Sécurité, confidentialité et conformité de Todoist


Dans cet article, nous souhaitons répondre à toutes vos questions sur la manière dont nous traitons vos informations personnelles, sur les mesures de sécurité que nous mettons en œuvre et sur notre conformité avec les réglementations mondiales, telles que le RGPD.

Conseil rapide

Consultez notre Politique de confidentialité et notre Politique de sécurité, qui décrivent plus en détail les mesures que nous prenons pour protéger vos informations.

Sécurité

La sécurité fait référence aux mesures et aux protocoles que nous mettons en œuvre pour protéger vos données contre les accès non autorisés, les violations et autres menaces. Elle englobe les garanties techniques et procédurales que nous mettons en place pour veiller à ce que vos données restent confidentielles, intégrales et disponibles.

Nous limitons l'accès du personnel aux données personnelles à un très petit nombre d'employés ayant besoin d'un tel accès pour des raisons spécifiques afin d'améliorer Todoist et Twist.

Nous testons, examinons et évaluons régulièrement l'efficacité de nos processus et de notre technologie.

Nous utilisons un chiffrement pour protéger les données.

Lorsque les données utilisateur sont stockées sur des serveurs et dans des bases de données, Doist utilise un chiffrement AES 256. Lorsque les données sont envoyées ou reçues, elles sont chiffrées en TLS 1.1 ou plus. Les sauvegardes de données sur nos serveurs sont chiffrées en AES256 et signées par RSA avec de clé de 2048 bits.

En outre, Todoist crée quotidiennement des sauvegardes automatiques au sein de l'application pour les utilisateurs Pro et Business. Nous prenons les mesures de protection nécessaires pour nous assurer que celles-ci sont bien protégées en maintenant un système de sécurité qui empêche les accès non autorisés.

Le RGPD présentant différentes exigences, vos besoins de conformité dépendront de vos circonstances précises. Si vous avez des questions ou des besoins spécifiques, contactez-nous.

Lorsque vous utilisez Todoist dans un espace personnel, Doist est considéré comme un processeur de données, ce qui signifie que nous contrôlons la manière dont vos données utilisateur sont traitées et que nous sommes responsables du traitement des données dans le cadre du RGPD.

Projets partagés dans un espace personnel

Lorsque vous partagez du contenu avec d'autres utilisateurs de Todoist (y compris dans des projets partagés au sein d'un espace personnel) :

  • Tous les collaborateurs sont propriétaires des données et du contenu du projet partagé.
  • Si le créateur original du projet partagé supprime son compte ou quitte le projet, la propriété est transférée aux autres collaborateurs du projet partagé.
  • Cette copropriété n'affecte pas la propriété du créateur original de tout contenu protégé par le droit d'auteur qu'il a téléchargé sur le service.
  • En partageant votre contenu, vous accordez à chaque collaborateur le droit d'accéder, d'utiliser, de reproduire, de distribuer, d'afficher, de modifier, d'exécuter et d'interagir autrement avec ce contenu via notre service.

Projets partagés dans un espace d'équipe

Lorsque vous rejoignez et/ou créez des projets partagés dans l'espace de l'équipe :

    • Vous acceptez de vous conformer aux politiques de l'organisation applicable et à tout accord entre vous et cette organisation.
    • L'organisation est propriétaire de tout le contenu utilisateur dans l'espace respectif.
    • Tout le contenu utilisateur dans l'espace de l'organisation peut être partagé avec l'organisation et peut être modifié, supprimé ou accessible par l'organisation.
    • L'organisation peut résilier votre accès à l'espace de l'organisation à tout moment, et vous ne pourrez peut-être pas accéder à votre contenu dans cet espace.
    • En transférant n'importe quel contenu vers l'espace de l'organisation, vous accordez à l'organisation des droits étendus sur votre contenu utilisateur.

Nous fournissons un accès complet aux données via notre API, ce qui vous permet d'obtenir les données personnelles qui nous ont été fournies et/ou de les transférer à un autre contrôleur. Vous trouverez notre API pour Twist et Todoist ici :

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Notez que les informations de paiement et les intégrations ne sont pas disponibles via notre API. Si vous souhaitez obtenir ces informations, contactez-nous.

Le contenu des utilisateurs, tel que les tâches et les commentaires, est stocké sur nos serveurs, qui sont protégés du trafic Internet et font l'objet d'une politique d'accès stricte au sein de l'entreprise.

L'accès est contrôlé, nécessite plusieurs niveaux d'authentification et n'est autorisé que pour des raisons professionnelles valables. En d'autres termes, il n'y a aucun moyen pour un employé interne autorisé d'y accéder à l'insu des autres. Il est rare qu'il soit nécessaire d'accéder au contenu d'un utilisateur.

Oui, après un certain temps. Le système marque d'abord les données comme étant supprimées avant de les supprimer réellement. Ces suppressions douces garantissent que le contenu est inaccessible aux applications clientes. Les suppressions définitives ont lieu plus tard, de manière différée dans le temps. Le comportement du système prend en charge nos mécanismes de synchronisation multi-appareils. Les données marquées comme supprimées aident les algorithmes de synchronisation à effectuer une résolution des conflits d'état des données.

Le contenu des utilisateurs est également présent dans les sauvegardes des bases de données. Elles existent pour assurer la continuité de l'activité, au cas où nous serions confrontés à un scénario désastreux de perte de données, d'une longue période d'indisponibilité des données ou de corruption des données. Toutes les données, y compris les sauvegardes, sont chiffrées au repos. À ce jour, nous n'avons jamais eu besoin d'utiliser les sauvegardes des bases de données.

Les sauvegardes des bases de données ne permettent pas d'accéder aux données de chaque utilisateur. En revanche, nous pouvons les restaurer dans une base de données active, où les contrôles d'accès aux données habituels s'appliquent. Les sauvegardes font l'objet d'une rotation automatique et ne durent pas plus de 94 jours.

Confidentialité

La protection de la vie privée concerne la manière dont nous collectons, utilisons, partageons et gérons vos données à caractère personnel. Il s'agit de veiller à ce que ces données soient utilisées dans le respect de vos droits et de vos attentes.

Les données que nous recueillons sont nécessaires pour vous fournir nos services et sont utilisées pour améliorer Twist et Todoist.

Lors de votre inscription sur Todoist et/ou Twist, vous nous donnez volontairement des informations telles que votre nom et votre adresse e-mail. Vous pouvez accéder et modifier ces informations à tout moment dans les paramètres de votre compte.

En outre, lorsque vous utilisez notre service, vous nous autorisez à utiliser les données suivantes :

  • E-mail
  • Adresse IP
  • Identifiant de l'appareil
  • Prénom et nom (facultatif, non traité)
  • Profession (facultatif, non traité)
  • Numéro de téléphone (facultatif, non traité)
  • Nº de TVA (facultatif)
  • Adresse de facturation (pour les comptes Pro et Business)
Comment accéder et exporter mes données personnelles ?

Pour exporter vos données personnelles, contactez-nous.

Nous fournissons un accès complet aux données via notre API, ce qui vous permet d'obtenir les données personnelles qui nous ont été fournies et/ou de les transférer à un autre contrôleur. Vous trouverez notre API pour Twist et Todoist ici :

Notez que les informations de paiement et les intégrations ne sont pas disponibles via notre API. Si vous souhaitez obtenir ces informations, contactez-nous.

Vendez-vous des données ?

Non, nous ne vendons jamais de données.

Conservez-vous des données personnelles que j'ai supprimées de mon compte ?

Lors de la suppression de votre compte, toutes vos données personnelles sont supprimées de nos systèmes de production. Seule une copie chiffrée de vos données reste dans nos archives de sauvegarde pendant 90 jours. Après cette période, toutes les données associées à votre compte seront supprimées de façon définitive. Veuillez noter que nous ne fournissons pas la copie chiffrée de nos archives de sauvegarde sur demande.

Quels cookies utilisez-vous ?

Nous utilisons des cookies pour collecter des informations sur vos activités de navigation et pour vous distinguer des autres utilisateurs de Todoist. Cela facilite votre expérience lors de l'utilisation de notre application et nous permet d'en améliorer les fonctionnalités.

Nous utilisons les cookies suivants :

  • Cookies absolument nécessaires : nécessaires à l'exécution de votre fonction de connexion, à l'authentification de l'utilisateur et à la sécurité ;
  • Cookies fonctionnels : utilisés pour vous reconnaître lorsque vous revenez sur notre site Web, pour personnaliser notre contenu, vous accueillir par votre nom et mémoriser vos préférences ;
  • Cookies analytiques et publicitaires : utilisés pour nous aider à comprendre comment les utilisateurs utilisent notre produit. Nous utilisons plusieurs cookies tiers : Google Analytics (analyse du trafic sur le site Web et du comportement des utilisateurs), Datadog (surveillance des performances Web et de l'expérience utilisateur), Stripe (gestion des paiements et page de tarification/mise à niveau), Zendesk (chargement d'images et fourniture d'assistance ou Centre d'aide), YouTube (affichage de vidéos sur les pages du Centre d'aide), Cloudinary (chargement et optimisation d'images).
Faites-vous appel à des services tiers pour traiter les données ?

Nous utilisons des services tiers conformes au RGPD et des partenaires d'hébergement tels que Stripe, AWS et Google Workspace. Dans ces cas, nous prenons les mesures de protection nécessaires pour nous assurer que nous sommes conformes au RGPD lorsque nous envoyons et recevons des données d'un tiers. Consultez les politiques de sécurité et de confidentialité de Todoist et les politiques de sécurité et de confidentialité de Twist pour plus d'informations.

Quels services tiers utilisez-vous ?

Pour obtenir un aperçu des services tiers que nous utilisons et de leur finalité, veuillez vous référer à notre liste de sous-traitants.

Quels services d'IA utilisez-vous ?

Nous exécutons des modèles d'IA sur notre propre infrastructure pour garantir que les données des clients restent dans notre environnement sécurisé et ne soient jamais accessibles à des tiers de par leur conception. Pour un aperçu du fournisseur d'IA que nous utilisons, y compris les politiques de conservation et les liens vers leur documentation de confidentialité, veuillez vous référer à notre liste de fournisseurs de LLM/IA.

Traitez-vous des données en dehors de l'UE ?

Oui. Nous traitons des données dans le nord de la Virginie, aux États-Unis, avec Amazon Web Services (AWS). Nous collectons le moins de données possible, et toutes les données sont chiffrées à l'aide d'un chiffrement AES 256.

Conformité

La conformité fait référence à notre adhésion aux lois, règlements et normes qui régissent la manière dont nous traitons vos données. Elle garantit que nos pratiques sont conformes aux exigences légales et réglementaires afin de protéger vos droits en tant qu'utilisateur. La conformité implique de démontrer que nous suivons ces règles et que nous pouvons être tenus responsables de leur respect.

RGPD

Chez Doist, nous sommes entièrement conformes depuis le 25 mai 2018. Le règlement général sur la protection des données (RGPD) est un règlement conçu pour aider les citoyens et les résidents de l'Union européenne (UE) à protéger leurs données personnelles en précisant comment ces données peuvent être collectées, traitées et stockées.

Oui, de notre côté. Bien entendu, si vos clients se trouvent dans un lieu où le RGPD s'applique, ils doivent s'assurer que leurs opérations commerciales sont conformes au RGPD également.

Oui, nous offrons un ATD pré-signé par Doist. Il peut être rempli en inscrivant vos informations et en le signant ici.

SOC 2 et HIPAA

Actuellement, nous n'avons pas encore obtenu de certification SOC2 ou HIPAA. Cela dit, nous serions ravis d'en savoir plus sur les certifications de conformité dont vous et votre équipe avez besoin pour adopter Todoist. Contactez-nous !

Contactez-nous

Vous avez encore des questions sans réponse ? Contactez-nous. Pierre, Marco, Diane et le reste de l'équipe seront heureux d'y répondre !