Conformité RGPD chez Wooclap | Vos données protégées

Introduction

Nous avons travaillé avec les cabinets Deloitte et Agoria sur notre conformité au RGPD, et aujourd’hui nous continuons à améliorer la sécurité et la confidentialité de nos produits en continu. Dans cette démarche Wooclap souhaite que vos données restent sécurisées durablement. Wooclap apporte un niveau de protection approprié pour respecter la confidentialité des données utilisateurs au regard du RGPD et suivra attentivement l’évolution des lois sur ce sujet.

Les éléments que vous retrouverez ici sont valables pour Wooclap, mais également pour Wooflash. En effet, les produits ont été construits sur la même base technique et sont développés par la même équipe. Les garanties de confidentialité de Wooclap sont donc déclinées et valables pour Wooflash tout comme les mesures prises pour la conformité des deux produits au RGPD.

Conformité au RGPD

Wooclap s'engage à ce que les traitements de données personnelles effectués par son site web ou par ces plateformes Wooclap et Wooflash soient conformes au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

Nous limitons la collecte des données personnelles au strict nécessaire pour la réalisation de nos activités (principe de minimisation des données).

Nous limitons également au strict nécessaire, les données personnelles transférées dans les traitements réalisés avec nos sous-traitants.

Des mesures de protections appropriées sont prises et en constante évolution pour protéger les données personnelles des utilisateurs et assurer la sécurité des produits Wooclap.

Les piliers de la confidentialité Wooclap

Notre conformité RGPD et les mesures de protection de la confidentialité sont basées trois piliers :

Technique : Les données sont totalement chiffrées chez Wooclap. Des mesures des restrictions d’accès sont prises, une infrastructure sécurisée et certifiée, un plan de continuité, et d’autres nombreuses mesures.
Légal: les documents attachés à votre contrat Wooclap et les documents concernant nos sous-traitants.
Politique en matière de cookies
Politique de Sécurité
Registre des Activités de Traitement (RAT)
Clauses Contractuelles Types (CCT)
Analyses d’impact des transferts (AIT)
Accord sur le traitement des données (ATD)
Organisationnel: La gouvernance sécurité de Wooclap, la sensibilisation, les audits, la feuille de route Sécurité, etc. → Vous pouvez retrouver davantage de détail sur ces éléments dans La Sécurité chez Wooclap

Accord sur le traitement des données

Un Accord sur le traitement des données (ATD) pourra être mis en place et signé entre le client (ou partenaire) et Wooclap qui prendra place en annexe au contrat. Wooclap dispose d’un template d’accord qui pourra être modifié entre les parties mais celui du partenaire pourra également être utilisé comme base juridique.

Sous-traitants Wooclap

L’équipe de Sécurité Wooclap porte une attention particulière aux démarches sécurité et confidentialité de l’ensemble de ces sous-traitants, c’est d’ailleurs un critère essentiel dans la phase de réflexion pour le choix d’un sous-traitant. Nous privilégierons ci-possible des sous-traitants avec un hébergement en Europe afin de limiter les transferts dans des pays avec des législations différentes concernant les données personnelles.

La conformité de nos sous-traitants au RGPD est une nécessité absolue et nous portons également une attention supplémentaire à la construction de leur conformité.

Les sous-traitants Wooclap sont listés dans notre Registre des activités de traitement (RAT) également en annexe de votre contrat. Ce document liste tous les sous-traitants Wooclap et apporte des détails sur chaque traitement (comme le but du traitement, les accédants, la localisation des données, etc).

Wooclap demande également à ces sous-traitants un Accord sur le Traitement des Données (ATD), le respect et l’intégration des Clauses Contractuelles Types (CCT) et la mise en place de mesures supplémentaires.

Pour chaque nouveau sous-traitant de données, Wooclap s'engage à sélectionner uniquement ceux qui respectent ses principes de confidentialité Wooclap, concernant les notifications:

Pour les clients sous contrat ou institutionnels, Wooclap les informera par écrit deux mois (par défaut) à l'avance de l'ajout d'un nouveau sous-traitant, leur permettant ainsi de poser des questions et de donner leur avis ou opposition.
Les utilisateurs en libre-service acceptent, par l'utilisation des applications Wooclap, l'ajout potentiel de nouveaux sous-traitants pour l'amélioration du service. La Politique de Confidentialité sera systématiquement mise à jour avec la liste de ces sous-traitants et toute modification majeure sera communiquée directement.

Analyse d’impact des transferts

Wooclap a réalisé des Analyses d’Impact des Transferts sur des transferts de données personnelles vers nos sous-traitants ou les transferts semblaient sensibles et notamment sur nos sous-traitants hébergeant des données hors d’Europe.

Les analyses ont été réalisées sur le modèle de l’EDPB. Ce processus a été réalisé afin d’être sûr que les traitements ne comportent pas de risque pour les données et que les mesures supplémentaires permettent la confidentialité des données.

Ces documents sont des documents internes et réalisés comme investigation du Responsable Sécurité et du DPO Wooclap. Ils pourront être le support d’un échange avec les partenaires ou clients Wooclap s’ils souhaitent avoir plus d’information sur ces sous-traitants ou des précisions sur notre Registre des activités de traitement (RAT).

Politique de confidentialité

Une politique de confidentialité est disponible en ligne sur le site de Wooclap, elle explique les principaux éléments de notre démarche de protection des données pour nos clients individuels.

Cette page est disponible en Français et en Anglais.

Cette politique est applicable pour Wooclap mais également pour Wooflash.

Pour les partenaires universitaires et commerciaux, un Accord de Traitement des Données (ATD) pourra être signé entre les parties. Ce document sera joint en annexe au contrat, et prévaudra sur la politique de confidentialité disponible sur le Site Web. Si un ATD est signé, Wooclap est considéré comme sous-traitant, et le Client Wooclap comme responsable du traitement au sens du RGPD.

Ce document est également le support du GÉANT Data Protection Code of Conduct. Notre plate-forme adhère au code de conduite sur la protection des données décrit par GÉANT.

A propos des cookies

Les éléments concernant l’utilisation des Cookies par Wooclap sont décrits dans la politique de confidentialité.

Les applications Wooclap et le site internet n’utilisent pas les mêmes cookies et partenaires.

Pour les partenaires universitaires et commerciaux, une Politique en matière de cookies fournis par Wooclap pourra également être jointe au contrat qui lie les parties.

Exercer vos droits

Pour toute information ou exercice de vos droits Informatique et Libertés sur les traitements de données personnelles gérés par Wooclap, vous pouvez contacter notre délégué à la protection des données (DPO) à l’adresse dpo@wooclap.com ou directement faire une demande via le formulaire prévu à cet effet ici.

FAQ

Foire Aux Questions

Vous avez encore des questions ? Vous trouverez la plupart des réponses ici !

L’infrastructure Wooclap est hébergée sur Amazon Web Services (AWS) sur le data-center eu-west-3 à Paris en France. Notre infrastructure est construite autour des bonnes pratiques AWS en matière d’architecture appelée AWS Well-Architected Framework. AWS permet à Wooclap de garantir une importante qualité de service et des taux importants de disponibilité. AWS apporte de nombreuses garanties de sécurité essentielles pour la protection des données comme le chiffrement de l’ensemble de nos données (à la fois au repos et en transit), répondent également à de nombreuses certifications (AWS Compliance Programs) et sont conforme aux normes de sécurité les plus exigeantes ainsi qu’aux lois sur la souveraineté des données et du Data Privacy Framework. AWS apporte également des réponses claires au CLOUD Act, à Schrems II, au RGPD, à l'interdiction des transferts de données hors de l'UE, etc.
Les données ne peuvent pas être déplacées par AWS, c’est une garantie légale entre Wooclap et AWS. Cette garantie repose également sur les certifications que AWS possède et qui les obligent (vis-à-vis des audits de certifications) à garantir la localité annoncée des données.
Également AWS ne peut pas accéder aux données Wooclap, c’est une garantie légale entre Wooclap et AWS. Cette garantie repose également sur les certifications que AWS possède et qui les obligent (vis-à-vis des audits de certifications) à garantir l’impossibilité des accès aux données. Techniquement cela n’est également pas possible grâce à l’architecture AWS qui est conçue nativement ainsi. Grâce aux règles d’accès (Identity Access Management - IAM) qui autorisent uniquement les accès au propriétaire du compte. Uniquement l’équipe tech de Wooclap peut accéder aux données (uniquement des comptes listés, pour des accès justifiés, tracés et une durée définie). Wooclap ne donnera pas d’accès aux données à AWS même pour des raisons d’assistance.
Concernant la conformité de AWS au RGPD, Wooclap voulait également être sûr que les services que nous utiliserions étaient conformes à la réglementation. Nous nous sommes basés sur le code de conduite du CISPE (Association des fournisseurs d'infrastructure Cloud en Europe) à destination des hébergeurs clouds qui est un framework qui liste les services cloud qui respectent le RGPD. Ce code conduite a été approuvé entre autres par l’European Data Protection Board (EDPB) et la Commission nationale de l'informatique et des libertés (CNIL) en 2021. Nous pouvons donc vous informer que l’ensemble des services AWS que nous utilisons chez Wooclap sont certifiés conformes au CISPE, au Data Privacy Framework et donc conformes au RGPD.
Le CLOUD Act est une loi américaine qui permet de clarifier comment les États-Unis peuvent collaborer avec les autres nations contre le crime organisé, le terrorisme, etc. Uniquement concernant des entreprises américaines, cette loi permet au gouvernement américain de formuler une requête pour obtenir certaines données concernant des faits graves. Cette requête doit être faite au travers d’un framework légal rigoureux qui doit être revu par un juge pour sa pertinence dans l’avancée d’une enquête, mais peut-être également être challengé par la loi elle-même, l’entreprise américaine qui héberge les données et le propriétaire de la donnée (ici Wooclap).
Au travers de sa forme juridique, la requête doit être précise, justifiée, concerné des données spécifiques et permettre l’avancée d’une enquête judiciaire.
Concernant, les données Wooclap, nous ne pensons pas qu’il peut y avoir des supports de présentation pédagogique qui hébergerais des données qui concernent l’organisation de crimes. Nous ne voyons pas d’impact possible du CLOUD Act sur les données Wooclap. (Si cela se passe Wooclap et notre fournisseur de service AWS seront en totale transparence avec nos partenaires afin de décider ensemble du déroulé la requête reçue).
D’autre part au niveau contractuel uniquement le seul jeu de données concernant le ou les malfaiteurs sera fourni, soit le strict minimum. Les données fournies seront chiffrées et sans clef de déchiffrement, car le CLOUD Act est qualifiée de loi “encryption neutral” donc ne demande pas de déchiffrement préalable ce qui rend le jeu de données non exploitable.
Plus d’information concernant le CLOUD Act ici et également concernant le point de vue AWS. Une video explique également les différents sujets de manière claire et comment AWS protèges les données et la confidentialité.
Toutes les données sont chiffrées chez Wooclap au repos et en transit.
Chiffrement au repos : Wooclap utilise Amazon Key Management Service (KMS) avec une clé AES 256-bit pour crypter les données stockées par Wooclap. Ce schéma de cryptage des données a été validé comme FIPS 197 par le NIST. Concernant le stockage des clés, AWS utilise des équipements spécifiques appelés boitiers Hardware Security Module (HSM), ce dispositif garantit qu'aucun accès technique n'est possible aux clés pour AWS, Wooclap ou toute autre personne.
Chiffrement en transit : Seul le protocole TLS 1.2 ou supérieur est utilisé chez Wooclap. Cet algorithme cryptographique asymétrique permet à Wooclap de chiffrer et de prévenir les attaques sur les communications entre la plateforme Wooclap et les navigateurs des utilisateurs.
Une video AWS explique les mécanismes de chiffrements et services AWS qui protèges les données Wooclap.
Le Privacy Shield (EU-US) était un cadre juridique destiné à réglementer les échanges de données personnelles à des fins commerciales entre l'Union européenne et les États-Unis.
En juillet 2020, le Privacy Shield a été invalidé par la Cour de justice de l'Union européenne (CJUE) à la suite de l'arrêt Schrems II. Par ailleurs, la CJUE a confirmé que les clauses contractuelles types (CCS) mises à jour restaient un mécanisme de transfert valable pour les données personnelles vers les États-Unis et internationalement, à condition que des mesures supplémentaires appropriées (juridiques, techniques et/ou organisationnelles) soient mises en œuvre si nécessaire.
L’arrêt Schrems II a permis d’encadrer encore d’avantage les transferts vers et depuis l’Europe. Les transferts doivent maintenant comporter des garanties appropriées pour assurer un niveau de protection équivalent à celui garanti au sein de l'UE et c’est ce que Wooclap s’engage à faire et à maintenir.
Pour chaque sous-traitant dont les données sont situées en dehors de l'UE :
Wooclap détient les Clauses Contractuelles Types mises à jour avec ces sous-traitants
Wooclap possède un Accord sur le Traitement des Données (ATD) signé avec chacun de ces partenaires
Wooclap a réalisé et rédigé des Analyses d'Impact des Transferts (AIT) pour être sur du niveau de sécurité des transferts avec ces sous-traitants.
Wooclap et les sous-traitants concernés ont mis en œuvre les mesures supplémentaires appropriées (juridiques, techniques et/ou organisationnelles)
Depuis 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation concernant le cadre de protection des données UE - États-Unis ; cet accord est appelé EU-US Data Privacy Framework et remplace-le précédemment et invalidé Privacy Shield (voir ci-dessus).
Suite à cet accord, les données à caractère personnel peuvent circuler librement et en toute sécurité depuis l'Espace économique européen vers des sous-traitants américains qui assurent un niveau de protection équivalent à celui de l’Union européenne.
Wooclap a 95% de sous-traitants qui hébergent leurs données en Europe. Pour les sous-traitants restants, toutes les garanties de sécurité et de confidentialité ont été vérifiées par l’équipe Sécurité Wooclap. Ces sous-traitants apportent les mesures supplémentaires demandées par l’Europe (et par Wooclap) et sont conformes au RGPD également par leur conformité à l’EU-US Data Privacy Framework.
Plus d’information sur l’article Q&A de la Commission Européenne.

RGPD
Wooclap garantit la sécurité à long terme des données personnelles des utilisateurs en assurant un niveau de protection conforme au RGPD.
ISO 27001
Depuis 2024, Wooclap est certifié ISO 27001:2022, formalisant le processus d'amélioration continue en place depuis longtemps chez Wooclap.

Sécurité
Nous assurons l'intégrité et la confidentialité de vos données grâce à un chiffrement avancé, des contrôles d'accès stricts et bien plus encore. Chez Wooclap, la sécurité est une démarche continue, développée en étroite collaboration avec le monde académique et l'industrie.
Politique en matière d'IA
Notre engagement envers l'IA repose sur la clarté, la responsabilité éthique et l'autonomisation des utilisateurs. En garantissant la transparence et en maintenant le contrôle entre des mains humaines, nous visons des applications d'IA équitables et dignes de confiance.

Vous avez besoin de plus d'informations ?

Nos équipes vous répondent.

Confidentialité des données et RGPD chez Wooclap

Introduction

Conformité au RGPD

Les piliers de la confidentialité Wooclap

Accord sur le traitement des données

Sous-traitants Wooclap

Analyse d’impact des transferts

Politique de confidentialité

A propos des cookies

Exercer vos droits

Foire Aux Questions

Pourquoi Wooclap utilise AWS ? Est-ce compatible avec le RGPD ?

Qu’est-ce que le CLOUD Act? Est-ce que le gouvernement américain peut accéder à mes données?

Comment le chiffrement protège mes données?

Qu’est ce que le Privacy Shield et l’arrêt Schrems II? Quels sont leurs impacts sur les données Wooclap?

Qu’est-ce que l’EU-US Data Privacy Framework? (Juillet 2023)

Est-ce qu’un tracking publicitaire est fait sur les utilisateurs Wooclap?

Est-ce possible d’obtenir l’adresse IP des utilisateurs anonymes de mon évènement Wooclap?

Nos certifications

RGPD

ISO 27001

Confidentialité, sécurité et Politique IA chez Wooclap

Sécurité

Politique en matière d'IA

Vous avez besoin de plus d'informations ?