POLITIQUE DE DONNEES PERSONNELLES
SENDER TOOL par VADE

OBJET
La présente politique de données personnelles (ci-après la Politique) définit la manière dont VADE SECURE (ci-après « VADE »), en tant que responsable de traitement, utilise et protège les informations transmises par les utilisateurs du Sender Tool (ci-après les « Tiers »), accessible à partir de l'URL https://sendertool.vadesecure.com (ci-après le « Site »). La présente Politique est une annexe des Conditions Générales d'Utilisation (ci-après les « CGU ») du Service auquel elle se rapporte. En cas de contradiction entre les CGU et la présente Politique, la Politique prévaudra.
La Politique est susceptible d'être modifiée ou complétée à tout moment par VADE, notamment en vue de se conformer à toute évolution législative, règlementaire, jurisprudentielle, ou technologique. Dans ce cas, la date de la mise à jour sera identifiée en tête de la présente Politique. Ces modifications engagent les Tiers dès leur mise en ligne. Les Tiers pourront prendre connaissance et accepter la dernière version de la Politique avant leur utilisation du Service.
L'utilisation du Service proposé par VADE via le Site nécessite que le Tiers transmette certaines données personnelles en complétant le formulaire sur le Site : nom, prénom, adresse email professionnelle, etc. (ci-après les « Données Personnelles »). En fournissant ses Données Personnelles et en poursuivant les étapes de Demande d'Abuse, le Tiers consent à ce que VADE traite ses données aux finalités indiquées ci-dessous.
VADE est soucieuse du respect de la protection de la vie privée et n'a pas vocation à user pour son propre compte des Données Personnelles des Tiers sans leur autorisation préalable.
VADE s'engage à ne collecter et/ou ne pas traiter d'autres Données Personnelles, que celles transmises par le Tiers à VADE via le Service et le Site, à l'insu ou sans l'accord préalable dudit Tiers.
VADE s'engage à ce que les traitements de données personnelles effectués sur le Site et par le Service respectent les dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »), ainsi que les dispositions de la loi Informatique et Libertés du 6 janvier 1978 modifiée.

DEFINITIONS
Les termes figurant au sein des présentes avec une lettre en majuscules, au singulier ou au pluriel, doivent être entendus comme ayant le sens qui leur a été définit au sein des CGU.

1- IDENTITE DU RESPONSABLE DE TRAITEMENT
Le responsable de traitement est la société VADE SECURE, société par actions simplifiée, située au 2 bis Avenue Antoine PINAY à HEM (59510), immatriculée au RCS de Lille Métropole sous le numéro 509 568 416.

2- FINALITES DU TRAITEMENT
VADE traite les Données Personnelles des Tiers utilisant le Service pour les finalités suivantes :
Sur la base légale du consentement des Tiers :
- Gestion des Demandes d'Abuse au nom du Tiers (connaître l'identité de la société et apporter un contexte à la demande),
- Assurer le suivi de ces demandes.
Sur la base légale de l'intérêt légitime de VADE :
- Amélioration et renforcement des règles de filtrage du Filtre en lien avec les envois d'emails par le Tiers.
- Limitation des éventuelles irrégularités de traitement des emails (faux positifs et faux négatifs) liés à l'utilisation du Filtre par les clients VADE.
- Gérer les demandes des Tiers en conformité avec les bonnes pratiques du secteur de la protection des emails.

3- DONNEES PERSONNELLES COLLECTEES
Coordonnées du Tiers
- Nom, prénom
- Adresse email professionnelle
- Numéro de téléphone professionnel
- Poste au sein de l'entreprise
Informations sur l'entreprise du Tiers :
- Nom de l'entreprise
- Adresse du siège social
- Activité de l'entreprise
- Adresse du site internet de l'entreprise
- Segment(s) IP de l'entreprise

4- CATEGORIES DES PERSONNES CONCERNEES
Les Tiers utilisateur du Service.

5- DUREE DE CONSERVATION
Les Données Personnelles sont conservées par VADE uniquement pour le temps correspondant à la finalité de la collecte :
- Les Données Personnelles du compte Sender seront supprimées automatiquement trois (3) ans après la dernière connexion au Site par le Tiers.
- Les adresses IP des sociétés collectées pour enrichir les règles heuristiques de VADE ne seront pas supprimées automatiquement, ces données ne pouvant permettre d'identifier une personne physique.

6- DESTINATAIRES DES DONNEES
Les Données Personnelles peuvent être, en tout ou partie, communiquées selon leurs besoins respectifs, aux destinataires suivants : les salariés de VADE habilités à traiter la demande des Tiers, et ses Conseils Juridiques externes en cas de litige.
Les Destinataires sont tenus de préserver la confidentialité et la sécurité des Données Personnelles et de mettre en œuvre les mesures techniques et organisationnelles adéquates.
Aucun transfert de Données Personnelles n'est effectué en dehors de l'Union Européenne ou de l'espace économique européen.

7- MESURES DE SECURITE
La liste des mesures de sécurité figure en annexe de la présente Politique.

8- SOUS TRAITANTS
- SCALEWAY (Hébergement)
- OVH France (Hébergement back-ups)

9- EXERCICE DES DROITS
Les Tiers disposent des droits suivants sur leurs Données Personnelles :
- Droit d'accéder aux Données Personnelles les concernant et traitées par VADE, et le cas échéant, d'en demander la rectification ou la mise à jour.
- Droit de s'opposer, pour des raisons tenant à leur situation particulière au traitement de leurs Données Personnelles par VADE, à l'exception des finalités nécessaires à la réalisation du Service
- Droit à l'effacement de leurs Données Personnelles par VADE
- Droit à la portabilité de leurs Données Personnelles
- Droit à la limitation de leurs Données Personnelles
- Droit de définir des directives relatives à la conservation, à l'effacement et à la communication de leurs Données Personnelles après leur mort.
Par ailleurs, si un Tiers estime, après avoir contacté VADE à ce sujet, que ses droits sur ses Données Personnelles ne sont pas respectés, il peut adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) en cliquant sur le lien suivant : https://www.cnil.fr/fr/plaintes/internet
Le Délégué à la protection des Données (DPO) de VADE est l'interlocuteur dédié pour toute demande relative à l'exercice des droits des Tiers sur leurs Données Personnelles. Celui-ci peut être contacté à l'adresse suivante : dpo@vadesecure.com

ANNEXE À LA POLITIQUE DE DONNEES PERSONNELLES
MESURES DE SECURITE

Cette annexe fait partie de la Politique.
VADE observe actuellement les mesures de sécurité décrites dans la présente annexe. Tous les termes en majuscules qui ne sont pas autrement définis dans la présente ont la signification qui leur est donnée dans la Politique.

a) Contrôle d'accès
i) Prévention de l'accès non autorisé aux produits
Traitement externalisé : VADE héberge son Service auprès de fournisseurs d'infrastructure cloud externalisés (infrastructure as a service). En outre, VADE entretient des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à notre Politique.
VADE s'appuie sur les accords contractuels, les politiques de confidentialité et les programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.
Sécurité physique et environnementale : VADE héberge l'infrastructure de ses produits chez des fournisseurs d'infrastructure externalisés et multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour vérifier la conformité aux normes Tiers 3 et ISO 27001, entre autres certifications (comme SOC 2 type 2 ou ISO 27701).
Authentification : VADE a mis en place une politique de mot de passe uniforme pour ses produits. Les clients, partenaires ou tiers qui interagissent avec les produits via l'interface utilisateur/admin doivent s'authentifier avant d'accéder aux données non publiques des clients/partenaires/tiers.
Autorisation : Les données des clients/partenaires/tiers sont stockées dans des systèmes de stockage multi-locataires accessibles aux clients et aux tiers uniquement via des interfaces utilisateur et des interfaces de programmation d'applications. Les clients et tiers ne sont pas autorisés à accéder directement à l'infrastructure applicative sous-jacente.
Le modèle d'autorisation de chacun des produits de VADE est conçu pour garantir que seules les personnes désignées de manière appropriée peuvent accéder aux fonctions, vues et options de personnalisation pertinentes en utilisant le principe des privilèges réduits. L'autorisation d'accès aux ensembles de données est effectuée en validant les autorisations de l'utilisateur par rapport au profil associé à chaque ensemble de données.
Accès à l'interface de programmation d'applications (API) : Les API publiques des produits sont accessibles à l'aide d'une clé API ou par autorisation Oauth/SAML.
ii) Prévention de l'utilisation non autorisée des produits
VADE met en œuvre des contrôles d'accès et des capacités de détection conformes aux normes industrielles pour les réseaux internes qui prennent en charge ses produits.
Contrôles d'accès : Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent des implémentations de Cloud privé virtuel (VPC), l'attribution de groupes de sécurité et des règles de pare-feu traditionnelles.
Analyse statique du code : Des examens de sécurité du code stocké dans les référentiels de code source de VADE sont effectués, en vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.
Tests de pénétration : VADE entretient des relations avec des fournisseurs de services de tests de pénétration reconnus par l'industrie pour effectuer des tests de pénétration annuels. L'objectif des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.
Tests de vulnérabilité et gestion des correctifs : VADE entretient des relations avec des fournisseurs de services de tests de vulnérabilité reconnus par l'industrie pour effectuer six tests de vulnérabilité annuels sur tous les actifs de VADE. L'objectif des tests de vulnérabilité est d'identifier et de résoudre les faiblesses qui pourraient altérer le niveau de sécurité de VADE. VADE applique chaque mois les correctifs de sécurité fournis par les fournisseurs de logiciels ou d'infrastructures sur tous les composants de l'infrastructure de VADE.
iii) Limitations des privilèges et exigences en matière d'autorisation
Accès aux produits : Un sous-ensemble d'employés de VADE a accès aux produits et aux données des clients via des interfaces contrôlées. L'objectif de l'accès à un sous-ensemble d'employés est de fournir un support client efficace, de résoudre les problèmes potentiels, de détecter et de répondre aux incidents de sécurité et de mettre en œuvre la sécurité des données. Toutes ces demandes sont enregistrées. Les employés se voient accorder un accès en fonction de leur rôle, et les révisions des privilèges à haut risque sont initiées chaque année. Les rôles des employés sont revus au moins une fois par an.
Vérification des antécédents : Tous les employés de VADEsont soumis à une vérification des antécédents avant de recevoir une offre d'emploi, conformément aux lois applicables et dans la mesure où celles-ci le permettent. Tous les employés sont tenus de se comporter d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.

b) Contrôle de la transmission
En transit : VADE met le cryptage HTTPS (également appelé SSL ou TLS) à disposition sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits VADE. La mise en œuvre de HTTPS par VADE utilise des algorithmes et des certificats standard de l'industrie.
Au repos : VADE stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standard de l'industrie en matière de sécurité. VADE a mis en œuvre des technologies pour garantir que les données stockées sont cryptées au repos.

c) Contrôle des entrées
Détection : VADE a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les systèmes internes regroupent les données des journaux et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Le personnel de VADE, notamment le personnel de sécurité, d'exploitation et de soutien, est réactif aux incidents connus.
Réponse et suivi : VADE tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités pertinentes, et la disposition de l'incident. Les incidents de sécurité suspectés et confirmés sont investigués par le personnel de sécurité, d'opérations, ou de support et les étapes de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, VADE prendra les mesures appropriées pour minimiser les dommages au produit et au client ou la divulgation non autorisée. La notification au Tiers sera conforme aux termes de la Politique.

d) Contrôle de la disponibilité
Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de fonctionnement minimum de 99,95 %. Les fournisseurs maintiennent une redondance minimale de N+1 pour l'alimentation, le réseau et les services CVC.
Tolérance aux pannes : Les stratégies de sauvegarde et de réplication sont conçues pour assurer des protections de redondance et de basculement en cas de défaillance importante du traitement.
Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour être mises en grappe sur plusieurs instances. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins les méthodes standard de l'industrie.
Les produits de VADE sont conçus pour assurer la redondance et le basculement transparent. Les instances de serveur qui prennent en charge les produits sont également conçues dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de VADE à maintenir et à mettre à jour les applications et le backend des produits tout en limitant les temps d'arrêt.