S’inscrire

Mesures techniques et organisationnelles (MTO)

Chez Friendly, nous prenons la protection des données et la sécurité de l’information très au sérieux. Nous nous engageons à respecter la nouvelle loi suisse sur la protection des données (nLPD) ainsi que le Règlement général sur la protection des données de l’UE (RGPD). Grâce à des mesures techniques et organisationnelles soigneusement mises en place, nous veillons à ce que les données que vous nous confiez soient stockées en toute sécurité et protégées contre tout accès non autorisé.

Nous protégeons concrètement la confidentialité, la disponibilité et l’intégrité de toutes les données traitées, de manière appropriée à leur niveau de sensibilité. Vous trouverez ci-dessous des informations détaillées sur la manière dont nous mettons cela en œuvre.

1. Responsabilité

Le responsable du traitement des données est Friendly GmbH, Werkhofstrasse 5, 6052 Hergiswil, Suisse.

Vous pouvez nous contacter par e-mail à l’adresse suivante : .

2. Confidentialité

La confidentialité signifie que les personnes non autorisées ne peuvent pas accéder aux données personnelles.

2.1 Contrôle d’accès physique

Friendly protège les locaux sensibles contre tout accès physique non autorisé grâce à :

  • Centres de données sécurisés : Nos données sont traitées dans des centres de données certifiés ISO 27 001, dotés de contrôles d’accès stricts comme des scanners biométriques, du personnel de sécurité et une vidéosurveillance.
  • Sécurisation des bureaux : L’accès à nos bureaux est réglementé par des clés et réservé aux personnes autorisées. Les visiteurs doivent s’annoncer et sont accompagnés par un employé autorisé.
  • Sécurité du télétravail : La sécurité dans les bureaux à domicile est assurée par un règlement interne complet à destination des collaborateurs.

2.2 Contrôle d’accès aux systèmes

Friendly protège les données personnelles et les données sensibles de l’entreprise contre les accès informatiques non autorisés par :

  • Autorisation des utilisateurs : L’accès à nos systèmes est strictement réservé aux collaborateurs autorisés, qui utilisent des méthodes d’authentification renforcée comme des mots de passe complexes et l’authentification à plusieurs facteurs (MFA). Les accès aux systèmes et aux applications sont enregistrés.
  • Appareils personnels sécurisés : Les collaborateurs peuvent utiliser leurs appareils personnels à des fins professionnelles, à condition qu’ils respectent les mêmes exigences de sécurité que les appareils de l’entreprise (systèmes à jour, disques durs chiffrés, pare-feu activé).
  • Concept de rôles et de droits : L’accès aux données et aux systèmes est accordé selon le principe du besoin de savoir, sur la base d’un modèle clair de rôles et d’autorisations.
  • Chiffrement du réseau : L’accès à nos systèmes et applications est uniquement possible via des connexions chiffrées.
  • Configuration sécurisée des serveurs : Nos serveurs sont protégés par des pare-feux, des systèmes de prévention d’intrusion et des mises à jour de sécurité régulières.

2.3 Contrôle de séparation

Friendly veille à ce que les données des clients soient traitées de manière strictement séparée et qu’aucun tiers non autorisé ne puisse y accéder :

  • Architecture système multi-locataire : Nos applications sont conçues pour traiter les données de différents clients de manière distincte par locataire. Tout mélange ou accès croisé entre locataires est techniquement exclu.
  • Attribution claire des données : Chaque donnée traitée est clairement attribuée à un client spécifique. Cette séparation est appliquée dans toutes les bases de données et applications concernées.
  • Logique d’accès par locataire : L’accès aux données est strictement limité au contexte du locataire concerné. Les contrôles d’accès garantissent qu’aucun collaborateur ni système ne puisse accéder involontairement aux données d’autres clients. Tous les accès aux systèmes et applications sont journalisés.

2.4 Privacy by Design et Privacy by Default

Friendly applique les principes de Privacy by Design et de Privacy by Default lors de la sélection, de la configuration et de l’exploitation des logiciels utilisés :

  • Protection des données par conception (Privacy by Design) : Nous utilisons des solutions logicielles intégrant la protection des données et la sécurité de l’information dès leur conception technique. Lors de la configuration, nous privilégions une conception orientée vers la protection des données.
  • Paramètres respectueux de la vie privée (Privacy by Default) : Nos configurations suivent le principe de minimisation des données, de sorte que seules les données personnelles strictement nécessaires au fonctionnement soient traitées et affichées.

3. Disponibilité

La disponibilité signifie que les données personnelles sont accessibles lorsqu’elles sont nécessaires.

3.1 Contrôle de disponibilité et résilience

Friendly protège les données personnelles contre la perte accidentelle ou la destruction intentionnelle grâce à :

  • Protection contre les facteurs externes et les pannes : Nos centres de données sont équipés de détecteurs de fumée, systèmes d’extinction, surveillance de la température et de l’humidité, climatisation, alimentation de secours et plans d’urgence.
  • Protection contre les attaques : Des mesures de défense contre des attaques connues comme les attaques DDoS (Distributed Denial of Service) sont en place.
  • Infrastructure informatique résiliente : Nos systèmes sont conçus de manière redondante et protégés par des mécanismes tels que le rééquilibrage de charge et les basculements automatiques.
  • Systèmes d’alerte précoce : Des outils automatisés surveillent en continu la disponibilité et la sécurité de nos systèmes et déclenchent des alertes en cas d’anomalies.
  • Surveillance continue : Nos spécialistes IT surveillent en permanence la disponibilité, le bon fonctionnement, la sécurité et la charge de nos systèmes.

3.2 Récupération rapide

Friendly garantit une restauration rapide des données en cas de perte grâce à :

  • Sauvegardes régulières : Des sauvegardes quotidiennes de toutes les données critiques pour l’entreprise sont effectuées et stockées de manière chiffrée dans des lieux sûrs et séparés.
  • Plan d’urgence : Un plan d’urgence écrit pour la restauration rapide en cas de perte de données ou de panne système est mis en place et testé régulièrement.
  • Tests de restauration : Des tests réguliers des procédures de restauration garantissent que toutes les données peuvent être récupérées en cas de besoin.

4. Intégrité

L’intégrité signifie que les données personnelles ne sont pas modifiées de manière non autorisée ou involontaire.

4.1 Contrôle de la transmission

Friendly garantit une transmission sécurisée des données par :

  • Canaux de communication sécurisés : Friendly utilise des canaux de communication chiffrés pour la communication interne.
  • Échange de données sécurisé : Les données sensibles ne sont pas envoyées par e-mail, mais via des services cloud chiffrés.
  • Relations fournisseurs sûres (contrôle des sous-traitants) : Friendly n’utilise que des logiciels tiers de fournisseurs de confiance et obtient contractuellement des garanties quant au respect des normes de sécurité des données.

4.2 Contrôle des entrées

Friendly garantit la traçabilité de toutes les saisies de données par :

  • Documentation et traçabilité : Tous les traitements de données sont enregistrés pour assurer leur traçabilité et leur intégrité.
  • Sécurité des bases de données et des applications : Les bases de données et applications sont configurées de manière à ce que seuls les utilisateurs autorisés puissent y apporter des modifications.
  • Modèle d’autorisations : Les droits de saisie, de modification et de suppression des données sont clairement définis.

4.3 Suppression des données et gestion du cycle de vie des données

Friendly veille à ce que les données personnelles ne soient conservées que pendant la durée nécessaire à la finalité du traitement :

  • Suppression automatisée : Les données personnelles sont supprimées à la fin du contrat, en cas de disparition de la finalité ou à l’expiration des délais légaux de conservation.
  • Obligations d’archivage : Les données devant être conservées pour des raisons légales sont stockées séparément, exclues du traitement actif, puis supprimées une fois le délai expiré.
  • Fonctions de suppression autonome : Les client·e·s peuvent à tout moment supprimer ou modifier leurs données dans le cadre de leurs droits d’administration.

5. Gestion

5.1 Règlements, formations et documentation

Friendly garantit que tous les collaborateurs protègent la confidentialité et l’intégrité des informations grâce à :

  • Règlements internes : Tous les collaborateurs sont soumis à un règlement sur la sécurité de l’information.
  • Accords de confidentialité : Les collaborateurs sont tenus de ne pas divulguer ni utiliser de manière non autorisée des informations confidentielles, pendant et après leur emploi.
  • Documentation : Toutes les mesures et processus visant à garantir la conformité sont documentés de manière exhaustive pour minimiser les erreurs humaines.
  • Formations régulières : Des formations sont régulièrement dispensées aux collaborateurs sur la protection des données et la sécurité de l’information, afin de les sensibiliser aux bonnes pratiques et aux nouvelles menaces.
  • Culture de la sécurité : Nous favorisons une culture de la sensibilisation à la sécurité et une communication ouverte sur les questions liées à la protection des données et à la sécurité.

5.2 Gestion des menaces à la sécurité de l’information

Friendly garantit une réaction efficace aux incidents de sécurité grâce à :

  • Gestion des incidents : Les incidents de sécurité et activités suspectes sont signalés immédiatement et traités conformément à notre plan de réponse aux incidents.
  • Communication rapide avec les clients : Les clients concernés sont informés sans délai en cas d’incident de sécurité.

5.3 Vérification et mise à jour des mesures

Friendly garantit l’actualisation constante de ses standards de sécurité grâce à :

  • Amélioration continue : Nous surveillons en permanence les nouvelles menaces et exigences légales et appliquons un système de gestion axé sur l’amélioration continue de nos normes de sécurité.
  • Tests de pénétration réguliers : Nous effectuons régulièrement des tests de pénétration externes afin d’évaluer l’efficacité de nos mesures de sécurité techniques. Les résultats sont directement intégrés à l’évolution continue de notre architecture de sécurité.
  • Audits réguliers : Des audits internes et externes — notamment pour les certifications ISO 27 001 (sécurité de l’information) et ISO 9 001 (gestion de la qualité) — assurent le respect de nos standards de sécurité.

Mis à jour le : 5 mai 2025