Sécurité informatique et protection des données des systèmes de dénonciation

Dans les systèmes de dénonciation numérique, diverses exigences en matière de sécurité informatique et de protection des données doivent être mises en œuvre. Les rapports des lanceurs d'alerte concernant des violations de lois ou de politiques d'entreprise peuvent contenir des données personnelles, dont certaines peuvent être sensibles. L'article de blog suivant présente les exigences essentielles. En outre, nous vous montrerons que notre Hintbox répond à toutes ces exigences, tant sur le plan technique et organisationnel que sur le plan juridique.

Utilisation des dernières technologies de cryptage 

Le droit européen de la protection des données stipule que les responsables du traitement des systèmes d'alerte et les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de protection proportionnel au risque. Cela inclut notamment le cryptage des données à caractère personnel (art. 32 (1) (a) GDPR). 

Les bases de données de Hintbox sont entièrement protégées contre les accès non autorisés grâce à des technologies de cryptage de pointe. Le cryptage TLS (Transport Layer Security) assure une transmission sécurisée des données entre vous et Hintbox et notre site web.

En outre, nous mettons actuellement en œuvre un cryptage de bout en bout, depuis la saisie d'un signalement par le dénonciateur jusqu'à son stockage chez notre hébergeur, afin d'offrir à nos clients le niveau de sécurité le plus élevé possible. Par conséquent, les données personnelles dans notre système de dénonciation sont cryptées sur toutes les stations de transmission et seules les parties autorisées (dénonciateur ainsi que l'entreprise/l'autorité ou le responsable de la conformité/la partie responsable) peuvent décrypter et consulter les données. Le cryptage a lieu exclusivement sur le site du dénonciateur ou du responsable de la conformité. Cela signifie que les données arrivent sur nos serveurs déjà cryptées, de sorte que ni nous, ni le lawcode, ni d'autres tiers ne peuvent lire les informations à tout moment.

Garantir la confidentialité, l'intégrité et la disponibilité des systèmes et de la récupération.

Notre système Hintbox garantit également la confidentialité, l'intégrité et la disponibilité des systèmes et des données (article 32, paragraphe 1, point b), de la DSGVO). Chaque utilisateur Hintbox peut activer une authentification sécurisée à 2 facteurs pour garantir la confidentialité des données. En outre, chacun de nos clients Hintbox reçoit sa propre instance Hintbox distincte, ce qui garantit une séparation stricte des données. L'accès non autorisé aux données de tiers est donc exclu grâce au stockage isolé des données dans notre système de dénonciation.

En utilisant les plus hautes technologies de cryptage et en indexant l'entrée des données et leurs modifications, nous garantissons également l'intégrité des données dans la Hintbox. Notre système de dénonciation est également hautement disponible. Nous permettons également la mise en œuvre des exigences de suppression requises à la fois par la loi sur la protection des données et par la directive européenne sur les dénonciations. Notre système d'alerte permet également la mise en œuvre d'un concept d'autorisation dans lequel seules les personnes autorisées individuelles (telles que le responsable de la conformité) ont accès aux rapports reçus.

En outre, les données peuvent être facilement restaurées grâce à des sauvegardes en temps réel (art. 32 (1) (c) GDPR). Dans le cadre de notre système de gestion de la protection des données mis en œuvre, l'efficacité de nos mesures techniques et organisationnelles est également régulièrement auditée et évaluée (art. 32 (1) (d) GDPR).

Hébergement des données dans un centre de données certifié en Allemagne

Toutes les données de notre système de dénonciation sont hébergées en Allemagne dans un centre de données certifié ISO/IEC 27001. Il n'y a pas d'hébergement de données ni de transfert de données vers des pays tiers. Cela signifie qu'il n'y a pas de problèmes critiques pour nos clients dans le cadre d'un transfert vers un pays tiers qui sont soulevés par les autorités de contrôle de la protection des données ou les tribunaux (efficacité des clauses contractuelles standard ou des arrêts de la CJCE "Schrems I et II").

Garantir l'anonymat

La Hintbox garantit techniquement l'anonymat d'un dénonciateur en cas de rapport anonyme. Aucune adresse IP ou MAC, aucune donnée de localisation ou autre information permettant de tirer des conclusions sur une personne concernée n'est stockée. Les données de connexion d'un dénonciateur anonyme sont également générées de manière aléatoire et automatique. Ces données de connexion permettent une communication anonyme entre le dénonciateur et le responsable de la conformité ou la partie responsable. Cela permet de compléter les informations sur le rapport ou de poser des questions de suivi.

Respect des exigences en matière de protection des données pour un système d'alerte.

Hintbox respecte les règles de traitement des données personnelles et se conforme ainsi au règlement général sur la protection des données et à la loi fédérale sur la protection des données. Le respect de ces exigences est également une obligation explicite de la directive européenne sur les dénonciations. Nous traitons les données personnelles exclusivement selon des instructions documentées et pour le compte de nos clients en tant que sous-traitant. À cette fin, nous concluons avec nos clients un contrat de traitement mandaté conformément à l'art. 28 DSGVO. Cet accord contient également les normes élevées des mesures techniques et organisationnelles que nous assurons avec notre système hintbox. Par conséquent, notre Hintbox répond également aux exigences des autorités de contrôle pour un système d'alerte (Conférence des autorités indépendantes de protection des données du gouvernement fédéral et des Länder, Orientation des autorités de contrôle de la protection des données sur les lignes d'alerte : Systèmes d'alerte internes aux entreprises et protection des données des employés du 14 novembre 2018).