Sécurité et protection des données chez Alan

La responsabilité de la sécurité de l'information est confiée au rôle de Responsable de la Sécurité de l'Information, au sein de l’area Sécurité de l'unité Corporate. La responsabilité de la conformité au RGPD est attribuée au rôle de Délégué à la Protection des Données au sein de l'unité Corporate. Les deux équipes collaborent étroitement pour respecter notre engagement d'entreprise envers le respect et la protection de la vie privée de nos membres, ainsi que la protection de leurs données personnelles selon les normes les plus élevées.

Oui, nous menons des tests d’intrusion et des audits de sécurité au moins chaque année, et nous pouvons partager un résumé des conclusions de notre dernier audit et de notre dernière campagne de tests.

Non, nous ne pouvons offrir cette possibilité à l’ensemble de nos plus de 15000 clients car cela mobiliserait des ressources disproportionnées.

Vous pouvez contacter l’équipe sécurité par email à [email protected], et l’équipe DPD/vie privée à [email protected]

Oui, Alan est certifié ISO 27001:2022 par SGS ICS. Cette certification atteste de nos initiatives en matière de sécurité : • nous avons adopté une approche de sécurité basée sur l'évaluation des risques • nous maintenons une documentation organisée et écrite de nos politiques et procédures • nous conservons des enregistrements qui démontrent que nos mesures de sécurité sont pertinentes et efficaces • nous recherchons l’amélioration continue de notre posture en matière de sécurité • nous nous soumettons périodiquement à des audits externes indépendants.

Nous sous-traitons l’ensemble de nos opérations d’encaissement à un prestataire qualifié PCI-DSS (Stripe).

Oui, nous catégorisons les données selon les classifications suivantes : • informations publiques (explicitement destinées à la communication en dehors de l'entreprise) • informations internes (partagées au sein de l'entreprise mais non explicitement désignées pour une communication externe) • informations personnelles (toute information relative à une personne spécifique, directement ou indirectement ; soumise à une protection réglementaire spécifique telle que le RGPD) • informations personnelles sensibles (informations personnelles nécessitant une protection supplémentaire spécifique, y compris des informations médicales)

Notre infrastructure de données de production réside entièrement dans plusieurs centres de données en nuage dans l'Union européenne. Ils sont hébergés dans les régions AWS de Francfort (Production) et Paris (Sauvegarde).

Oui, toutes les données sont chiffrées au repos. De plus, les conversations médicales de la clinique font l’objet d’un chiffrement de bout en bout destiné à minimiser le risque de violation du secret médical.

Oui, tous les transferts de données internes, personnelles ou sensibles sont chiffrés.

Certaines données que nous traitons peuvent être transférées en dehors de l'Espace Economique Européen dans le cadre d'activités nécessaires à nos opérations et à la fourniture de nos services. Lorsque de tels transferts sont nécessaires, nous les limitons au strict minimum, et nous nous assurons que des instruments juridiques (tels que des décisions d'adéquation, des clauses contractuelles types ou des règles d'entreprise contraignantes) sont en place pour garantir une protection adéquate des données et des droits des personnes concernées par le destinataire du transfert, conformément à l’article 46 du RGPD. Lorsque c’est nécessaire, nous mettons également en œuvre des mesures complémentaires, en adéquation avec les exigences dégagées par la jurisprudence européenne.

Les bureaux d'Alan sont exclusivement situés dans l'Union européenne. Alan permet également à ses employés de travailler à distance, sous réserve de se conformer à sa politique de travail en tout lieu. L'accès à distance à l'espace de travail d'Alan est strictement réglementé afin de garantir que l'accès aux données à distance est correctement sécurisé. Cela inclut l'utilisation d'un VPN pour se connecter aux applications d'Alan et des mesures de sécurité sur les postes de travail, ainsi que le respect de toutes les règles internes énoncées dans notre charte de bon usage. En outre, les employés d'Alan sont soumis à des engagements contractuels stricts en matière de protection de la vie privée, de confidentialité et de sécurité des informations auxquelles ils ont accès. Ces engagements subsistent après la cessation de leur emploi.

L’ensemble des transferts de données utilisent des protocoles chiffrés (TLS 1.2 ou supérieur, SSH/SFTP). Nous imposons l’utilisation de protocoles sécurisés (HTTPS, HSTS) pour l’ensemble des services web Alan

Nos serveurs publics sont protégés par frontaux Cloudflare réalisant les fonctions de pare-feu applicatif (WAF) et d’équilibreurs de charge, ainsi que par des mesures de détection et de blocage d’attaque embarquées (Datadog ASM). Notre infrastructure est déployée sur des réseaux privés virtuels qui ne sont pas directement accessibles depuis l'extérieur. Tout accès aux applications internes et aux ressources depuis l'extérieur du siège social d'Alan doit passer par des connexions VPN chiffrées et authentifiées individuellement.

Les principales périodes de conservation des données relatives à l'assurance sont les suivantes • 2 ans pour les données relatives à l'assurance santé (actes de soins) • 10 ans pour les données relatives à l'assurance prévoyance • 5 ans pour les données administratives (y compris l'affiliation des employés).

Les durées ci-dessus se fondent sur les délais de prescription du contentieux en matière d'assurance et sur les obligations d'Alan (LCB-FT)

Le cycle de vie des données est automatisé.

Oui, nous utilisons les catégories suivantes: • cookies nécessaires au dispositif d'authentification des utilisateurs (cookie interne) • cookies nécessaires au service de chat en ligne du support client (cookie interne pour la fenêtre popup Intercom) • cookies de mesure d'audience (cookie interne) • cookies de mesure d'efficacité de publicité ciblée (exclusivement sur les parties publiques du site web Alan, jamais sur les pages à accès authentifié)

Notre politique de gestion de cookies est incorporée à notre politique de confidentialité

Oui, une bannière pour gérer les cookies est affichée dès le premier écran de connexion à cet effet.

Oui, et nous mettons en œuvre une séparation logique des données au sein de la plateforme.

Oui, nous avons établi une politique de sécurité et de continuité d’activité, et défini un plan de continuité d’activité qui fixe les mesures permettant de pallier tous les risques qui pèsent sur la continuité de notre activité.

Nos systèmes de production sont sauvegardés quotidiennement.

Nos données de production et de sauvegardes sont répliquées sur plusieurs centres de données dans la région AWS de Francfort (zones de disponibilité de la région AWS Francfort). Par ailleurs, une copie supplémentaire de nos sauvegardes est stockée dans la région AWS de Paris.

Nous privilégions une approche préventive qui repose sur le choix de fournisseurs de services cloud disposant d’une infrastructure redondante et résiliente, et d’une expérience de terrain éprouvée en matière de robustesse et de disponibilité. Nous ne stockons aucune donnée dans nos propres locaux. Nous mettons en œuvre l’approche Infrastructure as Code, ce qui signifie que l’ensemble de la configuration de notre infrastructure est gérée sous forme de code et peut être redéployée à tout moment.

Nous sommes préparés à fonctionner en totalité en télétravail, sans aucun impact sur l’activité. Chaque collaborateur dispose d’un ordinateur portable et d’un accès VPN sécurisé.

Notre culture d’entreprise privilégie la transparence radicale et l’utilisation de l’écrit. Toutes les connaissances et données nécessaires aux prises de décision et aux opérations est numérisée et disponible pour l’ensemble des parties prenantes ayant besoin d’en connaître.

Nous utilisons l’authentification par login (adresse email) et mot de passe. Nous imposons une longueur (9 caractères) et une complexité minimales. Nous imposons une temporisation exponentielles sur les requêtes d’authentification pour prévenir les attaques par force brute ou par énumération.

Nous utilisons un stockage conforme aux bonnes pratiques : les mots de passe sont hachés au moyen de la fonction bcrypt avec salage et un facteur de coût de 12 (4096 itérations).

Oui, les utilisateurs finaux peuvent activer l’authentification multi-facteurs sur leur compte Alan. Le second facteur est une notification dans l’app mobile, ou en secours un code éphémère envoyé par email.

Les membres peuvent accéder aux données de leur contrat (ensemble des bénéficiaires). Les administrateurs d’entreprises peuvent accéder aux données nécessaires à leurs tâches administratives, en fonction des habilitations données par l’administrateur principale de leur entreprise.

Pas actuellement.

Nous utilisons un service d’identité centralisé (SSO) pour l’accès aux systèmes Alan et aux outils tiers. Notre fournisseur d’identité impose une longueur (15 caractères) et une complexité minimales pour les mots de passe.

Ces mots de passe sont stockés uniquement par notre fournisseur d’identité (Google). Ils ne sont jamais manipulé sur les systèmes d’Alan. Chaque employé dispose d’un gestionnaire de mots de passe sécurisé pour le stockage de ses identifiants.

L’authentification multi-facteurs est obligatoire sur le SSO ainsi que sur tous les outils tiers qui le permettent.

Les habilitations sont attribuées selon les nécessités de chaque poste suivant les principes de besoin d’en connaître et de moindre privilège. Elles sont révisées en fonction de l’évolution de chaque collaborateur. Une revue systématique est effectuée deux fois par an.

Oui, tous les changements de données génèrent un historique comprenant notamment l’identification de l’auteur du changement.

Les accès aux données des membres à travers notre application métier génèrent un historique horodaté.

Oui, en particulier, les opérations de connexion, de déconnexion, les échecs d’authentification et les changements de mots de passe sont journalisés.

Oui, l’ensemble des requêtes en base de données sont journalisées.

Oui, nos systèmes de gestion des journaux (AWS Cloudwatch et Datadog) ne permettent aucune modification des journaux.

Oui :

• nous utilisons des frontaux Cloudflare nous protéger contre les attaques par déni de service et les requêtes mal formées ou hostiles (WAF)
• notre back-office est déployé dans un réseau privé virtuel AWS, avec des adresse IP privées et sans accès direct depuis Internet
• notre base de données de production est également dans un réseau AWS VPC séparé.

Oui

Plusieurs fois par jours.

• Vérification automatisée pour les erreurs courantes et les vulnérabilités de sécurité
• Suite de tests automatisés (tests unitaires - tests de régression)
• Revue par les pairs et approbation

Oui, chaque développeur dispose d’un environnement isolé, et nous avons un environnement de recette pour les tests d’intégration. Les environnements de développement utilisent soit des données fictives, soit des données issues de l’environnement de production après anonymisation.

Les bases de données contenant des données de production anonymisées sont hébergées au sein de notre infrastructure cloud et bénéficient de la même protection que les données d’origine.

Oui, les activités suivantes liés au traitement des incidents sont formellement documentés : • Préparation : les rôles et responsabilités sont clairement définis, les premiers intervenants sont formés et identifiés • Pendant les incidents : une procédure bien définie est suivie pour atténuer l'impact de l'incident, reprendre les opérations normales et communiquer avec toutes les parties prenantes • Après l'incident : une analyse post-mortem est systématiquement réalisée pour chaque incident.

Nous notifions les incidents affectant les données personnelles à la CNIL et aux personnes concernées conformément aux exigences du RGPD. Nous informons également les parties prenantes externes (clients, partenaires) des incidents de sécurité qui les impactent spécifiquement.

Oui, nous conservons un enregistrement de chaque incident de production, incident de sécurité ou violation de données personnelles. Ces enregistrements comprennent :

• la chronologie de l'incident
• l'étendue de l'incident (systèmes, enregistrements et personnes impactés)
• les actions immédiates entreprises pour atténuer l'incident
• les actions correctives à court et à long terme identifiées comme nécessaires pour éviter toute récurrence
• la communication aux parties prenantes concernées, y compris la notification aux autorités de réglementation
• l'analyse des causes racines et les enseignements clés tirés de l’incident.

Tout incident affectant des données personnelles est immédiatement signalé à l'équipe du DPD (Délégué à la Protection des Données). L'étendue de la violation est évaluée (nature des données compromises, nombre d'enregistrements et de personnes impactées, nature de l'atteinte) et des notifications réglementaires à la CNIL (Commission nationale de l'informatique et des libertés) en tant qu'autorité de contrôle principale et/ou aux personnes concernées sont effectuées si nécessaire. Des traces spécifiques sont conservées de l'évaluation et des notifications effectuées, en plus des enregistrements généraux de suivi des incidents.

Pas actuellement. Cependant, nous acceptons volontiers les rapports des chercheurs en sécurité indépendants, et nous les récompensons à notre discrétion lorsqu'ils nous alertent sur des problèmes que nous estimons représenter un risque significatif et dont nous n’avions pas connaissance.

Oui, nous commanditons des tests de pénétration chaque année, et nous pouvons partager un résumé de la dernière campagne.

Nous redéployons nos applications plusieurs fois par jour à partir des images de base les plus récentes de notre fournisseur de plateforme, de sorte que les mesures de sécurité amont sont toujours déployées sans délai. Les changements de code internes liés à la sécurité sont priorisées grâce à notre système de gestion des problèmes et d'intégration continue. Les vulnérabilités évaluées par Alan doivent être corrigées ou remédiées dans les délais suivants :

• Critique : 1 jour ouvrable
• Moyenne : 5 jours ouvrables
• Faible : 30 jours ouvrables

Oui, nous utilisons des frontaux Cloudflare pour détecter et bloquer les attaques en déni de service et équilibrer la charge entre nos serveurs. Nous mettons également en œuvre des mesures de temporisation sur certains points d’accès critiques de l’application.

Oui (Cloudflare WAF). En outre, toutes les requêtes sont filtrées par la protection embarquée Datadog ASM. Ce composant intégré à l'application détecte et bloque les attaques telles que les tentatives d'injection, les comportements d’authentification anormaux ou malveillants, et bloque automatiquement les adresses IP sources d’attaques.

Oui, nous procédons à des vérifications du casier judiciaire lorsque la loi le permet. Nous demandons également des documents relatifs à l'identité, aux qualifications (diplômes) et au droit de travailler, ainsi que des références d'anciens employeurs.

Oui : au cours de leur processus d'intégration, tous les nouveaux collaborateurs reçoivent une formation sur la sécurité et la protection de la vie privée. La sensibilisation se poursuit au long cours sous forme de messages, de rappels et de formations de recyclages interactives en ligne. Nous organisons en permanence des opérations de sensibilisation à l'hameçonnage basées sur des simulations. Nous partageons les principales conclusions des audits de sécurité avec l'ensemble de l'équipe.

Oui, nos employés et nos opérateurs en sous-traitance sont contractuellement liés par des clauses de confidentialité et par notre charte de bon usage des systèmes d'information.

Oui, toutes les stations de travail sont contrôlées par MDM (Kandji).

Oui, les mises à jour du système d’exploitation et des applications sont appliquées automatiquement sous le contrôle du MDM.

Oui, le chiffrement de l’ensemble des données stockées est imposé sous le contrôle du MDM.

Oui, les comptes utilisateurs doivent utiliser un mot de passe robuste ou une authentification biométrique, et les sessions doivent être verrouillées chaque fois que le poste de travail n'est pas surveillé. Ces mesures sont appliquées de manière obligatoire par le MDM.

Oui, nous examinons la position et les pratiques de nos fournisseurs en matière de sécurité pour nous assurer qu'elles sont adéquates au regard de la criticité du service fourni et de la sensibilité des données que nous partageons avec eux. Nous incluons des clauses de sécurité dans les contrats en fonction de cette évaluation.

Oui, nous disposons d'alertes et de mesures correctives automatisées pour les vulnérabilités identifiées dans nos dépendances logicielles libres.

Alan agit en tant que responsable de traitement indépendant pour la plupart de ses activités, y compris la fourniture de ses services d'assurance. Alan détermine elle-même le moyens et les finalités des activités de traitement à effectuer. Ceux-ci sont couverts par notre politique de confidentialité, disponible à l'adresse https://alan.com/privacy, et référencée dans la clause "Données personnelles", de nos conditions générales.

Toutefois, Alan agit en tant que sous-traitant, traitant des données personnelles pour le compte du client, dans le cadre spécifique et restreint de l'affiliation des employés, où le client transmet à Alan les données relatives aux employés qu'il souhaite inviter, et où Alan transmet au client les informations nécessaires à l’établissement de la paie. Ces activités de traitement limitées sont couvertes par contrat sur la protection des données (DPA) annexé à nos conditions générales sous le titre "Contrat de traitement de données personnelles".

1. Alan donne à ses membres le contrôle et de la transparence sur leurs données personnelles.

2. Les données relatives à la santé sont utilisées pour améliorer et personnaliser l'expérience en matière de santé. Elles ne sont ni vendues ni utilisées pour personnaliser la tarification des assurances.

3. Alan investit de manière proactive dans la protection de la vie privée et la sécurité.

Notre déclaration complète de protection des données et de la vie privée, conforme aux exigences du RGPD, est publiée et accessible sur notre site web à l'adresse www.alan.com/privacy ainsi que directement au sein de notre application.

La conformité aux règles de protection des données et en particulier aux principes de traitement du RGPD est détaillée dans les questions ci-dessus.

En résumé, Alan garantit :

• l'information éclairée, préalable et claire des personnes concernées sur le traitement de leurs données personnelles (i) au sein des documents contractuels d'adhésion et de souscription aux garanties et (ii) au sein des espaces numériques mis à leur disposition via des rubriques dédiées et facilement accessibles et notamment via la politique de confidentialité ;
• le recueil du consentement exprès et préalable de l'assuré pour la collecte et le traitement de ses données personnelles lorsqu'ils sont fondés sur cette base légale ;
• l'exercice effectif et la gestion des droits des personnes concernées sur leurs données à caractère personnel et notamment leurs droits d'accès, de rectification et d'effacement de leurs données ainsi que de limitation et d'opposition à leur traitement ;
• le traitement et la conservation des données à caractère personnel collectées pendant la seule durée nécessaire à la réalisation des finalités et obligations poursuivies ;
• le traitement et l'hébergement des données à caractère personnel conformément aux exigences spécifiques de la réglementation. Les traitements reposent sur une infrastructure située dans l'Espace économique européen, au sein d’organisations certifiées conformément au référentiel élaboré par l’ANS pour l'hébergement de données de santé ;
• la mise en place d'un cadre contractuel approprié pour gérer le traitement de données à caractère personnel par des tiers agissant notamment en tant que sous-traitants de données à caractère personnel pour notre compte, clarifiant notamment la répartition des rôles et responsabilités des parties et détaillant l'ensemble des instructions et conditions relatives à ce traitement, ainsi que les éventuels transferts de données à caractère personnel qui y sont liés.

Alan s'assure qu'une information éclairée, préalable et répétée des personnes concernées par le traitement de leurs données personnelles est fournie : (i) dans le cadre du document contractuel d'adhésion et de souscription aux garanties et (ii) dans les espaces numériques mis à leur disposition par le biais de rubriques dédiées et facilement accessibles et notamment via la politique de confidentialité. Alan s'assure que tous les traitements sont effectués de manière licite, dans un but légitime et en s'appuyant sur une base juridique appropriée et qu'ils ne sont pas conservés ni traités plus longtemps que nécessaire pour atteindre ces objectifs.

Alan veille à respecter le principe de limitation des finalités en ne traitant les données personnelles qu'à des fins spécifiques et légitimes, qui sont énumérées de manière exhaustive dans les registres d’activités de traitement d'Alan et les informations connexes destinées aux personnes concernées sont détaillées au sein de notre politique de confidentialité.

Alan s’assure de la minimisation des données par l'évaluation systématique de la nécessité et de la pertinence des données à traiter pour atteindre un objectif particulier, ce qui englobe les actions entreprises pour garantir la protection de la vie privée dès la conception et par défaut. Alan procède à des analyses d’impact relative la protection des données (AIPD) lorsque, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, une activité de traitement spécifique pourrait présenter des risques élevés ou avoir un effet significatif sur les droits et libertés des personnes concernées, garantissant ainsi que le traitement envisagé est proportionné et équitable.

Les données personnelles collectées ne sont stockées que pendant la seule période nécessaire à la réalisation des finalités poursuivies et au respect des obligations légales et réglementaires de conservation. - Lorsque la finalité principale du traitement des données est atteinte, les données sont archivées. L'accès est alors limité aux seules personnes ayant besoin d'accéder aux données jusqu'à ce que les obligations de conservation d'Alan soient prescrites. - Les données relatives à la santé sont traitées et conservées conformément au Code de bonnes pratiques annexé à la Convention AERAS. - La politique d'archivage d'Alan s'appuie sur des ressources et des services conformes aux recommandations de la CNIL, qui comportent trois niveaux : les archives courantes, les archives intermédiaires et les archives définitives.

Alan s’assure de la qualité et l’exactitude des données personnelles qu'elle traite. Pour garantir la mise à jour des données traitées, nous respectons notre politique de conservation des données et veillons à l'exercice effectif des droits des personnes concernées en leur donnant la possibilité d'accéder à leurs données personnelles, de les rectifier ou de les supprimer, le cas échéant, afin d'en garantir l'exactitude.

Alan assure le traitement et l'hébergement des données personnelles conformément aux exigences spécifiques de la réglementation. - Les traitements d'Alan reposent sur une infrastructure située dans l'Espace économique européen au sein de serveurs certifiés par l'ANSSI pour l'hébergement de données de santé. - Alan met en œuvre des mesures de sécurité de pointe, adaptées aux risques et conditions des traitements mis en œuvre, qu'elles soient techniques, physiques, logiques ou organisationnelles (informations plus granulaires détaillées ci-dessus).

Alan s’assure également du respect des obligations d’accountability et tient à jour et à la disposition des autorités compétentes tous les registres et documents exigés par la réglementation, notamment:

• le registre des activités de traitement des données personnelles,
• les analyses d'impact sur la protection des données,
• les registres des violations de données personnelles,
• la liste et les engagements contractuels régissant le recours aux sous-traitants et aux destinataires tiers, y compris les mesures appropriées pour couvrir tout transfert de données personnelles en dehors de l'Espace économique européen, complétées le cas échéant par toute mesure supplémentaire requise à la lumière de la jurisprudence de la Cour de justice de l'Union européenne.

Toutes les données sont hébergées et traitées dans des centres de données situés dans l'Union européenne (AWS, régions de Francfort et de Paris).

• Les services Alan sont hébergés sur l'infrastructure AWS à Francfort.
• Les données traitées par Alan sont hébergées par AWS sur des services certifiés HDS dans les régions de Francfort (production) et de Paris (réplication des sauvegardes)
• À noter que certains prestataires de services traitant certaines données personnelles pour notre compte en tant que sous-traitants, peuvent être situés et/ou assujettis à des juridictions en dehors de l'Espace économique européen, dans ce cas des garanties et mesures appropriées sont mises en œuvre pour couvrir ces transferts d'une manière adaptée aux risques particuliers du traitement et aux exigences réglementaires, comme par l'utilisation de Clauses contractuelles types, complétées le cas échéant par les mesures supplémentaires adaptées (par exemple, le chiffrement des données au repos et en transit).

Outre le processus général de traitement des incidents décrit dans les sections précédentes, nous gérons les violations de données de la manière suivante :

• notification interne à l'équipe DPO, dès la découverte d'un incident ayant un impact potentiel sur des données personnelles,
• un document est établi pour suivre et analyser l'incident, rapportant la nature et l'étendue de la violation, son impact sur les personnes concernées, les mesures prises et prévues à court et à plus long terme pour limiter l'étendue de la violation, résoudre ses causes et empêcher qu’il ne se reproduise
• notification aux parties prenantes potentiellement impactées par l'incident,
• décision sur la notification à la CNIL, alignée sur le critère de l'article 33 du RGPD : la CNIL est notifiée par défaut, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Si une notification doit être faite, elle est effectuée par voie électronique dans les 72 heures et le récépissé est joint au dossier de gestion de cet incident et dans nos registres
• décision sur la notification aux personnes concernées alignée sur l'article 34 RGPD critère "élevé" : lorsque la violation de données est susceptible d'engendrer un risque important pour leurs droits et libertés
• Dans tous les cas, l'incident est consigné dans le registre prévu à cet effet, et une analyse des causes profondes est effectuée afin de déterminer les mesures à mettre en place pour éviter que le scénario de l'incident ne se reproduise.

Pour le traitement de ces données personnelles en matière d'assurance, Alan se conforme aux prescriptions et recommandations de la CNIL élaborées au sein du pack de conformité pour le secteur de l'assurance, tel que mis à jour en 2021. En particulier, Alan veille au respect des conditions relatives au traitement et à la conservation des données les plus sensibles telles que le NIR et les données de santé, afin de les traiter conformément à la réglementation applicable et à ce pack de conformité.

• Les employés d'Alan sont systématiquement formés à la protection de la vie privée et à la conformité au RGPD lors de leur intégration.
• Alan réalise également régulièrement des opérations ponctuelles de formation et de sensibilisation des salariés et de toutes les parties prenantes impliquées dans le traitement des données personnelles adaptées aux risques auxquels ils sont exposés dans le cadre de leurs fonctions.
• Les employés d'Alan sont liés par des obligations renforcées de confidentialité et de respect du secret professionnel dans leurs contrats de travail.