Politique de protection des données personnelles

Dernière mise à jour : 29 novembre 2024

Le site internet www.tryriot.com (ci-après le « Site »), édité par la société Riot Security, Inc. (ci-après « Riot Security » ou « nous »), permet d’accéder à la solution Riot (ci-après « Solution Riot ») destinée aux entreprises et visant à former et sensibiliser les employés aux risques liés à la cybersécurité (ci-après « Services Cybersécurité »).

Dans le cadre de l’accès, la consultation, la navigation et l’utilisation du Site et de la Solution Riot, vous êtes amené à communiquer à Riot Security des données personnelles vous concernant.

Nous vous remercions de bien vouloir prendre connaissance de la présente politique, vous expliquant comment vos données personnelles sont utilisées par Riot Security et quels sont vos droits à ce sujet. Cette politique vient compléter les Conditions Générales d’Utilisation, ainsi que tout document ou mention d’information renvoyant à la politique.

Au besoin, vous pouvez poser toutes vos questions directement à Riot Security en envoyant un email à l’adresse suivante : support@tryriot.com.

1. Qui est le responsable de traitement de vos données personnelles ?

Lorsque vous utilisez la partie du Site ouvert au public 

  • Riot Security est responsable de traitement des données personnelles collectées et traitées pour les besoins de la gestion administrative, opérationnelle et commerciale de la partie du Site ouvert au public en sa qualité d’éditeur.

Lorsque vous utilisez la Solution Riot

  • votre employeur est responsable de traitement des données personnelles collectées et traitées aux fins de la fourniture des Services Cybersécurité auxquels il a souscrit ; 
  • Riot Security est sous-traitant, agissant au nom et pour le compte de votre employeur, des données personnelles collectées et traitées aux fins de la fourniture des Services Cybersécurité auxquels votre employeur a souscrit.

Au sein de l’Union européenne, Riot Security est représentée par Riot Security SAS.

2. Quelles données personnelles vous concernant sont traitées ?

Toutes les données personnelles ont été directement fournies par vous ou votre employeur, par des partenaires externes, ainsi que générées dans le cadre de l’utilisation des Services Cybersécurité, à savoir :

Catégorie de données

Exemples de données

Données d’identification

Nom, prénom, photographie

Coordonnées

Adresse e-mail, numéro de téléphone

Données professionnelles

Entreprise (nom et secteur), fonction, URL LinkedIn, ancienneté

Données relatives à votre formation et sensibilisation aux risques liés à la cybersécurité

(en fonction des Services Cybersécurité

souscrits par votre employeur)

Historique des formations suivies, historique des conversations chatbot, réactions face à une campagne de phishing (email ignoré, email ouvert, email reporté, identifiants compromis, etc.), robustesse du mot de passe, évaluation de votre niveau de sensibilisation aux risques liés à la cybersécurité, dernière demande de carte SIM

Données relatives à vos échanges avec Riot Security

Date, objet, enregistrements vocaux et vidéo et contenu de vos échanges avec les services internes de Riot Security

Données relatives à votre candidature à une offre d’emploi au sein de Riot Security

Toute information fournie dans le cadre de votre candidature

Par ailleurs, certaines données sont automatiquement collectées par le Site via des cookies/traceurs, à savoir :

Catégories de données

Exemples de données

Finalités

Données de connexion et de navigation

Date et heure de connexion, adresse IP, terminal, navigateur, système d’exploitation, localisation, pages consultées, enregistrements des sessions, traces applicatives

Ces données sont nécessaires au bon fonctionnement technique du Site, ainsi que pour la mesure d’audience et la sécurité du Site et de la Solution. Pour plus d’informations sur les cookies/traceurs présents sur le Site et la solution Riot, veuillez consulter la Politique de gestion des cookies.

Certaines de ces données sont obligatoires, d’autres facultatives pour pouvoir bénéficier pleinement du Site et des Services Cybersécurité souscrits par votre employeur. Le caractère obligatoire ou facultatif des données à renseigner est signalé sur les formulaires de collecte. Si vous refusez de fournir les données obligatoires demandées, Riot Security ne sera pas en mesure de traiter votre demande (ex : création de votre compte Riot Security, fourniture des Services Cybersécurité, traitement de votre candidature à une offre d’emploi au sein de Riot Security, etc.).

3. Pourquoi Riot Security utilise vos données personnelles ?

Lorsque vous utilisez la partie du Site ouvert au public et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), vos données personnelles sont traitées pour les raisons suivantes :

Finalité

Exemples d’utilisation de vos données personnelles

Fondements juridiques

Démonstration de la Solution Riot

  • pour programmer une démonstration de la Solution Riot selon vos disponibilités
  • pour vous présenter la Solution Riot
  • pour vous recontacter si nécessaire

Mesures précontractuelles et votre consentement à l’enregistrement des démonstrations

Traitement de vos demandes de contact

  • pour traiter votre demande de contact
  • pour vous recontacter si nécessaire

Intérêt légitime de Riot Security à répondre aux demandes de contact qui lui sont adressées

Envoi de communications commerciales et marketing

  • pour vous envoyer des communications relatives aux activités et services de Riot Security susceptibles de vous intéresser
  • pour mesurer la performance des publicités et communications marketing et commerciales

Intérêt légitime de Riot Security à développer son activité (avec votre consentement préalable lorsque requis par la loi applicable)

Traitement de votre candidature à une offre d’emploi au sein de Riot Security

  • pour examiner votre candidature
  • pour vous recontacter
  • si votre candidature est retenue, pour organiser un entretien en vue d’évaluer vos aptitudes professionnelles à occuper l’emploi

Mesures précontractuelles

Constitution d’une CVthèque

  • pour vous recontacter en vue de vous faire part de toutes nouvelles offres d’emploi susceptibles de vous intéresser

Intérêt légitime de Riot Security à constituer une CVthèque de candidats potentiels pour ses futures offres d’emploi

Amélioration du Site, des Services Cybersécurité et de votre expérience utilisateur 

  • pour recueillir votre avis sur les Services Cybersécurité souscrits par votre employeur et le publier sur le Site (avec votre consentement le cas échéant)
  • pour permettre le bon fonctionnement du Site et de la Solution Riot
  • pour mesurer l’audience du Site et analyser l’utilisation de la Solution Riot
  • pour garantir la sécurité du Site et de la Solution Riot

Intérêt légitime de Riot Security à améliorer le Site, les Services Cybersécurité et votre expérience utilisateur 

Votre consentement recueilli au travers de la bannière Cookies

Gestion d’un précontentieux ou d’un contentieux

  • pour prendre des actions à l’encontre de toute violation identifiée
  • pour gérer tout différend ou litige

Intérêt légitime de Riot Security à défendre ses droits et intérêts

Respect des obligations légales et réglementaires

  • pour respecter les obligations légales et réglementaires applicables
  • pour répondre à vos demandes d’exercice des droits

Obligations légales et réglementaires s’imposant à Riot Security en sa qualité de responsable de traitement

Gestion de la facturation et des contrats

  • pour permettre la contractualisation de l’employeur aux Services Cybersécurité
  • pour procéder au règlement des Services Cybersécurité souscrits
  • pour mettre à votre disposition les factures dans votre espace “Facturation”

Exécution du contrat

Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), vos données personnelles sont traitées uniquement pour les raisons suivantes :

Finalité

Exemples d’utilisation de vos données personnelles

Fondements juridiques susceptibles d’être utilisés par le responsable de traitement

Création et gestion de votre compte Riot Security

Pour créer votre compte Riot Security (à partir de vos identifiants Slack, Gmail ou Outlook) en qualité de manager pour vous permettre de vous authentifier sur la Solution Riot et ainsi accéder au dashboard des Services Cybersécurité souscrits par votre employeur pour vous permettre de mettre à jour votre compte au besoin

Intérêt légitime de votre employeur à former et sensibiliser ses employés sur les risques liés à la cybersécurité, afin de protéger au mieux ses systèmes d’information

Fourniture des Services Cybersécurité souscrits par votre employeur

pour vous fournir les Services Cybersécurité souscrits par votre employeur (cours de sensibilisation, exercices phishing, etc.) pour établir des statistiques sur votre niveau de sensibilisation aux risques liés à la cybersécurité

Intérêt légitime de votre employeur à former et sensibiliser ses employés sur les risques liés à la cybersécurité, afin de protéger au mieux ses systèmes d’information

Respect des obligations légales et réglementaires

Pour respecter les obligations légales et réglementaires applicables pour répondre à vos demandes d’exercice des droits

Obligations légales et règlementaires s’imposant à Riot Security en sa qualité de sous-traitant

Au choix de votre employeur, la Solution Riot pourra déployer des fonctionnalités impliquant l’intelligence artificielle afin de vous proposer des Services Cybersécurité performants et d’améliorer la sensibilisation des utilisateurs à la protection des données et à la cybersécurité.

4. Qui peut avoir accès à vos données personnelles ?

Destinataires

Finalités

Riot Security et ses employés autorisés

Aux fins de gestion du Site et de la fourniture des Services Cybersécurité, comme précisé à la section 3 de la présente politique

Slack Technologies, LLC

Aux fins de vous authentifier sur la Solution Riot à partir de vos identifiants Slack pour accéder à votre compte Riot Security

Google, Inc.

Aux fins de vous authentifier sur la Solution Riot à partir de vos identifiants Gmail pour accéder à votre compte Riot Security. L'utilisation et le transfert à toute autre application des informations reçues de l'API de Google par le Signalement de phishing à Riot se conformeront à la Politique de données utilisateur des services API de Google, y compris les exigences d'utilisation limitée.

Microsoft, Inc.

Aux fins de vous authentifier sur la Solution Riot à partir de vos identifiants Outlook pour accéder à votre compte Riot Security

Prestataires auxquels a recours Riot Security (hébergeur, prestataires informatiques, éditeurs de solutions IT, etc.)

À des fins exclusivement techniques, logistiques ou opérationnelles dans le cadre de la gestion du Site et de la fourniture des Services Cybersécurité, comme précisé à la section 3 de la présente politique

Autorités administratives ou judiciaires

Uniquement dans l’hypothèse d’une demande expresse et motivée de leur part ou en cas d’infraction avérée à des dispositions légales ou réglementaires

Conseils externes

Uniquement dans le cadre de la gestion d’éventuels différends, litiges ou de tout autre sujet juridique le cas échéant

Opérateurs de téléphonie

Lorsque vous utilisez le service Lookup Sim Swap, votre opérateur de téléphonie mobile utilise ou divulgue des informations sur votre compte et votre appareil sans fil, le cas échéant, à Riot Security ou à son prestataire de services pendant la durée de la relation commerciale, uniquement pour vous identifier ainsi que votre appareil sans fil et pour prévenir les fraudes.

Potentiels acquéreurs

A la suite ou à l’occasion de la restructuration, la reconstitution, l’acquisition, le financement par emprunt, la fusion, la vente d’actifs de Riot Security ou d’une transaction similaire, ainsi qu’en cas d’insolvabilité, de faillite ou de mise sous séquestre dans laquelle des données personnelles sont transférées à un ou plusieurs tiers en tant qu’actifs de Riot Security

5. Vos données personnelles sont-elles transférées en dehors de l’union européenne/l’espace économique européen ?

Dans la mesure du possible, vos données sont traitées au sein de l’Union européenne (UE)/l’Espace économique européen (EEE). Toutefois, Riot Security ainsi que certains de ces prestataires sont situés dans des pays en dehors de l’UE/EEE. 

Riot Security se conforme au cadre de protection des données UE-États-Unis (EU-U.S. DPF) et à l'extension britannique du cadre de protection des données UE-États-Unis, tels que définis par le Ministère américain du Commerce. Riot Security a certifié au Département du commerce des États-Unis adhérer aux principes du cadre UE-États-Unis de protection des données personnelles (principes du DPF UE-États-Unis) en ce qui concerne le traitement des données personnelles reçues de l'Union européenne en vertu du DPF UE-États-Unis et du Royaume-Uni (et de Gibraltar) en vertu de l'extension britannique du DPF UE-États-Unis. En cas de conflit entre les termes de la présente politique de confidentialité et les principes du DPF UE-États-Unis, ce sont les principes qui prévalent. Pour en savoir plus sur le programme du cadre de protection des données (DPF) et pour consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.

Si vous avez une demande ou une plainte à formuler, veuillez nous contacter dpo@tryriot.com afin que Riot Security puisse y répondre. Si Riot Security ne peut satisfaire votre demande, vous pouvez également contacter votre autorité locale de protection des données au sein de l'Espace économique européen ou du Royaume-Uni (selon le cas), avec laquelle Riot Security s'engage à coopérer, pour les plaintes non résolues concernant le traitement de vos données personnelles reçues en vertu du DPF UE-États-Unis et de l'extension britannique du DPF UE-États-Unis. Il est également possible, sous certaines conditions, de recourir à un arbitrage contraignant pour les plaintes non résolues par d’autres mécanismes du DPF, comme indiqué plus en détail sur le site web du DPF. Veuillez également noter que Riot Security est soumis aux pouvoirs d'enquête et de contrôle de la Federal Trade Commission (FTC) des États-Unis.

Dans certains cas, Riot Security peut être tenu de divulguer des données personnelles en réponse à des demandes légales émanant d'autorités publiques, y compris pour répondre à des exigences de sécurité nationale ou de respect de la loi. De plus amples informations sur les garanties mises en œuvre par Riot Security pour protéger les transferts de données à caractère personnel sont disponibles dans notre Data Processing Agreement. Lors du transfert de vos données à caractère personnel à un tiers, Riot Security reste responsable en vertu des principes du DPF.

Dans l’hypothèse où le pays destinataire en question n’assurerait pas un niveau de protection des données personnelles équivalent à celui de l’UE/EEE ou du Royaume-Uni, Riot Security garantit, à défaut de décision d’adéquation et après qu’ait été conduite une évaluation du niveau de protection de vos droits sur le territoire du pays tiers où est établi le destinataire de vos données personnelles, à prendre toutes les mesures nécessaires pour assurer la protection de vos données personnelles sur la base de garanties appropriées (notamment des clauses contractuelles types). Leur communication pourra être directement obtenue auprès de Riot Security en envoyant un email à l’adresse suivante : dpo@tryriot.com.

Nom du destinataire

Pays tiers

Garanties adoptées

Riot Security, Inc.

Etats-Unis

Décision d’adéquation US-UE

Slack Technologies, LLC

Etats-Unis

Décision d’adéquation US-UE

Google, Inc.

Etats-Unis

Décision d’adéquation US-UE

Microsoft, Inc.

Etats-Unis

Décision d’adéquation US-UE

Intercom, Inc.

Etats-Unis

Décision d’adéquation US-UE

Twilio, Inc.

Etats-Unis

Décision d’adéquation US-UE

Mailgun Technologies, Inc.

Etats-Unis

Clauses Contractuelles Types

Functional Software, Inc.

Etats-Unis

Décision d’adéquation US-UE

Datadog, Inc.

Etats-Unis

Décision d’adéquation US-UE

HubSpot, Inc.

Etats-Unis

Décision d’adéquation US-UE

Temporal, Inc.

Etats-Unis

Clauses Contractuelles Types

Airtable, Inc.

Etats-Unis

Clauses Contractuelles Types

Stripe, Inc.

Etats-Unis

Décision d’adéquation US-UE

Calendly, Inc.

Etats-Unis

Décision d’adéquation US-UE

Docusign, Inc.

Etats-Unis

Clauses Contractuelles Types

OpenAI OpCo, LLC

Etats-Unis

Clauses Contractuelles Types

Zoom, Inc.

Etats-Unis

Clauses Contractuelles Types

Superlative Enterprises Pty Ltd

Etats-Unis

Clauses Contractuelles Types

LinkedIn

Etats-Unis

Décision d’adéquation US-UE

Google Ads

Etats-Unis

Décision d’adéquation US-UE

Lever Inc.

Etats-Unis

Clauses Contractuelles Types

6. Comment Riot Security protège vos données personnelles ?

Riot Security a mis en place des mesures techniques et organisationnelles afin de protéger vos données personnelles, notamment contre d’éventuelles violations susceptibles d’entraîner, de manière accidentelle ou illicite, la destruction, la perte, l’altération, l’accès ou la divulgation non autorisée de vos données personnelles. Ces mesures assurent un niveau de sécurité approprié des données et tiennent compte de l’état des connaissances, des coûts de mise en œuvre par rapport aux risques et de la nature des données à protéger. 

Riot Security garantit par ailleurs que toute personne amenée à traiter vos données personnelles respecte les règles et procédures internes relatives à la protection des données personnelles, notamment les mesures de sécurité techniques et organisationnelles mises en place pour protéger vos données personnelles. Dans ce cadre, les pratiques de Riot Security sont régulièrement revues et mises à jour, afin d’assurer la protection et la confidentialité de vos données personnelles et veiller à ce que les règles et procédures internes soient respectées.

Si vous identifiez une vulnérabilité ou si vous voulez signaler un incident de sécurité, nous vous invitons à vous envoyer un e-mail à l’adresse suivante : support@tryriot.com.

7. Combien de temps vos données personnelles sont-elles conservées ?

De façon générale, vos données personnelles ne seront conservées que pendant la période nécessaire pour atteindre les finalités pour lesquelles ces données ont été collectées. 

  • Lorsque vous utilisez la partie du Site ouvert au public et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), elle conserve : 
  • les données collectées dans le cadre d’une demande de démonstration de la Solution Riot sont conservées pendant trois (3) ans à compter du jour de la démonstration à des fins de prospection commerciale
  • les données collectées dans le cadre d’une demande de contact jusqu’au traitement complet de celle-ci ; 
  • les données collectées dans le cadre de votre candidature à une offre d’emploi pendant deux (2) ans à compter de votre dernier contact avec Riot Security, sauf demande de destruction de votre dossier de votre part ; 
  • les données de connexion et de navigation sont conservées jusqu’à treize (13) mois à partir de leur collecte
  • Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), elle conserve les données fournies ou générées dans le cadre de l’utilisation de la Solution Riot tout au long de la relation contractuelle qui la lie avec votre employeur. Au-delà, ces données sont conservées pendant un (1) an, supprimées sur demande express ou anonymisées.

8. Quels sont vos droits sur vos données personnelles ?

Lorsque vous utilisez le Site et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), vous pouvez directement contacter Riot Security pour toute question et pour exercer les droits suivants, en envoyant un email à l’adresse suivante : dpo@tryriot.com.

Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), vous pouvez directement contacter votre employeur pour toute question et pour exercer les droits suivants.

Conformément à la réglementation relative à la protection des données personnelles, vous disposez des droits suivants sur vos données personnelles :

  • un droit d’accès à vos données personnelles vous permettant d’obtenir des informations claires, transparentes et compréhensibles sur la façon dont vos données personnelles sont utilisées et sur vos droits (telles que fournies dans la présente politique), ainsi qu’une copie de vos données personnelles
  • un droit de rectification de vos données personnelles vous permettant d’obtenir la modification de vos données personnelles si elles sont obsolètes, inexactes ou incomplètes
  • un droit d’opposition au traitement de vos données personnelles lorsqu’il est fondé sur l’intérêt légitime. Ainsi, le traitement cessera, sauf s’il existe des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés, tels que le respect d’une obligation légale (ex : obligation légale de conserver certaines données personnelles) ou encore la constatation, l’exercice ou la défense d’un droit en justice. 
  • un droit à la limitation temporaire du traitement de vos données personnelles notamment en vue de procéder à des vérifications, à savoir : 
  • lorsque vous contestez l’exactitude de vos données personnelles, le temps que le responsable de traitement puisse vérifier qu’elles sont correctes ;
  • si le traitement est illicite et, plutôt que demander leur effacement, vous préférez limiter leur utilisation ;
  • si le responsable de traitement n’a plus besoin de vos données personnelles pour le traitement mais qu’elles restent nécessaires pour vous permettre de constater, exercer ou défendre un droit en justice ;
  • si vous vous opposez au traitement en application de votre droit d’opposition, pendant la durée de vérification ayant pour objet de confirmer que les motifs légitimes poursuivis par le responsable de traitement.
  • un droit de retirer votre consentement, à tout moment, pour les finalités pour lesquelles nous avons collecté votre consentement.
  • un droit à la portabilité de vos données personnelles vous permettant de recevoir les données personnelles que vous nous avez fournies, dans un format informatique structuré, couramment utilisé, et à ce qu’elles soient transmises à un tiers si cela est techniquement possible. Ce droit ne s’exerce pas en toutes circonstances, il ne s’applique qu’à condition qu’il remplisse toutes les conditions suivantes :
  • il porte uniquement sur vos données personnelles, excluant toutes les données anonymes ou celles de tiers ;
  • il ne porte pas atteinte aux droits et libertés du responsable de traitement (en particulier le secret des affaires) ou des tiers (en particulier les droits de propriété intellectuelle) ;
  • il concerne des données personnelles traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) ;
  • le traitement est fondé sur votre consentement ou l’exécution d’un contrat (pour le vérifier, vous pouvez vous reporter à la section 3 de la présente politique).
  • un droit à l’effacement de vos données personnelles (ou droit à l’oubli) lorsque l’un des motifs suivants s’applique : 
  • vous vous opposez au traitement de vos données personnelles et il n’existe pas de motif légitime impérieux justifiant le maintien de ce traitement ; 
  • vous décidez de retirer votre consentement sur lequel est fondé le traitement ;
  • lorsque vos données personnelles ne sont plus utiles aux finalités initiales qui ont justifié leur collecte ou un autre type de traitement ;
  • l’utilisation qui est faite de vos données n’est pas conforme aux dispositions législatives ou réglementaires applicables. 
  • un droit de définir des directives, soit générales, soit particulières, s’agissant de vos données personnelles dans l’hypothèse de votre décès (par exemple, leur suppression ou leur transmission à toute personne de votre choix). Vous pouvez révoquer vos directives à tout moment.

Il est précisé que l’exercice de ces droits est fonction de la base légale du traitement, comme précisé dans le tableau ci-dessous :

Accès

Rectification

Effacement

Limitation

Portabilité

Opposition

Consentement

Oui

Oui

Oui

Oui

Oui

Retrait du consentement

Mesures précontractuelles

Oui

Oui

Oui

Oui

Oui

Non

Contrat

Oui

Oui

Oui

Oui

Oui

Non

Intérêt légitime

Oui

Oui

Oui

Oui

Non

Oui

Obligations légales

Oui

Oui

No

Oui

Non

Non

Dans certaines circonstances, le responsable de traitement pourra être amené à vous demander des informations spécifiques, afin de confirmer votre identité et garantir l’exercice de vos droits. Il s’agit d’une autre mesure de sécurité appropriée pour s’assurer que les données personnelles ne sont pas divulguées à une personne qui n’a pas le droit de les recevoir.

Au besoin, vous pouvez introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) via son site internet ou par courrier : 3, place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07. Ce droit peut être exercé à tout moment gratuitement, mis à part les frais du courrier le cas échéant, et les frais éventuels d’assistance ou de représentation si vous choisissez de vous faire aider dans cette procédure par un tiers.

9. Mise à jour de la présente politique de protection des données personnelles

La politique de protection des données personnelles est datée de manière précise et pourra être modifiée et mise à jour par Riot Security à tout moment, notamment en cas d’évolution du Site, des Services Cybersécurité ou de la réglementation applicable. Par conséquent, nous vous recommandons de consulter la présente politique à chaque nouvel accès au Site ou à la Solution Riot.