LABEL PRIVACY TECH

L’ENTREPRISE INFHOTEP ETABLIE AU 6 RUE D’ANTIN 75002 PARIS

satisfait aux dispositions du référentiel du Label Privacy Tech – version 1.0 de juin 2020 –
pour la solution logicielle suivante appartenant à la catégorie 2 :

DATA PROTECTION MANAGEMENT SOLUTION

ADEQUACY

Ce label a été délivré par l’Association Privacy Tech sur la base d’une évaluation réalisée par AFNOR Certification
Début de validité : 29/06/2020
Valable jusqu’au : 28/06/2023

PRESENTATION DE LA SOLUTION

ADEQUACY édite une plateforme SaaS de management et de protection des données au lien suivant : https://www.adequacy.app

ADEQUACY est permet aux organismes de traiter une multitude d’obligations documentaires pour assurer la mise en conformité au RGPD et aux réglementations de protection des données.

L’objectif de la solution est de simplifier la vie du Délégué à la Protection des Données (DPO).

La solution ADEQUACY est bâtie autour de trois principes :

100% Simple : pour s’adapter aux organisations et permettre une efficacité maximale.

100% Sûre : pour maitriser les risques et fluidifier les processus.

100% Connectée : pour garantir une efficacité maximale et s’intégrer à votre système d’information

Pour obtenir la labellisation, l’auditeur AFNOR PrivacyTech a validé la phase d’évaluation et atteste que le candidat a répondu aux exigences d’auditabilité via l’étude des pièces téléversées.

L’auditeur a confirmé que l’organisme INFHOTEP satisfait aux conditions suivantes :

Exigence 1.1 : L’organisme a justifié de la désignation d’un délégué à la protection des données (DPO) ainsi que de son adhésion à l’association PRIVACY TECH

Exigence 2.1 : L’organisme possède une politique ou des règles internes en matière de protection des données.

Exigence 2.2 : L’organisme met en œuvre des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement que sa solution logicielle assure.

Exigence 2.3 : L’organisme met en œuvre des mesures de protection des données dès la conception et/ou par défaut adaptées aux risques et à la nature des opérations de traitement que sa solution logicielle assure telles que le chiffrement ou un système assurant le principe de minimisation sur les différents points de collecte que la solution logicielle peut assurer.

Exigence 2.4 : L’organisme tient à jour le registre des activités de traitement ainsi que la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données pour les traitements que sa solution logicielle assure à ses clients.

Exigence 2.5 : L’organisme respecte le cadre juridique relatif à la sous-traitance en matière de traitement de données à caractère personnel et a fortiori l’ensemble des obligations de l’article 28 du Règlement Général sur la Protection des Données (RGPD).

Exigence 2.6 : L’organisme informe ses clients ou utilisateurs concernant les instruments juridiques susceptibles d’être utilisés si des transferts de données hors Union européenne existent dans un ou plusieurs des processus qu’il assure.

Exigence 2.7 : L’organisme sait accompagner ses clients en matière d’analyse d’impact relative à la protection des données (en particulier si l’un ou plusieurs processus d’un traitement de données à caractère personnel sont assurés par le biais de la solution évaluée). Il est en mesure d’assurer la reddition de comptes nécessaire pour les différentes mesures techniques et organisationnelles qu’il assure pour ses clients dans le cadre de la solution logicielle.

Exigence 2.8 : L’organisme informe de toutes vulnérabilités détectées dans sa solution logicielle susceptible d’engendrer une violation de données personnelles nécessitant une notification à l’autorité de contrôle et/ou une communication aux personnes concernées.

Exigence 2.9 : L’organisme autorise la réalisation d’audit, par une tierce partie, en matière de protection des données à la demande et aux frais de ses clients.

L’auditeur a confirmé que la solution ADEQUACY satisfait aux conditions suivantes :

Exigence 3.1 : Un guide d’utilisation de la solution est mis à disposition des clients de l’organisme et mis à jour à chaque évolution.

Exigence 3.2 : La solution permet d’assurer la traçabilité des actions exécutées, notamment à l’aide de tableaux de bord ou d’outils de suivi.

Exigence 3.3 : L’organisme candidat assure une mise à disposition régulière des dernières versions des sources (non obfusquées) de la solution auprès d’un tiers de confiance qui pourra être sollicité en cas de besoin (par exemple pour assurer une continuité d’activité en cas de difficultés de l’éditeur).

Exigence 3.4 : La solution sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données et sait accompagner son exécution.

Exigence 3.5 : La solution embarque un dispositif d’effacement paramétrable en production en fonction des durées de conservation des différents traitements qu’elle assure.

Exigence 3.6 : La solution assure le droit à la réversibilité de toutes les données traitées, ainsi que l’effacement des données à la suite d’un traitement de réversibilité.

Exigence 3.7 : La solution dispose d’une interface permettant d’assurer les différents droits des personnes, à destination du DPO.