Protection des données à caractère personnel

Introduction

Le règlement n°2016/679 nommé « Règlement général sur la protection des données (RGPD ou GDPR en anglais) » constitue le nouveau cadre juridique européen en matière de traitement de données à caractère personnel en Europe. Il est applicable depuis le 25 mai 2018. Remplaçant la directive sur la protection des données adoptée en 1995, le RGPD est d’application directe dans l’Union et ne nécessite pas de lois de transpositions nationales. Ainsi, il impose un cadre unique et harmonisé des régimes juridiques en matière de protection des données à caractère personnel à tous les états membres. Le RGPD dispose aussi d’un cadre extraterritorial qui permet, sous certaines conditions, d’étendre son périmètre d’application hors UE.

Une structure qui traite des données personnelles en tant que responsable de traitement ou pour le compte, sur instruction et sous l’autorité d’un responsable de traitement et qui a accès aux données, dispose ainsi d’obligations distinctes en sa qualité de sous-traitant ou de responsable de traitement. Magic Online, en tant que prestataire de services informatiques (hébergement, maintenance) est directement concerné.

Définitions

Afin de faciliter la compréhension de l’application des nombreux articles et directives, il apparait opportun de bien définir les termes suivants :
Données à caractère personnel : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres… » (article 2). Par exemple, une personne est identifiée lorsque son nom ou son adresse électronique apparait dans un fichier.
Traitement : toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Responsable du traitement : Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.
Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité du responsable du traitement.
Il est primordial de bien faire le distinguo entre la sécurité des données hébergées par le client et la sécurité des infrastructures sur lesquelles ces informations sont stockées :

  • En ce qui concerne la sécurité des données hébergées par le client : vous êtes seul responsable afin d’assurer la sécurité des ressources et des systèmes d’applications que vous déployez dans le respect de nos conditions générales d’utilisation.
  • En ce qui concerne la sécurité de nos infrastructures : nous nous engageons sur une sécurité maximale de nos infrastructures :
    • Mise en place d’une PSSI (politique de sécurité des systèmes d’information)
    • Normes et certifications (exemple ISO 27001:2005, etc.). Les détails des normes et certifications par DC sont disponibles sur les sites vitrines du groupe Magic Online ou par demande de nos clients à notre service de support et assistance).

Magic Online en tant que sous-traitant

Magic Online propose des infrastructures d’hébergement sur lesquelles nos clients peuvent héberger leurs données à caractère personnel. Dans ce cas, le client a la qualité de responsable de traitement des données à caractère personnel et nous intervenons en qualité de sous-traitant, selon vos instructions et sous votre autorité.
C’est dans ce cadre relationnel que nous nous engageons donc à :

  • Etablir et appliquer des normes visant à garantir la sécurité de vos données selon le meilleurs standards de la technologie que nous déployons.
  • Vous informer et obtenir votre consentement dans le cas où nous ferions appel à un soustraitant.
  • Vous informer le plus rapidement possible si une violation de vos données était constatée.
  • Ne pas transférer vos données à caractère personnel hors de l’Union Européenne ou dans un pays non-reconnu par la Commission Européenne comme disposant d’un niveau de protection suffisant à l’exception de nos propres sociétés sises en Tunisie et au Maroc, ellesmêmes soumises à des Clauses Contractuelles Types (CCT 2010/87/UE) adoptées par la Commission Européenne. Les CCT permettent d’encadrer les transferts de données personnelles hors de l’Union européenne. Elles présentent donc un niveau de protection suffisant.
  • Vous faciliter dans vos démarches de respect des obligations réglementaires en tant que Responsable de traitement en mettant à votre disposition les documents idoines relatifs à nos services.

Ainsi il est entendu que :

  • Les données hébergées par le client dans le cadre nos services restent la propriété du client..
    Nous excluons bien entendu fermement toute revente de ces données à des tiers quels qu’ils soient.
  • Magic Online peut être amené à accéder à vos données :
    • Dans le cadre d’obligations légales suite des demandes judiciaires et/ou administratives.
    • Afin d’assurer le bon fonctionnement des services comme par exemple dans le cadre d’une demande d’assistance de la part du client à notre service de support ou dans le cadre de certains contrats d’infogérances. Dans ce cas de figure, l’accès aux données à caractère personnel sont soumises à des accréditations et habilitations particulières par le client. Afin de pouvoir traiter les requêtes d’assistance, nos techniciens de support peuvent être amenés à prendre connaissance des informations fournies par le client (telles que le nom, l’adresse email, le téléphone, etc.) lors de la création de son compte client Magic Online.
  • Magic Online se réserve le droit de confier des prestations de support pouvant impliquer un accès à distance aux données stockées par le client, dans le cadre des services, à d’autres entités du groupe Magic Online situées dans des pays non reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant mais, comme mentionné plus haut, ces entités sont soumises à des CCT (Clauses Contractuelles Type) et offrent ainsi au regard de la Commission Européenne un niveau de protection suffisant.
  • Concernant des transferts non soumis à des CCT (par exemple certains sous-traitants) : Grâce aux garanties offertes par Magic online en matière de transfert de données, le client peut respecter ses obligations réglementaires. L’article 45 du RGPD, déterminant les cas de « transferts fondés sur une décision d’adéquation », stipule en effet qu’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.
  • Certains de nos services permettent aux clients d’héberger leurs données chez Magic Online. La localisation géographique du ou des datacenters dans lesquels sont susceptibles d’être hébergées ces données se trouvent sur les sites internet du groupe Magic Online. Les clients peuvent également en faire la demande directement au service support & assistance. Tous ces Datacenters sont situés en France.
  • Les centres de données dans lesquels sont stockés les données de services choisis par le client sont tous situés dans un ou des pays de l’UE. La Commission Européenne les considère donc à juste titre comme disposant d’un niveau de protection suffisant

Magic Online en tant que responsable de traitement

Magic Online est responsable de traitement lorsqu’il détermine les finalités et les moyens de ses traitements de données à caractère personnel.

C’est le cas quand nous collectons des données pour gérer l’identité du client, la commande, la facturation, les recouvrements, opérer les services, l’amélioration de la qualité des services et de la performance, le démarchage commercial, la gestion commerciale, l’envoi de newsletters, gérer les demandes relatives aux droits des personnes, stocker les données des clients. .
Bien entendu, cela ne concerne pas les données que vous stockez sur nos infrastructures. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur Magic Online dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être.

C’est pourquoi nous tenons à vous fournir des éléments de compréhension sur les garanties mises en oeuvre pour protéger ces données à caractère personnel.

  • En premier lieu, nous limitons la collecte de données au strict minimum utile : ainsi, lors de la création d’un compte au cours d’une commande, vous ne renseignez que des données nécessaires pour que Magic Online puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données (comme la loi n° 2004-575 du 21 juin 2004 sur la confiance dans l’économie numérique).
  • Nous nous engageons à ne pas utiliser les données collectées pour d’autres finalités que celles pour lesquelles elles ont été collectées.
  • Nous nous engageons à conserver les données à caractère personnel durant un laps de temps limité et proportionné à l’accomplissement des finalités. Par exemple, les données de gestion de relation client/Magic Online (nom, prénom, adresse postale, email, etc.) sont conservées par la société pendant toute la durée du contrat et les soixante (60) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes.
  • Vous disposez d’un droit d’accès, de portabilité de vos données, de rectification, d’effacement et de limitation de vos données, le droit de vous opposer au traitement de vos données et, en cas de traitement reposant sur le consentement, vous avez le droit de retirer votre consentement. Vous pouvez, à tout moment, exercer vos droits auprès du Responsable de traitement Sophie Mazouz à l’adresse suivante : protectiondesdonnees@magic.fr
  • Vous avez le droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (Cnil).
  • Si vous ne souhaitez pas que nous collections vos données personnelles, nous ne pourrions vous délivrer la totalité de nos services et notamment l’assistance technique, administrative et commerciale.
  • Nous nous engageons à ne pas opérer de transfert de ces données à des tiers autres que les sociétés apparentées à Magic Online intervenant dans le cadre de l’exécution du contrat. Dans le cadre de ces transferts intra-Groupe, certaines données peuvent être transférées en dehors de l’Union Européenne sur le fondement des Clauses Contractuelles Type (CCT 2010/87/UE) mises en oeuvre par le Groupe Magic Online.
  • Nous nous engageons sur la mise en oeuvre concrète de mesures techniques et organisationnelles appropriées pour vous garantir un niveau de sécurité adapté et conforme à la règlementation.

CDN Cloudfront

Afin que votre site reste accessible en toutes circonstances…. Une copie de celui-ci sur le cloud public d’Amazon.

Qu’est-ce qu’un CDN ?

Le terme « réseau de distribution de contenu » (Content Delivery Network, CDN) désigne un groupe de serveurs géographiquement distribués travaillant de concert afin de diffuser plus rapidement un contenu Internet. La solution de CDN AWS sélectionne le chemin le plus rapide pour acheminer intelligemment les requêtes de contenu sur son réseau.
La prise en charge du protocole TLSv 1.3 offre des connexions plus rapides, plus fiables et plus sûres aux sites web.

CDN

Le fonctionnement de l'option CDN Cloudfront

CDN Cloudfront

Lorsqu’un visiteur fait une requête sur votre site web, en 1er lieu, le navigateur envoie une requête au serveur CDN de AWS le plus proche de celui-ci afin de réduire sa latence.
La requête est traitée par le WAF et l’anti DDOS d’AWS qui jugent de sa fiabilité. Si celle-ci est considérée comme fiable, le CDN renvoie directement au visiteur les données stockées en cache (image, CSS, JS …) et transfère le reste de la requête au serveur WEB final pour obtenir le contenu dynamique tel que le contenu d’un panier pour un site E-commerce.

Lexique

Attaque DDOS?

Une attaque DDOS consiste à envoyer des milliers de requêtes sur votre site afin qu’il ne soit plus accessible. L’anti-DDOS protège votre site web en bloquant ces attaques tout en prenant soin de ne pas compromettre le trafic légitime.

WAF ?

Cache serveur?

Un cache agit comme une mémoire intermédiaire afin de stocker les données statiques. Il permet de réduire le nombre de requêtes effectuées vers le serveur d’origine et de réserver la consommation de ressources à des tâches plus importantes. Cumulé avec la fonction CDN, AWS place le cache au plus proche du visiteur afin que celui-ci soit encore plus efficace.

Ajoutez votre titre ici

PRA AWS

Afin que votre site reste accessible en toutes circonstances…. Une copie de celui-ci sur le cloud public d’Amazon.

Qu’est-ce Qu’un PRA ?

Un PRA (Plan de Reprise d’Activité) appliqué à un site WEB consiste à avoir une copie de celui-ci externalisée dans un autre datacenter prêt à prendre le relais au cas où le 1er ne serait plus disponible. Cette copie ne doit avoir aucune dépendance avec le datacenter principal et donc pouvoir fonctionner de manière autonome.
Le PRA sur AWS réduit les temps d’arrêt et les pertes de données grâce à la restauration rapide et fiable du site sur le cloud AWS

PRA AWS

Fonctionnement de l'option multicloud Nuxit/AWS​

AWS PRA

En situation nominale, le serveur web est situé sur le cloud de Nuxit. En situation non nominale, le PRA est activé à votre demande et le serveur Web final se trouve sur le cloud d’AWS qui contient une copie intégrale de votre site mise à jour automatiquement chaque nuit.

MultiCloud Nuxit / AWS

Afin que votre site reste accessible en toutes circonstances…. Une copie de celui-ci sur le cloud public d’Amazon.

Les fonctionnalités de l'option multicloud Nuxit/AWS

AWS

Lorsqu'un visiteur fait une requête sur votre site web, en 1er lieu, le navigateur envoie une requête au serveur CDN de AWS le plus proche de celui-ci afin de réduire sa latence.
La requête est traitée par le WAF et l’anti DDOS d’AWS qui jugent de sa fiabilité. Si celle-ci est jugée fiable, le CDN renvoie directement au visiteur les données stockées en cache(image, CSS, JS …) et transfère le reste de la requête au serveur WEB final pour obtenir le contenu dynamique tel que le contenu d’un panier pour un site E-commerce.

En situation nominale, le serveur serveur web final est situé sur le cloud de Nuxit. En situation non nominal, le PRA est activé à votre demande et le serveur Web final se trouve sur le cloud d'AWS qui contient une copie intégrale de votre site mise à jour automatiquement chaque nuit.

tiret

Lexique

1

Attaque DDOS?

Une attaque DDOS consiste à envoyer des milliers de requêtes sur votre site afin qu’il ne soit plus accessible. L’anti-DDOS protège votre site web en bloquant ces attaques tout en prenant soin de ne pas compromettre le trafic légitime.

2

WAF ?

Un WAF est un bouclier entre votre site Web et Internet.

3

CDN ?

Le terme « réseau de distribution de contenu » (Content Delivery Network, CDN) désigne un groupe de serveurs géographiquement distribués travaillant de concert afin de diffuser plus rapidement un contenu Internet. La solution de CDN AWS sélectionne le chemin le plus rapide pour acheminer intelligemment les requêtes de contenu sur son réseau.
La prise en charge du protocole TLSv 1.3 offre des connexions plus rapides, plus fiables et plus sûres aux sites web.

4

Cache serveur?

Un cache agit comme une mémoire intermédiaire afin de stocker les données statiques. Il permet de réduire le nombre de requêtes effectuées vers le serveur d’origine et de réserver la consommation de ressources à des tâches plus importantes. Cumulé avec la fonction CDN, AWS place le cache au plus proche du visiteur afin que celui-ci soit encore plus efficace.

5

PRA ?

Un PRA (Plan de Reprise d'Activité) appliqué à un site WEB consiste à avoir une copie de celui-ci dans un autre datacenter prêt à prendre le relais au cas où le 1er ne serait plus disponible pour une durée importante. Cette copie ne doit avoir aucune dépendance avec le datacenter principal et donc pouvoir fonctionner de manière autonome.

WordPress Plus

Avec L’option WordPress Plus, Nuxit met à votre disposition des outils dédiés à WordPress, et prend en charge la sécurité de votre site .
Le résultat : Une expérience utilisateur WordPress optimale et un gain de temps pour le webmaster !

wordpress
CRÉATION D’UN ESPACE DE DÉVELOPPEMENT: LES CLONES WORDPRESS PLUS
Wordpress Plus

Les clones sont une copie à l’identique de votre site WordPress. Lorsque vous cliquez sur le bouton “Créer un clone maintenant”, un script se lance et copie votre base de données ainsi que tous vos contenus (extensions, thèmes, etc) sur un nouvel espace. Ce qui vous permettra de travailler/tester sur un espace de DEV sans jamais impacter la PROD. Appliquez ensuite vos modifications de la DEV vers la PROD en un seul clic.

Contrôle d’intégrité des fichiers du cœur de WordPress
Wordpress Plus

Cette fonctionnalité permet de vérifier en quelques secondes, la totalité des fichiers du cœur de votre site WordPress. Il n’y a pas que les extensions et les thèmes qui soient vulnérables et susceptibles d'être infectées. Très souvent oubliés, les fichiers du core de WordPress sont également vulnérables et pris pour cible par des personnes malveillantes. Il peut donc tout à fait arriver que des fichiers inconnus, voir des fichiers modifiés soient mis en place à votre insu, il est donc primordial de vérifier de temps en temps, l'intégrité des fichiers de son site WordPress.

Widget de mises à jour plugins, thèmes et WordPress centralisé
Wordpress Plus

Il est possible de mettre à jour l'intégralité de ses sites WordPress (plugins, thèmes et WordPress) et d’effectuer des nettoyages directement depuis votre console Wordpress PLUS. Terminé les allers retours dans le tableau de bord de WordPress, vous pouvez gérer simplement et efficacement vos sites depuis une seule et même interface en quelques clics.

Restauration des sauvegardes en 1 clic
Wordpress Plus

Nuxit sauvegarde automatiquement chaque nuit vos sites WordPress, sur 7 jours glissants et le 1er de chaque mois sur les trois derniers mois. Pour consulter vos sauvegardes, rendez-vous dans votre console Wordpress Plus et cliquez sur "Gérer", ensuite vous aurez accès à toutes les sauvegardes dans l'onglet dédiée "Sauvegardes", il vous sera possible de les restaurer en un seul clic.

Nettoyage de vos bases de données WordPress
Wordpress Plus

La fonctionnalité de nettoyage vous offre la possibilité d'optimiser vos sites WordPress directement depuis votre console. Supprimer les révisions, les transients et les logs d'erreurs en quelques clics. Gagnez en productivité et en efficacité au sein d'une interface moderne, conviviale et sécurisé !

Utilisation de WP-CLI et GIT
Wordpress Plus

Votre console vous propose l’accès à un terminal permettant l’utilisation simplifiée et sécurisée de WP-CLI et GIT, permettant d’interagir plus efficacement sur vos sites WordPress en ligne de commande.
Le mode Expert autorise les commandes WP-CLI pour permettre l’administration des sites WordPress et GIT pour la gestion des versions de vos développements.

Retour en arrière et alertes sur vulnérabilités
Wordpress Plus

Nuxit a mis en place un système pour vous informer des failles de sécurité lié aux thèmes, plugins et même sur le core de WordPress. Il est primordial d'être tenu au courant que des failles existent dans son WordPress, grâce à cette option, vous êtes désormais prévenu directement dans le backoffice de WordPress. Mais également un système permettant de rétrograder (RollBack) très facilement différentes versions de plugin sur tous vos sites WordPress, en cas de problème suite à une mise jour d'un plugin, revenez en arrière en quelques clics.

Compression automatique de vos images
Wordpress Plus

Comme toujours, Nuxit cherche à proposer des outils utiles pour améliorer la sécurité ainsi que les performances pour vos sites WordPress . C'est la raison pour laquelle nous mettons à disposition de nos clients une extension premium (Optimus Pro) pour compresser automatiquement vos images.

Installez WordPress, son thème et ses plugins en 3 clics avec notre QuickInstall
Wordpress Plus

Il s'agit d'une fonction vous donnant la possibilité de créer un site nouveau WordPress qui inclut des plugins et thèmes préinstallés ! Bien souvent, lorsque vous créez un nouveau site WordPress, vous avez pour habitude d'installer une petite liste de plugins de base. Tout comme les plugins, il arrive que vous utilisiez le même thème sur plusieurs de vos sites, avec l'essor des thèmes entièrement personnalisables et adaptés à tous types de sites WordPress comme Divi par exemple. QuickInstall va alors vous faire gagner du temps précieux, puisque vous aurez la possibilité de présélectionner un certain nombre de plugins et un thème que vous souhaitez installer et activer automatiquement, en même temps que l'installation du WordPress en lui-même !

TEST D'ÉLIGIBILITÉ

  • ADSL Max. : 20 Mbps

  • SDSL Max. : 16 Mbps

  • VDSL Max. : 100 Mbps

  • FTTH Max. : 1 Gbps

  • Fibre dédiée Max. : 1 Gbps





conseils dimensionnement

Site Vitrine

Pour un site vitrine ou plus globalement des sites ne contenant que peu de contenu dynamique, la configuration de base suffit.

conseils dimensionnement

Blog

Les besoins en performance pour un blog dépendent principalement du trafic que vous aurez. Par exemple, pour un blog en cours de création ou pour un blog famillial, nul besoin de prendre des ressources supplémentaires. Si votre blog accueille plus de 500 visiteurs uniques par jour, nous vous conseillons de sélectionner des ressources de 1 CPU et 1 Go de RAM pour les serveurs WEB et SQL. Si vous dépassez les 3000 visiteurs uniques par jour, nous vous conseillons au moins 2 threads et 2 Go de RAM pour le serveur WEB et 1 CPU et 1 Go de RAM pour le serveur SQL.

conseils dimensionnement

Site E-commerce

Les sites E-commerce sont des sites gourmants en ressources et nécessitent des ressources allouées.
Si vous êtes en phase de développement ou que vous ne vendez pas trop d'articles différents, vous pouvez vous contenter de 1 thread CPU et d’un 1 Go de Ram.
Si vous avez beaucoup d’articles avec des déclinaisons multiples, le besoin en ressources va rapidement augmenter.