Cyberion

Politique de confidentialité

Chez Cyberion, nous nous engageons à protéger votre vie privée. La présente politique de confidentialité explique comment nous recueillons, utilisons et divulguons vos informations personnelles. En accédant à notre site web et à nos services ou en les utilisant, vous acceptez les conditions de la présente politique de protection de la vie privée.
Le site web www.cyberion.ch (ci-après dénommé « le site ») est exploité par Cyberion. La présente politique de confidentialité explique quelles données sont collectées lorsque l’utilisateur utilise les services et comment elles sont traitées.

La présente politique de protection de la vie privée peut être modifiée de temps à autre pour assurer la conformité avec la législation applicable.

La version applicable à l’Utilisateur est celle en vigueur sur le Site à la date d’utilisation des Services.

1. Définitions

Les termes commençant par une majuscule utilisés au singulier ou au pluriel dans le corps de la présente politique de protection de la vie privée ont la signification qui leur est donnée dans les conditions d’utilisation ou sont définis ci-dessous :

Données à caractère personnel ou données : toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ;

Sous-traitant : personne physique ou morale, autorité publique, service ou autre organisme qui traite les données à caractère personnel pour le compte du contrôleur.

2. Traitement des données à caractère personnel pour lesquelles Cyberion est le contrôleur des données

Cyberion est le responsable du traitement des données que l’utilisateur lui communique lors de l’utilisation des services.

Article 1. Données personnelles traitées, finalités du traitement et durée de conservation

Les données à caractère personnel sont collectées à des fins spécifiques, explicites et légitimes.

Cyberion veille à ce que les données à caractère personnel soient traitées de manière adéquate, pertinente et limitée au regard des finalités pour lesquelles elles sont traitées :

En-tête de tableau En-tête de tableau En-tête de tableau En-tête de tableau
Contenu
Contenu
Contenu
Contenu

Article 2. Destinataires des données à caractère personnel
Aucune des Données Personnelles concernant l’Utilisateur n’est transmise à des tiers, à l’exception des membres du personnel de Cyberion ou de ses partenaires et sous-traitants, uniquement pour réaliser les finalités mentionnées ci-dessus et dans la limite des informations strictement nécessaires à cette fin.

Les données personnelles de l’utilisateur sont stockées dans les bases de données de Cyberion ou dans celles de ses fournisseurs de services, qui sont situées en Suisse ou dans l’Union européenne.

Les données personnelles de l’utilisateur ne sont pas transférées en dehors de la Suisse ou de l’Union européenne.

Article 3. Délégué à la protection des données

Le délégué à la protection des données désigné par Cyberion peut être contacté à l’adresse suivante : contact@cyberion.ch

Article 4. Droits des utilisateurs

Conformément à la réglementation relative au traitement des données à caractère personnel, l’utilisateur dispose des droits suivants :

1. Droit d’accès, de rectification et de suppression
L’utilisateur peut consulter, mettre à jour, modifier ou demander la suppression de ses données personnelles. S’il en a un, l’utilisateur a le droit de demander la suppression de son portail utilisateur.

2. Droit à la portabilité des données
L’utilisateur a le droit de demander la portabilité de ses données personnelles, détenues par Cyberion, vers un autre opérateur.

3. Droit de limiter le traitement des données à caractère personnel et de s’y opposer
L’utilisateur a le droit de demander la limitation du traitement de ses données à caractère personnel par Cyberion ou de s’y opposer, sans que Cyberion puisse refuser, à moins qu’il ne puisse démontrer l’existence de motifs légitimes et impérieux qui peuvent prévaloir sur les intérêts et les droits et libertés de l’utilisateur.

4. Exercice des droits

L’utilisateur peut, sous réserve de la production d’une preuve d’identité valide, exercer ses droits en contactant le délégué à la protection des données de Cyberion par courrier électronique à l’adresse contact@cyberion.ch.

Afin que Cyberion puisse donner suite à la demande, l’Utilisateur est tenu de fournir les informations suivantes : ses nom et prénom ainsi que l’adresse électronique utilisée sur le Site.

Cyberion est tenu de répondre à l’utilisateur dans un délai de 30 jours.

Si l’utilisateur estime, après avoir contacté Cyberion, que ses droits n’ont pas été respectés, il peut introduire une réclamation auprès d’une autorité de contrôle.

3. Traitement des données à caractère personnel pour lequel Cyberion est le sous-traitant

Lors de la réalisation du service d’évaluation des risques cybernétiques, Cyberion agit en tant que sous-traitant au sens de la réglementation en vigueur applicable au traitement des données à caractère personnel, et uniquement sur instruction de la Société agissant par l’intermédiaire de l’Utilisateur, qui agit en tant que responsable du traitement.

Article 1. Description du traitement par Cyberion

Cyberion est autorisée à traiter pour le compte de l’entreprise les données personnelles nécessaires pour fournir les services suivants : analyse de vulnérabilité externe pour identifier toutes les vulnérabilités et l’exposition au risque cybernétique de l’entreprise et pour proposer un contrat d’assurance.

Article 2. Durée du contrat
La présente politique de confidentialité entre en vigueur dès son acceptation par l’utilisateur, de même que l’acceptation des conditions d’utilisation, pour une durée indéterminée.

Article 3. Obligations de Cyberion à l’égard de l’entreprise

Cyberion s’engage à :

1. Traiter les données uniquement à des fins d’identification, d’analyse et de présentation à l’utilisateur des vulnérabilités et de l’exposition aux cyberrisques de l’entreprise et de fourniture de services de prévention.

2. Traiter les données conformément aux instructions documentées de l’entreprise, telles que décrites dans les conditions d’utilisation. Si Cyberion considère qu’une instruction constitue une violation du règlement relatif à la protection des données, elle en informe immédiatement l’entreprise.

3. Garantir la confidentialité des données à caractère personnel traitées.

4. Veiller à ce que les personnes autorisées à traiter des données à caractère personnel en vertu du présent accord s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

5. Prendre en compte les principes de la protection des données dès la conception et de la protection des données par défaut pour ses outils, produits, applications ou services.

Article 4. Traitement ultérieur

Cyberion est autorisé à faire appel aux entités suivantes pour effectuer les activités de traitement décrites ci-dessous (ci-après, les « sous-traitants ultérieurs ») :

– Xano : Hébergement de données personnelles ;
– Hubspot : Hébergement de données personnelles ;
– Bastion : Analyse de la vulnérabilité légère, évaluation des risques cybernétiques et services de prévention ;
– Helvengo : Courtier en assurances ;
– Usecure : Services de formation à l’hameçonnage et à la cybernétique.

Les sous-traitants ultérieurs sont tenus de respecter les obligations du présent contrat pour le compte et selon les instructions de la société. Il appartient à Cyberion de s’assurer que les sous-traitants ultérieurs présentent les mêmes garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences réglementaires. Si les sous-traitants ultérieurs ne remplissent pas leurs obligations en matière de protection des données, Cyberion reste entièrement responsable vis-à-vis de l’entreprise de l’exécution de leurs obligations par les sous-traitants ultérieurs.

Article 5. Droit à l’information de la personne concernée
Il est de la responsabilité de l’entreprise d’informer les personnes concernées par les opérations de traitement.

Il incombe à la société, en sa qualité de responsable du traitement des données, d’obtenir le consentement nécessaire des personnes physiques concernées, en fonction des finalités du traitement poursuivi.

Article 6. Exercice des droits des personnes concernées

Les personnes dont les Données ont été collectées doivent faire valoir leurs droits directement auprès de la Société qui, après avoir étudié la recevabilité de la demande, s’engage à y donner suite dans les délais réglementaires.

Dans la mesure du possible, Cyberion aide l’entreprise à remplir son obligation de répondre aux demandes d’exercice des droits des personnes concernées.

Lorsque les personnes concernées demandent à Cyberion d’exercer leurs droits, Cyberion doit envoyer ces demandes dès leur réception par courrier électronique à l’adresse de contact indiquée sur le portail de l’utilisateur.

Article 7. Notification des violations de données à caractère personnel

Cyberion notifie à la Société toute violation de Données Personnelles dans un délai maximum de 24 heures après en avoir pris connaissance, via l’adresse de contact fournie sur l’Espace Personnel de l’Utilisateur.

Cette notification est accompagnée de tout document utile pour permettre à la société, le cas échéant, de notifier la violation à l’autorité de contrôle compétente.

Il est de la responsabilité de l’entreprise d’alerter, si nécessaire, l’autorité de contrôle compétente et/ou les personnes concernées, et de se conformer à ses obligations.

Article 8. Assistance de Cyberion dans le cadre du respect des obligations de l’entreprise

Cyberion aide l’entreprise à réaliser des évaluations de l’impact de la protection des données.

Cyberion assiste l’entreprise dans la réalisation de la consultation préalable de l’autorité de contrôle.

Article 9. Mesures de sécurité
Cyberion s’engage à mettre en place tous les moyens nécessaires pour assurer la confidentialité et la sécurité des données, afin d’éviter qu’elles ne soient endommagées, effacées ou que des tiers non autorisés y aient accès.

Les mesures techniques et organisationnelles de Cyberion sont les suivantes :

1. Engagement de confidentialité de ses employés
Par le biais du contrat de travail, l’employé de Cyberion s’engage à respecter les règles et procédures en vigueur dans l’entreprise, notamment en ce qui concerne :
– Le secret professionnel ;
– Comportement professionnel et loyal à l’égard de l’entreprise.

2. Activités de sensibilisation et de formation sur la sécurité des données à caractère personnel
Tous les employés de Cyberion arrivant sur le projet sont sensibilisés à la sécurité. Une présentation des objectifs, des rôles et responsabilités de chacun et des procédures de sécurité est effectuée.

3. Gestion des comptes d’accès et des autorisations
La sécurité des informations et des accès est gérée par les administrateurs du système. Ils créent des accès nominatifs avec des mots de passe forts pour tous les outils utilisés par Cyberion.

4. Confidentialité des données traitées
Cyberion s’engage à :
– Ne faire aucune copie des documents et supports d’information qui lui sont confiés, à l’exception de celles nécessaires à l’exécution du service ;
– Ne pas utiliser les documents et informations traités à des fins autres que celles définies par l’entreprise ;
– Ne pas divulguer ces informations à d’autres personnes, qu’elles soient privées ou publiques, physiques ou morales, pendant la durée du service.

Article 10. Disposition des données

A la fin des services fournis en relation avec le Traitement de ces Données, Cyberion s’engage à détruire toutes les Données personnelles relatives à l’Entreprise et à l’Utilisateur, à l’exception de celles dont la conservation au-delà de la relation contractuelle est autorisée par la loi, par les intérêts légitimes de Cyberion ou par l’Entreprise et l’Utilisateur.

Une fois les données détruites, Cyberion doit justifier la destruction par écrit.

Article 11. Registres des activités de traitement

Cyberion déclare qu’elle conserve une trace écrite de toutes les activités de traitement effectuées pour le compte de l’entreprise, y compris :

– Le nom et les coordonnées de la société pour le compte de laquelle il agit, les données d’identification de l’utilisateur, de tout sous-traitant et du délégué à la protection des données ;
– Les catégories de traitement effectuées pour le compte de l’entreprise ;
– Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Article 13. Documentation

Cyberion met à la disposition de l’entreprise la documentation nécessaire pour démontrer qu’elle respecte toutes ses obligations et pour permettre la réalisation d’audits, y compris d’inspections, par l’entreprise ou un autre auditeur qu’elle a mandaté, et pour contribuer à ces audits.

Article 14. Obligations de l’entreprise envers Cyberion

L’entreprise s’engage à :

– Consigner par écrit les instructions concernant le traitement des données par Cyberion, notamment en conservant une copie des Conditions de service ;
– S’assurer, préalablement et pendant toute la durée du Traitement, que Cyberion respecte ses obligations réglementaires ;
– Superviser le traitement, y compris la réalisation d’audits et d’inspections à Cyberion.