La souveraineté numérique est-elle un sujet au sein de votre organisation ?
Souveraineté numérique : pour nous, ce n'est pas un choix accidentel, mais délibéré. En tant qu'entreprise familiale néerlandaise, nous développons et gérons notre logiciel de gestion des contrats entièrement aux Pays-Bas, dans une orientation européenne.
Quels sont les risques pour votre organisation ?
Garder la maîtrise de votre environnement numérique n'est pas une évidence. Cette maîtrise est mise sous pression par la législation étrangère, les structures de propriété internationales et les évolutions géopolitiques. Et même si vos données se trouvent physiquement en Europe, cela ne vous garantit pas encore un contrôle total sur vos données, vos systèmes et votre continuité.
Voici les risques auxquels vous êtes confronté :
La souveraineté numérique exige donc une approche réaliste, fondée sur les risques. Ne pas se limiter à la fonctionnalité et à l'innovation, mais surtout considérer le contrôle, la continuité et une garantie démontrable.
Pourquoi la juridiction compte, pas seulement l'emplacement des serveurs
De nombreuses organisations partent du principe que leurs données sont en sécurité dès lors que les serveurs se trouvent en Europe. Mais l'emplacement des serveurs n'est pas la même chose que la juridiction : le CLOUD Act américain permet aux autorités américaines de réclamer des données auprès d'un fournisseur soumis au droit américain, quel que soit l'endroit où se trouvent physiquement les serveurs.
GRIP est une entreprise néerlandaise. Le traitement de vos données contractuelles s'effectue exclusivement via des parties européennes, sous le droit européen — donc hors du champ d'application du CLOUD Act.
Exclusivement des plateformes européennes pour le traitement des données
Les données contractuelles que vous saisissez dans GRIP sont traitées exclusivement par des parties soumises à la juridiction européenne. Cela vaut pour le stockage, l'hébergement et pour le traitement par IA dans la plateforme.
Certifié ISO 27001
GRIP est certifié selon la norme ISO 27001:2022 (sécurité de l'information) et ISO 9001:2015 (management de la qualité). Les numéros de certificat sont NL-2596.1.1 et NL-2597.1.1. Vous pouvez consulter les certificats actuels via la page de certification ISO.
Consulter les certificats ISOConforme RGPD dès la conception
Le RGPD prévoit que les données à caractère personnel soient traitées exclusivement au sein de l'Espace économique européen, ou avec des garanties appropriées. GRIP répond aux deux exigences : l'ensemble du traitement a lieu au sein de l'EEE, et un accord de sous-traitance est en place pour chaque sous-traitant.
En tant que gestionnaire de contrats ou responsable informatique, vous n'avez pas à deviner la chaîne de traitement. Elle est européenne et démontrable.
NIS-2 et la loi sur la cybersécurité
La directive NIS-2 et la loi néerlandaise sur la cybersécurité imposent des exigences en matière de sécurité de l'information aux organisations des secteurs critiques, ainsi qu'à leurs fournisseurs. GRIP contribue activement aux exigences de sécurité qui s'appliquent aux organisations soumises à NIS-2. La certification ISO 27001, la chaîne de traitement conforme au RGPD et la juridiction européenne en constituent la base.
Questions fréquentes sur les données et la sécurité
Le CLOUD Act est une loi américaine qui permet aux autorités américaines de réclamer des données auprès d'entreprises soumises au droit américain, même si ces données sont physiquement stockées en Europe. Ce qui compte n'est pas l'emplacement des serveurs, mais le contrôle juridique sur le fournisseur. GRIP est une entreprise néerlandaise et traite les données contractuelles exclusivement via des parties soumises au droit européen. Le CLOUD Act ne s'applique pas au traitement de vos données contractuelles dans GRIP.
Les données contractuelles que vous saisissez dans GRIP sont stockées et traitées exclusivement via des plateformes européennes au sein de l'Espace économique européen. Pour le traitement par IA des données contractuelles, GRIP collabore avec Mistral AI SAS, basée en France. Des accords de sous-traitance sont en place conformément au RGPD.
GRIP est certifié selon la norme ISO 27001:2022 (sécurité de l'information) et ISO 9001:2015 (management de la qualité). Les numéros de certificat sont NL-2596.1.1 et NL-2597.1.1. Les certificats complets et la documentation complémentaire sont disponibles via la page de certification ISO.
Un accord de sous-traitance est un contrat obligatoire en vertu du RGPD lorsqu'une organisation fait traiter des données à caractère personnel par un tiers. GRIP a conclu des accords de sous-traitance avec tous ses sous-traitants. En tant que client, vous recevez de GRIP un accord de sous-traitance pour le traitement de vos données contractuelles.
GRIP contribue activement aux exigences de sécurité que les organisations soumises à NIS-2 imposent à leurs fournisseurs. La certification ISO 27001, la chaîne de traitement conforme au RGPD et la juridiction européenne en constituent une base démontrable. Plus de détails sur la page NIS-2.
GRIP traite les données à caractère personnel exclusivement au sein de l'EEE. Un accord de sous-traitance est en place pour chaque sous-traitant. L'ensemble de la chaîne de traitement relève du droit européen. Aucune juridiction américaine n'intervient dans le traitement de vos données contractuelles.
La juridiction européenne signifie que toutes les parties qui traitent vos données contractuelles relèvent du droit européen, y compris le RGPD. Les gouvernements étrangers (comme les États-Unis via le CLOUD Act) ne peuvent pas contraindre ces parties à fournir des données en dehors du cadre juridique européen. Pour votre organisation, cela signifie un contrôle démontrable sur l'endroit où atterrissent vos données et sur qui y a légalement accès.
Des questions sur votre conformité des données ?
De nombreuses organisations dans les secteurs public, de la santé et de l'enseignement imposent des exigences de plus en plus concrètes à leurs fournisseurs SaaS. Si vous avez des questions sur la manière dont GRIP traite vos données contractuelles, sur les sous-traitants impliqués ou sur la documentation disponible, nous serons heureux d'y répondre.