Lorsqu’il s’agit de lancement d’alerte, il ne fait aucun doute que des informations sensibles et personnelles sont échangées entre le lanceur d’alerte et l’entreprise. Afin d'assurer la protection des données liées au signalement, il est essentiel de considérer les mesures techniques et organisationnelles de votre système de lancement d’alerte. Dans cet article, nous explorerons les aspects de l'hébergement de données à surveiller et les meilleures pratiques pour limiter les risques et assurer la conformité sur le long terme.
Que le signalement d'un lanceur d'alerte soit anonyme ou non, diverses informations personnelles sont divulguées : sur l'auteur du signalement, les témoins, la personne dénoncée ou toute autre partie mentionnée dans le signalement.
Les organisations sont tenues de protéger les données personnelles des lanceurs d'alerte, ainsi que le contenu de leurs rapports. Elles doivent également rester en conformité avec les différentes réglementations locales.
Il est donc essentiel d'identifier soigneusement vos exigences spécifiques en matière de protection des données lors de la sélection d'une solution de lancement d'alerte.
Lorsque l'on parle de solutions d'hébergement, il est préférable de comprendre les terminologies suivantes pour mieux définir la solution qui convient à votre entreprise :
Le premier concept et le moins restrictif est la résidence des données, où une entité spécifie simplement l'emplacement géographique où elle stocke ses données.
La souveraineté des données est un concept plus restrictif. Il représente l'idée que les données sont soumises aux lois du pays où elles sont collectées, traitées et stockées. Cela signifie que les entreprises doivent se conformer aux lois locales sur la protection des données pour éviter d'être condamnées à une amende par le gouvernement.
La localisation des données est le concept le plus restrictif des trois. Alors que la résidence des données donne aux organisations le choix de spécifier l'emplacement géographique où leurs données sont stockées, la localisation des données fait référence à la conservation des données des entreprises à l'intérieur d'un pays.
Le concept fait référence au stockage et à la création des données, et certains pays qui ont mis en place des lois sur la localisation des données exigent que les organisations ne conservent qu'une copie des données dans le pays.
Il existe des critères importants à prendre en compte lors du choix d'une solution de signalement :
Whispli propose la localisation des données pour ses clients, avec des options à un ou plusieurs utilisateurs. Une sécurité supplémentaire peut être ajoutée à l'hébergement localisé, notamment la gestion des clés de cryptage ou l'authentification unique (SSO). En fournissant les normes de sécurité les plus élevées, la conformité avec des législations restrictives concernant la sécurité des données telles que la PIPL en Chine, les exigences de souveraineté des données en Russie, ou le GDPR dans l'UE, peut facilement être respectée.
L'hébergement sur le cloud n'est pas parfait, et certains risques doivent être pris en compte avant de confier vos informations sensibles à un fournisseur de solution. Deux risques sont prévalants en ce qui concerne les processus de signalement : les fuites pendant le transfert des données, et la perte de contrôle due aux réglementations spécifiques du fournisseur de cloud.
Pour ces deux risques, préférer une solution d'hébergement locale peut atténuer ou prévenir toute atteinte à la sécurité des données.
Les transferts de données entre serveurs peuvent se produire pour plusieurs raisons : l’attribution d'un rapport à la personne concernée dans l'organisation, la traduction d'un rapport via un outil de traduction tiers ou la recherche d'une contribution externe lors d'une enquête, par exemple.
Le transfert de données augmente les risques de fuites, et il est préférable de s'assurer que les informations personnelles et les données sensibles restent le plus possible au même endroit. En choisissant une solution d'hébergement locale des données, vous réduisez considérablement le besoin de transferts. Pour fournir un niveau de sécurité supplémentaire, les clients Whispli peuvent choisir leurs propres clés de cryptage pour garder le contrôle total de leurs données. Whispli ne peut à aucun moment accéder à ces données et elles ne sont jamais partagées avec des tiers, y compris pour la traduction via la technologie de traduction sur site. Ainsi, les données ne transitent pas par un autre serveur.
Une solution d'hébergement de données locale empêchera également tout accès indésirable à vos données. Bien que vous puissiez choisir l'emplacement géographique de vos données, le fournisseur de cloud est toujours soumis à ses propres réglementations en matière d'accès aux données. C'est le cas par exemple du USA Cloud Act qui va à l'encontre des exigences du RGPD. Faire héberger votre système d'alerte sur un cloud souverain européen tel que Scaleway si votre organisation a des activités en France ou dans l'UE, prévient ce type de risque tout en garantissant une conformité et une sécurité totales avec vos exigences locales.
Si la protection des données personnelles restera une exigence constante des processus d'alerte, votre organisation est amenée à évoluer ainsi que le cadre légal auquel vous devez vous conformer.
Whispli s'adapte aux exigences de ses clients, et non l'inverse. Cela signifie que la sécurité est au centre de nos priorités et que le choix de l'hébergeur ainsi que le nombre d'add-ons pour des niveaux de sécurité plus élevés dépendent entièrement du client. Nous nous assurons d'offrir les plus hauts standards de sécurité grâce à des certifications et des audits continus de nos processus. Une plateforme évolutive suit sans effort l'évolution des besoins de votre organisation au fur et à mesure de sa croissance.