AVG et les données d'absence : pourquoi les logiciels sécurisés sont essentiels

Chez Otherside at Work, nous développons une technologie qui soutient les organisations dans la gestion des absences, l'employabilité durable et la sécurité sociale. Cela implique le traitement d'un grand nombre de données sensibles pour la protection de la vie privée. Comment pouvons-nous nous assurer que vos données d'absence restent sûres et que votre traitement est conforme à la loi sur la protection des données ? Stef Roskam, vice-président chargé de l'ingénierie chez Otherside at Work, nous fait part de son point de vue sur la sécurité des données.

Qu'est-ce qui rend les données d'absence si sensibles ?

Stef : "Les données relatives à l'absentéisme font partie des données personnelles spéciales. Pensez aux rapports de maladie et de convalescence - ce sont des données qui tombent dans les catégories les plus réglementées par la loi sur la protection des données. Les employeurs et les prestataires de services de santé et de sécurité ont la responsabilité de traiter ces données en toute sécurité. Notre travail consiste à les soutenir dans cette tâche en leur fournissant des outils qui les aident à assumer cette responsabilité. Pensez à déterminer qui a accès à certaines données et combien de temps vous souhaitez les conserver. Nous veillons à ce que cela soit possible dans la suite Xpert AVG-proof". Il ajoute : "Le traitement de données sensibles pour la vie privée nécessite une combinaison de mesures techniques, telles que le cryptage, et de mesures organisationnelles, par exemple des accords clairs sur qui est autorisé à voir quelles données. C'est pourquoi nous avons également fait des choix dans l'architecture technique de la Suite Xpert qui correspondent bien aux exigences de l'AVG. Chez Otherside at Work, nous concevons nos logiciels en tenant compte de ces responsabilités.

Que se passe-t-il si vous ne respectez pas la confidentialité des données ?

Les conséquences d'une mauvaise protection des données sont multiples : "Une violation des données peut avoir des conséquences juridiques et financières, telles que des amendes imposées par les autorités de réglementation ou des réclamations de personnes concernées qui subissent les conséquences négatives de vos erreurs. Pour notre entreprise, la conséquence la plus importante est peut-être l'atteinte à la réputation. Si la confiance des clients, des partenaires et des employés est perdue, cela reste le plus grand risque pour la continuité de notre activité. Il en va de même pour nos clients". Il ajoute : "La récupération d'une violation de données prend souvent beaucoup de temps et de ressources. Avec la suite Xpert, nous aidons nos clients à minimiser considérablement les risques d'une violation de données".

Comment la Suite Xpert protège vos données

Stef explique comment Otherside at Work relève ces défis avec la suite Xpert.

Centres de données néerlandais

"Nous choisissons délibérément de stocker les données localement dans plusieurs centres de données néerlandais. Ce faisant, nous minimisons les risques liés à la conformité. Les clients peuvent être sûrs que leurs données restent au sein de l'UE, ce qui leur évite les discussions sur les réglementations étrangères". Stef souligne : "Nous ne travaillons qu'avec des parties qui respectent la législation AVG et d'autres normes pertinentes. Nous n'utilisons pas les fournisseurs de cloud américains dans la base de notre produit, afin d'éviter d'éventuelles complications liées aux réglementations."

Sécurité de notre réseau

"Notre espace de stockage n'est pas directement accessible via l'internet", explique Stef. "C'est ainsi que nous minimisons les risques de fuites de données dues à une erreur humaine ou à une mauvaise configuration. Il poursuit en donnant quelques exemples de nos mesures de sécurité :

• "Nous appliquons une segmentation étendue du réseau et plusieurs couches de pare-feu.
• Les environnements de développement, de test, d'acceptation et de production sont strictement séparés. Chaque modification de code passe par l'ensemble de la chaîne avant d'entrer en production.
• Nous cryptons les données. Même si quelqu'un y accède, les informations ne sont pas immédiatement lisibles.
• Les certificats utilisés pour créer des cookies font l'objet d'une rotation automatique quotidienne.

Sécurité du stockage des données

Lors de la conception de notre architecture de stockage des données, nous faisons des choix délibérés pour assurer à la fois la sécurité et la facilité de gestion. Stef explique ci-dessous nos principales décisions :

• "Pour le stockage des données, nous ne choisissons pas délibérément une architecture de microservices, où les données sont stockées de manière décentralisée, mais nous optons pour une base de données par client, afin que les données puissent être facilement nettoyées et supprimées.
• Nous choisissons délibérément un support de stockage avec des possibilités de cryptage intégrées, mais où les données peuvent être supprimées, contrairement, par exemple, à une blockchain ou à un magasin d'événements inmutables.
• Pour la solution de sauvegarde, nous choisissons des sauvegardes inmutables temporaires avec plusieurs emplacements de sauvegarde, de sorte que les risques de perte de données sont minimisés.
• Nous avons également inclus dans notre architecture que tous les accès aux données doivent être effectués avec des contrôles d'autorisation. Ainsi, même l'accès via les API doit être autorisé pour les bonnes données et fonctionnalités. De nombreux systèmes fonctionnent avec un mécanisme d'autorisation beaucoup plus superficiel. Cela permet aux administrateurs et aux développeurs de commettre des erreurs plus rapidement, et les pirates peuvent en profiter davantage lorsqu'une faiblesse est détectée".

Surveillance structurelle des vulnérabilités

Il ne suffit pas de sécuriser ses propres logiciels pour assurer une bonne sécurité. C'est pourquoi nous surveillons l'ensemble de notre pile :

• Grâce aux outils du groupe d'amélioration des logiciels, nous recherchons en permanence les vulnérabilités dans nos logiciels et dans les bibliothèques que nous utilisons.
• Grâce à l'analyse des vulnérabilités, nous analysons notre infrastructure.
• Grâce à des tests de pénétration et à des programmes de récompense des bogues, nous recherchons activement les vulnérabilités qui ne sont pas détectées par l'outillage.

Le respect de la vie privée dès la conception et par défaut
"La protection de la vie privée fait partie intégrante de la suite Xpert", déclare Stef. "Nous minimisons les données stockées, car les clients peuvent définir beaucoup de choses eux-mêmes. Ainsi, seules les données qui correspondent à leur propre situation sont demandées. Nous proposons également dans l'outil les options qui soutiennent une bonne politique de conservation des données. En effet, les périodes de conservation varient considérablement en fonction de la situation exacte du client. Ils doivent donc être en mesure de définir ce qui s'applique à eux". Voici quelques exemples :

• Dossiers médicaux : période de conservation de 20 ans (ou plus pour les conditions professionnelles).
• Dossiers de gestion des cas de conseil en matière d'absentéisme : deux ans maximum après la fin d'un cours.
• Dossiers de nomination : six mois maximum.

Nous proposons également un modèle d'autorisation complet. Vous pouvez définir en détail quels documents et données doivent être consultables et modifiables pour quels rôles.

Certifications
Vous pouvez tout mettre en place à la perfection, mais cela n'a de valeur que si les clients peuvent s'y fier. L'utilisation de divers certificats et déclarations est un moyen de renforcer la confiance des clients. Otherside at Work est certifié ISO 27001 et NEN 7510. Tegens fait l'objet d'une déclaration SOC2 chaque année. "Ces garanties de qualité donnent aux clients l'assurance que nous répondons aux normes internationales", explique Stef.

• ISO 27001 : "Cela confirme que notre système de gestion de l'information est structuré et que nous mettons constamment nos choix à jour."
• NEN7510 : "ISO 27001 est la norme mondialement reconnue en matière de sécurité de l'information. NEN7510 est la variante néerlandaise dérivée, spécifiquement destinée aux prestataires de soins de santé, tels que les hôpitaux ou les pharmaciens. Elle fournit des lignes directrices spécifiques supplémentaires sur les mesures à prendre lorsque vous traitez des données médicales."
• SOC2 : "Une déclaration SOC2 est un complément très précieux à une certification ISO ou NEN. En effet, elle donne l'assurance que vous ne vous contentez pas de dire que vous fonctionnez d'une certaine manière, mais que vous l'avez fait pendant une certaine période. Chaque année, un auditeur indépendant examine toutes les activités réalisées au cours de l'année écoulée. Cela prouve que nous travaillons depuis longtemps selon des procédures strictes. Cela apporte donc beaucoup de sécurité supplémentaire à nos clients".

Il souligne : "Cette combinaison de certifications et de déclarations montre que nous avons non seulement mis en place les bons processus, mais que nous les respectons également de manière cohérente."

Pourquoi choisir Otherside at Work ?

Stef conclut : "Chez Otherside at Work, la confidentialité des données est une priorité absolue. Avec notre suite Xpert, nous offrons à nos clients une solution de gestion des absences sûre et fiable. L'importance que nous accordons aux centres de données locaux, à la sécurité du réseau, au stockage sécurisé des données, à la surveillance continue et aux certifications garantit que nos clients peuvent travailler en toute sécurité et dans le respect de la vie privée avec les données personnelles particulières que nous traitons".

Pour en savoir plus sur la façon dont nous gérons la sécurité des données, lisez nos informations sur notre coffre-fort ou les 10 questions les plus fréquemment posées sur AVG.

Vous souhaitez en savoir plus sur la manière dont la suite Xpert peut aider votre organisation ? Prenez contact avec nous.