GDPR Politique

(Règlement général sur la protection des données, en néerlandais : AVG - Algemene Verordening Gegevensbescherming)

La politique GDPR de CloudCTI est définie dans deux documents : Déclaration de confidentialité de CloudCTI et Document de sécurité de CloudCTI.

Déclaration de confidentialité de CloudCTI

Version 2.0, 1er avril 2018

Lors du traitement, nous nous conformons aux exigences de la législation applicable en matière de protection des données. Cela signifie que nous :

  • spécifions clairement nos objectifs avant de traiter des données à caractère personnel, en utilisant la présente déclaration de confidentialité ;
  • limitons notre collecte de données à caractère personnel aux seules données à caractère personnel nécessaires à des fins légitimes ;
  • demandons d'abord l'autorisation explicite de traiter les données à caractère personnel dans les cas où cette autorisation est requise ;
  • prendre les mesures de sécurité appropriées pour protéger les données à caractère personnel et exiger la même chose des parties qui traitent les données à caractère personnel en notre nom ;
  • respecter votre droit de consulter, de corriger ou de supprimer les données personnelles que nous détenons.

CloudCTI est la partie responsable de tous les traitements de données. Dans cette déclaration de confidentialité, nous expliquons quelles données personnelles nous collectons et à quelles fins. Nous vous recommandons de la lire attentivement.

Définition des données
CloudCTI distingue deux types de données personnelles : Les données de compte et les données de reconnaissance. Via www.cloudcti.nl, via l'API de CloudCTI prévue à cet effet ou via une interface sur mesure, vous pouvez vous abonner aux services de CloudCTI. Les données que vous soumettez pour établir un compte sont des données de compte. Pour le bon fonctionnement du service CloudCTI, nous utilisons des numéros de téléphone, des noms d'entreprise et d'autres champs de la base de données qui sont confiés par l'utilisateur final à CloudCTI. Il s'agit de données de reconnaissance.

Enregistrement et abonnement
Il se peut que vous deviez vous enregistrer pour utiliser nos services, en fonction du type d'abonnement. Dans certains cas, vous devrez fournir certaines informations vous concernant et choisir un nom d'utilisateur et un mot de passe pour le compte que nous créerons pour vous. Nous conserverons ces données de compte afin que vous n'ayez pas à les saisir à nouveau chaque fois que vous utilisez nos services. Nous stockons et utilisons toutes les données personnelles sur la base de votre consentement. Ces informations sont conservées jusqu'à ce que vous annuliez votre abonnement.

Publication
Nous ne publierons pas vos données personnelles.

Fourniture de données à des tiers
Aucune donnée personnelle n'est fournie à des tiers, sauf si ces partenaires sont impliqués dans l'exécution de l'accord, comme les centres de données Microsoft Azure. Si vous êtes basé dans l'UE, ces partenaires sont basés dans l'UE uniquement. Toutes les données sont stockées en Europe du Nord ou de l'Ouest. Si vous êtes basé en dehors de l'UE, ces partenaires peuvent également être basés en dehors de l'UE. SécuritéNous prenons des mesures de sécurité pour empêcher l'utilisation abusive et l'accès non autorisé aux données à caractère personnel. Veuillez lire notre politique de sécurité publiée séparément (« Politique de sécurité de CloudCTI ») pour plus d'informations.

Responsable de la protection des données
Nous avons nommé un délégué à la protection des données. Cette personne est responsable des questions de protection de la vie privée au sein de notre organisation. Notre délégué à la protection des données est J.C. Lantsheer et est disponible par e-mail (jankees@cloudcti.nl) ou par téléphone au +31 35 699 02 30 pour toutes vos questions et demandes.

Modifications de la présente déclaration de confidentialité
Nous nous réservons le droit de modifier la présente déclaration. Nous vous recommandons de consulter régulièrement la présente déclaration afin de rester informé de tout changement.

Consultation et modification de vos données
Vous pouvez toujours nous contacter si vous avez des questions concernant notre politique de confidentialité ou si vous souhaitez consulter, modifier ou supprimer vos données personnelles.

Vous disposez des droits suivants :

  • Être informé des données personnelles dont nous disposons et de l'usage que nous en faisons ;
  • Inspection des données personnelles que nous détenons à votre sujet ;
  • Faire corriger les données incorrectes ;
  • Demander la suppression des données personnelles ;
  • Révoquer votre consentement ;
  • S'opposer à certaines utilisations.

Veuillez noter que vous devez toujours indiquer clairement qui vous êtes, afin que nous puissions nous assurer que nous ne modifions pas ou ne supprimons pas les données de la mauvaise personne.

Réclamations
Si vous pensez que nous ne traitons pas vos données personnelles ou que nous ne vous aidons pas de la bonne manière, vous avez le droit de déposer une plainte auprès de l'autorité des Pays-Bas, l'Autoriteit Persoonsgegevens.

Document de sécurité

Introduction
CloudCTI est un service qui fournit un lien entre les systèmes de télécommunications d'entreprise et les bases de données ou les applications contenant les données des clients et des relations de l'utilisateur du service. CloudCTI est partiellement hébergé dans un centre de données. Ce document décrit comment les données de tiers sont traitées et comment la sécurité des données et du service est assurée.

Portée et objectif de la sécurité
CloudCTI s'efforce de prendre les mesures techniques et organisationnelles adéquates pour protéger les données personnelles traitées contre la perte ou tout type de traitement illicite (tel que l'examen, l'altération, la modification ou la mise à disposition non autorisés des données personnelles).
Un devoir de confidentialité envers les tiers s'applique à toutes les données personnelles que CloudCTI reçoit de ses revendeurs ou clients finaux et/ou qu'elle recueille dans le cadre de la fourniture du service CloudCTI. CloudCTI n'utilisera pas ces informations à d'autres fins que celles pour lesquelles elles ont été obtenues, même si les informations ont été présentées sous une forme qui ne permet pas de remonter aux personnes concernées.

Fonctionnalité de CloudCTI

  • Click-to-dial :

L'utilisateur peut lancer une commande d'appel dans n'importe quelle application via de nombreux protocoles et méthodes de support. Il s'agit généralement d'un progiciel de gestion de la relation client (CRM) qui contient des personnes de contact et des numéros de téléphone, mais cela est également possible via une page web qui affiche un numéro de téléphone. Lorsque la commande est traitée, elle est transmise à la plate-forme téléphonique sur la base des paramètres de l'utilisateur connecté. Le téléphone de l'utilisateur appelle alors le numéro concerné.

  • Reconnaissance de l'appelant :

Si le téléphone de l'utilisateur reçoit un appel entrant, le numéro de l'appelant est indiqué. La reconnaissance du numéro est demandée et, si c'est le cas, une notification affiche les informations disponibles.

  • ScreenPop

Les scripts disponibles basés sur le numéro de l'appelant sont récupérés lors de la réception d'un appel entrant ; ces scripts sont configurés dans l'organisation de l'utilisateur. Si le numéro est reconnu, les scripts activent généralement les données de l'appelant dans l'application CRM de l'utilisateur. Mais même si l'appelant n'est pas reconnu, des scripts peuvent être mis en place pour afficher le paquet CRM avec le champ du numéro de téléphone déjà rempli afin qu'un nouveau contact puisse être saisi.

L'architecture

Environnement de l'utilisateurLe client CloudCTI (CC), l'outil de configuration de la reconnaissance (RCT) et le service de synchronisation (SS) sont installés dans l'environnement (réseau) de l'organisation cliente. Le CC est installé dans chaque espace de travail qui utilise le service. Le RCT et le SS ne doivent être installés qu'à un seul endroit de l'organisation. Le SS doit pouvoir récupérer les données de contact à partir de là pour les synchroniser avec CloudCTI. Si l'organisation a ses données CRM/ERP dans ses locaux, le SS fonctionne généralement sur la même machine.

Environnement du centre de données CloudCTILe centre de données CloudCTI fonctionne sur la plateforme Microsoft Azure, sur les sites d'Europe de l'Ouest et d'Europe du Nord. La plateforme Azure est certifiée ISO 27001. Le service de reconnaissance de l'appelant (CRS) se trouve dans le centre de données CloudCTI. Ce service fournit aux clients de CloudCTI les données de contact dupliquées à partir de la base de données CRM/ERP de l'organisation de l'utilisateur (« données de reconnaissance »). Ces données sont extraites de la base de données back-end qui se trouve dans le même centre de données et ne sont toujours disponibles que pour les utilisateurs de l'organisation.

Connexions et authentificationLe client CloudCTI envoie des commandes d'appel à la plate-forme vocale hébergée et reçoit des indications pour les appels entrants via la connexion 1. Bien que l'API de chaque fabricant de plateforme soit différente, les connexions sont sécurisées sur la base de TLS. Le CloudCTI Client récupère les informations relatives au numéro de l'appelant via la connexion 2. Cela se fait via des messages JSON qui sont envoyés au moyen de HTTPS sécurisé par TLS 1.2. Les informations envoyées via la connexion 3 utilisent également HTTPS sécurisé par TLS 1.2. La récupération des données de reconnaissance par le service de synchronisation se fait également via une connexion sécurisée par TLS, si les données sont mises à disposition à partir d'une source en ligne. Si les données proviennent du réseau de l'organisation cliente, la connexion 4 peut être sécurisée ou non. Mais si le service de synchronisation récupère les données localement, le service sera installé sur la même machine et, dans ce cas également, les données ne passeront pas par une connexion réseau non sécurisée.

Les messages spécifiquement destinés aux utilisateurs et aux organisations ne peuvent être envoyés que si les utilisateurs se sont authentifiés à l'aide d'un nom d'utilisateur et d'un mot de passe (« Données du compte »). Les utilisateurs peuvent définir et modifier leurs propres mots de passe. Les mots de passe doivent comporter au moins huit caractères et au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial (#?!@$%^&*-).

Stockage et gestion des données, des informations personnelles et du code source
Les utilisateurs disposant de l'autorisation appropriée configurent le lien avec une ou plusieurs applications CRM/ERP dans l'outil de configuration de la reconnaissance. Ces paramètres sont stockés dans le centre de données CloudCTI et ne sont accessibles qu'à ces utilisateurs. Le service de synchronisation utilise ces paramètres pour exporter tous les numéros de téléphone des sources définies, ainsi que tous les champs qui (1) ont été définis pour être affichés dans la notification (tels que le nom de l'appelant, le nom de la société, etc.) et (2) les champs qui ont été définis comme paramètres pour les scripts (tels que les numéros de clients). Aucun autre champ n'est traité par le service de synchronisation, stocké ou envoyé au centre de données CloudCTI. Un hachage est stocké localement pour chaque numéro de téléphone et les informations pertinentes associées, de sorte que les changements peuvent être détectés efficacement lors des synchronisations ultérieures et que les services de synchronisation ne doivent transmettre que les changements concernés au centre de données CloudCTI.

Les données que le service de synchronisation envoie au centre de données CloudCTI (données de reconnaissance) contiennent des informations permettant de remonter à des personnes individuelles. Ces données ne sont stockées qu'au sein de l'Union européenne et le stockage des données n'est donc pas géographiquement redondant (seul site Azure pour l'Europe de l'Ouest). Toutefois, pour garantir la fiabilité et la disponibilité, trois copies des données sont stockées, mais uniquement dans la même unité locale (stockage localement redondant). Les bases de données ne sont pas accessibles depuis l'internet public, et il n'existe pas de lien API permettant d'accéder directement aux données concernées. CloudCTI stocke ces données personnelles conformément à la législation européenne et/ou néerlandaise en matière de protection de la vie privée.

Si un utilisateur supprime le lien vers son application CRM/ERP dans l'outil de configuration de la reconnaissance, les données de reconnaissance sont également supprimées immédiatement. Toutes les données de reconnaissance sont également immédiatement supprimées si la relation avec l'organisation cliente prend fin. Les données administratives relatives à l'utilisateur sont également supprimées au bout de sept ans.

Si un utilisateur signale un problème, les activités de l'utilisateur peuvent être temporairement enregistrées. Ces journaux peuvent également contenir des données personnelles et ne sont stockés que dans le centre de données de CloudCTI. Ces journaux ne sont accessibles qu'aux employés de Keylink désignés de manière appropriée et disposant d'un contrat incluant une clause de confidentialité. Lorsque le ticket du rapport est clôturé, ces logs sont supprimés.

Enfin, le code source est stocké localement et en partie par Visual Studio Team Services de Microsoft. Il n'est accessible qu'aux employés de Keylink désignés de manière appropriée et disposant d'un contrat incluant une clause de confidentialité.

Mesures de sécurité matérielle et logicielle
Sécurité physique, renforcement, enregistrement et nettoyageTous les systèmes utilisés pour fournir le service sont hébergés par Microsoft Azure, Europe de l'Ouest et du Nord, qui se conforme à la norme ISO 27001 pour garantir la sécurité physique.

CloudCTI configure l'équipement conformément aux directives de sécurité du fabricant. CloudCTI utilise les références du centre de sécurité et de conformité de Microsoft Azure et n'autorise que les fonctionnalités essentielles sur tous les systèmes.Microsoft ne divulgue pas les emplacements physiques exacts, mais se conforme à de nombreuses normes et réglementations telles que HITRUST, ISO27001 et ISO27018, etc.Tous les supports contenant des informations sont entièrement et irrémédiablement nettoyés ou détruits avant d'être réutilisés ou mis au rebut.

Continuité des activités : gestion, plans et sauvegardeUn processus de gestion de la continuité des activités (BCM) est mis en œuvre (MSAzure, ISO 22301:2012, certificat : BCMS659501) qui identifie les risques de continuité pour le service fourni et détermine les mesures d'atténuation (notamment les plans de continuité). Les plans de continuité sont disponibles, mis à jour régulièrement et exercés régulièrement et signalent toute lacune. Tous les systèmes utilisés pour fournir le service CloudCTI sont planifiés et mis en œuvre conformément aux lignes directrices de Microsoft Azure en matière de haute disponibilité *) afin de garantir la fourniture du service conformément à l'accord de niveau de service.

Les clients sont informés lorsque ces exercices sont planifiés si l'exercice peut avoir un impact sur le service fourni. Si des lacunes sont constatées, un plan d'amélioration ou un plan de continuité mis à jour avec des actions clairement définies et des conditions de solution convenues sera rédigé.*) https://docs.microsoft.com/en-us/azure/architecture/resiliency/high-availability-azure-applications
Des sauvegardes des données du système et des applications sont effectuées périodiquement et sont stockées en toute sécurité à un autre endroit, comme spécifié dans les accords de niveau de service. Les restaurations sont testées périodiquement. Pour des raisons de sécurité, les données de reconnaissance de l'appelant mises en cache ne sont jamais sauvegardées. En cas de perte (par exemple à la suite d'un sinistre matériel), elles seraient simplement remises en mémoire cache à partir de la source de données de l'utilisateur final.

Gestion interne des identités et des accès
Les exigences suivantes concernant la gestion de l'identité et de l'accès des employés de CloudCTI sont applicables:- Pour les comptes fonctionnels, une personne physique responsable est désignée pour l'utilisation du compte- Les comptes par défaut sont désactivés.- Les systèmes authentifient les utilisateurs sur la base de leur nom d'utilisateur et de leur mot de passe. Les systèmes connectés à l'internet authentifient également les utilisateurs sur la base d'une authentification à deux facteurs, sauf lorsque seules des informations publiques sont accessibles.- L'accès aux systèmes est accordé à une personne sur la base de son rôle uniquement.- Les autorisations sur un système sont basées sur le rôle d'une personne.- Les autorisations au sein d'un système sont définies et documentées.- Un responsable hiérarchique évalue les demandes d'autorisation de ses subordonnés directs.- Chaque application, système et élément de réseau est doté d'un système de gestion de l'accès. Chaque application, système et élément de réseau dispose d'une administration à jour des comptes et autorisations accordés.- Il est vérifié au moins une fois par an si les autorisations accordées à chaque employé sont toujours nécessaires pour effectuer son travail (attestation du supérieur hiérarchique pour les subordonnés directs).- En cas de changement de poste, les comptes et autorisations sont révoqués.- Lorsqu'un compte d'utilisateur n'est plus nécessaire, il est supprimé ou désactivé.

Les rôles et responsabilités de chaque employé en matière de sécurité sont abordés avant l'embauche et sont définis et documentés. Les rôles et responsabilités spécifiques en matière de sécurité sont inclus dans les descriptions de poste et les cycles de performance. En cours d'emploi, les employés sont informés des règles et procédures relatives à la sécurité et aux exigences réglementaires. Les rôles et responsabilités sont définis dans des addenda aux descriptions de poste, approuvés par les employés.

Tous les nouveaux employés font l'objet d'une vérification de leurs antécédents. Cette procédure fait partie du protocole de recrutement et les employés potentiels seront informés à l'avance de cette vérification.