Cybee est-il conforme au RGPD ?
Oui — et pas seulement par déclaration : la conformité RGPD de Cybee est organisée contractuellement, avec un accord de traitement des données (DPA) directement intégré aux Conditions Générales de Vente. Pas d’annexe à négocier ni de document séparé à réclamer : les engagements de l’article 28 du RGPD font partie du socle contractuel de tout client.
Des rôles clairement définis
Pour les données personnelles susceptibles d’être contenues dans les sauvegardes, le client est responsable de traitement et Cybee est sous-traitant, au sens de l’article 28 du RGPD. Le traitement est précisément décrit : hébergement et conservation des données sous forme chiffrée, restauration à la demande du client, effacement — pour la seule finalité de fourniture du service de sauvegarde.
Une particularité structurelle mérite d’être soulignée : les données sauvegardées étant chiffrées à la source, Cybee n’y a aucun accès en clair et ne peut pas en identifier le contenu. C’est la mesure de sécurité principale au titre de l’article 32 du RGPD — une protection technique, pas seulement organisationnelle.
Les engagements de Cybee en tant que sous-traitant
- Ne traiter les données que sur instructions documentées du client, matérialisées par le contrat et le paramétrage du service ;
- Soumettre à une obligation de confidentialité toute personne autorisée à intervenir sur le service ;
- Tenir un registre des activités de traitement effectuées pour le compte du client ;
- Fournir les informations nécessaires à la démonstration de conformité et permettre la réalisation d’audits ;
- Notifier au client toute violation de données dans un délai maximal de 72 heures après en avoir pris connaissance, avec les informations utiles à ses propres obligations de notification ;
- En fin de contrat, restituer et/ou supprimer les données dans le cadre de la réversibilité.
Localisation : 100 % Union européenne, jusqu’aux outils d’exploitation
Les données sauvegardées sont hébergées exclusivement au sein de l’Union européenne, et aucun transfert hors UE/EEE n’est réalisé par Cybee ni par ses sous-traitants. La liste des sous-traitants ultérieurs — les hébergeurs T Cloud Public et Leviia — figure au contrat, et tout projet d’ajout ou de remplacement fait l’objet d’une information préalable avec un préavis de 30 jours, ouvrant au client un droit d’objection.
Un engagement va plus loin que la pratique courante du marché : les outils périphériques utilisés pour exploiter le service — supervision, gestion des demandes de support, envoi de notifications — reposent sur des logiciels open source hébergés par Cybee ou opérés par des prestataires établis dans l’Union européenne, non soumis à des législations de pays tiers à portée extraterritoriale. Chez la plupart des éditeurs, c’est précisément par ces outils annexes (ticketing, monitoring, e-mailing américains) que les données de gestion fuient hors d’Europe.
L’assistance au responsable de traitement
Cybee apporte son concours au client pour l’exécution de ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notifications, analyses d’impact) et pour donner suite aux demandes d’exercice des droits des personnes concernées — dans la mesure permise par la nature du traitement, puisque Cybee n’a pas accès au contenu des données.
Un référent protection des données est désigné, joignable à l’adresse dpo@cybee.fr, pour toute question relative aux données personnelles.
Pour aller plus loin :