Aller au contenu
FRENFR-CAEN-CA
Contact
Légal · RGPD

Charte RGPD

Nos engagements concrets sur la protection des données — au-delà du minimum réglementaire.

Mises à jour le 19 mai 2026

La présente charte complète notre politique de confidentialité. Elle décrit les engagements concrets que prend Hexceos vis-à-vis des données personnelles que nous traitons — celles de nos prospects et clients, mais aussi celles des utilisateurs finaux dont nos clients nous confient le traitement dans le cadre de nos prestations.

1. Souveraineté des données

Aucune donnée personnelle de nos clients ou de leurs utilisateurs ne quitte l'Union européenne sans accord exprès. Notre infrastructure principale est notre datacenter souverain en France (Île-de-France et Occitanie). Notre point de présence québécois héberge les données canadiennes en conformité avec la Loi 25 et la PIPEDA.

Aucun de nos sous-traitants techniques critiques n'est soumis à des lois extraterritoriales (Cloud Act américain, lois chinoises de surveillance). Lorsque nous utilisons des services tiers pour des fonctions périphériques (outil CRM, helpdesk), nous privilégions les acteurs européens et nous appliquons systématiquement le chiffrement bout-en-bout et les architectures BYOK.

2. Minimisation et finalité

Nous appliquons rigoureusement le principe de minimisation — nous ne collectons que les données strictement nécessaires à la finalité poursuivie. Nous évitons de demander des champs « au cas où », même s'ils seraient commercialement utiles.

Aucune donnée n'est utilisée pour une finalité autre que celle pour laquelle elle a été collectée, sans information préalable des personnes concernées et, le cas échéant, recueil de leur consentement.

3. Sécurité par défaut

Les données personnelles sont protégées par des mesures techniques et organisationnelles standardisées sur l'ensemble de notre périmètre :

  • Chiffrement systématique au repos (AES-256) et en transit (TLS 1.3).
  • Authentification multi-facteurs résistante au phishing sur tous les comptes administrateurs.
  • Contrôle d'accès au moindre privilège, revues d'accès trimestrielles.
  • Surveillance 24/7 par notre SOC internalisé avec EDR/XDR Hexceos Sentinel déployé sur l'ensemble du parc.
  • Sauvegardes immuables 3-2-1 testées trimestriellement.
  • Audits de sécurité indépendants annuels, certifications ISO 27001, ISO 27005 et HDS sur le périmètre concerné.

4. Sous-traitance

La liste complète de nos sous-traitants ayant accès à des données personnelles est tenue à jour et communiquée à tout client qui en fait la demande à [email protected]. Chaque sous-traitant fait l'objet :

  • D'un contrat de sous-traitance conforme à l'article 28 du RGPD.
  • D'une évaluation initiale de sa maturité cyber et juridique.
  • D'une revue annuelle de conformité.
  • D'un droit de notification préalable en cas de changement de sous-traitant ultérieur.

5. Notification rapide des incidents

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées :

  • Notification à la CNIL dans les 72 heures (souvent sous 24 h dans la pratique, comme le démontrent nos retours d'incidents).
  • Information directe et compréhensible des personnes concernées lorsque le risque est élevé.
  • Mise à disposition de notre rapport forensique aux autorités compétentes et aux clients concernés.

Pour les missions clients, le délai de notification entre Hexceos et notre client est contractuel et inférieur à 24 heures pour les incidents critiques.

6. Droits des personnes — au-delà du minimum

Au-delà des droits prévus par le RGPD (voir politique de confidentialité), nous nous engageons à :

  • Répondre aux demandes d'exercice de droits sous 30 jours (souvent sous 10 jours dans la pratique).
  • Ne jamais utiliser le délai réglementaire d'un mois comme une politique systématique.
  • Fournir gratuitement une copie complète des données détenues, y compris pour les demandes répétées si elles sont raisonnables.
  • Faciliter la portabilité par des formats standards (JSON, CSV) plutôt que par PDF non structuré.

7. Délégué à la Protection des Données

Hexceos a désigné un Délégué à la Protection des Données (DPO) qui veille à la conformité de l'ensemble de nos traitements et qui constitue le point de contact privilégié pour toute question relative aux données personnelles.

Délégué à la Protection des Données
Gaëtan Maiuri
Email — [email protected]

8. Engagement de transparence

Nous publions cette charte non parce qu'elle est légalement requise, mais parce que nous estimons que la transparence est une dimension essentielle du contrat de confiance avec nos clients et les utilisateurs finaux dont les données nous sont confiées. Nous l'actualisons à chaque évolution significative de nos pratiques.

Pour toute question, suggestion ou réclamation relative à cette charte, vous pouvez nous écrire à [email protected].