Dernière mise à jour : 3 novembre 2023

Le site internet www.tryriot.com (ci-après le « Site »), édité par la société Riot Security, Inc. (ci-après « Riot Security » ou « nous »), permet d’accéder à la solution Riot (ci-après « Solution Riot ») destinée aux entreprises et visant à former et sensibiliser les employés aux risques liés à la cybersécurité (ci-après « Services Cybersécurité »).

Dans le cadre de l’accès, la consultation, la navigation et l’utilisation du Site et de la Solution Riot, vous êtes amené à communiquer à Riot Security des données personnelles vous concernant.

Nous vous remercions de bien vouloir prendre connaissance de la présente politique, vous expliquant comment vos données personnelles sont utilisées par Riot Security et quels sont vos droits à ce sujet. Cette politique vient compléter les Conditions Générales d’Utilisation, ainsi que tout document ou mention d’information renvoyant à la politique.

Au besoin, vous pouvez poser toutes vos questions directement à Riot Security en envoyant un email à l’adresse suivante : support@tryriot.com.

1. Qui est le responsable de traitement de vos données personnelles ?

Lorsque vous utilisez la partie du Site ouvert au public 

  • Riot Security est responsable de traitement des données personnelles collectées et traitées pour les besoins de la gestion administrative, opérationnelle et commerciale de la partie du Site ouvert au public en sa qualité d’éditeur.

Lorsque vous utilisez la Solution Riot

  • votre employeur est responsable de traitement des données personnelles collectées et traitées aux fins de la fourniture des Services Cybersécurité auxquels il a souscrit ; 
  • Riot Security est sous-traitant, agissant au nom et pour le compte de votre employeur, des données personnelles collectées et traitées aux fins de la fourniture des Services Cybersécurité auxquels votre employeur a souscrit.

Au sein de l’Union européenne, Riot Security est représentée par Riot Security SAS.

2. Quelles données personnelles vous concernant sont traitées ?

Toutes les données personnelles ont été directement fournies par vous ou votre employeur, par des partenaires externes, ainsi que générées dans le cadre de l’utilisation des Services Cybersécurité, à savoir :

Catégorie de donnéesExemples de données
Données d’identificationNom, prénom, photographie
CoordonnéesAdresse e-mail, numéro de téléphone
Données professionnelles (professionnelles et/ou personnelles)Entreprise (nom et secteur), fonction
Données relatives à votre formation et sensibilisation aux risques liés à la cybersécurité (en fonction des Services Cybersécurité souscrits par votre employeur)Historique des formations suivies, réactions face à une campagne de phishing (e-mail ignoré, e-mail ouvert, identifiants compromis, etc.), robustesse du mot de passe, coordonnées (professionnelles et personnelles), évaluation de votre niveau de sensibilisation aux risques liés à la cybersécurité
Données relatives à vos échanges avec Riot SecurityDate, objet, enregistrements vocaux et vidéo et contenu de vos échanges avec les services internes de Riot Security
Données relatives à votre candidature à une offre d’emploi au sein de Riot SecurityToute information fournie dans le cadre de votre candidature

Par ailleurs, certaines données sont automatiquement collectées par le Site via des cookies/traceurs, à savoir :

Catégories de donnéesExemples de donnéesFinalités
Données de connexion et de navigationDate et heure de connexion, adresse IP, terminal, navigateur, système d’exploitation, pages consultéesCes données sont nécessaires au bon fonctionnement technique du Site, ainsi que pour la mesure d’audience. Pour plus d’informations sur les cookies/traceurs présents sur le Site et la solution Riot, veuillez consulter la Politique de gestion des cookies. 

Certaines de ces données sont obligatoires, d’autres facultatives pour pouvoir bénéficier pleinement du Site et des Services Cybersécurité souscrits par votre employeur. Le caractère obligatoire ou facultatif des données à renseigner est signalé sur les formulaires de collecte. Si vous refusez de fournir les données obligatoires demandées, Riot Security ne sera pas en mesure de traiter votre demande (ex : création de votre compte Riot Security, fourniture des Services Cybersécurité, traitement de votre candidature à une offre d’emploi au sein de Riot Security, etc.).

3. Pourquoi Riot Security utilise vos données personnelles ?

Lorsque vous utilisez la partie du Site ouvert au public et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), vos données personnelles sont traitées pour les raisons suivantes :

Finalité Exemples d’utilisation de vos données personnelles Fondements juridiques
Démonstration de la Solution Riot
  • pour programmer une démonstration de la Solution Riot selon vos disponibilités
  • pour vous présenter la Solution Riot
  • pour vous recontacter si nécessaire
Mesures précontractuelles et votre consentement à l’enregistrement des démonstrations
Traitement de vos demandes de contact
  • pour traiter votre demande de contact
  • pour vous recontacter si nécessaire
Intérêt légitime de Riot Security à répondre aux demandes de contact qui lui sont adressées
Envoi de communications commerciales
  • pour vous envoyer des communications relatives aux activités et services de Riot Security susceptibles de vous intéresser
  • pour mesurer la performance des communications marketing et commerciales
Intérêt légitime de Riot Security à développer son activité (avec votre consentement préalable lorsque requis par la loi applicable)
Traitement de votre candidature à une offre d’emploi au sein de Riot Security
  • pour examiner votre candidature
  • pour vous recontacter
  • si votre candidature est retenue, pour organiser un entretien en vue d’évaluer vos aptitudes professionnelles à occuper l’emploi
Mesures précontractuelles
Constitution d’une CVthèque
  • pour vous recontacter en vue de vous faire part de toutes nouvelles offres d’emploi susceptibles de vous intéresser
Intérêt légitime de Riot Security à constituer une CVthèque de candidats potentiels pour ses futures offres d’emploi 
Amélioration du Site, des Services Cybersécurité et de votre expérience utilisateur
  • pour recueillir votre avis sur les Services Cybersécurité souscrits par votre employeur et le publier sur le Site (avec votre consentement le cas échéant)
  • pour permettre le bon fonctionnement du Site et de la Solution Riot
  • pour garantir la sécurité du Site et de la Solution Riot
Intérêt légitime de Riot Security à améliorer le Site, les Services Cybersécurité et votre expérience utilisateur
Gestion d’un précontentieux ou d’un contentieux
  • pour prendre des actions à l’encontre de toute violation identifiée
  • pour gérer tout différend ou litige
Intérêt légitime de Riot Security à défendre ses droits et intérêts
Respect des obligations légales et réglementaires 
  • pour respecter les obligations légales et réglementaires applicables
  • pour répondre à vos demandes d’exercice des droits
Obligations légales et réglementaires s’imposant à Riot Security en sa qualité de responsable de traitement
Gestion de la facturation et des contrats
  • pour permettre la contractualisation de l’employeur aux Services Cybersécurité
  • pour procéder au règlement des Services Cybersécurité souscrits
  • pour mettre à votre disposition les factures dans votre espace “Facturation”
Exécution du contrat

Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), vos données personnelles sont traitées uniquement pour les raisons suivantes :

FinalitéExemples d’utilisation de vos données personnellesFondements juridiques susceptibles d’être utilisés par le responsable de traitement
Création et gestion de votre compte Riot SecurityPour créer votre compte Riot Security (à partir de vos identifiants Slack, Gmail ou Outlook) en qualité de manager pour vous permettre de vous authentifier sur la Solution Riot et ainsi accéder au dashboard des Services Cybersécurité souscrits par votre employeur pour vous permettre de mettre à jour votre compte au besoinIntérêt légitime de votre employeur à former et sensibiliser ses employés sur les risques liés à la cybersécurité, afin de protéger au mieux ses systèmes d’information
Fourniture des Services Cybersécurité souscrits par votre employeurPour vous fournir les Services Cybersécurité souscrits par votre employeur (formations, exercices phishing, etc.) pour établir des statistiques sur votre niveau de sensibilisation aux risques liés à la cybersécuritéIntérêt légitime de votre employeur à former et sensibiliser ses employés sur les risques liés à la cybersécurité, afin de protéger au mieux ses systèmes d’information
Veille sur le web (uniquement si votre employeur a souhaité vous proposer cette fonctionnalité)Pour vérifier sur le web si vos coordonnées (professionnelles et personnelles) sont disponiblesVotre consentement
Respect des obligations légales et réglementairesPour respecter les obligations légales et réglementaires applicables pour répondre à vos demandes d’exercice des droitsObligations légales et règlementaires s’imposant à Riot Security en sa qualité de sous-traitant

4. Qui peut avoir accès à vos données personnelles ?

DestinatairesFinalités
Riot Security et ses employés autorisésAux fins de gestion du Site et de la fourniture des Services Cybersécurité, comme précisé à la section 3 de la présente politique
Slack Technologies, LLCAux seules fins de vous authentifier sur la Solution Riot à partir de vos identifiants Slack pour accéder à votre compte Riot Security
Google, Inc.Aux seules fins de vous authentifier sur la Solution Riot à partir de vos identifiants Gmail pour accéder à votre compte Riot Security. L'utilisation et le transfert à toute autre application des informations reçues de l'API de Google par le Signalement de phishing à Riot se conformeront à la Politique de données utilisateur des services API de Google, y compris les exigences d'utilisation limitée.
Microsoft, Inc.Aux seules fins de vous authentifier sur la Solution Riot à partir de vos identifiants Outlook pour accéder à votre compte Riot Security
Prestataires IT auxquels a recours Riot Security (hébergeur, prestataires informatiques, éditeurs de solutions IT, etc.)À des fins exclusivement techniques, logistiques ou opérationnelles dans le cadre de la gestion du Site et de la fourniture des Services Cybersécurité, comme précisé à la section 3 de la présente politique
Autorités administratives ou judiciairesUniquement dans l’hypothèse d’une demande expresse et motivée de leur part ou en cas d’infraction avérée à des dispositions légales ou réglementaires
Conseils externesUniquement dans le cadre de la gestion d’éventuels différends, litiges ou de tout autre sujet juridique le cas échéant
Potentiels acquéreursA la suite ou à l’occasion de la restructuration, la reconstitution, l’acquisition, le financement par emprunt, la fusion, la vente d’actifs de Riot Security ou d’une transaction similaire, ainsi qu’en cas d’insolvabilité, de faillite ou de mise sous séquestre dans laquelle des données personnelles sont transférées à un ou plusieurs tiers en tant qu’actifs de Riot Security

5. Vos données personnelles sont-elles transférées en dehors de l’union européenne/l’espace économique européen ?

Dans la mesure du possible, vos données sont traitées au sein de l’Union européenne (UE)/l’Espace économique européen (EEE). Toutefois, Riot Security ainsi que certains de ces prestataires sont situés dans des pays en dehors de l’UE/EEE. 

Riot Security se conforme au cadre de protection des données UE-États-Unis (EU-U.S. DPF) et à l'extension britannique du cadre de protection des données UE-États-Unis, tels que définis par le Ministère américain du Commerce. Riot Security a certifié au Département du commerce des États-Unis adhérer aux principes du cadre UE-États-Unis de protection des données personnelles (principes du DPF UE-États-Unis) en ce qui concerne le traitement des données personnelles reçues de l'Union européenne en vertu du DPF UE-États-Unis et du Royaume-Uni (et de Gibraltar) en vertu de l'extension britannique du DPF UE-États-Unis. En cas de conflit entre les termes de la présente politique de confidentialité et les principes du DPF UE-États-Unis, ce sont les principes qui prévalent. Pour en savoir plus sur le programme du cadre de protection des données (DPF) et pour consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.

Si vous avez une demande ou une plainte à formuler, veuillez nous contacter dpo@tryriot.com afin que Riot Security puisse y répondre. Si Riot Security ne peut satisfaire votre demande, vous pouvez également contacter votre autorité locale de protection des données au sein de l'Espace économique européen ou du Royaume-Uni (selon le cas), avec laquelle Riot Security s'engage à coopérer, pour les plaintes non résolues concernant le traitement de vos données personnelles reçues en vertu du DPF UE-États-Unis et de l'extension britannique du DPF UE-États-Unis. Il est également possible, sous certaines conditions, de recourir à un arbitrage contraignant pour les plaintes non résolues par d’autres mécanismes du DPF, comme indiqué plus en détail sur le site web du DPF. Veuillez également noter que Riot Security est soumis aux pouvoirs d'enquête et de contrôle de la Federal Trade Commission (FTC) des États-Unis.

Dans certains cas, Riot Security peut être tenu de divulguer des données personnelles en réponse à des demandes légales émanant d'autorités publiques, y compris pour répondre à des exigences de sécurité nationale ou de respect de la loi. De plus amples informations sur les garanties mises en œuvre par Riot Security pour protéger les transferts de données à caractère personnel sont disponibles dans notre Data Processing Agreement. Lors du transfert de vos données à caractère personnel à un tiers, Riot Security reste responsable en vertu des principes du DPF.

Dans l’hypothèse où le pays destinataire en question n’assurerait pas un niveau de protection des données personnelles équivalent à celui de l’UE/EEE, Riot Security garantit, à défaut de décision d’adéquation et après qu’ait été conduite une évaluation du niveau de protection de vos droits sur le territoire du pays tiers où est établi le destinataire de vos données personnelles, à prendre toutes les mesures nécessaires pour assurer la protection de vos données personnelles sur la base de garanties appropriées (notamment des clauses contractuelles types). Leur communication pourra être directement obtenue auprès de Riot Security en envoyant un email à l’adresse suivante : dpo@tryriot.com.

Nom du destinataire Pays tiers Garanties adoptées
Riot Security, Inc. Etats-Unis Décision d’adéquation US-UE
Slack Technologies, LLC Etats-Unis Décision d’adéquation US-UE
Google, Inc. Etats-Unis Décision d’adéquation US-UE
Microsoft, Inc. Etats-Unis Décision d’adéquation US-UE
Intercom, Inc. Etats-Unis Décision d’adéquation US-UE
Twilio, Inc. Etats-Unis Décision d’adéquation US-UE
FullStory, Inc. Etats-Unis Décision d’adéquation US-UE
Mailgun Technologies, Inc. Etats-Unis Clauses Contractuelles Types
Functional Software, Inc. Etats-Unis Décision d’adéquation US-UE
Datadog, Inc. Etats-Unis Décision d’adéquation US-UE
HubSpot, Inc. Etats-Unis Décision d’adéquation US-UE
Temporal, Inc. Etats-Unis Clauses Contractuelles Types
Airtable, Inc. Etats-Unis Clauses Contractuelles Types
Stripe, Inc. Etats-Unis Décision d’adéquation US-UE
Tagis, Inc. Etats-Unis Clauses Contractuelles Types
Calendly, Inc. Etats-Unis Décision d’adéquation US-UE
Docusign, Inc. Etats-Unis Clauses Contractuelles Types
OpenAI OpCo, LLC Etats-Unis Clauses Contractuelles Types
Zoom, Inc. Etats-Unis Clauses Contractuelles Types
ZenLeads, Inc. dba Apollo Etats-Unis Clauses Contractuelles Types
Aircall.io, Inc. Etats-Unis Clauses Contractuelles Types
Superlative Enterprises Pty Ltd Etats-Unis Clauses Contractuelles Types

6. Comment Riot Security protège vos données personnelles ?

Riot Security a mis en place des mesures techniques et organisationnelles afin de protéger vos données personnelles, notamment contre d’éventuelles violations susceptibles d’entraîner, de manière accidentelle ou illicite, la destruction, la perte, l’altération, l’accès ou la divulgation non autorisée de vos données personnelles. Ces mesures assurent un niveau de sécurité approprié des données et tiennent compte de l’état des connaissances, des coûts de mise en œuvre par rapport aux risques et de la nature des données à protéger. 

Riot Security garantit par ailleurs que toute personne amenée à traiter vos données personnelles respecte les règles et procédures internes relatives à la protection des données personnelles, notamment les mesures de sécurité techniques et organisationnelles mises en place pour protéger vos données personnelles. Dans ce cadre, les pratiques de Riot Security sont régulièrement revues et mises à jour, afin d’assurer la protection et la confidentialité de vos données personnelles et veiller à ce que les règles et procédures internes soient respectées.

Si vous identifiez une vulnérabilité ou si vous voulez signaler un incident de sécurité, nous vous invitons à vous envoyer un e-mail à l’adresse suivante : support@tryriot.com.

7. Combien de temps vos données personnelles sont-elles conservées ?

De façon générale, vos données personnelles ne seront conservées que pendant la période nécessaire pour atteindre les finalités pour lesquelles ces données ont été collectées. 

  • Lorsque vous utilisez la partie du Site ouvert au public et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), elle conserve : 
  • les données collectées dans le cadre d’une demande de démonstration de la Solution Riot sont conservées pendant trois (3) ans à compter du jour de la démonstration à des fins de prospection commerciale
  • les données collectées dans le cadre d’une demande de contact jusqu’au traitement complet de celle-ci ; 
  • les données collectées dans le cadre de votre candidature à une offre d’emploi pendant deux (2) ans à compter de votre dernier contact avec Riot Security, sauf demande de destruction de votre dossier de votre part ; 
  • les données de connexion et de navigation sont conservées pendant douze (12) mois à partir de leur collecte
  • Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), elle conserve les données fournies ou générées dans le cadre de l’utilisation de la Solution Riot tout au long de la relation contractuelle qui la lie avec votre employeur. Au-delà, ces données sont conservées pendant un (1) an, supprimées sur demande express de l’employeur ou anonymisées sur autorisation de ce dernier afin d’être utilisées dans un cadre de recherche.

8. Quels sont vos droits sur vos données personnelles ?

Lorsque vous utilisez le Site et que Riot Security intervient donc en qualité de responsable de traitement (comme indiqué à la section 1 de la présente politique), vous pouvez directement contacter Riot Security pour toute question et pour exercer les droits suivants, en envoyant un email à l’adresse suivante : dpo@tryriot.com.

Lorsque vous utilisez la Solution Riot et que Riot Security intervient donc en qualité de sous-traitant (comme indiqué à la section 1 de la présente politique), vous pouvez directement contacter votre employeur pour toute question et pour exercer les droits suivants.

Conformément à la réglementation relative à la protection des données personnelles, vous disposez des droits suivants sur vos données personnelles :

  • un droit d’accès à vos données personnelles vous permettant d’obtenir des informations claires, transparentes et compréhensibles sur la façon dont vos données personnelles sont utilisées et sur vos droits (telles que fournies dans la présente politique), ainsi qu’une copie de vos données personnelles
  • un droit de rectification de vos données personnelles vous permettant d’obtenir la modification de vos données personnelles si elles sont obsolètes, inexactes ou incomplètes
  • un droit d’opposition au traitement de vos données personnelles lorsqu’il est fondé sur l’intérêt légitime. Ainsi, le traitement cessera, sauf s’il existe des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés, tels que le respect d’une obligation légale (ex : obligation légale de conserver certaines données personnelles) ou encore la constatation, l’exercice ou la défense d’un droit en justice. 
  • un droit à la limitation temporaire du traitement de vos données personnelles notamment en vue de procéder à des vérifications, à savoir : 
  • lorsque vous contestez l’exactitude de vos données personnelles, le temps que le responsable de traitement puisse vérifier qu’elles sont correctes ;
  • si le traitement est illicite et, plutôt que demander leur effacement, vous préférez limiter leur utilisation ;
  • si le responsable de traitement n’a plus besoin de vos données personnelles pour le traitement mais qu’elles restent nécessaires pour vous permettre de constater, exercer ou défendre un droit en justice ;
  • si vous vous opposez au traitement en application de votre droit d’opposition, pendant la durée de vérification ayant pour objet de confirmer que les motifs légitimes poursuivis par le responsable de traitement.
  • un droit de retirer votre consentement, à tout moment, pour les finalités pour lesquelles nous avons collecté votre consentement.
  • un droit à la portabilité de vos données personnelles vous permettant de recevoir les données personnelles que vous nous avez fournies, dans un format informatique structuré, couramment utilisé, et à ce qu’elles soient transmises à un tiers si cela est techniquement possible. Ce droit ne s’exerce pas en toutes circonstances, il ne s’applique qu’à condition qu’il remplisse toutes les conditions suivantes :
  • il porte uniquement sur vos données personnelles, excluant toutes les données anonymes ou celles de tiers ;
  • il ne porte pas atteinte aux droits et libertés du responsable de traitement (en particulier le secret des affaires) ou des tiers (en particulier les droits de propriété intellectuelle) ;
  • il concerne des données personnelles traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) ;
  • le traitement est fondé sur votre consentement ou l’exécution d’un contrat (pour le vérifier, vous pouvez vous reporter à la section 3 de la présente politique).
  • un droit à l’effacement de vos données personnelles (ou droit à l’oubli) lorsque l’un des motifs suivants s’applique : 
  • vous vous opposez au traitement de vos données personnelles et il n’existe pas de motif légitime impérieux justifiant le maintien de ce traitement ; 
  • vous décidez de retirer votre consentement sur lequel est fondé le traitement ;
  • lorsque vos données personnelles ne sont plus utiles aux finalités initiales qui ont justifié leur collecte ou un autre type de traitement ;
  • l’utilisation qui est faite de vos données n’est pas conforme aux dispositions législatives ou réglementaires applicables. 
  • un droit de définir des directives, soit générales, soit particulières, s’agissant de vos données personnelles dans l’hypothèse de votre décès (par exemple, leur suppression ou leur transmission à toute personne de votre choix). Vous pouvez révoquer vos directives à tout moment.

Il est précisé que l’exercice de ces droits est fonction de la base légale du traitement, comme précisé dans le tableau ci-dessous :


AccèsRectificationEffacementLimitationPortabilitéOpposition
ConsentementOuiOuiOuiOuiOuiRetrait du consentement
Mesures précontractuellesOuiOuiOuiOuiOuiNon
ContratOuiOuiOuiOuiOuiNon
Intérêt légitimeOuiOuiOuiOuiNonOui
Obligations légalesOuiOuiNonOuiNonNon

Dans certaines circonstances, le responsable de traitement pourra être amené à vous demander des informations spécifiques, afin de confirmer votre identité et garantir l’exercice de vos droits. Il s’agit d’une autre mesure de sécurité appropriée pour s’assurer que les données personnelles ne sont pas divulguées à une personne qui n’a pas le droit de les recevoir.

Au besoin, vous pouvez introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) via son site internet ou par courrier : 3, place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07. Ce droit peut être exercé à tout moment gratuitement, mis à part les frais du courrier le cas échéant, et les frais éventuels d’assistance ou de représentation si vous choisissez de vous faire aider dans cette procédure par un tiers.

9. Mise à jour de la présente politique de protection des données personnelles

La politique de protection des données personnelles est datée de manière précise et pourra être modifiée et mise à jour par Riot Security à tout moment, notamment en cas d’évolution du Site, des Services Cybersécurité ou de la réglementation applicable. Par conséquent, nous vous recommandons de consulter la présente politique à chaque nouvel accès au Site ou à la Solution Riot.