Qualité, sécurité, confidentialité et conformité | EcoVadis Skip to content

Qualité, sécurité, confidentialité et conformité

Main content

EcoVadis souhaite « Guider toutes les entreprises vers un monde durable » et s’appuie pour cela sur quatre objectifs principaux :

  1. Fournir des informations et notations RSE à la fois indépendantes, fiables et exploitables grâce à une méthodologie d’excellence ;
  2. Permettre au plus grand nombre possible d’entreprises d’améliorer en continu leurs pratiques commerciales tout en contribuant à créer une économie régénérative et équitable ;
  3. Cultiver un environnement d’apprentissage inclusif pour notre personnel, en fournissant du travail porteur de sens et en habilitant les générations futures de professionnels de la RSE ;
  4. Favoriser l’action collective au sein de notre écosystème pour accélérer la transition vers un monde durable.

EcoVadis a développé un système de gestion de la qualité (QMS) certifié ISO 9001. Nous poursuivons activement l'amélioration constante de la qualité grâce à un système de gestion des processus qui permet à chaque employé de bien faire son travail du premier coup et à chaque fois dans un environnement de travail sûr et stimulant. Ce système est soutenu par notre plate-forme informatique sur mesure développée par nos soins, qui guide les employés tout au long du processus. Nous nous efforçons constamment d'améliorer les processus en étant conseillés par des organismes spécialisés comme notre comité méthodologique.

  • Programme de formation des employés
    • Tous les nouveaux arrivants bénéficient de programmes de formation aux questions et réponses pendant leur période d'embarquement, avec des quiz et des notes de passage pour vérifier l'efficacité de la formation. Une formation annuelle de rafraîchissement suivie de quiz est obligatoire pour tous les employés.
  • Action corrective et préventive
    • Nous visons l’amélioration continue par l’identification des domaines d'amélioration pour éliminer les non-conformités ou empêcher qu'elles ne se reproduisent. Un exemple étant l’utilisation de l’outil de qualité pour la détection des non-conformités et l’obtention de retours sur information via le processus d’évaluation.
  • Processus de gestion des incidents
    • Les plaintes des clients et des fournisseurs ainsi que les problèmes internes sont signalés, enregistrés et gérés par une plateforme de gestion des incidents. Tous les incidents sont examinés régulièrement par les parties concernées et résolus dans un délai donné.
  • Audit interne
    • Le programme d'audit interne est établi sur une période de trois ans. Les audits de sécurité de l'information sont réalisés deux fois par an et tous les processus internes sont soumis à un audit de qualité au moins une fois par an. Les résultats des audits sont examinés et discutés lors de notre revue de direction semestrielle.

EcoVadis propose un service de notation RSE complet, via une plateforme Saas globale basée sur le cloud et hébergée dans Microsoft Azure ; l’un des fournisseurs de services d’hébergement cloud les plus fiables.

Nous nous engageons à fournir le plus haut niveau de sécurité de l'information et à nous améliorer continuellement afin de protéger les données de toutes les parties prenantes contre les menaces envers la sécurité de l'information dans un paysage en évolution. C’est pour cette raison qu’EcoVadis a développé un système de gestion de la sécurité de l’information (SGSI) régulièrement soumis à des audits assurés par des tiers pour vérifier la conformité avec la norme ISO/IEC 27001 (veuillez consulter le certificat et la déclaration d’applicabilité).

Notre SGSI nous permet d'exploiter et de maintenir systématiquement la sécurité de l'information dans nos processus et services commerciaux et de déterminer et d'appliquer les mesures de sécurité nécessaires sur la base de notre évaluation des risques.

Nos politiques relatives à la sécurité de l’information sont régulièrement révisées et actualisées pour veiller à ce que leur contenu reste à jour et pertinent, afin qu’il corresponde toujours aux bonnes pratiques du secteur par rapport aux exigences de conformité qui nous sont applicables.

En interne, nous disposons d’une équipe dédiée responsable du développement, du maintien et de la surveillance de la sécurité de l’information. Les priorités sont définies au sein de notre organisation, à travers le monde, pour fournir une vision unique et cohérente autour de la protection de nos actifs.

Chez EcoVadis, nous avons conscience que sensibiliser les individus aux menaces relatives à la sécurité de l’information est un processus continu. Nos employés suivent régulièrement des formations sur : les bonnes pratiques en matière d’informatique et de sécurité de l’information, le respect des normes d’EcoVadis concernant la sécurité informatique et la manière exploiter des systèmes informatiques de façon sécurisée.

Nous tenons un inventaire précis et à jour des actifs associés au service fourni et classons les informations en fonction des exigences légales, de la valeur, de la criticité et de la sensibilité à la communication ou à la modification non autorisée.

Azure est un service mutualisé qui instaure une séparation logique isolant les données entre les clients.

Les droits d’accès relatifs aux systèmes d’information et aux domaines réseau d’EcoVadis doivent être attribués selon les exigences spécifiques à la fonction occupée par un utilisateur (RBAC). Nous appliquons les principes du besoin de connaître et du moindre privilège.

Nos clients gèrent leur accès de façon indépendante. En effet, l’administrateur de la plateforme du client peut créer et désactiver des utilisateurs, le cas échéant. Les utilisateurs peuvent accéder à la plateforme à l’aide d’un identifiant et d’un mot de passe. Nous proposons également une fonctionnalité d’authentification unique (SSO) pour les entreprises à l’origine de la demande. Vous pouvez contacter votre représentant commercial habituel pour obtenir plus d’informations.

Les données sont chiffrées (au repos et en transit) à l’aide des algorithmes et méthodes de chiffrement approuvés au sein du secteur. Nous suivons les bonnes pratiques du secteur afin de stocker et de gérer des secrets en toute sécurité dans notre environnement.

 

Nos plateformes sont hébergées dans les centres de données Microsoft Azure situés en UE. Les contrôles de sécurité physique, effectués d’après un modèle de responsabilité partagée dans le cloud, sont soumis à l’obligation de Microsoft. Cliquez ici pour obtenir plus d’informations sur les contrôles.

Nous veillons à contrôler les changements apportés à l’organisation, aux processus opérationnels, ainsi qu’aux équipements et systèmes de traitement de l’information qui ont un impact sur la sécurité de l’information. Nous avons déployé des technologies et processus de surveillance et de détection visant à identifier, contrer et gérer les vulnérabilités liées aux logiciels malveillants, ou à d’autres événements de sécurité au sein de notre infrastructure. Nous suivons des bonnes pratiques pour renforcer la sécurité, comme celles du CIS (Center for Internet Security) destinées aux systèmes d’exploitation, et les guides de Microsoft Azure pour les services cloud.

L'accès au réseau des services et serveurs internes est limité et sécurisé. Nous disposons d’un pare-feu d’application web (Cliquez ici pour plus d’informations) et utilisons Azure Front Door, un service de réseau de diffusion de contenu (CDN) cloud moderne qui offre des performances élevées, une évolutivité et des expériences utilisateur sécurisées.

Nous nous appuyons sur les normes du secteur pour concevoir la sécurité de nos systèmes ou de notre cycle de développement logiciel (SDLC). Nous nous employons à soumettre les nouveaux développements à des processus de test et de validation appropriés avant de les déployer. Les environnements de développement, de test et d’opérations sont séparés.

Nous avons formulé des exigences relatives à la sécurité de l’information pour les fournisseurs susceptibles d'accéder aux informations de l'organisation, de les traiter, de les stocker, de les communiquer ou de fournir des composants d'infrastructure informatique pour celles-ci. Nous réalisons aussi des évaluations des risques portant sur la cybersécurité et la sécurité des données des fournisseurs bénéficiant d’un accès à notre réseau, à nos données ou à d’autres informations sensibles.

Nous nous efforçons en permanence de fournir des services hautement sécurisés à nos clients, mais les incidents représentent une réalité inévitable qui doit être gérée avec soin. Chez EcoVadis, nous prenons des mesures adaptées en vue d’adopter une approche cohérente et efficace des incidents relatifs à la gestion de la sécurité de l’information. Notre processus de gestion des incidents de sécurité couvre, sans s'y limiter, la notification aux clients, la mise en place de procédures écrites à suivre en cas d'incident de sécurité et la mise en œuvre de tous les efforts raisonnables pour en atténuer les conséquences.

Nous nous engageons à veiller à ce que les installations de traitement de l'information soient mises en œuvre avec une redondance suffisante pour répondre aux exigences de disponibilité (veuillez consulter le rapport sur le temps de fonctionnement de notre plateforme où la performance du service, la disponibilité et l'expérience réelle de l'utilisateur sont constamment contrôlées).

Des sauvegardes sont effectuées et testées régulièrement conformément à la politique de sauvegarde définie.

Pour avoir une vision plus complète de notre conformité en matière de sécurité de l'information, nous procédons à plusieurs types d'audits et d'examens techniques :

– Examens des infrastructures

– Examens des codes (SAST : Tests statiques de sécurité des applications, SCA : Analyse de la composition des logiciels)

– Tests de pénétration des applications web (effectués au moins une fois par an par une entreprise externe)

– Gestion de la posture externe

– Évaluations internes des risques

– Audits des certifications ISO 27001

 

Nous avons rempli plusieurs questionnaires standard. Le résultat peut être partagé à la demande

  • Cybervadis
  • CyberGRX
  • SecurityScorecard :

  • Whistic

Les certifications Microsoft Azure sont disponibles dans le portail d’approbation des services.

Avis requis par les concédants de licences de bibliothèques ou de composants Open Source liés à l'un des services applicables. La solution EcoVadis inclut parfois des bibliothèques Open Source ou en dépend. Afin de respecter les exigences de la licence des bibliothèques Open Source et le droit moral d'attribution du détenteur de la licence, vous trouverez ci-dessous une liste des logiciels Open Source utilisés pour créer nos produits. Veuillez noter que toutes les informations sont fournies « en l'état » et peuvent faire l'objet de modifications par le détenteur de la licence :

 

Nom du composant/projet Licence
ActiveUp.Net LGPL 2.1 *
AjaxControlToolkit BSD 3
Bootstrap MIT
ClosedXML MIT
DocumentFormat.OpenXml MIT
Editor_plugin LGPL 2.0 *
EPPlus LGPL 2.1 *
Highcharts CC BY NC 3.0
ICSharpCode MIT
Ionic Zlib
jQuery.dataTables MIT
jQuery.easing MIT
jQuery.easy MIT
jQuery.form MIT
jQuery.linq MIT
jQuery.multiselect MIT
jQuery.perfect-scrollbar-with-mousewheel MIT
jQuery.scrollTo MIT
jQuery.slim MIT
jQuery.tipTip MIT
jQuery.validate.unobtrusive Apache 2.0
jQuery.validate MIT
jQuery MIT
Knockout MIT
LINQ Microsoft Public
Modernizr MIT
Newtonsoft MIT
PayPal .NET SDK SDK LICENSE
Ninject Apache 2.0
NLog BSD 3
NPOI Apache 2.0
Prototype MIT
wkhtmltoimage LGPL 3.0 *
wkhtmltopdf LGPL 3.0 *
wkhtmltox LGPL 3.0 *

* L'application est liée dynamiquement à la licence LGPL, ce qui permet de conserver le code propriétaire.

EcoVadis estime que le GDPR est une étape importante pour renforcer et harmoniser la protection des données personnelles des citoyens européens. En tant que contrôleur de données pour les services de notation que nous fournissons, EcoVadis s’engage à respecter le RGPD, et, dans la mesure où elles sont applicables, les réglementations internationales en matière de protection des données, et à mettre en place les bonnes pratiques.

Ecovadis utilise la norme ISO 27001, pour laquelle nous sommes certifiés, comme cadre et intègre les aspects de protection des données personnelles dans son système de gestion. Nous utilisons le cadre ISO 27701 en complément pour répondre aux exigences du GDPR. Nos pratiques de protection des données et notre conformité sont confirmées par un audit tiers.

Pour le traitement des données effectué en dehors de l'UE, nous avons mis en place des clauses contractuelles types (CCS) avec nos filiales.

Nous sélectionnons toujours avec soin nos fournisseurs (sous-traitants) et nous exigeons la conclusion d'accords de protection des données avec les sous-traitants et des clauses contractuelles types (CC) ou des règles d'entreprise contraignantes (RAC) en cas de traitement en dehors de la région de l'EEE pour pouvoir travailler pour nous. Nous nous attachons à choisir des abonnements auprès de fournisseurs pour que les données soient hébergées sur des serveurs basés en Europe. Nous avons recours aux fournisseurs suivants pour proposer notre service :

 

Entité juridique Adresse But Informations supplémentaires sur la sécurité
ZenDesk 1019 Market Street,
San Francisco, CA 94103 États-Unis
Centre d'aide https://www.zendesk.com/product/zendesk-security/
SFDC 2 Henry Adams St,
San Francisco, CA 94103 États-Unis
CRM et support client https://trust.salesforce.com/
Microsoft Azure Microsoft Campus,
Redmond, WA 98052 États-Unis
Hébergement de la plateforme d'évaluation de la durabilité https://azure.microsoft.com/en-us/overview/trusted-cloud/
Google 1600 Amphitheatre Parkway
Mountain View, CA 94043 États-Unis
Communication avec les clients https://cloud.google.com/security/
Selligent 20 Place des Vins de France,75012 Paris FRANCE Communication avec les clients https://www.selligent.com/general-data-protection-regulation
Docebo Limited
6e étage, 48
Gracechurch
Street, Londres –
Royaume-Uni
Plateforme d'e-learning https://www.docebo.com/entreprise/conformité-sécurité/
Pendo 150 Fayetteville St
#140027601
Raleigh NC, États-Unis
Analyse de la plateforme https://www.pendo.io/données-privacité-sécurité/
Tableau des produits 612 Howard
streetCA 94105
San Francisco CA,
États-Unis
Gestion des produits https://www.productboard.com/product/security/
Aircall 11 Rue Saint
Georges, 75009
Paris, FRANCE
Enregistrement des appels https://aircall.io/security/

 

Nous nous appuyons sur les recommandations portant sur des mesures complémentaires émises par la CNIL, l'autorité française de protection des données, et le Comité européen de la protection des données concernant les possibilités de transfert de données vers les États-Unis sur la base de CC (ou RAC).

Pour en savoir plus, consultez notre déclaration de confidentialité des données

EcoVadis s'engage à respecter l'ensemble des lois et réglementations applicables à un opérateur de services en ligne à vocation générale, y compris, mais sans s'y limiter, la législation de la France et des États-Unis d'Amérique, en ce qui concerne ses propres lieux d'exploitation des services.

Restrictions de destination

Compte tenu des risques commerciaux globaux, les produits et services EcoVadis ne sont pas disponibles pour l'exportation, la réexportation, le transfert et/ou l'utilisation dans les pays/régions suivants (sous réserve de modifications sans préavis) :

  • les régions de Crimée, Donetsk et Luhansk
  • Cuba
  • Iran
  • Corée du Nord
  • Syrie

En outre, les transactions avec ou liées à certaines destinations qui présentent des risques élevés sont soumises à des exigences de diligence raisonnable renforcées.

Restrictions pour les utilisateurs finaux

Les produits et services d'EcoVadis ne sont pas accessibles aux entités et aux personnes avec lesquelles les transactions sont interdites en vertu des lois applicables en matière de contrôle des exportations et de sanctions, y compris celles figurant sur toute liste de parties sanctionnées (par exemple, la liste des sanctions de l'Union européenne, les listes de ressortissants américains spécialement désignés (SDN), l'OFAC, les sanctions du Conseil de sécurité des Nations unies, les listes locales où EcoVadis est présent).

Restrictions relatives à l'utilisation finale

Les Services EcoVadis ne doivent pas être utilisés à des fins interdites par les lois d'exportation applicables, y compris, sans limitation, pour le développement, la conception, la fabrication ou la production d'armes nucléaires, chimiques ou biologiques de destruction massive.

Cette page web est destinée à des fins d'information générale uniquement et ne constitue pas un avis juridique.

Vous avez des questions ? Contactez-nous !

Si vous avez des questions en lien avec la sécurité de l’information chez EcoVadis, n’hésitez pas à les poser à votre représentant commercial ou à parcourir notre centre d'aide à l’adresse : support.ecovadis.com.

Série de webinaires +Ability : renforcez la capacité de votre entreprise à gérer la RSE dans sa chaîne d’approvisionnement.
S’inscrire maintenant
NOUVEAU : Baromètre 2024 : Transformer les Achats en un partenaires RSE stratégique et résilient
Découvrir