«Nous avons de nouveau pu constater que le BKMS® System assure la protection et la confidentialité des données personnelles grâce à un niveau de sécurité des données particulièrement élevé et à des droits d'accès très différenciés. Avec ce label, cette application autonome répond déjà aux exigences légales strictes du règlement général sur la protection des données.»

– Sebastian Meissner, directeur de l'organisme de certification EuroPriSe

«Avec le BKMS® System, Business Keeper AG a réussi à proposer une solution de lancement d'alerte aussi intelligente qu'efficace dans la protection des données de toutes les parties concernées, comme le confirme la certification EuroPriSe. Je me réjouirais de voir plus d'entreprises faire preuve de l'engagement et de la volonté de Business Keeper AG en matière de protection des données.»

– Kirsten Bock, ancienne responsable de service du Centre indépendant pour la protection des données du Schleswig-Holstein (ULD)

«Business Keeper AG a réussi à mettre en place un système d'alerte qui tient compte non seulement des conditions cadres européennes, mais aussi des strictes règles allemandes en matière de protection des données. Avec les mesures de protection des données mises en place, le BKMS® System se démarque à notre avis nettement des autres systèmes d'alerte.»

– Dr Irene Karper, spécialiste juridique, datenschutz cert GmbH

«Business Keeper AG a mis en œuvre de façon exemplaire la transparence du traitement des données, les mesures techniques et organisationnelles et la protection des lanceurs d'alerte grâce à la fonction de protection des données et à des informations complètes qui favorisent la confiance.»

– Dr Thilo Weichert, ancien directeur de l'ULD

«L'obtention du label de qualité européen en matière de protection des données indique clairement à nos clients ainsi qu'aux lanceurs d'alerte que nous prenons la protection des données très au sérieux pour un sujet aussi sensible que le signalement des abus et de la corruption. Le label EuroPriSe, davantage axé sur la protection des données, complète parfaitement les certificats techniques de sécurité déjà disponibles pour le BKMS® System.»

– Kenan Tur, fondateur et directeur de Business Keeper AG
contact

Protection des données et sécurité de l'information

La protection des données et la sécurité de l'information sont les pierres angulaires du BKMS® Compliance System.

La protection des données et des utilisateurs du BKMS® Compliance System est pour nous une priorité absolue. Nous pouvons prouver que nous n'avons aucun accès interprétable, à aucun moment, aux alertes et aux données des cas de nos clients et de leurs lanceurs d'alerte. À cet effet, nous nous soumettons volontairement à des audits externes réguliers réalisés par des organismes indépendants. En plus de la conception du BKMS® Compliance System, qui est faite pour favoriser la protection des données et comprend de nombreuses fonctions d'application des exigences en la matière, nous fournissons à nos clients des informations sur les bonnes pratiques pour utiliser le système de recueil d'alerte tout en respectant la protection des données.

Les certifications suivantes attestent du niveau exceptionnel de protection des données et de sécurité de l'information du BKMS® Compliance System. Elles symbolisent les exigences particulièrement élevées que nous imposons à notre entreprise et au BKMS® Compliance System.

Label EuroPriSe

L'European Privacy Seal (EuroPriSe) certifie la conformité avec la législation européenne sur la protection des données. Dans le cadre d'un processus d'évaluation et de certification en plusieurs étapes mené par des experts informatiques et juridiques indépendants, la conformité du BKMS® System en matière de protection des données a été comparée aux critères applicables, accessibles au public, en tenant compte des exigences du règlement général de l'UE sur la protection des données (RGPD).

Au cours de la procédure de certification, il a été constaté que les mesures techniques et organisationnelles prises en matière de sécurité et de protection des données dépassaient les exigences légales.

Le label est valide pendant deux ans et comprend une surveillance régulière tous les huit mois. Depuis la certification initiale en 2013, le BKMS® System a été recertifié avec succès tous les deux ans. Les améliorations ultérieures du BKMS® System ont été passées en revue par des experts informatiques et juridiques indépendants et par l'organisme de certification EuroPriSe. Le BKMS® System est le premier système de recueil d'alerte au monde à être certifié selon les critères stricts d'EuroPriSe.

Label de protection des données de l'ULD

Le label de protection des données de l'Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) confirme que la compatibilité du BKMS® System avec la réglementation en matière de protection et de sécurité des données a été déterminée par une procédure formelle. Sur cette base, l'ULD recommande l'utilisation du produit dans les lieux publics du pays. D'autres Länder allemands préconisent également l'utilisation de produits portant le label public de protection des données.

Au terme de la procédure en plusieurs étapes conformément au règlement général sur la protection des données (RGPD), l'ULD certifie que le BKMS® System remplit de manière exemplaire les critères d'évitement des données, d'économie des données et de respect des droits des personnes concernées. Les résultats de la certification initiale en 2013 ont été confirmés par les recertifications passées avec succès en 2015 et 2017. Depuis l'entrée en vigueur du RGPD, l'ULD ne peut malheureusement délivrer des certifications que pour les entreprises et les autorités du Schleswig-Holstein.

Certification ISO 27001

Le système de gestion de la sécurité de l'information de Business Keeper AG a été certifié conforme à la norme ISO 27001. La certification porte sur l'exploitation sécurisée du BKMS® Compliance System. Une attention particulière a été portée au développement de logiciels sécurisés et au fonctionnement hautement disponible du BKMS® Compliance System. Dans ce cadre, il a été prouvé que le BKMS® Compliance System répond à des exigences de sécurité des données beaucoup plus élevées que les systèmes d'autres fournisseurs, chez lesquels il est habituel que seul le système de gestion de la sécurité de l'information du centre de données haute sécurité soit certifié conforme à la norme ISO 27001.

La norme ISO 27001, reconnue à l'échelle internationale, précise les exigences relatives à un système complet de gestion de la sécurité de l'information au sein des organisations afin de garantir la disponibilité, l'intégrité et la confidentialité de l'information. Le point de départ est l'analyse des menaces possibles pour les systèmes informatiques et les informations. Ensuite, les mesures de protection techniques et organisationnelles nécessaires sont définies et mises en œuvre. Les mécanismes de sécurité en place pour maintenir et améliorer continuellement la sécurité informatique de l'organisation sont régulièrement surveillés et mis à jour.

 

Module de sécurité

Le module de sécurité du BKMS® System est régulièrement certifié par un expert indépendant et assermenté. L'examen porte sur des analyses physiques et programmatiques approfondies qui démontrent l'efficacité du chiffrement utilisé dans le système.

Le rapport détaillé avec le certificat (G16 0601 1) le confirme en détail :

  • l'anonymat du lanceur d'alerte est protégé,
  • le décryptage ou l'interprétation des alertes par des tiers ou par Business Keeper AG elle-même n'est pas possible.

Seuls les examinateurs autorisés par le client peuvent décrypter les alertes qui leur sont destinées, et ce, après une procédure de connexion en plusieurs étapes utilisant des mots de passe sécurisés.

 

Test d'intrusion

Pour l'assurance qualité, des tests d'intrusion sont régulièrement effectués par des prestataires de services de sécurité externes de renommée internationale. Ceux-ci confirment qu'il n'y a pas de vulnérabilités connues en matière de sécurité dans le BKMS® Compliance System. Une attestation à jour de ce contrôle régulier peut être consultée publiquement à tout moment.

 

Autres mesures de sécurité dans le BKMS® Compliance System

Centre de données haute sécurité

Le BKMS® Compliance System fonctionne sur des serveurs autonomes dans un centre de données haute sécurité Tier 3+ qui fournit un niveau de sécurité physique supérieur à la moyenne. Le centre de données est certifié conforme à ISO 27001:2013. L'administration et la maintenance des serveurs BKMS® relèvent de la responsabilité exclusive des experts informatiques internes de Business Keeper AG.

Certificat du serveur

Le serveur BKMS® dispose d'un certificat de validation de serveur étendu, qui garantit une légitimation claire et sûre. Ceci donne l'assurance que tous les alertes et la correspondance s'effectuent sur une connexion TLS unique. TLS sécurise la communication entre le navigateur du client, celui du lanceur d'alerte et le serveur BKMS® par des mécanismes cryptographiques standardisés.

Transmission et stockage sécurisés des données

La transmission de données critiques pour la sécurité entre le lanceur d'alerte ou l'examinateur d'alerte et le BKMS® System est protégée par une connexion https. Les espaces réservés au lanceur d'alerte et à l'examinateur responsable sont strictement séparés sur le serveur ; le traitement des systèmes exploités pour les clients est séparé par une technologie portant sur les données. Le cryptage fort du BKMS® Compliance System complète cette séparation, de sorte qu'une recombinaison illicite des données peut être exclue.

Journalisation et cookies

Aucune adresse IP, horodatage ou métadonnée ne sera enregistrée par les lanceurs d'alerte lorsqu'ils utilisent le BKMS® System.

Lors de l'utilisation du BKMS® System, le serveur n'a pas la possibilité de reconnaître le client (ordinateur de l'utilisateur) sans ambiguïté. Pour pouvoir attribuer de façon unique un client au cours d'une session, l'application transfère un cookie de session à l'ordinateur de l'utilisateur. Ce cookie de session, utilisé exclusivement pour la connexion en cours, ne contient qu'un numéro d'identification pour la session en cours et devient invalide lorsque le navigateur est fermé. Ce numéro de session n'a aucun rapport avec le lanceur d'alerte ou les données de l’alerte et n'est nécessaire que pour des raisons techniques.

Sous-traitance pour nos clients

Bien que nous n'ayons pas accès au contenu des alertes, y compris aux éventuelles pièces jointes de nos clients, nous sommes des sous-traitants au sens de l'art. 28 du RGPD européen. C'est pourquoi nous nous conformons à toutes les mesures techniques et organisationnelles requises par l'art. 32 du RGPD pour la sécurité du traitement par les personnes responsables et les sous-traitants. Notre équipe de protection des données et de sécurité informatique accompagne nos clients dans le respect des exigences de protection des données liées à la sous-traitance.

Chez nous, vos données sont entre de bonnes mains

ISO 27001 certificate
BKMS® Compliance System
Data privacy quality seals BKMS® System