Politique de Confidentialité

1. Préambule

Cette Politique de confidentialité s’adresse aux Utilisateurs du site Yogosha (ci-après le « Site ») qui naviguent sur le Site et a pour principal objectif de les informer sur la manière dont leurs données personnelles peuvent être collectées et traitées par Yogosha lors de leur navigation.

Le respect de la vie privée est un droit fondamental et l’une des valeurs essentielles de Yogosha qui oeuvre à faire des systèmes d’information de ses Clients un lieu plus sûr.

Le respect de la vie privée et des données à caractère personnel est de la plus haute importance pour Yogosha et ce depuis sa création par ses fondateurs. C’est la raison pour laquelle nous nous engageons à traiter celles-ci dans le plus strict respect de la réglementation en vigueur en matière de protection des données à caractère personnel (ci-après la “Réglementation”), en particulier la Loi Informatique et Libertés du 6 janvier 1978 (ci-après la « LIL ») modifiée et le Règlement général sur la protection des données du 27 avril 2016 (ci-après le « RGPD ») dit règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/C.

Compte tenu de l’essor pris par les transferts de données personnelles et des risques non négligeables pour les droits et libertés fondamentaux des citoyens européens, Yogosha s’assure :

  • De faire du respect des principes de privacy by default et by design (article 25 du RGPD) une priorité ;
  • De traiter les données personnelles de manière licite, loyale et transparente pour des finalités légitimes, explicites et déterminées (article 5 du RGPD) ;
  • De faciliter, à tout moment, l’exercice des droits des Utilisateurs du Site notamment via l’adresse e-mail [email protected] 📩

En sus, Yogosha s’engage à :

  • A ne jamais monétiser vos données personnelles🙅🏻‍♀️ : Yogosha s’interdit de revendre de quelle que manière que ce soit vos données personnelles à des tierces parties à des fins pécuniaires. Une telle revente serait contraire aux principes de Yogosha qui s’attache à jouer le rôle de plateforme d’intermédiation entre les Chercheurs et ses Clients désireux de sécuriser leurs sites et applications;
  • Sélectionner ses sous-traitants de manière scrupuleuse 🕵🏻‍♂️ et s’assurer qu’ils disposent d’un niveau adéquat en matière de protection des données personnelles par le biais de mesures organisationnelles et techniques pertinentes et qu’ils disposent des meilleures certifications sur le marché (ISO27001, SOC2, …) et des moyens d’authentification les plus sûrs (MFA, SSO, ….). Compte tenu de son secteur d’activité, Yogosha s’assure que ses sous-traitants testent régulièrement l’efficacité de leurs mesures techniques et organisationnelles (Pentest, Bug Bounty, VDP, etc…);
  • Héberger les données de la manière la plus sécurisée possible 🔐, conformément aux recommandations des autorités de protection et plus particulièrement du Comité européen de la protection des données (CEPD). C’est la raison pour laquelle Yogosha a choisi un acteur français pour héberger sa plateforme, Outscale afin d’éviter tout transfert vers les Etats-Unis eu égard à l’invalidation du Privacy Shield via l’arrêt dit “Schrems II”.

2. Quelques définitions 🤓

Données Personnelles: a le même sens que donné par le RGPD et plus particulièrement vous concernant: vos noms, prénoms, fonctions, numéro de téléphone, votre adresse IP entre autres données dépeintes ci-dessous. Ce sont toutes les données qui permettent de vous identifier directement ou indirectement en tant que personne physique.

Services: lorsqu’il est fait référence à nos Services cela comprend l’un ou les Services suivants: le service de VDP, le Pentest, le Bug Bounty 🐱‍🏍, le VOC selon le service souscrit par Votre entreprise via la signature des CGV Plateforme.

Site: lorsqu’il est fait référence au Site, il est fait mention du site de Yogosha accessible à l’adresse https://www.yogosha.com , site sécurisé via le choix d’un certificat SSL comme l’indique le cadenas en bas à gauche dans votre url. Ce Site est notre site vitrine sur lequel vous pouvez prendre connaissance de nos services du VDP en passant par le Bug Bounty, le Pentest ainsi que notre offre complète de VOC (Vulnerability Operation Center).

VOC: Vulnerability Operation Center

3. Origine des Données Personnelles 🧿

Yogosha peut être amenée à collecter et traiter des données personnelles :

  • lorsque vous remplissez le formulaire de contact pour être recontacté par l’équipe commerciale de Yogosha ;
  • lorsque vous vous inscrivez à la newsletter Yogosha pour recevoir nos dernières actualités sur nos offres et la cybersécurité ;
  • lorsque vous remplissez le formulaire pour recevoir notre livre blanc Yogosha et l’étude de cas que Yogosha met à disposition sur son site ;
  • lorsque vous souhaitez rejoindre notre équipe en nous transmettant votre candidature de manière spontanée ou pour postuler à l’une de nos dernières offres; ou
  • lorsque vous naviguez sur le Site ;
  • lorsque vous nous contactez pour participer à un live hacking ;
  • lorsque vous nous contactez pour participer à un event / ou pour prendre rdv lors d’un un futur event (e.g. un salon) ;
  • lorsque vous nous contactez pour participer à un webinar ;
  • lorsque vous nous contactez pour vous renseigner sur les Partners Programs (Associate et Strategic).

Yogosha peut être amenée à recueillir automatiquement des Données Personnelles lors de la navigation sur le site Yogosha. Cette collecte automatique peut notamment se faire via l’utilisation de cookies et autres traceurs.

Pour plus d’informations sur les cookies 🍪 que nous collectons, vous pouvez prendre connaissance de notre Politique en matière de cookies disponible en pied de page du Site Yogosha à tout moment ainsi que lors de votre première navigation sur le Site Yogosha. Nous utilisons le gestionnaire de consentement Axeptio afin de nous assurer de collecter votre consentement en conformité avec les recommandations de la CNIL.

4. Traitement et durée de conservation 🕰

Quelles sont les données personnelles que nous traitons ?

Dans un premier temps, Yogosha se pose la question de la nécessité et de la proportionnalité des données collectées (principe de minimisation des données). Traiter des données pour fournir un service c’est essentiel, mais Yogosha s’attache à ce que cette donnée ne soit collectée que lorsqu’elle est nécessaire. Si, en tant qu’Utilisateur Vous souhaitez vous opposer à la collecte de ces données ou si Vous êtes réfractaire à communiquer une quelconque donnée personnelle il est possible que Vous ne soyez ainsi pas en mesure d’utiliser nos Services ou de naviguer sur notre Site et que l’expérience utilisateur en soit affectée.

Quelles sont les durées de conservation ?

Chez Yogosha, conformément au RGPD, nous ne conservons pas les données personnelles pour une durée supérieure à la finalité pour laquelle nous les avons collectés.

Lorsque Yogosha agit en tant que sous-traitant au sens du RGPD, et agit en conséquence selon les instructions de ses Clients qui sont Responsables de Traitement. Des durées de conservation par défaut ont été établies dans nos CGV Plateforme conclues avec nos Clients. Lorsque la période de conservation vient à son terme, les données sont supprimées de manière définitive ou anonymisées sauf conservation de ces dernières à des fins probatoire (existence d’un contentieux, …).

Compte tenu des obligations légales d’archivages des PSP eu égard à la lutte contre la blanchiment et le financement du terrorisme (LCB-FT), les durées de conservation peuvent être plus longues auprès de MangoPay qui conserve les données le temps de la prescription légale.

Quels traitements?

Yogosha en fonction des traitements dont il est question peut être susceptible d’agit en tant que Sous Traitant ou en tant que Responsable de Traitement. Ces qualifications peuvent apparaître complexes à première vue, mais ce qu’il faut garder à l’esprit c’est que c’est le Responsable de Traitement qui définit les moyens et les finalités du traitement alors que le Sous-Traitant agit au nom et pour le compte du Responsable de Traitement. Peu importe la qualification retenue, qu’elle agisse en tant que Responsable de Traitement ou Sous-Traitant, Yogosha s’engage à conserver confidentielles les données personnelles transmises, cette obligation de confidentialité nous apparaissant cruciale eu égard à notre secteur d’activité.

Type of personal data Purposes Legal basis  Data retention period
For each prospect : name, surname, function, e-mail address, phone number, IP address Newsletter registration: to facilitate the sending of the newsletter; registration to an event (Live Hacking Event) or download of a white paper: sending of the white paper and participation to an online event. Sending information about our partnerships (Associate or Strategic) Legitimate interest of Yogosha to ensure its external communication Duration of the subscription to the newsletter. Deletion at the request of the prospect or client. 
Identification data: CV, cover letter (name, first name, email address, phone number, address, diplomas, interests). Recruitment process: receipt of spontaneous applications and responses to job offers (redirection to the Welcome to the Jungle website) Necessary for interviewing the candidate, possible references. To review your application and assess your professional skills in relation to Yogosha’s needs. When we review your application and contact you as part of a recruitment process, the processing of your data is necessary for the performance of pre-contractual measures, i.e. reviewing your application. Two years from the last contact with the candidate

 

Où sont hébergées vos données ?

Depuis l’invalidation du Privacy Shield et l’arrêt dit Schrems II, le transfert des données personnelles de citoyens européens doit faire l’objet de mesures additionnelles afin de s’assurer qu’elles soient traitées en conformité avec le RGPD. Yogosha a choisi un hébergeur français pour sa Plateforme, Outscale, dont les data centers de Tier VI sont localisés en France. Le site est quant à lui hébergé par Scaleway.

5. Sous-Traitants et Destinataire des Données Personnelles 👩🏻‍🔧

Qui sont nos sous-traitants ?

Soucieuse de sélectionner des sous-traitants qui respectent le RGPD, Yogosha passe au crible ces derniers avant la conclusion de tout contrat afin qu’ils soient majoritairement situés dans l’Union Européenne et respectent l’état de l’art en matière de mesures techniques et organisationnelles. A défaut d’être situé dans l’Union Européenne, le sous-traitant devra être établi dans un pays ayant fait l’objet d’une décision d’adéquation ou à tout le moins être situé dans un pays dont le niveau de protection des données personnelles est au moins équivalent à celui offert par l’Union Européenne grâce au RGPD.

Subprocessor identity Data processing undertaken  Category of data processed Localization of the data  Technical and organizational measures  Contractual warranties for transfer outside the European Union 
Hubspot Handling the prospect database Identification data United States SOC2 compliant and compliance to the ISO27001 Signature of a DPA and of the latest SCC
Mailchimp Commercial prospection Identification data United States Mailchimp and European data transfers | Mailchimp Mailchimp publishes a transparency report every year: Mailchimp Transparency Report | Mailchimp It is important to note that Mailchimp does not sell, rent or trade any user data. Signature of the latest SCC
Scaleway  Hosting provider Identification data  France  Scaleway commits itself to implement security measures in compliance with the GDPR. Scaleway commits itself to adopt organizational and technical measures as laid down in its security policy displayed on its website.  No transfer outside the EU 
WordPress CMS Identification data United States Confidentiality Policy WordPress  Signature of the last SCC 
Zendesk  Ticketing system Name and surname of the requester who created the ticket, personal data displayed in the ticket if need be  Ireland Zendesk has implemented Binding Corporate Rules and releases a transparency report (Privacy and Data Protection – Zendesk). Zendesk servers are Tier IV or III+, SSAE 16, and the site of the said servers are PCI DSS compliant and compliant to the ISO 27001 too. Zendesk undertakes Pentests thanks to third party on a regular basis and their support team is available 24h/24 7j/7 to address incident issues. No transfer outside the EU

6. Exercice des Droits du Titulaire de Données Personnelles → Vous 🙂

En cas de dépôt de plainte, l’autorité de contrôle compétente est la CNIL, dont le site est le suivant : https://www.cnil.com

Yogosha a nommé un DPO en conformité avec l’article 37 du RGPD. Si vous souhaitez contacter notre DPO pour faire valoir sans frais vos droits d’accès, de rectification ou d’effacement, ainsi que faire valoir votre droit d’opposition, vous pouvez adresser vos demandes à l’adresse e-mail suivante : [email protected]

En cas de dépôt de plainte, l’autorité de contrôle compétente est la CNIL, dont le site est le suivant :

https://www.cnil.com

7. Cookies 🍪

Chez Yogosha, on aime les Bountys (surtout les Bugs Bountys) mais on aime aussi les Cookies, à condition que vous ayez donné Votre consentement et que Nous respections les recommandations de la CNIL. Nous utilisons des cookies afin d’améliorer votre navigation tant sur notre Site que lorsque vous êtes loggués sur Notre Plateforme en tant qu’Utilisateur. Pour en savoir plus sur les cookies et autres traceurs, nous vous invitons à consulter notre page dédiée retrouvable à n’importe quel moment lors de votre visite en bas de page 👀 à côté des mentions légales et de la présente Politique de Confidentialité.

8. La Sécurité avant tout : les Mesures Techniques et Organisationnelles 🔐

Conformément à l’article 32 du RGPD, Yogosha a mis en place des mesures techniques et organisationnelles afin de sécuriser l’accès à son site Internet https://www.yogosha.com

9. Modification 👩🏻‍🏫

Le Politique de confidentialité est susceptible d’être modifiée. Nous vous invitons à consulter cette page régulièrement.

10. Coordonnées du Délégué à la Protection des Données Personnelles 👩🏻

Yogosha a nommé un DPO auprès de la CNIL en conformité avec l’article 37 du RGPD. Si vous souhaitez contacter notre DPO pour faire valoir sans frais vos droits d’accès, de rectification ou d’effacement, ainsi que faire valoir votre droit d’opposition, vous pouvez adresser vos demandes à l’adresse e-mail suivante : [email protected]

Yogosha

A l’attention du DPO

47, rue Marcel Dassault

92514 Boulogne Billancourt CEDEX