DONNEES PERSONNELLES Ganesh Hosting 2


1/ ce code de conduite concerne la seule société Ganesh Hosting Sàrl (Ganesh Hosting, plus loin dans ce Code de Conduite), et ses seuls sous-traitants pour la fourniture de ses services tels que choisis et désignés par elle ci-dessous dans ce Code de Conduite, à l’exclusion de toute autre société,
même qui semblerait avoir un lien d’affaires avec elle. Mis à part ses sous-traitants définis exhaustivement dans ce Code de Conduite, Ganesh Hosting n’a pas de société apparentée, ni liée, ni avec laquelle elle traiterait conjointement des données personnelles.

2/ LPD : Ganesh Hosting , société de droit suisse est soumise à la LPD helvétique, et s’engage à y rester conforme ; ainsi que fournir à ceux de ses clients qui y seraient aussi soumis son accompagnement, dans la limite des services qu’offre Ganesh Hosting, afin qu’eux-mêmes puissent également demeurer conformes à la LPD. En particulier, Ganesh Hosting a désigné auprès du PFPDT, au sens de la LPD, un Conseiller à la
Protection des Données, au sens de la LPD, en la personne externe de la société Radouga SA, Fribourg, représentée par Monsieur Éric Sinot.
Lien vers le site de la confédération suisse Les conseillers à la protection des données en entreprise

3/ Ganesh Hosting ne se sent pas liée par la Directive UE 2016/679 (aussi connue sous l’acronyme RGPD utilisé plus bas dans le texte, ou GDPR en anglais) de l’Union Européenne (UE plus bas dans le texte), ni d’aucune autre législation de protection des données personnelles d’un autre État, car les
activités et services fournis par Ganesh Hosting s’exercent en tout temps à travers des contrats soumis à la juridiction helvétique.

Nonobstant cette première considération, Ganesh Hosting précise que, même dans l’hypothèse où elle ouvrirait dans le futur une éventuelle filiale sur le territoire d’un des États membres de L’UE, Ganesh Hosting dès aujourd’hui et cette filiale de Ganesh Hosting dès ce futur hypothétique :

  • N’offrent aucun service d’aucune sorte, et ne concluent pas de contrats avec des personnes physiques concernées résidant sur le territoire de l’UE, et ne suivent pas le comportement de telles personnes physiques concernées, en particulier non plus lorsqu’elles résident sur le territoire de l’UE (cf. RGPD Article 3)
  • Ne traitent pas et ne traiteront pas de données personnelles de personnes physiques résidant sur le territoire de l’UE, hormis pour les données minimales nécessaires au suivi et l’exécution de certains contrats qui lient les donneurs d’ordre ou employeurs de ces personnes physiques à Ganesh Hosting (cf. Considérant 44 RGPD). Il s’agit limitativement de : nom et prénom usuels, rôle ou fonction professionnels, coordonnées de contact
    (adresse email, numéro de téléphone professionnels).

4/ en sus de la législation LPD, et dans les limites des services qu’elle peut offrir, Ganesh Hosting souhaite cependant offrir son meilleur accompagnement à ses clients qui seraient eux-mêmes, directement ou indirectement, soumis à tout ou partie de la RGPD, de façon qu’eux-mêmes
disposent des meilleures bases pour assurer leur propre conformité RGPD.

5/ En relation avec le point 4/ ci-dessus, les points suivants de ce paragraphe sont assurés par Ganesh Hosting, agissant comme sous-traitant (au sens RGPD) ou comme tiers (au sens LPD) pour le compte de ses clients, agissant comme responsables de traitements (au sens RGPD) ou maîtres de fichiers (au sens LPD) :

5.1 / Ganesh Hosting s’engage à ne pas traiter les données en général, et plus particulièrement les données personnelles (au sens RGPD et LPD), traitées par ses clients, ni durant la préparation des contrats de services qui lient Ganesh Hosting et ses clients, ni pendant, ni ensuite.
En particulier, Ganesh Hosting n’effectue pas de consultation, ni de copie, ni de communication de ces données traitées par ses clients à des fins autres que celles définies par ses clients.
Ganesh Hosting réserve bien sûr les cas des demandes judiciaires des autorités helvétiques ou de défense de ses propres droits en justice.

5.2 / Ganesh Hosting demande le même niveau de confidentialité à ses employés, tous résidant sur territoire helvétique, par la signature contractuelle d’un tel engagement envers les clients de Ganesh Hosting.

5.3 / Ganesh Hosting demande contractuellement le même niveau d’engagement à ses propres sous-traitants (au sens RGPD, ou tiers pour la LPD), choisis et déterminés par elle-même, pour les données personnelles de ses clients auxquels ces sous-traitants pourraient techniquement avoir accès.

5.4/ Mis à part les réserves du 5.1/, la seule exception au 5.1/ consiste en la demande exceptionnelle, explicite, détaillée, écrite et autorisée de la part du client. Quoique ne disposant alors pas de tous les éléments pour juger de la licéité et de la proportionnalité d’un tel traitement exceptionnel, Ganesh Hosting les examinera tout de même en première approche et fera part de ses conclusions par écrit à son client demandeur, au moment de la réalisation d’une telle demande (article 28.3 h, RGPD)


5.5/ si, dans le cas du 5.4/, Ganesh Hosting est amenée à traiter des données personnelles de personnes physiques, elle en tiendra un registre qu’elle tiendra aussi à disposition de son client pour son propre registre des traitements


5.6/ Ganesh Hosting mettra en oeuvre les moyens techniques et organisationnels nécessaires selon l’état de l’art pour assurer la sécurité des systèmes qu’elle fournit elle-même ou ses propres sous-traitants.

Liste de quelques processus & moyens mis en oeuvre par Ganesh Hosting pour ce faire :

  • Les employés de Ganesh Hosting sont régulièrement sensibilisés et formés aux aspects légaux de la protection des données, en plus de leurs connaissances professionnelles sur la sécurité technique des données
  • Tous les logiciels dont la gestion mutualisée se trouve sous contrôle de Ganesh Hosting, seront mis à jour selon les plus récents correctifs de sécurité au plus tard 3 jours ouvrables après la publication officielle desdits correctifs ; un registre sera tenu, comportant ces mises à jour.
  • Ganesh Hosting surveille en permanence le trafic réseau, entrant et sortant, et le comportement du hardware (virtuel ou physique) sur les infrastructures mutualisées ou spécifiques louées à ces clients ; Ganesh Hosting tient ses clients informés en permanence d’écarts substantiels ou d’évolutions très importantes eu égard à l’historique constaté.
  • Ganesh Hosting tracera le volume et la fréquence (mais pas les données) des sauvegardes
    effectuées par ses clients, avec notifications vers eux des éventuelles anomalies ou exceptions détectées. Le caractère ‘offline’ des sauvegardes sera aussi testé, avec notifications en cas d’exception.
  • De plus, Ganesh Hosting testera annuellement au minimum les mécanismes de retour à la normale suite à désastre sur le réseau interne et ses propres équipements, les accès à internet, et les équipements de traitement des données.
  • Ganesh Hosting testera annuellement au minimum ses mécanismes de détection et reporting des incidents de protection des données de ses clients.
  • Ganesh Hosting effectuera au minimum annuellement un test de pénétration et un test de vulnérabilité sur ses systèmes, en particulier la sécurité des systèmes dédiés dans
    l’hypothèse où le système dédié d’un autre client serait compromis, et la sécurité des
    systèmes mutualisés dans l’hypothèse où un des accès mutualisés serait compromis.


5.7/ si malgré toutes les précautions prises, un incident de protection des données était remarqué par Ganesh Hosting, Ganesh le notifierait au client dans les meilleurs délais et dans tous les cas sous 48 heures (jours ouvrables, selon calendrier officiel du canton de Vaud, Suisse)


5.8/ par défaut, Ganesh Hosting autorise et encourage par ailleurs le mandant à activer par lui-même et sous son propre contrôle des mesures techniques additionnelles, pour renforcer et complémenter les mesures déjà prises par Ganesh Hosting par des mesures spécifiques à ses propres applications et usages des systèmes mis à disposition par Ganesh Hosting. Ceci inclut par exemple les procédés de chiffrements des données (en place ou en transfert), la pseudonymisation des données personnelles, les contrôles d’accès par double-authentification, les tests d’intrusion et audits de vulnérabilités spécifiques réguliers …


5.9/ concernant les services « mutualisés » uniquement, Ganesh Hosting collecte de son côté les adresses IP de personnes, qui peuvent être physiques le cas échéant, qui y accèdent avec les ressources accédées et les protocoles réseau utilisés, dans le but unique d’assurer la sécurité informatique d’accès à ces services mutualisés (tels que sites web, email …) ; l’intérêt légitime de Ganesh Hosting pour le compte de ses clients est alors assuré (Considérant 49 RGPD), d’autant que ces données personnelles sont systématiquement et irrémédiablement effacées après 3 jours ouvrables, sauf celles relatives à une possible infraction pénale, possiblement transmises aux autorités helvétiques (Considérant 50 RGPD).(Note : les clients des services mutualisés qui souhaiteraient ces données pour d’autres suivis sont invités à les collecter par eux-mêmes, via les services loués à Ganesh Hosting, et avec leur propre légitimation de la collecte de ces données).

5.10/ concernant les transferts internationaux de données personnelles, Ganesh confirme ici que tous les traitements qu’elle effectue, et toutes les infrastructures qu’elle loue à ses clients comme sous-traitant pour effectuer leur propres traitement de données, se situent exclusivement dans des
juridictions assurant un niveau juridique de protection des données personnelles conformes à la LPD suisse et au RGPD de l’UE, y compris les processus et données d’archives, de journalisation et de sauvegarde.
La confédération suisse figure à ce jour sur la liste des pays avec acceptation mutuelle par l’UE d’ un niveau de protection des données personnelles équivalent ; les transferts de données sont donc possibles entre Suisse et UE sans formalité ni contrat préalable.


5.11/ Uniquement sur demande expresse de ses clients (cf. 5.4 ci-dessus), Ganesh Hosting peut aussi fournir des prestations exceptionnelles d’accompagnement liées à la conformité RGPD, ou LPD, ou encore la sécurité de leurs données, à ses clients pour :

  • Répondre aux demandes d’accès (RGPD ou LPD),
  • Effacer des données personnelles, en particulier dans les historiques et sauvegardes,
  • Limiter des traitements (cf. Considérant RGPD 67)
  • Analyser des risques plus élevés, inclure la consultation préalable de l’autorité
  • Auditer la protection des données personnelles dès la conception et par défaut
  • Trouver un représentant RGPD pour son client sur territoire de l’UE
  • Organiser un registre des traitements sur les données personnelles
  • Préparer un DPO, au sens du RGPD, externe ou interne, si nécessaire
  • Coopérer avec autorité de contrôle

Dans le cas où Ganesh Hosting modifierait ces clauses dans une future version de son Code de Conduite, elle en informerait ses clients au bénéfice d’une version antérieure avec une explication transparente de chaque modification et de son origine, puis un délai de réaction de trois (3) mois au minimum avant tacite acceptation.

Dans le cas où vous aimeriez soumettre à Ganesh Hosting une proposition d’amélioration de ses services relative à la protection des données, des données personnelles en particulier, que vous traitez, elle sera accueillie avec grand intérêt par notre Conseiller à la Protection des Données :
Radouga SA, Éric Sinot, eric.sinot@pensees-consulting.ch.