Aidez vos équipes à adopter l’IA en toute sécurité : Développez votre littératie en IA pour protéger les données, la conformité et la réputation de votre
entreprise.

Contact
Languages

Confidentialité dans les services de sensibilisation de SoSafe

1. Préambule

Pour nous, une coopération basée sur la confiance est au cœur de toute relation contractuelle réussie. Et la confiance commence par la transparence. Nous considérons cette base de confiance et de transparence comme essentielle dans toutes vos interactions potentielles avec SoSafe, y compris dans le cadre de ce document. Ci-dessous, nous décrivons les mesures que nous avons prises en matière de protection des données et de sécurité des données afin de protéger les données personnelles de vos collaborateurs.

2. Protection des données et sécurité des données : aperçu.

3. La protection des données chez SoSafe

En tant que fournisseur de services de sensibilisation à la cybersécurité, le traitement sécurisé et fiable des données de nos clients est très important pour nous et fait partie intégrante de la philosophie de notre produit.

3.1 Localisation des serveurs pour le traitement des données personnelles

En tant qu’entreprise allemande basée à Cologne, nous sélectionnons des prestataires de services issus idéalement de l’UE ou de l’EEE. Les données des clients sont stockées sur des serveurs allemands et/ou des serveurs situés au sein de l’UE/de l’EEE.

3.2 Protection des données dans le cadre de nos services de sensibilisation

Vous trouverez ci-après des informations sur la manière dont nous avons mis en œuvre la protection des données au sein de nos produits.

3.2.1 Quels types de données personnelles traitons-nous ?

Cela dépend des produits que vous utilisez et de la manière dont vous les utilisez. Vous trouverez ci-après un aperçu des catégories de données personnelles que nous traitons. Nous vous proposons une liste détaillée de toutes les données personnelles soumises au traitement des données dans le cadre de notre Contrat de traitement des données :

Campagne de phishing

Dans le cadre des campagnes d’e-mails de simulation de phishing, nous avons besoin des catégories de données personnelles suivantes pendant la durée de notre contrat avec vous, afin de pouvoir mener une campagne authentique et personnalisée :

En option, le client peut fournir des données de base supplémentaires sur ses collaborateurs (genre et titre universitaire) afin de rendre la campagne encore plus authentique. À la demande du client, il est également possible de mettre en place une diffusion différenciée, basée sur des groupes de collaborateurs constitués selon des critères de classification organisationnelle supplémentaires, auquel cas ces critères de tri sont également nécessaires.

Bouton d’alerte phishing et PhishAssist

Si votre organisation utilise le bouton d’alerte phishing et/ou PhishAssist, aucune donnée personnelle n’est traitée. Si l’e-mail correspondant provient de la simulation, le clic est inclus dans ce que l’on appelle le taux de signalement dans l’évaluation. Si l’e-mail ne provient pas de la simulation, il est transféré à une adresse e-mail définie par le client directement depuis le client de messagerie utilisé : aucun e-mail n’est envoyé à SoSafe ou traité par SoSafe.

Optionnel : Recommandations et améliorations

Afin de rendre la campagne de phishing plus efficace et plus pertinente pour les collaborateurs du client, et de fournir de meilleures recommandations d’apprentissage, nous collectons, à la demande du client (opt-in), un identifiant unique de collaborateur (« UUID ») en plus des données de rapport. Cet identifiant est uniquement utilisé en interne par nos soins aux fins susmentionnées, mais il n’est pas partagé avec les clients.

Plateforme de formation en ligne

Dans le cadre de l’utilisation de notre plateforme de formation en ligne, nous traitons les catégories de données personnelles suivantes :

Nous traitons également certaines des données personnelles, partiellement groupées et/ou agrégées, à des fins de production de rapports pour les clients.

Journaux de serveur, y compris SCORM :

Lorsqu’un collaborateur du client interagit avec nos pages d’apprentissage et notre formation en ligne ou utilise le streaming SCORM, nous collectons également des journaux côté serveur et les stockons pendant douze (12) semaines à douze (12) mois maximum pour des raisons techniques et de sécurité.

Authentification unique

Les procédures d’authentification unique (« SSO ») proposées sont, dans la mesure du techniquement possible, intégrées sous forme d’hyperliens, de sorte que les données ne sont collectées par le fournisseur concerné qu’en cas d’utilisation. Si ce n’est pas possible, nous travaillons avec une solution de consentement individuel. Ce n’est que si le collaborateur du client concerné accepte le traitement des données que des données seront collectées par la solution SSO.

3.2.2 « Privacy-by-design »/« privacy-by-default » (protection des données dès la conception/par défaut)

Nos produits sont développés conformément aux principes de protection des données dès la conception et par défaut (« privacy-by-design » et « privacy-by-default ») (art. 25 du RGPD). Dans le cycle de développement logiciel, nos experts en protection des données sont impliqués dès la phase de conception des nouveaux produits. Nos produits sont également configurables, et sont livrés à nos clients avec des paramètres de confidentialité stricts par défaut.

3.2.3 Nos collaborateurs

Tous nos collaborateurs, ainsi que les consultants externes, sont soumis à une obligation de confidentialité en matière de protection des données. En outre, nos collaborateurs sont régulièrement formés à la protection et à la sécurité des données.

3.2.4 Nos prestataires de services

Par principe, nous ne faisons appel à des prestataires de services que lorsque nous avons conclu, après une analyse approfondie, qu’ils peuvent fournir les services dans le cadre d’une solution qualitativement meilleure et techniquement plus sûre que ce que nous pourrions faire avec nos propres ressources.

Si nous arrivons à la conclusion que nous avons besoin d’un prestataire de services pour la fourniture des services de sensibilisation, ce prestataire fera l’objet d’un examen approfondi préalable du point de vue juridique et du point de vue de la sécurité de l’information. Cela inclut naturellement aussi la conclusion de tous les contrats nécessaires, l’implémentation de mesures de sécurité et/ou de protection et toute autre garantie.

4. La sécurité des données avec SoSafe

Conformément à l’art. 32 du RGPD, vous, en tant que responsable du traitement, et nous, en tant que sous-traitant, devons mettre en œuvre des mesures techniques et organisationnelles (MTO) appropriées pour le traitement des données à caractère personnel qui tiennent compte de l’état de la technique, des coûts de l’implémentation et du risque pour les droits et libertés des personnes concernées, tout en garantissant un niveau de protection adéquat. En tant que fournisseur certifié ISO 27001, nous alignons également nos MTO en conséquence. Dans le cadre de notre système de gestion de la sécurité de l’information, nous avons adopté de nombreuses directives de sécurité et mesures de protection techniques afin de protéger de la meilleure façon possible les données de nos clients et nos propres données.

La suppression des données est effectuée selon des routines de suppression prédéfinies qui sont basées sur les périodes de conservation légales. S’il n’y a pas d’obligations légales de conservation, nous supprimons les données dès qu’elles ne sont plus nécessaires à la finalité initiale. Lors de la suppression des données, nous respectons la norme DIN 66399.

Pour plus d’informations sur la sécurité des données chez SoSafe, veuillez consulter notre livre blanc sur la sécurité et la confiance.

5. Notification de violation de données

En cas de violation de données à caractère personnel, les obligations de notification à l’autorité de contrôle (art. 33 du RGPD) doivent être remplies, le cas échéant, et le responsable du traitement ainsi que les personnes concernées doivent être informés (art. 34 du RGPD). À cette fin, nous avons mis en place des processus de signalement correspondants et documenté nos canaux de signalement, y compris pour ce qui est des délais. Si nos clients sont concernés, ils sont informés dans les 72 heures suivant la prise de connaissance de la violation de données.

6. Gestion des droits des personnes concernées

Les demandes des personnes concernées sont traitées soit par notre délégué à la protection des données et son équipe (ci-après « DPD »), soit par les équipes internes de SoSafe, en fonction de la nature de la demande et du canal par lequel elle est reçue. Dès réception, chaque demande est examinée afin de déterminer si SoSafe est compétent pour la traiter. Si la demande entre dans le champ de nos activités en tant que sous-traitant, elle sera transmise immédiatement à la personne à contacter chez le client, et nous apporterons notre aide au client sur demande dans la limite de nos possibilités. Toutes les demandes sont traitées dans le délai légal d’un mois.

7. Contact

La protection des données et la sécurité des données doivent toujours être présentes dans le développement des produits ainsi que dans notre travail quotidien. C’est pourquoi nous disposons d’une équipe interne solide :

Outre notre délégué à la protection des données et notre responsable de la sécurité de l’information, une équipe juridique et de sécurité de l’information expérimentée apporte son aide pour toutes les questions relatives à la protection des données (privacy@sosafe.de) et à la sécurité des données (security@sosafe.de).

8. Documents, directives et traitement des données en tant que sous-traitant

Le contrat de traitement des données conclu entre SoSafe et tous nos clients est conforme aux exigences du RGPD, et il comprend toutes les informations pertinentes, ainsi qu’un aperçu des mesures techniques et organisationnelles prises. De plus, nous nous ferons un plaisir de vous fournir nos certificats, nos analyses d’impact des transferts si ces éléments sont pertinents pour vous, ainsi que d’autres informations. Certaines de nos directives et certains de nos documents sont classés comme documents internes. Nous nous ferons un plaisir de confirmer l’implémentation des mesures prises, mais nous vous demandons de comprendre que nous ne pouvons pas partager les documents eux-mêmes.

État : janvier 2023

La plateforme de gestion du risque humain pensée pour vos équipes et vos cas d’usage réels

Déjà client ?

Personnalisation complète selon votre charte IT et vos exigences règlementaires.

Modules e-learning gamifiés et personnalisés, exportables au format SCORM 1.2,adaptés à chaque métier.

Simulations de phishing ultra réalistes, créées à partir de vos propres emails et optimisées par l’IA.

Conformité et sécurité

ISO 27001
TISAX
GDPR

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

Produit

Formation de sensibilisation à la cybersécurité

Aidez votre équipe à développer de bonnes habitudes en matière de sécurité grâce à une formation de sensibilisation à la cybersécurité narrative, gamifiée et personnalisée.

Simulations de phishing intelligentes

Augmentez le temps de détection des menaces en apprenant à vos équipes à mieux les signaler.

Le copilote de gestion du risque humain disponible 24 h/24

Métamorphosez votre personnel en une ligne de défense proactive, grâce à Sofie, notre chatbot conversationnel augmenté à l’IA.

Outil de gestion du risque humain

Grâce à la plateforme Human Risk OS, surveillez, mesurez et freinez le risque humain en temps réel.

Découvrez nos solutions grâce à nos visites de produits

Démarrer les visites virtuelles
Solutions

Assurez votre conformité

Automatisez et accélérez votre mise en conformité

Instaurez une culture de la sécurité

Ancrez les réflexes de sécurité dans l’ADN de votre entreprise

Sensibilisation à la cybersécurité dans le secteur public

Préparez vos employé·e·s avec des scénarios réalistes

Sensibilisation à la cybersécurité dans l’industrie manufacturière

Formez tout votre personnel et assurez votre conformité

Découvrez tous les témoignages de nos clients

Parcourir
Tarification
Ressources

À lire

Rapports Guides Blog Lexique de la cybersécurité Témoignages clients

À vivre

Tous les événements Human Firewall Conference

À tester

Danger Lab Phishing game Testez votre cyberrésilience Testez votre conformité à la directive SRI 2 (NIS2)

À regarder

Webinaires Interview d'expert Replays Stories of digital self-defence

À LA UNE

Aidez vos équipes à adopter l’IA en toute sécurité

Développez votre littératie en IA pour protéger les données, la conformité et la réputation de votre
entreprise.

Voir nos ressources sur l’IA
Société

Devenez un cyber-héros

Envie d’avoir un réel impact ? Joignez-vous à l’aventure pour que le monde devienne plus sûr.

Joignez-vous à l’aventure pour que le monde devienne plus sûr.

Poser ma candidature
Partenariats
Contact Login
Languages

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.