Dernière mise à jour : 18 octobre 2024
Le site internet www.tryriot.com (ci-après le « Site »), édité par la société Riot Security, Inc. (ci-après « Riot Security » ou « nous »), permet d’accéder à la solution Riot (ci-après « Solution Riot ») destinée aux entreprises et visant à former et sensibiliser les employés aux risques liés à la cybersécurité (ci-après « Services Cybersécurité »).
Dans le cadre de l’accès, la consultation, la navigation et l’utilisation du Site et de la Solution Riot, vous êtes amené à communiquer à Riot Security des données personnelles vous concernant.
Nous vous remercions de bien vouloir prendre connaissance de la présente politique, vous expliquant comment vos données personnelles sont utilisées par Riot Security et quels sont vos droits à ce sujet. Cette politique vient compléter les Conditions Générales d’Utilisation, ainsi que tout document ou mention d’information renvoyant à la politique.
Au besoin, vous pouvez poser toutes vos questions directement à Riot Security en envoyant un email à l’adresse suivante : support@tryriot.com.
1. Qui est le responsable de traitement de vos données personnelles ?
Lorsque vous utilisez la partie du Site ouvert au public :
- Riot Security est responsable de traitement des données personnelles collectées et traitées pour les besoins de la gestion administrative, opérationnelle et commerciale de la partie du Site ouvert au public en sa qualité d’éditeur.
Lorsque vous utilisez la Solution Riot :
- votre employeur est responsable de traitement des données personnelles collectées et traitées aux fins de la fourniture des Services Cybersécurité auxquels il a souscrit ;
- Riot Security est sous-traitant, agissant au nom et pour le compte de votre employeur, des données personnelles collectées et traitées aux fins de la fourniture des Services Cybersécurité auxquels votre employeur a souscrit.
Au sein de l’Union européenne, Riot Security est représentée par Riot Security SAS.
2. Quelles données personnelles vous concernant sont traitées ?
Toutes les données personnelles ont été directement fournies par vous ou votre employeur, par des partenaires externes, ainsi que générées dans le cadre de l’utilisation des Services Cybersécurité, à savoir :
Catégorie de données | Exemples de données |
|---|---|
Données d’identification | Nom, prénom, photographie |
Coordonnées | Adresse e-mail, numéro de téléphone |
Données professionnelles | Entreprise (nom et secteur), fonction, URL LinkedIn, ancienneté |
Données relatives à votre formation et sensibilisation aux risques liés à la cybersécurité (en fonction des Services Cybersécurité souscrits par votre employeur) | Historique des formations suivies, historique des conversations chatbot, réactions face à une campagne de phishing (email ignoré, email ouvert, email reporté, identifiants compromis, etc.), robustesse du mot de passe, évaluation de votre niveau de sensibilisation aux risques liés à la cybersécurité, dernière demande de carte SIM |
Données relatives à vos échanges avec Riot Security | Date, objet, enregistrements vocaux et vidéo et contenu de vos échanges avec les services internes de Riot Security |
Données relatives à votre candidature à une offre d’emploi au sein de Riot Security | Toute information fournie dans le cadre de votre candidature |
Par ailleurs, certaines données sont automatiquement collectées par le Site via des cookies/traceurs, à savoir :
Catégories de données | Exemples de données | Finalités |
|---|---|---|
Données de connexion et de navigation | Date et heure de connexion, adresse IP, terminal, navigateur, système d’exploitation, localisation, pages consultées, enregistrements des sessions, traces applicatives | Ces données sont nécessaires au bon fonctionnement technique du Site, ainsi que pour la mesure d’audience et la sécurité du Site et de la Solution. Pour plus d’informations sur les cookies/traceurs présents sur le Site et la solution Riot, veuillez consulter la Politique de gestion des cookies. |
Certaines de ces données sont obligatoires, d’autres facultatives pour pouvoir bénéficier pleinement du Site et des Services Cybersécurité souscrits par votre employeur. Le caractère obligatoire ou facultatif des données à renseigner est signalé sur les formulaires de collecte. Si vous refusez de fournir les données obligatoires demandées, Riot Security ne sera pas en mesure de traiter votre demande (ex : création de votre compte Riot Security, fourniture des Services Cybersécurité, traitement de votre candidature à une offre d’emploi au sein de Riot Security, etc.).
3. Pourquoi Riot Security utilise vos données personnelles ?
Lorsque vous utilisez la partie du Site ouvert au public et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), vos données personnelles sont traitées pour les raisons suivantes :
Finalité | Exemples d’utilisation de vos données personnelles | Fondements juridiques |
|---|---|---|
Démonstration de la Solution Riot |
| Mesures précontractuelles et votre consentement à l’enregistrement des démonstrations |
Traitement de vos demandes de contact |
| Intérêt légitime de Riot Security à répondre aux demandes de contact qui lui sont adressées |
Envoi de communications commerciales et marketing |
| Intérêt légitime de Riot Security à développer son activité (avec votre consentement préalable lorsque requis par la loi applicable) |
Traitement de votre candidature à une offre d’emploi au sein de Riot Security |
| Mesures précontractuelles |
Constitution d’une CVthèque |
| Intérêt légitime de Riot Security à constituer une CVthèque de candidats potentiels pour ses futures offres d’emploi |
Amélioration du Site, des Services Cybersécurité et de votre expérience utilisateur |
| Intérêt légitime de Riot Security à améliorer le Site, les Services Cybersécurité et votre expérience utilisateur Votre consentement recueilli au travers de la bannière Cookies |
Gestion d’un précontentieux ou d’un contentieux |
| Intérêt légitime de Riot Security à défendre ses droits et intérêts |
Respect des obligations légales et réglementaires |
| Obligations légales et réglementaires s’imposant à Riot Security en sa qualité de responsable de traitement |
Gestion de la facturation et des contrats |
| Exécution du contrat |
Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), vos données personnelles sont traitées uniquement pour les raisons suivantes :
Finalité | Exemples d’utilisation de vos données personnelles | Fondements juridiques susceptibles d’être utilisés par le responsable de traitement |
|---|---|---|
Création et gestion de votre compte Riot Security | Pour créer votre compte Riot Security (à partir de vos identifiants Slack, Gmail ou Outlook) en qualité de manager pour vous permettre de vous authentifier sur la Solution Riot et ainsi accéder au dashboard des Services Cybersécurité souscrits par votre employeur pour vous permettre de mettre à jour votre compte au besoin | Intérêt légitime de votre employeur à former et sensibiliser ses employés sur les risques liés à la cybersécurité, afin de protéger au mieux ses systèmes d’information |
Fourniture des Services Cybersécurité souscrits par votre employeur | pour vous fournir les Services Cybersécurité souscrits par votre employeur (cours de sensibilisation, exercices phishing, etc.) pour établir des statistiques sur votre niveau de sensibilisation aux risques liés à la cybersécurité | Intérêt légitime de votre employeur à former et sensibiliser ses employés sur les risques liés à la cybersécurité, afin de protéger au mieux ses systèmes d’information |
Respect des obligations légales et réglementaires | Pour respecter les obligations légales et réglementaires applicables pour répondre à vos demandes d’exercice des droits | Obligations légales et règlementaires s’imposant à Riot Security en sa qualité de sous-traitant |
Au choix de votre employeur, la Solution Riot pourra déployer des fonctionnalités impliquant l’intelligence artificielle afin de vous proposer des Services Cybersécurité performants et d’améliorer la sensibilisation des utilisateurs à la protection des données et à la cybersécurité.
4. Qui peut avoir accès à vos données personnelles ?
Destinataires | Finalités |
|---|---|
Riot Security et ses employés autorisés | Aux fins de gestion du Site et de la fourniture des Services Cybersécurité, comme précisé à la section 3 de la présente politique |
Slack Technologies, LLC | Aux fins de vous authentifier sur la Solution Riot à partir de vos identifiants Slack pour accéder à votre compte Riot Security |
Google, Inc. | Aux fins de vous authentifier sur la Solution Riot à partir de vos identifiants Gmail pour accéder à votre compte Riot Security. L'utilisation et le transfert à toute autre application des informations reçues de l'API de Google par le Signalement de phishing à Riot se conformeront à la Politique de données utilisateur des services API de Google, y compris les exigences d'utilisation limitée. |
Microsoft, Inc. | Aux fins de vous authentifier sur la Solution Riot à partir de vos identifiants Outlook pour accéder à votre compte Riot Security |
Prestataires auxquels a recours Riot Security (hébergeur, prestataires informatiques, éditeurs de solutions IT, etc.) | À des fins exclusivement techniques, logistiques ou opérationnelles dans le cadre de la gestion du Site et de la fourniture des Services Cybersécurité, comme précisé à la section 3 de la présente politique |
Autorités administratives ou judiciaires | Uniquement dans l’hypothèse d’une demande expresse et motivée de leur part ou en cas d’infraction avérée à des dispositions légales ou réglementaires |
Conseils externes | Uniquement dans le cadre de la gestion d’éventuels différends, litiges ou de tout autre sujet juridique le cas échéant |
Opérateurs de téléphonie | Lorsque vous utilisez le service Lookup Sim Swap, votre opérateur de téléphonie mobile utilise ou divulgue des informations sur votre compte et votre appareil sans fil, le cas échéant, à Riot Security ou à son prestataire de services pendant la durée de la relation commerciale, uniquement pour vous identifier ainsi que votre appareil sans fil et pour prévenir les fraudes. |
Potentiels acquéreurs | A la suite ou à l’occasion de la restructuration, la reconstitution, l’acquisition, le financement par emprunt, la fusion, la vente d’actifs de Riot Security ou d’une transaction similaire, ainsi qu’en cas d’insolvabilité, de faillite ou de mise sous séquestre dans laquelle des données personnelles sont transférées à un ou plusieurs tiers en tant qu’actifs de Riot Security |
5. Vos données personnelles sont-elles transférées en dehors de l’union européenne/l’espace économique européen ?
Dans la mesure du possible, vos données sont traitées au sein de l’Union européenne (UE)/l’Espace économique européen (EEE). Toutefois, Riot Security ainsi que certains de ces prestataires sont situés dans des pays en dehors de l’UE/EEE.
Riot Security se conforme au cadre de protection des données UE-États-Unis (EU-U.S. DPF) et à l'extension britannique du cadre de protection des données UE-États-Unis, tels que définis par le Ministère américain du Commerce. Riot Security a certifié au Département du commerce des États-Unis adhérer aux principes du cadre UE-États-Unis de protection des données personnelles (principes du DPF UE-États-Unis) en ce qui concerne le traitement des données personnelles reçues de l'Union européenne en vertu du DPF UE-États-Unis et du Royaume-Uni (et de Gibraltar) en vertu de l'extension britannique du DPF UE-États-Unis. En cas de conflit entre les termes de la présente politique de confidentialité et les principes du DPF UE-États-Unis, ce sont les principes qui prévalent. Pour en savoir plus sur le programme du cadre de protection des données (DPF) et pour consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.
Si vous avez une demande ou une plainte à formuler, veuillez nous contacter dpo@tryriot.com afin que Riot Security puisse y répondre. Si Riot Security ne peut satisfaire votre demande, vous pouvez également contacter votre autorité locale de protection des données au sein de l'Espace économique européen ou du Royaume-Uni (selon le cas), avec laquelle Riot Security s'engage à coopérer, pour les plaintes non résolues concernant le traitement de vos données personnelles reçues en vertu du DPF UE-États-Unis et de l'extension britannique du DPF UE-États-Unis. Il est également possible, sous certaines conditions, de recourir à un arbitrage contraignant pour les plaintes non résolues par d’autres mécanismes du DPF, comme indiqué plus en détail sur le site web du DPF. Veuillez également noter que Riot Security est soumis aux pouvoirs d'enquête et de contrôle de la Federal Trade Commission (FTC) des États-Unis.
Dans certains cas, Riot Security peut être tenu de divulguer des données personnelles en réponse à des demandes légales émanant d'autorités publiques, y compris pour répondre à des exigences de sécurité nationale ou de respect de la loi. De plus amples informations sur les garanties mises en œuvre par Riot Security pour protéger les transferts de données à caractère personnel sont disponibles dans notre Data Processing Agreement. Lors du transfert de vos données à caractère personnel à un tiers, Riot Security reste responsable en vertu des principes du DPF.
Dans l’hypothèse où le pays destinataire en question n’assurerait pas un niveau de protection des données personnelles équivalent à celui de l’UE/EEE, Riot Security garantit, à défaut de décision d’adéquation et après qu’ait été conduite une évaluation du niveau de protection de vos droits sur le territoire du pays tiers où est établi le destinataire de vos données personnelles, à prendre toutes les mesures nécessaires pour assurer la protection de vos données personnelles sur la base de garanties appropriées (notamment des clauses contractuelles types). Leur communication pourra être directement obtenue auprès de Riot Security en envoyant un email à l’adresse suivante : dpo@tryriot.com.
Nom du destinataire | Pays tiers | Garanties adoptées |
|---|---|---|
Riot Security, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Slack Technologies, LLC | Etats-Unis | Décision d’adéquation US-UE |
Google, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Microsoft, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Intercom, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Twilio, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Mailgun Technologies, Inc. | Etats-Unis | Clauses Contractuelles Types |
Functional Software, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Datadog, Inc. | Etats-Unis | Décision d’adéquation US-UE |
HubSpot, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Temporal, Inc. | Etats-Unis | Clauses Contractuelles Types |
Airtable, Inc. | Etats-Unis | Clauses Contractuelles Types |
Stripe, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Calendly, Inc. | Etats-Unis | Décision d’adéquation US-UE |
Docusign, Inc. | Etats-Unis | Clauses Contractuelles Types |
OpenAI OpCo, LLC | Etats-Unis | Clauses Contractuelles Types |
Zoom, Inc. | Etats-Unis | Clauses Contractuelles Types |
Superlative Enterprises Pty Ltd | Etats-Unis | Clauses Contractuelles Types |
Etats-Unis | Décision d’adéquation US-UE | |
Google Ads | Etats-Unis | Décision d’adéquation US-UE |
Lever Inc. | Etats-Unis | Clauses Contractuelles Types |
6. Comment Riot Security protège vos données personnelles ?
Riot Security a mis en place des mesures techniques et organisationnelles afin de protéger vos données personnelles, notamment contre d’éventuelles violations susceptibles d’entraîner, de manière accidentelle ou illicite, la destruction, la perte, l’altération, l’accès ou la divulgation non autorisée de vos données personnelles. Ces mesures assurent un niveau de sécurité approprié des données et tiennent compte de l’état des connaissances, des coûts de mise en œuvre par rapport aux risques et de la nature des données à protéger.
Riot Security garantit par ailleurs que toute personne amenée à traiter vos données personnelles respecte les règles et procédures internes relatives à la protection des données personnelles, notamment les mesures de sécurité techniques et organisationnelles mises en place pour protéger vos données personnelles. Dans ce cadre, les pratiques de Riot Security sont régulièrement revues et mises à jour, afin d’assurer la protection et la confidentialité de vos données personnelles et veiller à ce que les règles et procédures internes soient respectées.
Si vous identifiez une vulnérabilité ou si vous voulez signaler un incident de sécurité, nous vous invitons à vous envoyer un e-mail à l’adresse suivante : support@tryriot.com.
7. Combien de temps vos données personnelles sont-elles conservées ?
De façon générale, vos données personnelles ne seront conservées que pendant la période nécessaire pour atteindre les finalités pour lesquelles ces données ont été collectées.
- Lorsque vous utilisez la partie du Site ouvert au public et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), elle conserve :
- les données collectées dans le cadre d’une demande de démonstration de la Solution Riot sont conservées pendant trois (3) ans à compter du jour de la démonstration à des fins de prospection commerciale ;
- les données collectées dans le cadre d’une demande de contact jusqu’au traitement complet de celle-ci ;
- les données collectées dans le cadre de votre candidature à une offre d’emploi pendant deux (2) ans à compter de votre dernier contact avec Riot Security, sauf demande de destruction de votre dossier de votre part ;
- les données de connexion et de navigation sont conservées jusqu’à treize (13) mois à partir de leur collecte.
- Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), elle conserve les données fournies ou générées dans le cadre de l’utilisation de la Solution Riot tout au long de la relation contractuelle qui la lie avec votre employeur. Au-delà, ces données sont conservées pendant un (1) an, supprimées sur demande express ou anonymisées.
8. Quels sont vos droits sur vos données personnelles ?
Lorsque vous utilisez le Site et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), vous pouvez directement contacter Riot Security pour toute question et pour exercer les droits suivants, en envoyant un email à l’adresse suivante : dpo@tryriot.com.
Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), vous pouvez directement contacter votre employeur pour toute question et pour exercer les droits suivants.
Conformément à la réglementation relative à la protection des données personnelles, vous disposez des droits suivants sur vos données personnelles :
- un droit d’accès à vos données personnelles vous permettant d’obtenir des informations claires, transparentes et compréhensibles sur la façon dont vos données personnelles sont utilisées et sur vos droits (telles que fournies dans la présente politique), ainsi qu’une copie de vos données personnelles.
- un droit de rectification de vos données personnelles vous permettant d’obtenir la modification de vos données personnelles si elles sont obsolètes, inexactes ou incomplètes.
- un droit d’opposition au traitement de vos données personnelles lorsqu’il est fondé sur l’intérêt légitime. Ainsi, le traitement cessera, sauf s’il existe des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés, tels que le respect d’une obligation légale (ex : obligation légale de conserver certaines données personnelles) ou encore la constatation, l’exercice ou la défense d’un droit en justice.
- un droit à la limitation temporaire du traitement de vos données personnelles notamment en vue de procéder à des vérifications, à savoir :
- lorsque vous contestez l’exactitude de vos données personnelles, le temps que le responsable de traitement puisse vérifier qu’elles sont correctes ;
- si le traitement est illicite et, plutôt que demander leur effacement, vous préférez limiter leur utilisation ;
- si le responsable de traitement n’a plus besoin de vos données personnelles pour le traitement mais qu’elles restent nécessaires pour vous permettre de constater, exercer ou défendre un droit en justice ;
- si vous vous opposez au traitement en application de votre droit d’opposition, pendant la durée de vérification ayant pour objet de confirmer que les motifs légitimes poursuivis par le responsable de traitement.
- un droit de retirer votre consentement, à tout moment, pour les finalités pour lesquelles nous avons collecté votre consentement.
- un droit à la portabilité de vos données personnelles vous permettant de recevoir les données personnelles que vous nous avez fournies, dans un format informatique structuré, couramment utilisé, et à ce qu’elles soient transmises à un tiers si cela est techniquement possible. Ce droit ne s’exerce pas en toutes circonstances, il ne s’applique qu’à condition qu’il remplisse toutes les conditions suivantes :
- il porte uniquement sur vos données personnelles, excluant toutes les données anonymes ou celles de tiers ;
- il ne porte pas atteinte aux droits et libertés du responsable de traitement (en particulier le secret des affaires) ou des tiers (en particulier les droits de propriété intellectuelle) ;
- il concerne des données personnelles traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) ;
- le traitement est fondé sur votre consentement ou l’exécution d’un contrat (pour le vérifier, vous pouvez vous reporter à la section 3 de la présente politique).
- un droit à l’effacement de vos données personnelles (ou droit à l’oubli) lorsque l’un des motifs suivants s’applique :
- vous vous opposez au traitement de vos données personnelles et il n’existe pas de motif légitime impérieux justifiant le maintien de ce traitement ;
- vous décidez de retirer votre consentement sur lequel est fondé le traitement ;
- lorsque vos données personnelles ne sont plus utiles aux finalités initiales qui ont justifié leur collecte ou un autre type de traitement ;
- l’utilisation qui est faite de vos données n’est pas conforme aux dispositions législatives ou réglementaires applicables.
- un droit de définir des directives, soit générales, soit particulières, s’agissant de vos données personnelles dans l’hypothèse de votre décès (par exemple, leur suppression ou leur transmission à toute personne de votre choix). Vous pouvez révoquer vos directives à tout moment.
Il est précisé que l’exercice de ces droits est fonction de la base légale du traitement, comme précisé dans le tableau ci-dessous :
Accès | Rectification | Effacement | Limitation | Portabilité | Opposition | |
|---|---|---|---|---|---|---|
Consentement | Oui | Oui | Oui | Oui | Oui | Retrait du consentement |
Mesures précontractuelles | Oui | Oui | Oui | Oui | Oui | Non |
Contrat | Oui | Oui | Oui | Oui | Oui | Non |
Intérêt légitime | Oui | Oui | Oui | Oui | Non | Oui |
Obligations légales | Oui | Oui | No | Oui | Non | Non |
Dans certaines circonstances, le responsable de traitement pourra être amené à vous demander des informations spécifiques, afin de confirmer votre identité et garantir l’exercice de vos droits. Il s’agit d’une autre mesure de sécurité appropriée pour s’assurer que les données personnelles ne sont pas divulguées à une personne qui n’a pas le droit de les recevoir.
Au besoin, vous pouvez introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) via son site internet ou par courrier : 3, place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07. Ce droit peut être exercé à tout moment gratuitement, mis à part les frais du courrier le cas échéant, et les frais éventuels d’assistance ou de représentation si vous choisissez de vous faire aider dans cette procédure par un tiers.
9. Mise à jour de la présente politique de protection des données personnelles
La politique de protection des données personnelles est datée de manière précise et pourra être modifiée et mise à jour par Riot Security à tout moment, notamment en cas d’évolution du Site, des Services Cybersécurité ou de la réglementation applicable. Par conséquent, nous vous recommandons de consulter la présente politique à chaque nouvel accès au Site ou à la Solution Riot.
