Sécurité et conformité

Règlement général sur la protection des données (RGPD)

Le RGPD est entré en vigueur en Europe le 25 mai 2018 et est un règlement qui protège les droits d’un individu en ce qui concerne les données personnelles et la confidentialité des données qui y sont liées.

En tant qu’organisation ayant une large présence en Europe, GTT prend le RGPD très au sérieux et dispose de contrôles de sécurité stricts conformes au RGPD. Nous suivons les directives de la réglementation elle-même et sommes également alignés sur les méthodologies, les cadres et les normes de sécurité reconnus à l’échelle internationale.

Vous trouverez ci-dessous l’intégralité de notre section sur la sécurité et la conformité.

La plupart des normes et des cadres de sécurité de l’information mettent l’accent sur les personnes, les processus et la technologie. De plus, les mêmes normes prévoient des contrôles spécifiques relatifs à la sécurité physique des actifs utilisés pour stocker ou accéder à l’information. Pour en savoir plus sur le RGPD et la manière dont nous nous y conformons, consultez notre FAQ ci-dessous.

CERTIFICATIONS DE SÉCURITÉ

Norme ISO 27001

ISO 27001 est une norme de renommée internationale considérée comme une référence par la plupart des organisations et des professionnels de la sécurité. La norme ISO 27001 contient les contrôles de sécurité fondamentaux que les autres normes utilisent comme base. GTT est conforme à la norme ISO 27001 :2022 sur plusieurs sites, veuillez consulter la liste des certifications pour plus d’informations.

La série ISO 27001 se concentre sur l’ensemble de la pile de sécurité de l’information. Tous les aspects de la sécurité de l’information entourant les éléments fondamentaux des personnes, des processus, de l’organisation et de la technologie sont pris en compte. Il dispose également de contrôles spécifiques autour de la sécurité physique qui se rapportent à l’accès physique aux actifs sur lesquels des informations sont stockées, ou qui peuvent être utilisés pour accéder aux informations elles-mêmes.

La norme elle-même est fondamentalement centrée sur le déploiement d’un système de gestion de la sécurité de l’information (SMSI) qui permet de s’assurer qu’une organisation comprend sa posture de sécurité de l’information et s’efforce de l’améliorer continuellement.

GTT utilise une approche d’amélioration continue de la sécurité pour tous ses objectifs de sécurité de l’information. Cela comprend l’identification, le classement, le contrôle et le maintien continus des risques. Le cycle de vie de GTT est basé sur le cycle de vie PDCA (Plan, Do, Check and Act) d’Edward Deming, qui est internationalement reconnu et utilisé par de nombreuses normes et cadres.

GTT est évaluée et régulièrement auditée par des tiers indépendants par rapport à la norme ISO 27001 afin de garantir le maintien continu de normes élevées.

RAPPORTS SOC 1 ET SOC 2

SOC est l’abréviation de « Service Organization Control » (contrôle de l’organisation des services). Les rapports d’assurance de service SOC1 et SOC 2 sont fournis par des tiers indépendants (auditeurs) dans le cadre d’un cadre de contrôle défini.

Un rapport SOC1 examine les contrôles d’une organisation de services qui sont pertinents pour le contrôle interne d’une entité utilisatrice en matière d’information financière. Il est spécifiquement destiné à répondre aux besoins des clients qui ont besoin d’une assurance sur l’efficacité des contrôles de l’organisation de services sur les états financiers des clients. Le périmètre SOC 1 de GTT comprend l’hébergement managé et les services VDC.

Un rapport d’audit SOC 2 fournit des informations détaillées et une assurance sur les contrôles de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité, en fonction de leur conformité aux TSC (Trust Services Criteria) de l’AICPA (American Institute of Certified Public Accountants). Le périmètre SOC 2 de GTT comprend les services SD-WAN et SIP Trunk.

PCI DSS

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité de l’information régie par le Conseil des normes de sécurité PCI. Le Conseil a été fondé par les principales marques de paiement - American Express, Discover, Visa, JCB et MasterCard. Son objectif est d’élaborer et de maintenir des normes communes qui encouragent la sécurité des données des titulaires de cartes et de faciliter l’adoption généralisée de mesures cohérentes de sécurité des données dans l’ensemble de l’industrie.

La norme PCI DSS s’applique à toutes les entités impliquées dans le traitement des cartes de paiement. Cela comprend les commerçants, les entreprises de traitement, les acquéreurs, les émetteurs et les fournisseurs de services. La norme PCI DSS s’applique également à toutes les autres entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d’authentification sensibles.

Si vous souhaitez demander l’attestation de conformité (AOC) et le modèle de responsabilité PCI DSS de GTT, veuillez contacter votre responsable de compte.

CERTIFICATIONS DU SECTEUR PUBLIC AU ROYAUME-UNI

PSN

Le Public Services Network (PSN) est le réseau de haute performance du gouvernement britannique, qui aide les organisations du secteur public à travailler ensemble, à réduire les doublons et à partager les ressources. Pour être conforme au PSN, un fournisseur de services doit également être certifié ISO 27001.

PSN nous permet de fournir des services aux organisations du secteur public avec le statut OFFICIEL. GTT se connecte au réseau de transport gouvernemental (GCN) qui est au cœur du PSN. GTT s’engage à faire du PSN un service précieux pour ses clients du gouvernement britannique.

CONFORMITÉ GÉNÉRALE

Norme ISO 20000

ISO 20000 est une norme mondiale qui décrit les exigences d’un système de gestion des services de technologie de l’information (ITSM). La norme a été élaborée pour refléter les meilleures pratiques décrites dans le cadre de la bibliothèque d’infrastructure informatique (ITIL).

Cette norme internationale de gestion des services informatiques (ITSM) permet aux organisations informatiques (qu’elles soient internes, externalisées ou externes) de s’assurer que leurs processus ITSM sont alignés à la fois sur les besoins de l’entreprise et sur les meilleures pratiques internationales.

ISO 20000 aide les organisations à comparer la façon dont elles fournissent des services gérés, à mesurer les niveaux de service et à évaluer leurs performances. Il est largement aligné sur l’ITIL et s’en inspire fortement.

STRATÉGIE FISCALE DE GTT COMMUNICATIONS INC.

La présente déclaration de politique générale couvre les activités de GTT Communications Inc. (« GTT » ou la « Société ») au Royaume-Uni et vise à satisfaire à l’obligation de publication de la stratégie fiscale du Royaume-Uni en vertu de l’annexe 19 de la loi de finances 2016.

L’approche de GTT en matière de gestion des risques fiscaux et de gouvernance

GTT s’engage à (i) respecter les lois fiscales de manière responsable et (ii) à établir et à maintenir des relations de travail professionnelles et constructives avec les autorités fiscales, sur la base de principes de transparence et de confiance mutuelles. Ces engagements, qui sont expliqués plus en détail ci-dessous, s’appliquent à tous les pays et à tous les collaborateurs.

Le département fiscal de GTT gère, examine et rend compte des risques fiscaux de manière proactive, et emploie une équipe fiscale expérimentée qui fait partie de la fonction financière centrale et rend compte au directeur financier (« CFO »). La responsabilité quotidienne de ces fonctions incombe au vice-président de la fiscalité (le « vice-président de la fiscalité ») qui relève du directeur financier. Le comité d’audit de la Société supervise les politiques et les affaires fiscales de la Société au moyen d’examens périodiques.

L’équipe de fiscalité, qui est dirigée par le vice-président de la fiscalité, est responsable de la gestion quotidienne des affaires fiscales, à moins que la reddition de comptes ne soit clairement déléguée et acceptée ailleurs. Toute décision à prendre en ce qui concerne des questions fiscales incertaines fait l’objet d’un soin et d’un jugement professionnels diligents de la part de l’équipe fiscale, mais aussi après consultation et justification de la décision auprès des équipes de direction locales et internationales. Dans les situations où le niveau d’incertitude est élevé, le service fiscal fera appel à des conseillers externes pour l’aider à évaluer les risques.

La Société gère les coûts fiscaux en maximisant l’efficience fiscale des transactions commerciales. Il s’agit notamment de profiter des incitatifs et des exonérations fiscales disponibles. Cela se fait d’une manière qui est alignée sur les objectifs commerciaux de la Société et qui répond à ses obligations légales et à ses normes éthiques. Cela doit également être fait d’une manière que la Société estime raisonnablement ne pas être contraire aux intentions claires de la législation concernée.

L’approche de GTT en matière de planification fiscale

GTT reconnaît qu’elle est responsable du paiement d’un montant d’impôt approprié au Royaume-Uni. Dans ce contexte, GTT doit trouver un équilibre entre ses responsabilités et maximiser ses rendements durables pour ses actionnaires. GTT n’entreprendra aucune planification fiscale qui ne puisse être soutenue par les exigences commerciales du groupe et qui n’ait pas de substance économique. GTT n’entreprendra aucune planification fiscale à moins qu’elle n’estime que la stratégie est conforme à la législation fiscale et qu’elle a plus de chances de réussir.

L’approche de GTT en matière d’établissement et de maintien des relations avec les autorités fiscales

La Société s’engage à établir des relations de travail constructives avec le HMRC sur la base d’une politique de divulgation complète afin d’éliminer l’incertitude dans ses transactions commerciales et de permettre aux autorités d’examiner les risques possibles.

Des conseils fiscaux seront demandés à des conseillers externes dans le cadre d’opérations importantes incertaines ou lorsque le service fiscal n’a pas le niveau d’expertise requis dans un domaine particulier. Tous les avis fiscaux reçus sont une aide, et non un substitut, au jugement professionnel que l’équipe doit exercer. Le cas échéant, des solutions basées sur les meilleures pratiques seront recherchées ou une telle question pourra être discutée avec le HMRC, car la meilleure façon d’éviter des litiges coûteux est de parvenir à un consensus sur les questions à l’avance.

CERTIFICATS DE CENTRE D’OPÉRATIONS

Q. Qui est concerné par le RGPD ?

Un. Le règlement général sur la protection des données (RGPD) s’applique non seulement aux organisations situées au sein de l’UE, mais également aux organisations situées en dehors de l’UE si elles offrent des biens ou des services aux personnes concernées de l’UE ou surveillent leur comportement.

Q. Quelles sont les sanctions en cas de non-conformité ?

R. Les organisations peuvent être condamnées à une amende allant jusqu’à 4 % du chiffre d’affaires mondial annuel pour violation du RGPD ou 20 millions d’euros, le montant le plus élevé étant retenu. Il s’agit de l’amende maximale qui peut être infligée pour les infractions les plus graves. Il est important de noter que ces règles s’appliquent à la fois aux responsables du traitement et aux sous-traitants, ce qui signifie que le RGPD soumet les sous-traitants à une responsabilité directe dans certaines circonstances, par exemple en ce qui concerne une violation de la sécurité des données et à une responsabilité conjointe envers les personnes concernées lorsque le responsable du traitement est fautif.

Q. Qu’est-ce qu’une donnée à caractère personnel ?

R. Toute information relative à une personne, qui peut être utilisée pour identifier directement ou indirectement cette personne. Il peut s’agir d’un nom, d’une photo, d’une adresse e-mail, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d’informations médicales ou d’une adresse IP d’ordinateur.

Q. GTT est-elle certifiée RGPD ?

R. Le RGPD est une réglementation à laquelle, si elle entre dans son champ d’application, les organisations doivent se conformer. À l’heure actuelle, il n’existe pas de critères de certification approuvés ni d’organismes de certification accrédités pour la délivrance de certificats RGPD. GTT est titulaire d’une certification ISO 27001 :2022 pour son système de gestion de la sécurité de l’information et ses mesures techniques et organisationnelles sont basées sur le cycle Planifier, Faire, Vérifier, Agir. GTT est évaluée et régulièrement auditée par des tiers indépendants afin de s’assurer que les normes de sécurité les plus élevées sont maintenues et améliorées en permanence.

Q. Comment GTT se conforme-t-elle au RGPD ?

R. Nos clients choisissent de travailler avec nous parce que l’un des piliers fondamentaux du succès de notre entreprise est notre solide cadre de confidentialité des données. Il garantit le respect des lois en vigueur en matière de confidentialité et de protection des données et encourage une culture des meilleures pratiques en matière de traitement des données. En tant que fournisseur de services de télécommunications, nous adhérons à la directive ePrivacy (directive sur la vie privée et les communications électroniques) et suivons également une législation stricte en matière de télécommunications spécifique à chaque pays, qui peut parfois prévaloir sur le RGPD.

GTT applique ce que nous considérons comme une technologie de pointe pour sécuriser les données que nous détenons pour le compte de nos clients. En mettant en œuvre des politiques, des procédures et des processus détaillés qui sont certifiés conformes aux normes de sécurité des données les plus rigoureuses acceptées par l’industrie, nous nous engageons pleinement à fournir des solutions conformes, multi-juridictionnelles, séparées et sécurisées à tous nos clients. GTT est également alignée sur plusieurs systèmes de certification bien connus tels que ISO 27001 et PCI-DSS. GTT s’engage à respecter ces normes et applique des contrôles techniques, physiques et de cybersécurité robustes.

Q. Comment GTT réalise-t-elle les principaux aspects techniques du RGPD, tels que la protection de la vie privée dès la conception ou les analyses d’impact sur la confidentialité des données (AIPD) ?

R. GTT réalise des évaluations d’impact sur la confidentialité des données sur tous les aspects de ses activités, tant en interne que pour les produits utilisés par nos clients. GTT applique la protection de la vie privée dès la conception par le biais de processus de gouvernance tels que les conseils d’architecture et en tant qu’étape clé au début de chaque projet.

Q. Ma solution ou mon service GTT peut-il être adapté aux besoins de conformité de mon entreprise en matière de conformité au RGPD ?

R. Oui, GTT peut adapter n’importe quel service sur mesure aux exigences de ses clients et pour répondre au RGPD. Nous disposons de plusieurs offres de cybersécurité qui peuvent aider nos clients à atteindre un niveau élevé de maturité en matière de cybersécurité et, par conséquent, à se conformer au RGPD.

Q. Où puis-je en savoir plus sur la conformité au RGPD chez GTT ? Comment puis-je demander à GTT une assistance en matière de protection des données personnelles ?

R. GTT a établi une Politique de confidentialité que nous encourageons nos clients, employés, agents, sous-traitants et fournisseurs à lire. L’objectif de la présente Politique est de décrire la manière dont GTT collectera et gérera les informations personnelles conformément à toutes les législations applicables en matière de protection de la vie privée. GTT dispose d’une équipe de protection des données chargée d’assurer la conformité au RGPD. L’équipe de protection des données peut être contactée par e-mail à l’adresse suivante : [email protected]

NOTRE CLASSEMENT GARTNER

4,2

62 avis

88 %

au cours des 12 derniers mois

Contacter un expert

Vous souhaitez en savoir plus sur les produits et services de GTT ? Veuillez remplir ce court formulaire pour planifier un appel avec l’un de nos consultants avant-vente.

Merci pour vos informations. L’un de nos consultants avant-vente prendra contact avec vous.