Pratiques en matière de confidentialité
Bestove a parmi ses objectifs prioritaires de garantir à ses clients et utilisateurs une confidentialité absolue des données qu'ils fournissent. En ce sens, Bestove s'engage pleinement à protéger les données personnelles des utilisateurs du site www.bestove.fr, conformément aux dispositions de la législation en vigueur et en particulier au nouveau règlement général européen sur la protection des données.
Qui est responsable de vos données ?
Conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil, nous vous informons que les données personnelles fournies seront traitées par
BESTOVE SAS
793 869 348 R.C.S. CRETEIL
Greffe du Tribunal de Commerce de CRETEILQuels usages faisons-nous de vos données personnelles ?
Dans le cadre de nos relations, vous êtes susceptibles de nous communiquer vos données personnelles par différents moyens et notamment sur notre site internet, notre site mobile lors de vos navigations internet, achats, réservations, en remplissant les divers formulaires de collecte, lors d’une souscription à la e-newsletter, lors de la création d'un compte, lorsque vous déposez une candidature, lorsque vous publiez des commentaires sur nos pages de réseaux sociaux, lorsque vous établissez tout contact avec Bestove ou lorsque vous nous transmettez de toute autre manière vos données personnelles.
Vos données collectées sont nécessaires pour pouvoir vous fournir toutes les garanties pour le service demandé, et seront traitées avec les objectifs suivants:
- Fournir le service demandé par l'utilisateur et qui est offert par le site internet (sa maintenance et son amélioration), profilage, segmentation de vos données et / ou croisements avec d'autres bases de données, sous la responsabilité de Bestove.
- Proposer des promotions, des offres ou des actions publicitaires liées à l'état du Client, par voie électronique ou par d'autres moyens de communication.
Pendant combien de temps conservons-nous vos données?
Bestove s’engage à conserver vos données personnelles pour une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées. De plus, Bestove conserve vos données personnelles conformément aux durées de conservation imposées par les lois applicables en vigueur.
Ces durées de conservation sont définies en fonction des finalités de traitement mis en oeuvre par Bestove et tiennent notamment compte des disposition légales applicables imposant une durée de conservation précise pour certaines catégories de données, des éventuels délais de prescription applicables ainsi que des recommandations de la CNIL concernant certaines catégories de traitements de données (par exemple, Délibération n° 2016-264 du 21 juillet 2016 portant modification d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048), article L.232-7 du code de sécurité intérieure relatif à la transmission des données passagers à l’administration française, conservation des cookies durant 13 mois selon recommandation de la CNIL…).
A qui pouvons-nous communiquer vos données ?
Afin de remplir les objectifs prévus, vos données peuvent être communiquées à:
- des organisations ou des personnes directement liées à la personne responsable;
- des entreprises de messagerie pour communiquer des offres;
- aux administrations et autorités juridiques.
- et plus particulièrement, toutes les entreprises liées à la marque Bestove.
Quels sont vos droits lorsque vous nous confiez vos données ?
Toute personne a le droit de demander l'accès, la rectification, la suppression, la limitation de traitement, l’opposition ou droit à la portabilité des données personnelles, en écrivant à notre adresse ci-dessus ou en envoyant un courriel à contact@bestove.fr, indiquant le droit que vous voulez exercer.
Vous aurez également le droit de retirer le consentement donné à tout moment. Le retrait du consentement n'affectera pas la légalité du traitement effectué avant le retrait dudit consentement.
Vous avez le droit de déposer une réclamation auprès de l'autorité de surveillance si vous estimez que vos droits ont été violés en relation avec la protection de vos données personnelles.
Hébergement via les plateformes d’Heroku et Amazon AWS
Sécurité de vos données
Nous travaillons dans le respect des normes de sécurité afin de vous assurer la protection de vos données :
- utilisation d’un certificat SSL (encryptage des données),
- cryptage de vos informations de connexions (notamment de votre mot de passe en bcrypt),
- parefeu contres les attaques DDOS.
Nous vous invitons à utiliser la dernière version de votre navigateur afin d’assurer une sécurité maximale et de ne pas divulguer vos informations personnelles.
Évaluations de sécurité et conformité
Centres de données
L'infrastructure physique d'Heroku est hébergée et gérée dans les centres de données sécurisés d'Amazon et utilise la technologie AWS (Amazon Web Service). Amazon gère en permanence les risques et subit des évaluations récurrentes pour assurer la conformité aux normes de l'industrie.
Les opérations du centre de données d'Amazon ont été accréditées sous:
- ISO 27001
- SOC 1 et SOC 2 / SSAE 16 / ISAE 3402 (anciennement SAS 70 Type II)
- PCI niveau 1
- FISMA Modéré
- Sarbanes-Oxley (SOX)
PCI
Nous utilisons le processeur de paiement conforme Braintree pour le cryptage et le traitement des paiements par carte de crédit. Le fournisseur d'infrastructure d'Heroku est conforme PCI niveau 1.
Sarbanes-Oxley
En tant que société cotée en bourse aux États-Unis, salesforce.com (propriétaire d’Heroku) est audité annuellement et reste en conformité avec la loi Sarbanes-Oxley (SOX) de 2002.
Tests de pénétration et évaluations de vulnérabilité
Les tests de sécurité de l'application Heroku sont effectués par des sociétés de conseil en sécurité indépendantes et réputées. Les conclusions de chaque évaluation sont examinées avec les évaluateurs, classées par niveau de risque et attribuées à l'équipe responsable.
Sécurité physique
Heroku utilise des centres de données certifiés ISO 27001 et FISMA gérés par Amazon. Amazon possède de nombreuses années d'expérience dans la conception, la construction et l'exploitation de centres de données à grande échelle. Cette expérience a été appliquée à la plateforme et à l'infrastructure AWS. Les centres de données AWS sont hébergés dans des installations à haute sécurité et ont été conçu pour résister aux
L'accès physique est strictement contrôlé à la fois en périphérie et aux points d'entrée des bâtiments par un personnel de sécurité professionnel utilisant la vidéosurveillance, des systèmes de détection d'intrusion de pointe et d'autres moyens électroniques. Le personnel autorisé doit réussir l'authentification à deux facteurs pour accéder aux étages du centre de données. Tous les visiteurs et entrepreneurs sont tenus de présenter une pièce d'identité et sont escortés en permanence par le personnel autorisé.
Amazon fournit uniquement l'accès au centre de données et des informations aux employés qui ont un besoin commercial légitime pour de tels privilèges. Lorsqu'un employé n'a plus besoin de ces privilèges, son accès est immédiatement révoqué, même s'il continue d'être un employé d'Amazon ou d'Amazon Web Services. Tous les accès physiques et électroniques aux centres de données par les employés d'Amazon sont journalisés et audités régulièrement.
Pour plus d'informations, voir: https://aws.amazon.com/security
Confidentialité
Heroku a publié sa politique de confidentialité qui défini clairement les données collectées et leurs utilisations.
Heroku a mis en place des mesures pour protéger la vie privée et les données privées de ses clients stockées sur la plateforme.
Certaines des protections inhérentes aux produits Heroku incluent l’authentification, le contrôle des accès, le cryptage des données lors des transferts de données (requête), le support HTTPS pour les applications client et la possibilité de stocker en base de donnée, des données cryptées.
Pour plus d'informations, voir: https://www.heroku.com/policy/privacy
Accès aux données client
Le personnel d'Heroku ne peut accéder et interagir avec les données ou les applications des clients dans le cadre d'opérations normales. Il peut y avoir des cas où Heroku est invité à interagir avec les données ou les applications du client à la demande du client à des fins de soutien ou lorsque la loi l'exige.
Les données du client sont contrôlées par accès et tout accès par le personnel Heroku est accompagné par l'approbation du client ou le mandat du gouvernement, la raison de l'accès, les actions prises par le personnel, et le support de début et de fin.
