Conformité par rapport à nos employés et fournisseurs
AppSignal B.V. est l’entité qui possède et exploite le service AppSignal, une entreprise située aux Pays-Bas et donc soumise au droit néerlandais et européen. Cette entité est entièrement conforme au RGPD, ce qui signifie que nous ne demandons et ne traitons que des données basées sur des bases légales telles que définies dans le RGPD. En coopération avec notre conseiller juridique, nous avons fait une évaluation approfondie de tous nos processus et stockages de données. Lorsque nécessaire, nous avons modifié nos politiques et procédures internes pour être en conformité avec le RGPD, et supprimé les données dont nous n’avions pas besoin ou que nous ne souhaitions pas. Nous avons également défini une nouvelle politique de confidentialité et rédigé un accord de traitement des données (plus de détails ci-dessous). Enfin, nous avons contacté nos fournisseurs pour demander des accords garantissant que nous restions conformes lors de l’utilisation de leurs services.Conformité par rapport à nos clients
Par rapport à nos clients, AppSignal est à la fois Contrôleur de données et Sous-traitant de données selon le type de données collectées.Contrôleur de données
AppSignal est le Contrôleur de données pour les informations que nous collectons sur nos clients et visiteurs, ce qui signifie qu’en tant que Contrôleur, nous déterminons les « finalités et moyens » des données que nous collectons. Quelques exemples : leur nom, leur adresse e-mail, leur numéro de carte de crédit, et toutes les autres données que nous collectons sur la base des bases légales du RGPD. Ces données sont protégées par diverses politiques et procédures. Lors du partage de données avec des fournisseurs, nous nous sommes assurés qu’il existe des contrats en place qui garantissent qu’ils reçoivent et traitent également ces données de manière légale. Vous pouvez en savoir plus sur les données que nous collectons et dans quel but dans notre nouvelle politique de confidentialité.Sous-traitant de données
Nos clients sont les Contrôleurs de données pour les données que leurs applications recueillent et envoient à AppSignal. AppSignal traite ces données en leur nom, ce qui nous rend le Sous-traitant de données. Pour permettre à nos clients d’être entièrement conformes au RGPD tout en utilisant AppSignal, nous avons pris diverses mesures. En bref : AppSignal ne souhaite pas recevoir de données personnelles concernant vos visiteurs, et fournira les outils qui vous permettront de supprimer ces informations avant de les envoyer à AppSignal pour traitement. Pour plus de détails, voir ci-dessous.Accord de traitement des données
Nous avons créé un Accord de traitement des données qui explique par exemple comment nous sommes Sous-traitant de données, comment nous limitons le traitement au niveau nécessaire pour être en mesure de fournir le service AppSignal, que nous veillerons à ce que nos fournisseurs soient également conformes, etc. (il s’agit d’une liste incomplète à des fins illustratives uniquement ; veuillez consulter l’Accord de traitement des données complet pour tous les détails). L’Accord de traitement des données est accessible à tous les propriétaires d’une organisation sur AppSignal. Ouvrez l’Accord de traitement des données pour votre organisation (il y en a un pour chaque organisation). Vous pouvez signer numériquement l’Accord de traitement des données, et une fois signé, nous afficherons qui l’a signé et quand.En-têtes de requête autorisés uniquement
Nous avons toujours veillé à supprimer toute donnée personnelle des événements entrants tels que les requêtes de base de données, mais nous stockions les en-têtes de requête tels queREMOTE_ADDR. Selon l’architecture, cela peut exposer des informations utiles sur les équilibreurs de charge ou les adresses IP internes. Dans la plupart des cas, cependant, cela envoyait les adresses IP des visiteurs à AppSignal. Étant donné que les adresses IP sont des données personnelles, nous avons créé une liste d’autorisation par défaut d’en-têtes que nous pensons ne pas contenir de données personnelles. Les clients peuvent ajouter des en-têtes supplémentaires à la liste d’autorisation (Ruby / Elixir) selon les besoins, à condition qu’ils n’identifient pas une personne (par exemple, si REMOTE_ADDR contient l’adresse IP d’un équilibreur de charge, c’est acceptable).
Tous les en-têtes non autorisés sont supprimés avant d’être envoyés à AppSignal.
Options de filtrage pour les paramètres et les données de session
Nous avions déjà des options de filtrage pour les paramètres depuis longtemps, mais dans notre documentation sur le filtrage des paramètres, nous soulignons maintenant l’importance par rapport au RGPD. Les récentes versions de la gem Ruby, du package Elixir et du package Node.js étendent cette fonctionnalité de filtrage aux données de session également. Elle permet aux clients d’envoyer des paramètres à AppSignal sans exposer de données personnelles, en remplaçant ces données par[FILTERED]. Alternativement, un client peut choisir de ne pas envoyer de paramètres (Ruby) ou de données de session (Ruby / Elixir / Node.js)) du tout.
Les données sont filtrées avant d’être envoyées à AppSignal.