RGPD et traitement des données
Maintenu par : Aether365 Team Public : Délégués à la protection des données et équipes juridiques Périmètre : Rôles RGPD, droits des personnes concernées et engagements de conformité d'Aether365
Aether365 est conçu pour aider les organisations à respecter leurs obligations RGPD, mais en tant que plateforme SaaS, il traite également des données personnelles pour votre compte. Cette page explique la base légale du traitement, vos droits et comment les exercer.
Rôles au regard du RGPD
| Rôle | Partie | Périmètre |
|---|---|---|
| Responsable de traitement | Votre organisation | Vous déterminez les finalités et les moyens du traitement (vous avez choisi de connecter votre tenant M365 à Aether365) |
| Sous-traitant | Aether365 | Nous traitons les données selon vos instructions (exécution de contrôles de sécurité sur votre tenant) |
| Sous-traitant ultérieur | Notre fournisseur d'infrastructure cloud, Stripe, etc. | Traite les données pour le compte d'Aether365 - voir Résidence des données |
Base légale du traitement
Aether365 traite les données personnelles sur les bases légales suivantes :
| Activité de traitement | Base légale | Notes |
|---|---|---|
| Création et gestion de compte | Exécution du contrat (Art. 6(1)(b)) | Nécessaire pour fournir le service |
| Analyse de la configuration Microsoft 365 | Exécution du contrat (Art. 6(1)(b)) | Fonction principale du service |
| Lecture des données Microsoft Graph | Intérêt légitime (Art. 6(1)(f)) | L'analyse de sécurité nécessite la lecture des données de configuration |
| Envoi d'e-mails de rapport d'analyse | Exécution du contrat | Vous avez configuré les notifications par e-mail |
| Facturation et traitement des paiements | Exécution du contrat | Nécessaire pour les plans payants |
Données personnelles traitées
Lorsqu'Aether365 analyse votre tenant Microsoft 365, il peut lire des données de configuration qui incluent des identifiants personnels :
- Noms d'utilisateur principaux (UPN) - Adresses e-mail utilisées comme identifiants dans les attributions de politiques
- Identifiants d'objet - Identifiants Microsoft Entra pour les utilisateurs, groupes et principaux de service
- Noms d'affichage - Noms d'affichage des utilisateurs et groupes dans les contextes d'attribution de rôles
Ces données sont utilisées uniquement pour évaluer les contrôles de sécurité et sont stockées dans les résultats d'analyse. Elles ne sont utilisées à aucune autre fin.
Aucune AI ni profilage automatisé
Aether365 n'utilise ni intelligence artificielle ni apprentissage automatique pour traiter les données personnelles qu'il lit dans votre tenant. Vos données de configuration et vos résultats d'analyse ne sont jamais transmis à un service d'AI ou de grand modèle de langage, ni utilisés pour entraîner des modèles d'AI, ni soumis à une décision automatisée ou à un profilage au sens de l'Article 22 du GDPR.
Droits des personnes concernées
En tant que responsable de traitement, votre organisation est responsable de répondre aux demandes des personnes concernées de vos utilisateurs Microsoft 365. Aether365 ne stocke que des données de configuration - le contenu des e-mails individuels, les documents personnels ou la correspondance personnelle ne sont jamais traités.
En tant que personne concernée de votre propre compte Aether365 (votre adresse e-mail et les données de compte), vous disposez des droits suivants au titre du RGPD :
| Droit | Comment l'exercer |
|---|---|
| Accès (Art. 15) | Envoyez un e-mail à privacy@aether365.io |
| Rectification (Art. 16) | Mettez à jour votre compte dans les Paramètres, ou envoyez-nous un e-mail |
| Effacement (Art. 17) | Envoyez un e-mail à privacy@aether365.io pour demander la suppression complète du compte |
| Portabilité (Art. 20) | Exportez vos données d'analyse via CSV ou API, ou demandez un export complet par e-mail |
| Limitation (Art. 18) | Envoyez un e-mail à privacy@aether365.io |
| Opposition (Art. 21) | Envoyez un e-mail à privacy@aether365.io |
Nous répondons à toutes les demandes des personnes concernées dans un délai de 30 jours.
Accord de traitement des données
Un Accord de Traitement des Données (DPA) est disponible pour les clients des plans Pro et Enterprise. Le DPA :
- Documente les obligations d'Aether365 en tant que sous-traitant
- Spécifie les mesures de sécurité techniques et organisationnelles
- Liste les sous-traitants ultérieurs et leurs localisations
- Définit les procédures pour les demandes des personnes concernées, les violations de données et les droits d'audit
Pour recevoir le DPA, envoyez un e-mail à privacy@aether365.io. Les clients Enterprise bénéficient du DPA inclus dans leur contrat ; les clients Pro peuvent en faire la demande sans frais supplémentaires.
Notification de violation de données
En cas de violation de données personnelles affectant vos données, Aether365 vous notifiera dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.
Les notifications seront envoyées à l'adresse e-mail du propriétaire du compte. Les clients Entreprise peuvent désigner une adresse de contact sécurité distincte.
Pour signaler un incident de sécurité : security@aether365.io
Autorité de contrôle
Aether365 est enregistré dans l'UE. Notre autorité de contrôle principale est l'Autorité suédoise pour la protection de la vie privée (IMY - Integritetsskyddsmyndigheten).
Vous avez le droit de déposer une plainte auprès de votre autorité de contrôle locale si vous estimez que nous avons traité vos données de manière illicite.