sécurité optimale de ses infrastructures, notamment en ayant mis en place une politique de sécurité des systèmes d’information et en répondant aux exigences de plusieurs normes et certifications (certification PCI-DSS, certification ISO/IEC 27001, attestations SOC 1 TYPE II et SOC 2 TYPE II, etc.).
      • L’ensemble des données personnelles de Ticket.ONE est en cours de transfert au sein d’une zone spécifique séparée, sécurisée, cryptée et protégée par un pare-feu dédié.
  • Encadrer les transferts de données hors UE avec des outils assurant un niveau de protection suffisant et approprié des personnes.
    • Les données sensibles ne seront pas accessibles en dehors de l’UE. Dans le cas d’exécution de mission par des développeurs hors UE, celles-ci ne concerneront pas les données sensibles. Aucun membre du personnel hors UE n’aura accès à des données sensibles de Ticket.ONE en UE
    • Les données sensibles relatives à des événements hors UE de Ticket.ONE seront gérées sur des serveurs de bases de données séparés des événements localisés en UE.
  • Vérifier la protection des données dans le cas de traitement par des sous-traitants
    • L’ensemble des sous-traitants de Ticket.ONE se sont engagés à respecter la conformité au RGPD via des contrats spécifiques à chacun d’entre eux.