Politique de protection des données

Nous respectons votre vie privée

IndieHosters est engagé dans une démarche continue de conformité avec le RGPD. Avec ce document IndieHosters renforce sa politique de protection de données à caractères personnels afin que les données de nos contributeurs soient collectées et utilisées de manière transparente, confidentielle et sécurisée.

DPA - Data Processing Agreement

Introduction

Le présent document, appelé DPA en référence à l’acronyme Data Processing Agreement fait partie intégrante du contrat entre l’association IndieHosters (ci-après dénommée IndieHosters) et son cocontractant (ci-après dénommée Le Contributeur). Le DPA a pour objet de définir les conditions applicables au services d’IndieHosters dans le cadre du traitement des données personnelles.

Le DPA a pour vocation de définir le traitement qu’IndieHosters en sa qualité de Sous-Traitant, au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après dénommé RGPD), fait des données à caractère personnel en sa possession.

Pour rappel, le traitement des données qu’IndieHosters a en sa possession en sa qualité de Responsable du traitement, au sens du RGPD, notamment dans le cadre de la facturation, des échanges commerciaux, des échanges relatif à la fonction de support ou au niveau de son service RH ne sera pas traité ici, mais fera l’objet d’un autre document.

1. Définitions

Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous - Traitant : Personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement.

2. Champs d’application

IndieHosters met à disposition ces services sur la demande du Contributeur, son rôle est donc celui d’un sous-traitant pour le compte du responsable de traitement du Contributeur.

C’est le Contributeur qui administre les instances dédiées mises à disposition par IndieHosters, et ce relativement aux utilisateur.ices et à leurs données personnelles. Dans le cas où Le Contributeur n’aurait pas d’instance dédiée, il est tout de même responsable des usages, et données personnelles relatifs à son utilisation des services et outils mis à disposition par IndieHosters.

IndieHosters est autorisé, en tant que Sous-Traitant agissant selon les instructions du responsable de traitement du Contributeur, à traiter les Données à caractère personnel dans la mesure nécessaire à la fourniture des services souscrits par lui dans le cadre de l’exécution du contrat entre les parties.

Les données à caractère personnel collectées et faisant l’objet d’un traitement par IndieHosters dans le cadre de sa mission de Sous-Traitant, sont les métadonnées, notamment des fichiers, dossiers et documents. En aucun cas, IndieHosters n’effectue de traitement sur les données stockées, échangées, partagées par les utilisateur.ices sur les instances Nextcloud ou échangées/partagées sur Element ou sur Matrix.

Le type de Données à caractère personnel déposé/échangé/partagé sur les instances et les catégories de personnes concernées sont déterminés et contrôlés par Le Contributeur et à sa seule discrétion.

Les données à caractère personnel faisant l’objet d’un traitement par IndieHosters sont hébergées uniquement dans l’espace de l’Union Européenne. Les Sous-Traitants fournissant les serveurs pour la fourniture des services sont en Allemagne, et les serveurs de back up en Finlande.

3. Obligations d’IndieHosters

IndieHosters s’engage :

  • à traiter les données à caractère personnel uniquement dans le cadre des services souscrits par Le Contributeur et dans la mesure nécessaire à la fourniture des services relatifs au contrat entre les parties.

  • à ne pas utiliser ni accéder, aux données déposées par les utilisateurices sur les instances hébergées par elle-même, ainsi qu’aux données à caractère personnel, à d’autres fins que celles nécessaires à l’exécution des services (en particulier dans le cadre de la gestion des incidents).

  • à s’assurer que ses salariés et sous-traitants ayant accès aux données à caractère personnel dans le cadre du contrat avec Le Contributeur, soit soumis à une obligation de confidentialité.

  • à mettre en place des mesures techniques et organisationnelles afin d’assurer la sécurité des données à caractère personnel.

En cas de demande des autorités judiciaires, administratives ou autres, visant à obtenir une communication sur les données à caractère personnel traitées par IndieHosters relatives au présent DPA, IndieHosters s’engage à faire ses meilleurs efforts pour vérifier la compétence de ladite autorité. Elle limite la communication aux seules données requises par l’autorité, et en informe Le Contributeur immédiatement et au préalable, excepté dans le cas où cela lui serait interdit par des dispositions législatives ou réglementaires.

Le transfert des données à caractère personnel vers un pays tiers à l’Union Européenne, ne pourra se faire que dans le respect du Chapitre 5 du RGPD. Notamment dans le cadre d’une demande venant d’une autorité issue d’un pays tiers à l’Union Européenne, la communication des données à caractère personnel ne pourrait se faire que dans le cadre d’un accord international en vigueur entre le pays tiers et l’Union européenne, conformément à l’article 48. Ce transfert pourra se faire également dans le cadre d’une demande correspondant aux exceptions prévues à l’article 49 du RGPD.

Dans le cas où IndieHosters a connaissance d’un incident affectant les données à caractère personnel dont elle fait traitement, IndieHosters en informe le responsable du traitement ou la personne contact du Contributeur dans les plus brefs délais.

4. Sous-traitance

La liste des sous-traitants susceptibles d’intervenir dans le traitement des données à caractère personnel réalisé par IndieHosters sur instruction du Contributeur, ainsi que leur localisation et les services concernés sont détaillés dans le présent DPA dans la section 11.6.

Dans le cas où IndieHosters décide de changer de sous-traitant, d’ajouter un sous-traitant ultérieur ou de ne plus faire appel aux services d’un sous-traitant, sur demande par courriel à l’adresse dpo /at\ indiehosters.net (remplacer /at\ par @). Le Contributeur a le droit d’émettre des objections conformément au RGPD. Ces objections doivent faire l’objet d’une notification dans un délai de 15 jours en précisant le motif de l’objection. Si à la suite d’une objection, IndieHosters ne renonce pas au changement, à l’ajout ou à l’arrêt de collaboration avec un sous-traitant, Le Contributeur peut mettre fins aux services sans prétendre à une indemnisation.

IndieHosters veille au respect par ses sous-traitants et sous-traitants ultérieurs de ses obligations vis à vis du Contributeur, dans le cadre du contrat et concernant le traitement des données à caractère personnel. IndieHosters demeure responsable de l’exécution de toute obligation figurant au contrat.

IndieHosters est expressément autorisé à engager des fournisseurs tiers, sans devoir en informer le Contributeur ou obtenir son autorisation préalable, dans la mesure où ces fournisseurs ne traitent pas les données à caractère personnel faisant l’objet du présent DPA.

5. Obligations du Contributeur

Le contributeur s’engage à :

  • s’assurer que son responsable du traitement des données à caractère personnel a une base juridique appropriée pour recueillir et traiter les données à caractères personnel des utilisateurices.

  • avoir effectué toutes les procédures et formalités requises (telle que les notifications et demandes d’autorisation aux autorités compétentes en matière de traitement des données à caractère personnel).

  • informer les utilisateur.ices du traitement des données à caractère personnel comme le prévoit le RGPD, ainsi que de la possibilité d’exercer facilement les droits relatifs aux données prévus par le RGPD.

Le Contributeur est responsable des mesures techniques et opérationnelles pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas de la responsabilité d’IndieHosters tel que prévu par le Contrat.

6. Droits des utilisateur.ices

Le responsable du traitement du Contributeur est pleinement responsable de l’information des personnes concernées concernant leurs droits et le respect de ces droits. Qu’il s’agisse du droit d’accès, de rectification, d’effacement, de limitation ou de portabilité.

IndieHosters coopère avec le responsable du traitement dans la mesure raisonnable nécessaire, pour répondre aux demandes des personnes concernées. Le responsable du traitement est le seul responsable des réponses à ces demandes.

Le contributeur reconnaît et accepte que dans le cas où cette coopération nécessiterait des ressources importantes de la part d’IndieHosters, celles-ci pourraient faire l’objet d’une facturation, à condition de le notifier au préalable au Contributeur et après avoir obtenu son accord.

7. Suppression et restitution des données à caractère personnel

Le Contributeur est le seul responsable des opérations nécessaires visant la conservation des données et données à caractère personnel, avant la résiliation, le non renouvellement ou l’expiration du Contrat de souscription de services. De même avant toute opération de suppression ou de mise à jour ou de réinstallation des services.

A la fin du service (suite à une résiliation ou à un non renouvellement), IndieHosters s’engage à supprimer dans les conditions prévues au contrat tout contenu reproduit, stocké, hébergé ou utilisé par Le Contributeur dans le cadre des services souscrits, sauf en cas de demande émise par une autorité légale ou judiciaire compétente, ou si une loi ou un règlement applicable en Union Européenne ou dans un État membre de l’Union européenne en exige autrement.

IndieHosters informe Le Contributeur que la résiliation, l’expiration des services, entraîne la suppression irréversible de contenu, y compris contenu dans les sauvegardes dans un délai de 3 mois (compte tenu des contraintes techniques liées à notre service de sauvegarde).

8. Responsabilités

IndieHosters ne peut être tenue responsable que des dommages liés à un traitement des données à caractère personnel pour lesquels elle n’aurait pas respecté les obligations prévues au RGPD qui lui incombent spécifiquement et pour lesquels, elle aurait agit en dehors des instructions du Contributeur ou contrairement à celles-ci.

Dans le cadre d’un dommage causé par le traitement de données à caractère personnel dans le cadre du contrat entre IndieHosters et Le Contributeur. Le Contributeur prend en charge dans un premier temps l’intégralité de la réparation effective (ou autre compensation) due à la personne concernée et réclame ensuite à IndieHosters la part relevant de la part de responsabilité d’IndieHosters dans le dommage. Étant précisées que les clauses limitatives de responsabilité prévues au contrat demeurent applicables.

9. Audits

IndieHosters met à disposition du Contributeur toutes les informations nécessaires à démontrer la conformité au RGPD et à mener des audits.

Les informations sont disponibles sur le site internet d’IndieHosters. Des informations supplémentaires peuvent être communiquées sur demande du Contributeur au service Support d’IndieHosters.

Toute information communiquée par IndieHosters et qui n’est pas disponible sur son site internet est considérée comme une information confidentielle en vertu du contrat. Avant de communiquer cette information, IndieHosters peut exiger la signature d’un accord de confidentialité. Nonobstant ce qui précède, Le Contributeur peut répondre aux demandes de l’autorité de contrôle compétente, à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans ce cas, à moins que la loi applicable ne le lui interdise, Le Contributeur doit d’abord consulter IndieHosters au sujet de toute divulgation requise.

10. Contact IndieHosters

Pour toute demande ou question concernant les données à caractère personnel, Le responsable de traitement du Contributeur peut contacter IndieHosters via :

  • courriel au support ou aux personnes en charge du dossier du Contributeur chez IndieHosters : contact /at\ indiehosters.net (remplacer /at\ par @)

  • utilisation du formulaire de contact sur le site internet d’IndieHosters. https://indiehosters.net/contact/

11. Données à caractère personnel traité par IndieHosters en tant que sous-traitant

Les services qu’un Contributeur peut souscrire auprès d’IndieHosters sont :

  • Nuage (basé sur Nexcloud. Et dans le cadre de l’édition collaborative Collabora ou OnlyOffice)
  • Chat (basé sur Element ou Matrix)
  • Visio (basé sur Jitsi)
  • un service de SSO (basé sur le logiciel Keycloak)

Bien que le RGPD n’oblige à lister que les finalités du traitement des données, IndieHosters tient à informer le Contributeur de ce qu’elle ne fait pas avec les données qui lui sont confiées.

IndieHosters ne communique pas les données (ni les données à caractère personnel) à des tiers. IndieHosters ne les vend pas, ne les échange pas, ne les donne pas.

IndieHosters ne lit pas les données que le Contributeur transmet, édite, crée sur ses services. Bien qu’ayant un accès technique, IndieHosters s’interdit de lire les fichiers et documents si le Contributeur ne nous en a pas donné l’autorisation explicite.

Toutefois, afin d’assurer les services demandés et une qualité de service élevée permanente, IndieHosters doit procéder régulièrement à des opérations de maintenance et de débogage. Dans ce cadre ainsi que dans le cadre de la résolution d’incident, IndieHosteurs peut être amené à ouvrir et accéder à un ou plusieurs fichiers de façon aléatoire et/ou à lire certaines conversations, et ce, uniquement dans le but de lui permettre de contrôler le bon fonctionnement du service. Les personnes ayant accès à ces espaces étant soumises à une clause de confidentialité.

11.1. Données à caractère personnel communes à tous les outils.

Les données du profil : nom d’utilisateur.ices, prénom et nom et adresse courriel du Contributeur sont synchronisées depuis le SSO vers les applications lors de chaque connexion.

Données Traitement Finalités
Profil : Nom d’utilisateurices ; prénom et Nom d’usage ; adresse courriel ; image de profil ; mot de passe Stockage et restitution à la demande Combinaison courriel et mot de passe pour authentifier les personnes sur les services. - courriel : pour la récupération du mot de passe ainsi que la notification des activités sur les outils. - nom d’utilisateurices / nom / prénom / image : (i) affichage dans l’application pour reconnaître la personne sur les applications collaboratives. (ii) fonctionnalité d’annuaire pour être retrouvé.e pour les applications collaboratives
Connexion (*) :adresse IP ; heure de connexion ; URL accédée ; Nom d’utilisateurices Stockage chiffré pour une durée d’un an - Obligation légale- Investigation sur événement de sécurité

Concernant les données de profil :

Liiibre n’oblige pas les personnes à utiliser des noms, adresse courriel ou image de profil qui permettent de les identifier de manière certaine. Une telle obligation relèverait de l’unique responsabilité du Contributeur. Ainsi, les utilisateur.ices ont l’option d’utiliser des pseudonymes et de cacher leur adresse courriel via des services type https://relay.firefox.com/ .

(*) Exemple d’un log d’une requête sur un web

nuage.liiib.re:443 91.258.236.199 - - [13/Aug/2020:15:39:16 +0200] "GET / HTTP/1.1" 200 861 "https://nuage.liiib.re/apps/files/?id=134567" username "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0"

11.2. Données à caractère personnel spécifiques à Nextcloud et à Collabora

Données Traitement Finalités
D’activité : via l’application activity qui est activée par défaut. Données sur l’identification de l’utilisateurices et l’utilisation des ressources (modification de tel fichier, heure de modification…) Collecte et stockage d’informations sur les modifications et créations de fichier. Transmission de ces informations sur demande à la personne qui les a créées ou aux personnes avec qui elle partage lesdits fichiers explicitement. Pour chaque utilisateurices, garder la mémoire et la temporalité des éditions, créations et modifications des fichiers transmis et partagés avec les autres utilisateurices

11.3. Données à caractère personnel spécifiques au Chat et à la visio

Données Traitement Finalités
De conversation : historique de conversation entre des utilisateurices identifiées. Lorsqu’une personne envoie un message dans une conversation, celui-ci sera rendu accessible aux personnes qui ont et auront accès à cette conversation. Ces messages sont conservés un temps défini par les administrateur.rice.s de la conversation pour chaque conversation ou par les administrateur.rice.s de l’instance à l’échelle de l’instance en l’absence d’une configuration par conversation. - permettre à des personnes de discuter à l’écrit en temps réel - conserver des conversations entre plusieurs personnes.

Les données personnelles recueillies faisant l’objet d’un traitement dans le cadre de l’utilisation du service de visio sont conservées uniquement durant le temps de l’utilisation du service.

11.4. Infrastructure sous-jacente

L’équipe d’IndieHosters met en place des outils directement visibles par les utilisateur.ices (NextCloud, Element, Jitsi, etc.). Ces outils reposent sur d’autres outils logiciels et du matériel; IndieHosters appelle l’ensemble de ces autres outils “infrastructre sous-jacente” Les données à caractère personnel sont sauvegardées et copiés (backups) sur des machines physiques distinctes de l’infrastructure sous-jacente pour assurer le bon fonctionnement des outils visibles par les utilisateur.ices, ceci dans un objectif de :

  • continuité et qualité de service

  • maintien de la performance et de mise à jour des outils mis à disposition

  • capacité et possibilité de restauration des données en cas de destruction accidentelle ou malveillante des données stockées

11.5. Communication de données personnelles en interne dans le cadre de la résolution d’incidents

L’équipe d’IndieHosters utilise des outils de communication interne dans le cadre de la résolution d’incidents et de problèmes sur ses services. Lors de ces discussions, il est parfois nécessaire de partager des données à caractère personnel relatives aux incidents rencontrés afin de permettre ou faciliter le diagnostic, et de procéder à leur résolution.

Toutes les personnes ayant accès à ces informations au sein d’IndieHosters sont soumises à une clause de confidentialité et de non divulgation.

11.6. Liste des sous-traitants

La liste des sous-traitant de l’association concernées par le traitement des données à caractère personnel peut être communiquée sur demande en envoyant un courriel à l’adresse dpo /at\ indiehosters.net (remplacer /at\ par @).

Autres fournisseurs :

  • Hetzner en Allemagne(https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/) (données sur les serveurs)

leurs équipes nous font confiance