Mesures techniques et organisationnelles PhotoRobot (TOMs)
Ce document définit les Mesures Techniques et Organisationnelles (TOM) de PhotoRobot conformément à l’article 32 du RGPD : Version 1.0 – Édition PhotoRobot, uni-Robot Ltd., République tchèque. Le document a été mis à jour pour la dernière fois au 31 décembre 2025 et soutient le respect des obligations contractuelles de PhotoRobot en vertu de la DPA et du SLA.
1. Introduction - PhotoRobot TOMs
Ce document décrit les Mesures Techniques et Organisationnelles (TOM) mises en œuvre par uni-Robot Ltd. (PhotoRobot) afin d’assurer un niveau de sécurité approprié pour le traitement des données personnelles conformément à l’article 32 du Règlement général sur la protection des données (RGPD).
Ces mesures s’appliquent au fonctionnement des services PhotoRobot, y compris, mais sans s’y limiter :
- PhotoRobot contrôle le nuage
- PhotoRobot Cloud 2.0
- PhotoRobot contrôle localement (lorsqu’il est connecté aux services cloud)
- API et services en ligne associés
- Infrastructures de soutien et systèmes internes
Ce document sert de description faisant autorité aux TOMs de PhotoRobot et peut être référencé dans les Accords de traitement des données (DPA), les audits et les revues de sécurité d’entreprise.
2. Portée et applicabilité
Les TOM décrits ici s’appliquent à :
- Données personnelles traitées au nom des clients dans le cadre des services PhotoRobot
- Données opérationnelles internes nécessaires pour fournir, maintenir et sécuriser les services
Les mesures sont conçues en tenant compte de :
- L’état de l’art
- Coûts de mise en œuvre
- La nature, la portée, le contexte et les objectifs du traitement
- Les risques pour les droits et libertés des personnes physiques
3. Mesures de sécurité organisationnelles
3.1. Gouvernance de la sécurité de l’information
PhotoRobot maintient des politiques et procédures internes régissant la sécurité de l’information, la protection des données et l’utilisation acceptable des systèmes.
Les responsabilités en matière de sécurité et de protection des données sont clairement définies au sein de l’organisation, y compris des contacts désignés pour la confidentialité et les questions juridiques.
3.2. Confidentialité et sensibilisation des employés
- Les employés et les contractuels sont tenus par des obligations de confidentialité
- L’accès aux systèmes est accordé sur la base du besoin de savoir
- La sensibilisation à la sécurité et à la protection des données est encouragée dans le cadre de l’intégration et des opérations continues
4. Contrôle d’accès et autorisation
4.1. Contrôle d’accès basé sur les rôles (RBAC)
L’accès aux systèmes et aux données clients est contrôlé selon les principes de contrôle d’accès basé sur les rôles (RBAC ).
- Les utilisateurs bénéficient des privilèges minimums nécessaires pour accomplir leurs tâches
- L’accès administratif est réservé au personnel autorisé
4.2. Authentification
- Des mécanismes d’authentification forts sont utilisés pour les systèmes internes et externes
- Les politiques de mot de passe et les identifiants d’accès sont gérés de manière sécurisée
- Les identifiants d’accès ne doivent pas être partagés
5. Sécurité des infrastructures et des réseaux
5.1. Hébergement et infrastructure cloud
Les services PhotoRobot sont hébergés sur des fournisseurs professionnels d’infrastructures cloud (par exemple, Google Cloud Platform), qui mettent en œuvre des contrôles de sécurité physique et environnementale standards de l’industrie.
5.2. Protection du réseau
- Le trafic réseau est protégé à l’aide de pare-feux et de contrôles d’accès
- Les services publics sont isolés des systèmes internes
- Les composants de l’infrastructure sont surveillés pour la disponibilité et les événements de sécurité
6. Chiffrement et protection des données
6.1. Données en transit
- Les données transmises entre les clients et les services PhotoRobot sont chiffrées en utilisant TLS/HTTPS
- Des canaux de communication sécurisés sont appliqués pour les API et les interfaces cloud
6.2. Données au repos
- Les données stockées dans l’infrastructure cloud sont protégées grâce à des mécanismes de chiffrement fournis par le fournisseur d’hébergement
- L’accès aux données stockées est limité aux systèmes et personnels autorisés
7. Enregistrement, surveillance et détection d’incidents
7.1. Journalisation
- Les journaux système sont générés pour des événements opérationnels et liés à la sécurité
- Les journaux sont utilisés pour le dépannage, la surveillance et l’analyse des incidents
7.2. Surveillance
- Les services sont surveillés pour la disponibilité, les performances et les anomalies
- Des alertes sont déclenchées en cas de comportement anormal ou de perturbation du service
8. Intervention en cas d’incident et gestion des violations
PhotoRobot maintient des procédures pour gérer les incidents de sécurité, y compris les violations de données personnelles.
Ces procédures incluent :
- Identification et évaluation des incidents
- Mesures d’atténuation et de confinement
- Escalade interne
- communication avec les clients lorsque nécessaire
- conformité aux obligations de notification des violations du RGPD (articles 33 et 34 du RGPD)
9. Sauvegarde, disponibilité et continuité des activités
9.1. Sauvegardes
- Les sauvegardes de données sont effectuées dans le cadre des opérations cloud standard
- Les sauvegardes sont utilisées pour la reprise après sinistre et la continuité du service
9.2. Disponibilité
- Des efforts raisonnables sont faits pour maintenir une forte disponibilité des services
- Les activités de maintenance planifiée peuvent entraîner des interruptions temporaires du service
Les détails concernant les objectifs de disponibilité et les temps de réponse sont décrits séparément dans les Accords de Niveau de Service (SLA) applicables.
10. Développement sécurisé et gestion du changement
10.1. Pratiques de développement sécurisées
PhotoRobot suit des processus structurés de développement et de déploiement, notamment :
- séparation des environnements de développement, de test et de production lorsque cela est approprié
- Procédures de déploiement contrôlées
- Contrôle de version et suivi des modifications
10.2. Mises à jour et correctifs
- Les composants logiciels sont mis à jour pour corriger les vulnérabilités de sécurité
- Les mises à jour critiques sont priorisées en fonction de l’évaluation des risques
11. Sous-traiteurs et tiers
PhotoRobot peut mobiliser des sous-processeurs pour soutenir la prestation des services (par exemple, hébergement, services de messagerie).
- Les sous-traiteurs sont sélectionnés en fonction de leurs pratiques de sécurité et de protection des données
- Une liste actuelle des sous-processeurs est tenue séparément et rendue publique
12. Sécurité physique
L’accès physique aux serveurs et centres de données est géré par le fournisseur d’infrastructure cloud et comprend :
- Contrôles d’accès
- Surveillance et surveillance
- Protection de l’environnement
PhotoRobot n’exploite pas ses propres centres de données.
13. Minimisation et rétention des données
- Seules les données nécessaires à la fourniture du service sont traitées
- Les données personnelles ne sont conservées que tant que nécessaire pour des raisons contractuelles, juridiques ou opérationnelles
- Les périodes de suppression et de conservation des données sont définies dans les politiques et accords pertinents
14. Revue et mises à jour
Ces mesures techniques et organisationnelles sont révisées périodiquement et mises à jour si nécessaire afin de prendre en compte :
- Évolutions technologiques
- Modifications des services
- Exigences en matière de sécurité et de réglementation en évolution
Des modifications importantes peuvent être communiquées aux clients selon le cas.
15. Informations de contact
Pour les questions concernant ces mesures techniques et organisationnelles :
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prague 1
République tchèque
Email : legal@photorobot.com
Note finale
Ces TOM décrivent les mesures techniques et organisationnelles actuelles de PhotoRobot et visent à offrir transparence et assurance aux clients. Ils ne garantissent pas un service ininterrompu ou une sécurité absolue, mais reflètent une approche proportionnée et basée sur les risques en matière de protection des données et de sécurité de l’information.