Les versions précédentes de cette politique, ainsi que celles d’autres politiques, sont disponibles dans nos archives(s’ouvre dans un nouvel onglet ou une nouvelle fenêtre).
La présente Déclaration relative aux mesures techniques et organisationnelles est intégrée par référence à notre Addenda sur le Traitement des Données. Elle décrit les normes de sécurité minimum appliquées par Canva en ce qui concerne les Services Canva compris dans le Contrat de service d’abonnement(s’ouvre dans un nouvel onglet ou une nouvelle fenêtre). Les termes qui commencent par une majuscule, mais ne sont pas définis dans la présente Déclaration sur les mesures techniques et organisationnelles, sont employés avec la signification qu’ils possèdent dans l’Addenda sur le traitement des données(s’ouvre dans un nouvel onglet ou une nouvelle fenêtre). Cela concerne en particulier le terme « Données » qui, pour éviter toute confusion, désigne uniquement les données des clientes et clients de l’entreprise (sauf précision contraire dans votre contrat avec nous).
1. Mesures de pseudonymisation et de chiffrement des données personnelles
Canva utilise le protocole TLS 1.2 (ou version ultérieure) pour chiffrer les Données échangées entre les clientes et clients et l’application Canva par le biais des réseaux publics. Les Données clients enregistrées sur les serveurs Canva sont chiffrées avec AES 256 (ou version ultérieure).
2. Mesures pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des services et systèmes de traitement
Canva dispose de personnel chargé de surveiller la sécurité et la confidentialité. Nous avons nommé des Responsables de la Sécurité, de la Confidentialité et des Données, ainsi qu’un Comité de sécurité de l’information qui se réunit une fois par trimestre pour évoquer les risques de sécurité et de confidentialité inventoriés dans ses registres.
3. Mesures pour garantir la capacité à restaurer la disponibilité et l’accès aux données personnelles dans un délai convenable en cas d’incident physique ou technique
Pour maintenir la disponibilité du service, Canva utilise Amazon Web Services (AWS) Auto Scaling, les zones de disponibilité AWS, une surveillance rigoureuse de l’application et de l’infrastructure, et des listes de support d’application 24 h/24 et 7 j/7.
Canva gère des sauvegardes des data stores, dont celui des Données Clients, nécessaires à la bonne marche des fonctions clés de l’application Canva. Les sauvegardes sont stockées dans un emplacement géographiquement distinct du lieu de stockage des données originales.
Canva maintient une capacité de réponse aux incidents de sécurité. Cela comprend un Plan de Réponse documenté aux Incidents sur Données Personnelles, applicable en cas d’incidents de sécurité impactant des Données. Ce plan définit la manière dont nous maîtrisons, affrontons, évaluons et signalons les incidents, ainsi que les rôles et responsabilités du personnel Canva, et la nécessité de procéder à des vérifications post-incident.
4. Procédures de test, d’analyse et d’évaluation périodiques de l’efficacité des mesures techniques et organisationnelles, afin de garantir la sécurité du traitement
Canva engage un tiers spécialiste des audits de sécurité pour réaliser chaque année un test de pénétration de son application et de son infrastructure. En outre, Canva utilise un service tiers d’analyse des vulnérabilités d’application et mène un programme de Bug Bounty (ou chasse aux bogues) public.
5. Mesures d’identification et d’autorisation des utilisateurs et utilisatrices
Lorsqu’un compte client nécessite une authentification par mot de passe, Canva utilise une fonction de hachage à la pointe de la technologie afin de procéder au salage et au hachage du mot de passe avant de le stocker. Canva prend en charge l’intégration de l’authentification unique (SSO) avec un fournisseur d’identité client via le protocole Security Assertion Markup Language (SAML).
6. Mesures de protection des données lors de leur transmission
Comme énoncé au paragraphe 1, Canva chiffre les Données échangées sur des réseaux publics entre les clients et l’application Canva au moyen du protocole TLS 1.2 (ou version ultérieure).
7. Mesures de protection des données durant leur stockage
Comme énoncé au paragraphe 1, les Données clients enregistrées sur les serveurs Canva sont chiffrées avec AES 256 (ou version ultérieure).
8. Mesures pour garantir la sécurité physique des sites où sont traitées les données personnelles
Le service est hébergé et les Données sont stockées dans les centres de données d’Amazon Web Services (AWS). Par conséquent, Canva s’appuie sur les contrôles physiques, environnementaux et d’infrastructure menés par AWS. Canva examine régulièrement les certifications et les attestations tierces fournies par AWS concernant l’efficacité des contrôles appliqués dans ses centres de données.
9. Mesures d’enregistrement des événements
Canva gère des journaux d’audit de sécurité de l’application et de l’infrastructure. Les journaux d’audit sont analysés pour détecter toute activité anormale.
10. Mesures de protection de la configuration système, y compris la configuration par défaut
Pour renforcer la sécurité de son infrastructure serveur, Canva utilise une méthode à la pointe des technologies actuelles en la matière. Canva applique les patchs de sécurité sur ses serveurs conformément à sa Procédure de Gestion des Vulnérabilités.
11. Mesures de gouvernance et de gestion de la sécurité informatique interne
L’accès aux Données clients par le personnel Canva est régi par les droits d’accès accordés à chaque collaborateur et collaboratrice, selon le principe du moindre privilège. Chaque membre du personnel dispose uniquement des droits d’accès aux Données clients dont il ou elle a besoin pour exécuter sa mission. L’accès réseau à distance aux systèmes Canva nécessite une communication chiffrée via des protocoles sécurisés et l’utilisation de l’authentification multifacteur. Canva a mis et maintiendra en vigueur des procédures de gestion de mots de passe pour son personnel, visant à garantir que les mots de passe sont propres à chaque individu et inaccessibles aux personnes non autorisées. Ces procédures englobent, au minimum :
- la protection par cryptographie des mots de passe enregistrés dans les systèmes informatiques ou qui transitent sur le réseau ;
- la modification des mots de passe par défaut attribués par les fournisseurs ; et
- la formation aux meilleures pratiques en matière de mots de passe.
Pour accéder à l’infrastructure de production, le personnel doit utiliser l’authentification multifacteur (MFA).
Le personnel Canva est soumis à des obligations de confidentialité et au respect d’une politique de traitement des données personnelles. Canva demande à son personnel de suivre une formation de sensibilisation à la sécurité de l’information, une première fois lors de l’embauche, puis une fois par an. Canva exige également de son personnel de se former chaque année à la législation relative à la protection de la vie privée (notamment afin de respecter les lois fédérales américaines COPPA et FERPA en ce qui concerne les données des élèves).
Canva a mis en œuvre la protection des données dès la conception, y compris, sans toutefois s’y limiter, les analyses d’impact relatives à la protection des données.
12. Mesures de certification/d’assurance des processus et des produits
Canva entend conserver la certification ISO 27001 en se soumettant régulièrement à des audits externes de surveillance et de recertification afin de garantir la conformité de son Système de Management de la Sécurité de l’Information (ISMS) aux exigences de cette norme.
Canva s’engage à maintenir en vigueur une politique de sécurité de l’information répondant aux exigences de la norme ISO 27001, un programme d’audit interne analysant les contrôles de la sécurité de l’information et du dispositif ISMS de Canva, ainsi qu’un comité de gestion chargé de surveiller le dispositif ISMS de Canva.
13. Mesures de minimisation des données
Canva permet aux internautes d’utiliser certaines fonctionnalités de sa plateforme de manière anonyme et restreint les Données à fournir par les utilisateurs et utilisatrices au strict nécessaire au regard du service demandé.
14. Mesures de garantie de la qualité des données
Pour garantir la qualité des données, Canva procède à la vérification des adresses e-mail saisies par les utilisateurs et utilisatrices pour se connecter à la plateforme canva.com. En outre, Canva permet aux personnes utilisatrices de mettre à jour les informations de leur compte par elles-mêmes ou par une demande adressée à l’Équipe satisfaction client (dédiée au service client).
15. Mesures visant à limiter la durée de conservation des données
Canva applique une politique de conservation des données qui définit les durées de conservation des différents types de données sur la base des obligations légales, des intérêts légitimes de Canva et des finalités pour lesquelles les données sont collectées.
16. Mesures pour l’exercice de la responsabilité
Canva a nommé des représentants locaux pour l’UE et le Royaume-Uni. Le représentant local de Canva dans l’UE est le Bureau européen de la protection des données (EDPO), dont le siège est situé Avenue Huart Hamoir 71, 1030 Bruxelles, Belgique. Le représentant local de Canva au Royaume-Uni est le European Data Protection Office UK (EDPO UK), qui a son siège au 8 Northumberland Avenue, Londres WC2N 5BY, Royaume-Uni. Des analyses d’impact sur la protection des données sont menées sur les opérations de traitement de données personnelles à fort risque pour les droits et libertés des personnes concernées et Canva conserve des enregistrements de ses opérations de traitement.
17. Mesures visant à la portabilité des données et à l’effacement
Canva dispose d’une procédure automatique pour supprimer les Données clients sur demande dans un délai de 28 jours, et permet de télécharger les Données clients pour les transmettre à d’autres fournisseurs de services.