A l’occasion de la journée européenne de la protection des données, nous avons demandé à Julien Champseix et Arthur Poirier de Brevo de répondre à nos questions autour de la sécurité. Ensemble, nous avons discuté aussi bien de l’impact des régulations sur le long terme que de notre approche globale sur la protection des données.
Dans cette première partie de notre série : Conversation avec les Experts de Brevo, nous regardons de plus près ce que la sécurité des données signifie pour nos consommateurs.
Nos experts en protection des données
Julien Champseix
Julien est Responsable de la Sécurité des Systèmes d’Information chez Brevo. Depuis sa prise de poste il y a un an, Julien a supervisé l’obtention de notre certification ISO 27001:2013 et continue de renforcer la structure de protection de données de l’entreprise.
Arthur Poirier
Arthur est Directeur Juridique et Délégué à la Protection des Données chez Brevo. Son rôle est de s’assurer de la conformité de Brevo et de nos clients avec la RGPD.
Sécurité des données
La confidentialité des données des consommateurs n’a jamais été aussi importante qu’à l’heure actuelle. Commençons donc par une question qui est souvent posée par nos clients : où et comment Brevo conserve-t-elle les données de ses utilisateurs ?
Julien : Chez Brevo, notre stratégie de stockage des données est ce qu’on appelle hybride : nous avons à la fois des serveurs physiques et des serveurs sur le Cloud. La majorité de nos serveurs physiques sont basés en France, mais nous en avons aussi en Allemagne pour servir nos clients sur ce marché.
En ce qui concerne les serveurs sur le Cloud, nous utilisons Google Cloud Platform et conservons nos données en Belgique exclusivement. Garder nos données sur le Cloud dans l’UE est une priorité pour nous. Cela permet une plus grande transparence sur le processus de traitement des données informatiques. Toutes nos données sont par ailleurs chiffrées avant d’être entreposées sur les serveurs du Cloud, ce qui permet un niveau de protection supplémentaire en cas de fuite. Cela fait aussi partie de nos obligations en tant qu’entreprise certifiée ISO 27001:2013.
Peux-tu m’en dire plus sur les mesures physiques de sécurité mises en place sur les centres de données de Brevo ? Qui a accès aux serveurs ?
Julien : Seulement un nombre limité d’employés de Brevo ont accès à nos centres de données. Bien que nos techniciens aient un accès physique, ils n’ont absolument aucun moyen d’accéder aux données numériques stockées sur les serveurs. Ils peuvent changer un disque ou ajouter un câble selon les besoins, mais nous prenons des mesures supplémentaires pendant la maintenance pour empêcher toute violation – par exemple, en désactivant temporairement les ports de l’équipement réseau.
Sauvegarde des données
Quel est le processus de sauvegarde des données des utilisateurs ? Est-ce qu’elles sont conservées même après la suppression de leur compte ?
Julien : Nous avons développé notre propre système de chiffrage interne pour la sauvegarde des données distribuées sur plusieurs centres de données. Concrètement, les données chiffrées d’un client sont conservées sur le serveur physique le plus proche, ce qui permet un temps de récupération rapide en cas d’incident. Les données chiffrées sont ensuite sauvegardées sur un second centre de données situé plus loin.
Enfin, une sauvegarde des données chiffrées du client est conservée sur nos serveurs sur le Cloud. Donc même si quelque chose arrivait aux deux premiers centres de données où sont stockées ces données, nous pourrions toujours les récupérer.
Arthur : En accord avec le RGPD, nous supprimons toutes les données personnelles associées avec des comptes fermés ou obsolètes dans un délai maximum de 100 jours. Nous avons aussi une obligation légale en tant qu’hébergeurs de données français qui nous oblige à conserver certaines données à disposition des autorités françaises pendant un an.
Est-ce que ça veut dire que vous pourriez récupérer des données perdues si un utilisateur les supprimait par erreur ?
Julien : En effet nous avons eu quelques cas de clients dans le passé qui ont accidentellement supprimé des données essentielles pour leur entreprise. Par exemple, la clôture par erreur de leur compte. Dans ce cas, nous travaillons avec l’équipe du Service Client pour restaurer leur données et que tout soit de nouveau opérationnel.
Cela dit, ce genre de situation est très rare. Nous travaillons sans relâche pour créer une plateforme intuitive et pour éduquer nos utilisateurs quand ils ont besoin d’aide. Ce genre d’approche pédagogique et facile d’utilisation nous aide à empêcher d’avoir à récupérer les données en premier lieu.
Protéger vos données personnelles
Que peuvent faire les utilisateurs pour se protéger eux-mêmes contre les risques de cybersécurité ?
Julien : Aujourd’hui, les violations de données et les cyberattaques deviennent de plus en plus communes. Le plus important pour nous, c’est que ces dommages n’atteignent pas nos clients, et c’est pour ça que nous faisons tout notre possible pour garder nos applications et nos serveurs sécurisés et nos employés conscients des risques.
En tant qu’utilisateur, avoir un mot de passe compliqué est le meilleur moyen de protéger votre compte. C’est pour cela que Brevo requiert d’avoir un mot de passe d’au moins huit caractères. Mais plus que ça, nous vous recommandons fortement d’inclure des caractères en minuscule et majuscule, des chiffres, et des caractères spéciaux. Changer votre mot de passe régulièrement est aussi super important – idéalement, tous les trois mois.
Nous donnons aussi l’option à nos utilisateurs d’utiliser un moyen d’authentification multi-facteurs, que nous recommandons fortement. Cela consiste à requérir un code généré sur un appareil physique, comme un téléphone ou un ordinateur portable, en plus de votre nom d’utilisateur et de votre mot de passe, pour accéder à votre compte. Bien que cela constitue une étape supplémentaire dans le processus d’identification, cette complexité additionnelle ajoute un niveau de sécurité important à votre compte utilisateur.
Arthur : Selon le RGPD, les individus bénéficient de droits quant à leur données personnelles. Pour Brevo, le plus important et le plus fréquent est ce qu’on appelle “le droit d’opposition”, qui dans la pratique correspond au droit de se désinscrire d’une newsletter ou de la réception d’emails automatiques. Le produit Brevo permet nativement à tous les individus d’exercer leur droit d’opposition à recevoir des communications électroniques via le bouton « Désinscription » inclus dans tous les emails.
Vous avez aussi le droit de corriger les informations personnelles qu’une organisation a sur vous, celui d’extraire une copie de vos données, de savoir comment une organisation gère vos données où encore d’exiger que vos données personnelles soient supprimées.
La sécurité des données, un problème complexe pour les consommateurs
Naviguer dans l’économie digitale en préservant la confidentialité de ses données peut paraître une tâche complexe pour les consommateurs d’aujourd’hui. Entre les actualités sur les fuites de données, les bonnes pratiques et les régulations qui changent constamment, le rôle des consommateurs dans la protection de leur propres données est en effet assez flou.
En même temps, les individus et les consommateurs bénéficient de droits vis-à-vis de leurs données personnelles. Ils sont de plus en plus concernés par la sécurité de leurs données, et poussent les entreprises à renforcer leur stratégie de cybersécurité et à être plus transparentes sur la façon dont elles gèrent leurs données.
Dans Conversation avec les Experts, Partie 2, nous discutons de ce que la sécurité des données signifie pour les petites entreprises. Continuez à lire pour comprendre ce que vous pouvez attendre des entreprises pour protéger la confidentialité de vos données.
