Mentions légales
MyCVthèque est une marque déposée de PRESTADEV SARL
Conformément aux dispositions des Articles 6-III et 19 de la Loi n°2004-575 du 21 juin 2004 pour la Confiance dans l’économie numérique, dite L.C.E.N., il est porté à la connaissance des utilisateurs et visiteurs du site MyCVThèque les présentes mentions légales.
Le site MyCVThèque est édité par :
PRESTADEV SARL ayant son siège social à l’adresse suivante :
24 rue de Clichy
75009 Paris
mycvtheque.com
SIRET : 479 453 193 00043
APE : 6202A
Téléphone : 0663678831
Le Directeur de publication est :
M. Philippe MOUNIAMA
Adresse e-mail de contact : pmouniama@mycv.tech
Le site MyCVThèque est hébergé par :
OVH
RCS Lille Métropole 424 761 419 00045
Code APE 2620Z
N° TVA : FR 22 424 761 419
Siège social : 2 rue Kellermann – 59100 Roubaix – France
Illustrations , graphisme et réalisation : Peax-Webdesign
Plusieurs types
de sécurité sont en places:
· Les utilisateurs du serveur MySQL ont des droits d’accès et
permissions restreintes à leurs usages propre
· Un firewall est en place pour protéger les ports serveurs qui ne sont
pas censé être accessible ou découvert depuis l’extérieur (IPtables)
· Le service fail2ban protège contre les attaques de type DDos sur les
protocoles: SSH, SFTP, FTP et HTTP(s)
· Les ports par défaut des services les plus communs ont été modifiés
· Les identifiants SFTP et FTP sont restreints aux administrateurs et
développeurs. Chaque identifiant a des accès et droits restreints au système de fichier (accès,
lecture, écriture), et aux permissions d’exécutions sur le serveur
L’ensemble des
base de données et configuration du serveur sont sauvegardé localement et sur
un stockage distant redondé.
· Des scripts bash sur-mesure s’occupe de l’exécution de l’upload SCP
pour :
· Chaque jour
· Exporter la base de donnée entière (mysqldump, export de chaque table
dans des fichiers séparés, vues etc..), et sauvegarder une archive de
l’ensemble sur le disque additionnel local, rétention de 30 jours
· Uploader sur le OVH Cold Archive l’archive de backup, rétention de 30
jours
· Nous réalisons aussi chaque semaine un Snapshot du serveur. Ce service
permet de réaliser une sauvegarde instantanée de l’ensemble du serveur, et de
remettre en place ce snapshot en très peu de temps si nécessaire.
IP Failover & réplication
Le serveur web
utilise le service d’IP Failover fournis par le service Public Cloud OVH.
· En cas d’arrêt de service du serveur principal, l’adresse IP de ce
serveur est automatiquement et sans délais assigné au serveur Failover (de
secours). Tous les services continues donc de fonctionner sans coupure.
· Les serveurs MySQL sont configurés selon une réplication MASTER-SLAVE. Le MASTER étant le serveur principal, le SLAVE étant le serveur de secours
failOver. Toutes les données du serveur master sont donc répliqués sur le
serveur slave (uni-directionnel). Les deux bases de données sont donc toujours
synchronisées.
· En cas de coupure du serveur principal, l’IP est automatiquement
basculé vers le serveur failover, qui contient donc une réplique exacte de la
base de donnée MySQL.
· Lors du retour à la normal, la configuration est changé pour passer le
serveur failover en master, et le serveur principal en slave. Le serveur
principal récupère donc une copie à jour de la base de donnée (ancienne slave)
utilisé pendant le downtime.
· La configuration est ensuite re-changé, pour repasser le serveur
principal en master.
· L’IP est ensuite basculée sur le serveur master.
Surveillance des serveurs
Monitoring
Performances
Afin de surveiller l’état des serveurs en temps réel, nous
avons mis en place un outil de surveillance en continu des performance et de la
santé des serveurs: Netdata.
Netdata apporte un dashboard extremement complet de très
nombreuses métriques serveurs (analyse des log en temps réel, de l’utilisation
des ressources, du trafic etc…) monté sur une interface web (real-time socket).
Nous avons sécurisé l’accès à ce dashboard via un proxying afin de protéger son
accès.
De plus, Netdata apporte un système de notification nous
permettant d’être alerté par rapport à des seuils d’alertes customisé. Les
notifications nous parviennent via notification push navigateur, et sur une
channel slack dédié.
Down time
Nous utilisons le service UpTimeRobot qui ping nos serveurs
toutes les 5 minutes (ping classique, vérification de code HTTP, et ping sur
des ports serveurs spécifique) afin d’être alerté par Slack et par email de
tout downtime.
Maintenance
Notre équipe de maintenance intervient sur tout type
d’anomalie sur 3 niveaux :
·
bloquante: intervention en 24h
·
Majeur: intervention en 48h
·
Mineur: intervention en 72h à une
semaine
Ayant une parfaite connaissance de notre Système
d’information, et de notre infrastructure, ils sont rapidement capable
d’identifier le problème et de nous proposer des solutions.
Ils détiennent leur accès propre à nos serveurs, notre
hébergeur et nos système de suivis afin de pouvoir intervenir le plus
rapidement possible
Annexe 1 RGPD
I.
Objet
Les présentes clauses
ont pour objet de définir les conditions dans lesquelles Prestadev (le « Sous-Traitant »)
s’engage à effectuer pour le compte du Client, responsable de traitement, les
opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations
contractuelles, les parties
s’engagent à respecter la réglementation en
vigueur applicable au traitement de données à caractère personnel et, en
particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du
27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « RGDP »).
II.
Description du traitement faisant
l’objet de la sous-traitance
Le Sous-Traitant est
autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir
le ou les service(s) suivant(s) : fourniture d’accès,
maintenance et sécurisation d’une structure de bases de données permettant au
client de créer et d’exploiter une cvthèque.
La nature des opérations
réalisées sur les données est : Intégration,
scan (OCR), indexation, classement, suivi, mise en forme et extraction des
données.
Les finalité(s) du
traitement sont : création et exploitation
d’une cvthèque pour aider le Client dans le suivi et la gestion des
candidatures stagiaires et de collaboratrices / collaborateurs et assistance du
Client dans sa politique de recrutement.
Les données à caractère
personnel traitées sont celles présentes dans les curriculum vitae du ou de la
candidat(e) : nom, prénoms, date de
naissance, nationalité, adresse postale et adresse email, téléphone, diplômes
obtenus, expériences professionnelles
Les catégories de
personnes concernées sont : candidats
stagiaires et candidats collaborateurs / collaboratrices
Pour l’exécution du service
objet du présent contrat, le responsable de traitement met à la disposition du
Sous-Traitant les informations nécessaires suivantes : nom, prénoms, date de naissance, nationalité, adresse
postale et adresse email, téléphone, diplômes obtenus, expériences
professionnelles
III.
Obligations du Sous-Traitant
vis-à-vis du responsable de traitement
Le Sous-Traitant
s’engage à :
1. traiter les données uniquement
pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
2. traiter les données conformément
aux instructions documentées du responsable de traitement figurant en
annexe du présent contrat. Si le Sous-Traitant considère qu’une instruction
constitue une violation du règlement européen sur la protection des données ou
de toute autre disposition du droit de l’Union ou du droit des Etats membres
relative à la protection des données, il en informe immédiatement le
responsable de traitement. En outre, si le Sous-Traitant est tenu
de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en
vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il
doit informer le responsable du traitement de cette obligation juridique avant
le traitement, sauf si le droit concerné
interdit une telle information pour des
motifs importants d’intérêt public
3.
garantir la confidentialité des
données à caractère personnel traitées dans le cadre du présent contrat
4. veiller à ce que les personnes
autorisées à traiter les données à caractère personnel en vertu du présent
contrat :
▪
s’engagent
à respecter la confidentialité ou soient soumises à une obligation
légale appropriée de confidentialité
▪
reçoivent la formation nécessaire en
matière de protection des données à caractère personnel
5. prendre en compte,
s’agissant de ses outils, produits, applications ou services, les principes de protection
des données dès la conception et de protection des données par défaut
IV.
Sous-traitance
Le Sous-Traitant peut
faire appel à un autre sous-traitant (ci-après, « le Sous-Traitant
ultérieur ») pour mener des activités de traitement spécifiques. Dans
ce cas, il informe préalablement et par écrit le responsable de traitement de
tout changement envisagé concernant l’ajout ou le remplacement d’autres
sous-traitants. Cette information doit indiquer clairement les activités de
traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant et les
dates du contrat de sous-traitance. Le responsable de traitement dispose d’un
délai minium de 4 (quatre) jours ouvrés à compter de la date de réception de
cette information pour présenter ses objections. Cette sous-traitance ne peut
être effectuée que si le responsable de traitement n’a pas émis d’objection
pendant le délai convenu (cf article 23 du Contrat de Location).
Le sous-traitant
ultérieur est tenu de respecter les obligations du présent contrat pour le
compte et selon les instructions du responsable de traitement. Il appartient au
Sous-Traitant initial de s’assurer que le sous-traitant ultérieur présente les
mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et
organisationnelles appropriées de manière à ce que le traitement réponde aux
exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit
pas ses obligations en matière de protection des données,
le Sous-Traitant initial
demeure pleinement responsable devant le responsable
de traitement de l’exécution par l’autre Sous-Traitant de ses obligations.
V.
Droit d’information des personnes concernées
Il appartient au
responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte
des données.
VI.
Exercice des droits des personnes
Dans la mesure du
possible, le Sous-Traitant doit aider le responsable de traitement à
s’acquitter de son obligation de donner suite aux demandes d’exercice des
droits des personnes concernées : droit
d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit
de ne pas faire l’objet
d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le
Sous-Traitant doit adresser ces demandes dès réception par courrier
électronique à l’Administrateur du Client.
VII.
Notification des violations de
données à caractère personnel
Le Sous-Traitant notifie
par lettre recommandée avec accusé de réception au responsable de traitement
toute violation de données à caractère personnel dans un délai maximum de 24
heures après en avoir pris connaissance. Cette notification est accompagnée de
toute documentation utile afin de permettre au responsable de traitement, si
nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après accord du
responsable de traitement, le Sous-Traitant notifie à l’autorité de contrôle
compétente (la CNIL),
au nom et pour le compte du responsable de traitement, les violations
de données à caractère personnel dans les meilleurs délais et, si possible, 72
heures au plus tard après en avoir pris connaissance, à moins que la violation
en question ne soit pas susceptible d’engendrer un risque pour les droits et
libertés des personnes physiques.
La notification contient
au moins :
▪
la
description de la nature de la violation de données à caractère personnel y
compris, si possible, les catégories et le nombre approximatif de personnes
concernées par la violation et les catégories et le nombre approximatif
d’enregistrements de données à caractère personnel concernés ;
▪
le
nom et les coordonnées du délégué à la protection des données ou d’un autre
point de contact auprès duquel des informations supplémentaires peuvent être
obtenues ;
▪
la
description des conséquences probables de la violation de données à caractère
personnel ;
▪
la
description des mesures prises ou que le responsable du traitement propose de
prendre pour remédier à la violation de données à caractère personnel, y
compris, le cas échéant, les mesures pour en atténuer
les éventuelles conséquences négatives.
Si, et dans la mesure où
il n’est pas possible de fournir toutes ces informations en même temps, les
informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du
responsable de traitement, le Sous-Traitant communique, au nom et pour le
compte du responsable de traitement, la violation de données à caractère
personnel à la personne concernée dans les meilleurs délais, lorsque cette
violation est susceptible d’engendrer un risque
élevé pour les droits et libertés d’une
personne physique.
La communication à la
personne concernée décrit, en des termes clairs et simples, la nature de la
violation de données à caractère personnel et contient au moins
▪
la
description de la nature de la violation de données à caractère personnel y
compris, si possible, les catégories et le nombre approximatif de personnes
concernées par la violation et les catégories et le nombre approximatif
d’enregistrements de données à caractère personnel concernés ;
▪
le
nom et les coordonnées du délégué à la protection des données ou d’un autre
point de contact auprès duquel des informations supplémentaires peuvent être
obtenues ;
▪
la
description des conséquences probables de la violation de données à caractère
personnel ;
▪
la
description des mesures prises ou que le responsable du traitement propose de
prendre pour remédier à la violation de données à caractère personnel, y
compris, le cas échéant, les mesures pour en atténuer
les éventuelles conséquences négatives.
VIII. Aide du Sous-Traitant dans le cadre du respect par le
responsable de traitement de ses obligations
Le Sous-Traitant aide le
responsable de traitement pour la réalisation d’analyses d’impact relative à la
protection des données.
Le
Sous-Traitant aide le responsable de traitement pour la réalisation de la
consultation préalable de l’autorité de contrôle.
IX.
Mesures de sécurité
Le Sous-Traitant
s’engage à mettre en œuvre les mesures de sécurité suivantes :
(Voir section
architecture sécurité, plus haut)
o le chiffrement des données
à caractère personnel
o les
moyens permettant de garantir la confidentialité, l’intégrité, la
disponibilité et la résilience constantes des systèmes et des services de traitement;
o les
moyens permettant de rétablir la disponibilité des données à caractère
personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident
physique ou technique
o une procédure visant à
tester, à ’analyser et à ’évaluer régulièrement l’efficacité des mesures
techniques et organisationnelles pour assurer la sécurité du traitement
Le
Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité prévues par [code
de conduite].
Au terme de la
prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à renvoyer toutes
les données à caractère personnel au responsable de traitement ou, défaut, à renvoyer les données à
caractère personnel au Sous-Traitant désigné par le responsable de traitement
Le renvoi doit
s’accompagner de la destruction de toutes les copies existantes dans les
systèmes d’information du Sous-Traitant. Une fois détruites, le Sous-Traitant doit justifier par écrit de la destruction.
X.
Délégué à la protection des données
Le Sous-Traitant
communique au responsable de traitement le nom et les coordonnées de son
délégué à la protection des données, s’il en a désigné un conformément à
l’article 37 du règlement européen sur la protection des données.
XI.
Registre des catégories d’activités
de traitement
Le
Sous-Traitant déclare tenir un registre de toutes les catégories
d’activités de traitement effectuées pour le compte du responsable de
traitement comprenant :
·
le
nom et les coordonnées du responsable de traitement pour le compte duquel il
agit, des éventuels Sous-Traitants et, le cas échéant, du délégué à la protection des données;
·
les catégories de traitements effectués pour le compte du responsable du traitement;
·
le
cas échéant, les transferts de données à caractère personnel vers un pays tiers
ou à une organisation internationale, y compris l’identification de ce pays
tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article
49, paragraphe 1, deuxième
alinéa du règlement européen sur la protection des données, les documents
attestant de l’existence de garanties appropriées;
·
dans
la mesure du possible, une description générale des mesures de sécurité
techniques et organisationnelles, y compris entre autres, selon les besoins :
o le chiffrement des
données à caractère personnel;
o des moyens
permettant de garantir
la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes
et des services de traitement;
o des moyens permettant de
rétablir la disponibilité des données à caractère personnel et l’accès à
celles-ci dans des délais appropriés en cas d’incident physique ou technique;
o une procédure visant à tester,
à analyser et à évaluer
régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
XII.
Documentation
Le Sous-Traitant met à
la disposition du responsable de traitement la documentation nécessaire pour
démontrer le respect de toutes ses obligations et pour permettre la
réalisation d’audits, y compris des inspections, par le responsable du
traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
XIII. Obligations du responsable de traitement vis-à-vis du Sous-Traitant
Le responsable de
traitement s’engage à :
1. fournir au Sous-Traitant
les données visées au II des présentes clauses
2. documenter par écrit
toute instruction concernant le traitement des données par le sous- traitant
3. veiller, au préalable et
pendant toute la durée du traitement, au respect des obligations prévues par le
règlement européen sur la protection des données de la part du Sous-Traitant
4.
superviser le traitement, y compris
réaliser les audits et les inspections auprès du sous- traitant