Sécurité & RGPD

1. Notre engagement en matière de sécurité

Chez Ederest, la sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles de pointe pour protéger vos informations personnelles contre tout accès non autorisé, divulgation, modification ou destruction. Notre approche de la sécurité est conforme aux meilleures pratiques internationales et aux exigences du RGPD et de la loi marocaine 09-08.

2. Mesures de sécurité techniques

2.1 Chiffrement des données

• Chiffrement en transit : TLS 1.3 pour toutes les communications
• Chiffrement au repos : AES-256 pour les données stockées
• Mots de passe : Hachage avec bcrypt et sel individuel
• Données sensibles : Chiffrement supplémentaire au niveau application

2.2 Infrastructure sécurisée

• Hébergement : Microsoft Azure avec certifications ISO 27001, SOC 2, PCI DSS
• Pare-feu : Pare-feu applicatif web (WAF) et filtrage DDoS
• Isolation : Architecture multi-tenant avec isolation des données
• Sauvegardes : Sauvegardes automatiques quotidiennes avec rétention de 30 jours
• Réplication : Données répliquées sur plusieurs zones géographiques

2.3 Contrôles d'accès

• Authentification : Authentification multi-facteurs (MFA) disponible
• Gestion des accès : Principe du moindre privilège (least privilege)
• Sessions : Expiration automatique des sessions inactives
• Logs : Journalisation complète des accès et actions sensibles
• Surveillance : Monitoring 24/7 avec alertes automatiques

3. Mesures organisationnelles

3.1 Politique de sécurité

• Politique de sécurité de l'information documentée et mise à jour régulièrement
• Procédures de gestion des incidents de sécurité
• Plan de continuité d'activité (PCA) et de reprise d'activité (PRA)
• Revues de sécurité trimestrielles

3.2 Gestion des ressources humaines

• Vérification des antécédents pour tous les employés
• Formation obligatoire à la sécurité et à la confidentialité
• Clauses de confidentialité dans tous les contrats
• Révocation immédiate des accès lors des départs

3.3 Gestion des fournisseurs

• Évaluation de sécurité pour tous les fournisseurs tiers
• Accords de traitement des données (DPA) signés
• Audits réguliers des sous-traitants
• Clauses de responsabilité et d'indemnisation

4. Tests et audits de sécurité

Nous effectuons régulièrement des tests de sécurité pour identifier et corriger les vulnérabilités :

• Tests de pénétration : Audits semestriels par des experts indépendants
• Analyse de vulnérabilités : Scans automatisés hebdomadaires
• Revue de code : Analyse statique et dynamique du code
• Bug bounty : Programme de divulgation responsable des vulnérabilités
• Audits de conformité : Audits annuels RGPD et ISO 27001

5. Conformité RGPD

5.1 Principes fondamentaux

Ederest s'engage à respecter les six principes fondamentaux du RGPD :

• Licéité, loyauté et transparence : Traitement légal et transparent
• Limitation des finalités : Données collectées pour des finalités déterminées
• Minimisation des données : Collecte limitée au strict nécessaire
• Exactitude : Données exactes et tenues à jour
• Limitation de la conservation : Durées de conservation définies
• Intégrité et confidentialité : Sécurité appropriée des données

5.2 Vos droits RGPD

En tant que personne concernée, vous bénéficiez des droits suivants :

5.3 Exercice de vos droits

Pour exercer vos droits, vous pouvez :

• Utiliser le formulaire dédié dans votre compte utilisateur
• Envoyer un email à : privacy@ederest.com
• Nous écrire à notre adresse postale

Délai de réponse : Nous nous engageons à répondre dans un délai maximum de 30 jours. Une vérification d'identité peut être requise.

6. Gestion des violations de données

6.1 Procédure de notification

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés :

• Détection : Systèmes de monitoring et alertes automatiques
• Évaluation : Analyse de l'impact dans les 24 heures
• Notification autorité : Dans les 72 heures à la CNDP
• Notification utilisateurs : Dans les meilleurs délais si risque élevé
• Remédiation : Mesures correctives immédiates

6.2 Registre des violations

Nous tenons un registre de toutes les violations de données conformément aux exigences du RGPD, incluant la nature de la violation, les mesures prises et les conséquences.

7. Analyse d'impact (DPIA)

Nous réalisons des analyses d'impact relatives à la protection des données (DPIA) pour :

• Tous les nouveaux traitements à risque élevé
• Les modifications importantes de traitements existants
• L'utilisation de nouvelles technologies
• Le traitement de données sensibles

8. Transferts internationaux de données

Lorsque nous transférons vos données hors du Maroc, nous veillons à ce que :

• Le pays destinataire assure un niveau de protection adéquat
• Des clauses contractuelles types (CCT) de l'UE soient en place
• Des garanties appropriées soient mises en œuvre
• Vous soyez informé des transferts et de leurs garanties

9. Délégué à la Protection des Données (DPO)

Notre DPO est responsable de :

• Superviser la conformité RGPD
• Conseiller l'entreprise sur les obligations
• Être le point de contact avec les autorités
• Traiter les demandes d'exercice de droits
• Sensibiliser et former les équipes

10. Certifications et conformité

Ederest maintient les certifications et conformités suivantes :

11. Signalement de vulnérabilités

Nous encourageons la divulgation responsable des vulnérabilités de sécurité :

12. Contact

Pour toute question concernant la sécurité ou la protection des données :