Technologies, stockage et sécurité

Technologies, stockage et sécurité

Technologies

L’application Movinmotion est développée en HTML 5 selon les dernières technologies web, et est hébergée sur la solution PaaS (Platform as a Service) Google Cloud Platform : App Engine (traitement) et Cloud Storage (stockage des documents). Cette technologie nous permet de répondre à n’importe quel niveau de montée en charge et de bénéficier d’un excellent niveau de sécurité et de disponibilité.

L’application Movinmotion se divisent en 2 volets : l’application « employeur » et l’application « salarié » qui utilisent des technologies sensiblement différentes :

  • Application Employeur : 
    • Java (Framework Play)
    • Angular (JS)
    • Framework Bootstrap 3
  • Application Salarié (version mise en ligne en Mars 2019):
    • Java (Cloud Endpoints) 
    • Angular (6+)
    • Framework Material Design

L’application Movinmotion peut s’interfacer avec des solutions tierces via Webservices ou API (technologies REST ou SOAP)

 

Stockage

Les serveurs de Google Cloud Platform sont situés en Europe, l'intégralité des données sont donc traitées et stockées exclusivement au sein de l’Union Européenne.

Les documents bulletins de salaire, AEM et Certificats de Congés Spectacle sont stockés sur les serveurs Google Cloud Platform pendant 50 ans.

Les contrats signés électroniquement sont conservés pendant 10 ans dans un coffre-fort numérique géré par CDC Arkhinéo (filiale de la Caisse Des Dépôts).

La signature électronique est apposée aux contrats par notre partenaire Yousign (cf paragraphe suivant) dont les serveurs sont également situés en Europe, de même que le coffre-fort numérique de CDC Arkhineo. 

La durée de conservation des données sur notre Cloud Storage est indéterminée, les données seront conservées jusqu'au terme du contrat (période de réversibilité incluse). La purge de ces données sera alors réalisée par les équipes Movinmotion avec l'accord du client.

 

Signature électronique

L’article 1366 du Code Civil précise que "l’écrit électronique a la même force probante que l’écrit sur support papier à condition qu’il permette d’identifier avec certitude la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à garantir son intégrité."

De ce fait, un document signé électroniquement ne pourra être refusé en justice au titre de preuve dès lors que le procédé permet d’identifier le signataire et de garantir l’intégrité du document. En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.

L'article 1367 Modifié par Ordonnance n°2016-131 du 10 février 2016 - art. 4 stipule que "lorsque la signature est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat."

La signature électronique a donc la même valeur que la signature manuscrite tout en bénéficiant d’une sécurité plus élevée.

Le procédé de signature électronique que nous avons designé et développé répond aux exigences légales. Les documents sont signés de manière cryptographique et les signataires sont identifiés par deux moyens (connection via login / password à la plateforme + réception d’un code par SMS sur son téléphone portable), respectant les deux caractéristiques d’une signature électronique légale : garantir l’intégrité du document et l’identité du signataire.

Nous sommes également en mesure de fournir l’intégralité des éléments de preuves générés lors de la signature, permettant de prouver que le procédé est sécurisé et que la signature a bien été réalisée par le signataire. Nous appelons cela le Dossier de Preuves. Ce dernier est créé automatiquement à chaque signature.

Notre partenaire Yousign est certifié aux niveaux français et européens eIDAS & ETSI (voir leurs certifications)

 

Sécurité et Protection des données

Les plus haut standards de sécurité sont respectés par Google, comme détaillé dans le document suivant : Google Apps Security and Compliance Whitepaper

Google App Engine et Google Cloud Storage bénéficient notamment des certifications ISO/IEC 27001:2005 ainsi que SSAE-16 SOC 1, SOC 2 et SOC 3.

L'accès aux documents est contrôlé, une vérification des droits de l'utilisateur connecté (chaque utilisateur dispose d'un compte nominatif avec adresse e-mail comme login et mot de passe crypté) est effectuée à chaque téléchargement d'un document : les administrateurs de l'entreprise ont accès à tous les documents, chaque salarié à accès uniquement aux documents le concernant (ses contrats de travail, ses bulletins de paie...) une fois ces derniers édités et validés par un administrateur. De plus, la connexion au service Movinmotion est sécurisée via protocole HTTPS entre le poste client et nos serveurs.

Les données saisies sur la plateforme Movinmotion sont confidentielles, et appartiennent à la personne (morale ou physique) qui les a saisies. Movinmotion s’engage à ne pas communiquer ces données à des tiers (ni à titre gracieux ni à titre lucratif), à l’exception bien entendu des déclarations sociales obligatoires (DSN, AEM…)

Enfin, notre service a fait l’objet d’un agrément de la part de la CNIL (numéro de déclaration 1586963 v 0) pour la gestion et le stockage des données personnelles des salariés.

Nous sommes en outre en conformité avec le nouveau règlement Européen sur la protection des données personnelles (RGPD), comme en témoignent les éléments suivants :