FAQ

Introduction

Vous trouverez sur cette page les réponses aux questions les plus courantes que se posent nos clients sur les pratiques de Zscaler en matière de confidentialité des données.

Pour plus d’informations sur nos pratiques en matière de confidentialité des données, veuillez consulter notre site de présentation de la confidentialité et de la protection des données.

1. Où puis-je trouver l’accord de traitement des données (DPA ou Data Processing Agreement) de Zscaler ?

Vous pouvez trouver le DPA de Zscaler sur zscaler.fr/privacy/dpa.Pour toute question concernant le DPA, veuillez contacter votre interlocuteur Zscaler ou [email protected].

2. À quelles fins Zscaler recueille-t-il et utilise-t-il mes informations personnelles ?

Nos produits permettent à nos clients d’accorder à leurs utilisateurs autorisés un accès direct et sécurisé à Internet ou à des applications spécifiques, de n’importe où et à partir de n’importe quel appareil. Pour cette raison, nos produits utilisent des données personnelles, telles que l’identité basée sur le contexte, pour s’assurer que nos clients peuvent se protéger contre les intrus et authentifier les demandes d’accès de leurs utilisateurs autorisés.

3. Quelles données personnelles Zscaler recueille-t-il me concernant ?

Zscaler stocke une quantité limitée de données personnelles (par ex. des adresses IP, des URL, des identifiants d’utilisateur, des groupes d’utilisateurs, des départements du répertoire d’entreprise) et ne traite ni ne stocke aucune catégorie spéciale ou sensible de données personnelles (par exemple, données de carte de crédit ou de santé protégées).

Pour plus d’informations, veuillez consulter l’annexe A de notre DPA, accessible ici.

4. Zscaler utilise-t-il des cookies ?

Oui, les cookies nous permettent de nous souvenir de vous, d’améliorer votre expérience sur notre site Web et de vous proposer des produits et services pertinents. Nous utilisons des cookies pour faciliter la navigation sur le site, surveiller les réactions à nos publicités et améliorer continuellement la conception et la fonctionnalité de notre site Web au profit des titulaires de comptes et des visiteurs.

Pour Zscaler Internet Access (ZIA), les cookies de niveau utilisateur sont utilisés pour l’isolation du navigateur distant.

Pour en savoir plus, reportez-vous à la politique de Zscaler en matière de cookies.

5. Comment Zscaler s’acquitte-t-il contractuellement de ses responsabilités en tant que responsable du traitement des données dans le cadre du RGPD ?

Lorsqu’il agit en tant que processeur de données, Zscaler ne traitera les données personnelles que pour le compte du responsable du traitement des données et avec l’autorisation écrite de ce dernier (c’est-à-dire par le biais d’un contrat ou d’une commande, le DPA fournissant les détails de ces instructions).

En outre, nous concluons des accords écrits avec nos sous-traitants, et nous demeurons responsables des actes et omissions de ceux-ci. Nos efforts de diligence raisonnable consistent également à nous assurer que tous nos sous-traitants respectent les lois sur la protection des données.

6. Zscaler fait-il appel à des sous-traitants pour fournir ses services ?

Oui. Comme tout fournisseur de cloud, Zscaler fait appel à des sous-traitants pour fournir ses services. Cependant, aucune des données partagées avec les sous-traitants n’est utilisée à des fins secondaires, telles que la publicité de tiers. Zscaler fait preuve de diligence raisonnable en ce qui concerne les pratiques de sécurité et de confidentialité de ses sous-traitants afin de garantir que ceux-ci fournissent un niveau de sécurité et de confidentialité adapté à leur accès aux données du client (qui peuvent inclure des données à caractère personnel) et à l’étendue des services qu’ils fournissent. Zscaler exige des sous-traitants qu’ils s’engagent par écrit à fournir une protection des données et une confidentialité appropriées conformément aux politiques de confidentialité de Zscaler.

Vous pouvez consulter une liste actualisée de nos sous-traitants ici.

7. Zscaler stocke-t-il les données personnelles de ses clients ?

Pour la majorité des services et produits de Zscaler, le contenu des transactions HTTP, HTTPS et non-HTTP (qui comprend toute partie substantielle de la demande, telle que les messages, les fichiers, etc.) n’est jamais stocké par Zscaler ni écrit sur disque. Toute inspection s’effectue sur la mémoire. 

En ce qui concerne les clients qui commandent Zscaler Cloud Sandbox, Zscaler enregistre le contenu malveillant sur un disque de stockage. Cependant, les clients peuvent décider quels fichiers envoyer à Zscaler Sandbox (en fonction du type de fichier, de la catégorie d’URL, de l’utilisateur/du groupe, etc.).

Pour ce qui est de Zscaler Client Connector, les clients peuvent activer ou désactiver globalement la capture de paquets au moyen de politiques mises en place par Zscaler. Ils peuvent également effacer le journal de capture de paquets de l’application d’un ordinateur portable, d’un ordinateur de bureau ou d’un appareil mobile.

Les journaux de transactions des clients (Customer Logs) ne sont jamais stockés en clair et sont indexés, compressés et tokenisés au point de génération, ce qui signifie qu’un jeton est utilisé comme identifiant dans le journal, et non le nom d’utilisateur, et que les seuls identifiants restants dans le journal sont des entrées plus inoffensives, telles que le groupe AD, l’adresse IP ou l’emplacement du bureau. Cela garantit qu’un journal client isolé est inexploitable sans une série complète de journaux client historiques et sans un accès aux index stockés dans la Central Authority (CA) de Zscaler. Lorsqu’un utilisateur privilégié (tel que l’administrateur d’un client) souhaite annuler l’obscurcissement des journaux, notre système transpose à nouveau le nom d’utilisateur pour le jeton avant d’afficher ou de fournir les journaux pour téléchargement. Par conséquent, même en accédant aux données stockées, il est impossible de lire les données personnelles à moins que l’interface utilisateur de Zscaler n’assemble les informations du journal client et les informations provenant de la CA.

8. Où mes données sont-elles traitées ?

Zscaler traitera les données d’utilisateur tokenisées et chiffrées dans l’un de nos 150 data centers mondiaux situés au plus près des utilisateurs du client, ce qui signifie que le client peut décider quels data centers utiliser ou non, en fonction de l’endroit où se trouvent ses utilisateurs (par exemple, les data centers de l’UE pour les utilisateurs de l’UE, les data centers des États-Unis pour les utilisateurs des États-Unis). Si un utilisateur de l’UE se rend aux États-Unis, Zscaler traitera les données personnelles de l’utilisateur à partir du data center le plus proche, c’est-à-dire aux États-Unis. Notez que les data centers ne sont pas des sous-traitants ; il s’agit d’installations colocalisées (c’est-à-dire d’un espace loué) où Zscaler contrôle à tout moment le traitement.

Même si un client ne compte que des utilisateurs dans l’UE, Zscaler fournit des services d’assistance mondiaux non seulement depuis l’UE, mais aussi depuis les États-Unis, l’Inde et le Costa Rica (pour certaines sociétés basées aux États-Unis uniquement) afin d’assurer une couverture permanente. Il s’agit d’une pratique courante chez la plupart des fournisseurs de services en cloud.

9. Que sont les journaux client ?

Les journaux client sont les métadonnées du trafic réseau collectées et stockées pour chaque transaction. Les administrateurs peuvent accéder aux journaux client et les consulter via le portail d’administration afin d’authentifier les demandes Web des utilisateurs des clients. Les journaux client comportent plusieurs champs qui peuvent contenir des données personnelles, telles que le propriétaire de l’appareil, l’utilisateur, le nom d’hôte, etc.

Zscaler offre à ses clients la possibilité de stocker leurs journaux client dans l’UE et en Suisse uniquement, et ce quel que soit l’endroit où le traitement global des données a lieu. Les clients peuvent configurer cette option avec Zscaler pendant le processus de déploiement.

10. Zscaler s’engage-t-il à informer les utilisateurs en cas de modification de la politique ?

Les clients seront informés des modifications significatives apportées à notre politique de confidentialité par e-mail et/ou via un avis publié sur le site Web de Zscaler avant l’entrée en vigueur des modifications. Veuillez noter que votre utilisation du site Web, du contenu ou des produits après la publication de ces changements implique votre consentement à ces changements.

11. Zscaler informe-t-il les utilisateurs des violations de données ?

Si Zscaler a connaissance d’une violation de données, il en informera les clients concernés sans délai excessif après confirmation de l’incident. Zscaler prendra des mesures raisonnables pour (a) identifier la cause de l’incident de sécurité et (b) prendre toutes les mesures nécessaires et raisonnables pour remédier à la cause de cet incident de sécurité dans la mesure où cette remédiation est dans les limites du contrôle raisonnable de Zscaler.

12. Sur quel cadre juridique approuvé Zscaler s’appuie-t-il pour transférer des données à caractère personnel en dehors de l’UE ?

Zscaler traite des données personnelles dans le monde entier à travers son réseau de plus de 150 data centers afin de fournir ses services. Le RGPD exige que les transferts de données personnelles en dehors de l’UE soient couverts par un cadre juridique approuvé, tel que les clauses contractuelles types de l’UE. Par conséquent, Zscaler adhère aux clauses contractuelles types de l’UE et aux addenda appropriés relatifs aux transferts de données à caractère personnel en dehors de l’UE, de la Suisse ou du Royaume-Uni.

Voici quelques-uns des moyens par lesquels nous assurons la protection des données conformément aux clauses contractuelles types de l’UE :

• Les données personnelles sont traitées uniquement pour le compte de nos clients et conformément à leurs instructions.

• Nous appliquons les mesures de sécurité techniques et organisationnelles spécifiées dans le DPA avant de traiter les données personnelles. À titre d’exemple, la tokenisation est l’une des méthodes que nous appliquons pour protéger les journaux client.

• Nous informons nos clients de toute demande juridiquement contraignante de divulgation des données personnelles par une autorité chargée de l’application de la loi, sauf interdiction contraire.

• Nous fournissons à nos clients un stockage des journaux limité à l’UE (Allemagne, Pays-Bas) et à la Suisse uniquement lors du premier déploiement de nos produits.

• Nous veillons à recueillir le consentement de nos clients nous autorisant à faire appel à des sous-traitants de données pour que ces derniers assurent une protection équivalente aux données qu’ils traitent en notre nom.

• Moyennant un préavis écrit, et sous réserve de la mise en place de certaines exigences et contrôles de Zscaler, nous autorisons nos clients et partenaires à effectuer des audits annuels et des inspections automatisées de notre cloud.

• Nous nous engageons à assurer une conformité permanente avec les clauses contractuelles types de l’UE et à mettre en œuvre toute mesure supplémentaire requise par la loi dans un délai raisonnable.

• Nous nous engageons à mettre en œuvre des mesures de confidentialité afin de garantir la protection des données à caractère personnel.

Pour plus de détails, veuillez consulter notre accord sur le traitement des données (DPA).

Bien que nous nous appuyions sur des clauses contractuelles types dans notre DPA standard, Zscaler a choisi de s’autocertifier aux Privacy Shield Frameworks UE-États-Unis et Suisse-États-Unis administrés par le ministère américain du Commerce (« Privacy Shield »). Zscaler est conforme aux principes suivants du Privacy Shield : « Notice » (Notification), « Choice » (Choix), « Accountability for Onward Transfer » (Responsabilité pour les transferts à des tiers), « Security » (Sécurité), « Data Integrity and Purpose Limitation » (Intégrité des données et limitation des applications), « Access » (Accès) et « Recourse, Enforcement and Liability » (Recours, mise en œuvre et responsabilité).

13. Comment Zscaler protège-t-il mes données personnelles ?

Zscaler adhère à des normes strictes de sécurité, de disponibilité, de confidentialité et de protection de la vie privée, afin que ses clients puissent adopter ses services en toute sérénité.

Notre équipe chargée de la conformité veille à ce que tous les produits Zscaler soient conformes et certifiés selon les normes gouvernementales et commerciales internationalement reconnues, afin de susciter la confiance des clients en leur fournissant des solutions adaptées.

Zscaler est certifié selon les normes ISO 27001 et SOC (System and Organization Controls) 2, Type II. De plus, il fait l’objet d’un audit annuel par une tierce partie pour garantir sa conformité continue avec ces certifications. Zscaler teste, mesure et évalue régulièrement l’efficacité de ses mesures de sécurité. Sur demande écrite, et sous réserve des mesures de protection et de confidentialité mises en place, Zscaler s’engage à fournir à ses clients une copie de son certificat ISO 27001 le plus récent et/ou du rapport SOC 2, Type II.

Cliquez ici pour en savoir plus sur nos nombreuses certifications en matière de confidentialité et de sécurité.

14 Comment l’activation de l’inspection TLS/SSL s’inscrit-elle dans le cadre des exigences de sécurité et de conformité aux lois sur la protection de la vie privée ?

L’activation de l’inspection TLS/SSL ne change rien aux quantités de données minimales que Zscaler traite ou stocke. Au contraire, elle aide nos clients à respecter leurs obligations en vertu de l’article 32 du RGPD en fournissant le niveau de sécurité approprié au traitement des données à caractère personnel. Bien qu’il existe des implications économiques, de confidentialité et de sécurité liées à l’utilisation de l’inspection TLS/SSL que nos clients doivent prendre en compte, cela doit être mis en balance avec l’obligation de garantir que les droits de chaque employé du client sont protégés contre les menaces et les attaques. Ainsi, plutôt qu’une menace pour la vie privée, l’inspection TLS/SSL doit être considérée comme un outil permettant à une organisation de se conformer aux règles en matière de protection de la vie privée.

Zscaler propose des capacités complètes d’inspection TLS/SSL pour protéger les données des clients contre les menaces dissimulées dans le trafic chiffré. Une fois l’inspection des données terminée, le flux de données se poursuit sans entrave, sans qu’aucun enregistrement des données sources ne soit conservé au-delà du journal de la transaction elle-même. 

15. Comment puis-je exercer mon droit d’accès, de rectification et de suppression de mes données personnelles ?

Zscaler dispose d’un processus interne pour répondre aux demandes des personnes concernées. Cependant, il faut souligner qu’en tant que responsable du traitement des données, notre client a pour responsabilité d’examiner et de valider la demande, et d’envoyer ensuite un ticket d’assistance à Zscaler. Une demande de droit d’accès aux données ne doit être effectuée que si une personne concernée (généralement un employé ou un utilisateur du client) en fait la demande à notre client. Si Zscaler reçoit directement une demande de droits d’accès aux données, nous redirigerons la personne vers notre client pour la valider et y répondre.

Les clients qui ont besoin d’une assistance supplémentaire peuvent s’adresser à [email protected]

16. Combien de temps Zscaler conservera-t-il mes données ?

Nous traitons et stockons les données personnelles uniquement pendant la période nécessaire à la réalisation de l’objectif du stockage, ou dans les limites autorisées par la loi. Le critère utilisé pour déterminer la période de stockage des données est la période de conservation légale correspondante. Après l’expiration de cette période, les données correspondantes sont systématiquement supprimées pour autant qu’elles ne soient plus nécessaires à l’exécution d’un contrat.

17. Zscaler dispose-t-il d’un organe exécutif responsable des risques liés à la confidentialité et à la sécurité des données ?

Oui, le conseil d’administration de Zscaler assume des responsabilités de surveillance pour tous les risques de l’entreprise, y compris la confidentialité. Le conseil délègue une partie de cette responsabilité à des comités permanents qui rendent compte à l’ensemble du conseil. Le comité d’audit et le comité de nomination et de gouvernance d’entreprise sont tous deux chargés de superviser les risques de confidentialité et les menaces de cybersécurité.

18. Zscaler compte-t-il un responsable de la conformité et de la protection des données/de la vie privée ?

Oui, notre équipe chargée de la confidentialité a pour mission de veiller à ce que Zscaler respecte les lois sur la protection des données et évite les risques auxquels les entreprises sont confrontées lorsqu’elles traitent des données à caractère personnel. Les membres de l’équipe chargée de la confidentialité sont des experts de l’entreprise, qui forment le lien entre le public et Zscaler dans le cadre du traitement des données à caractère personnel. L’équipe chargée de la confidentialité est l’organe auquel sont adressées les questions relatives à la protection des données. Les membres de l’équipe chargée de la confidentialité sont des professionnels certifiés de la politique de confidentialité (Certified Information Privacy Professionals ou CIPP). À un niveau plus élevé, le vice-président des opérations cloud est responsable du contrôle de la conformité avec la politique.

19. Les employés et les sous-traitants sont-ils formés à la sécurité des données et/ou aux risques et procédures liés à la protection de la vie privée ?

La protection de la vie privée est primordiale chez Zscaler. Nous demandons à nos employés et à nos sous-traitants de suivre une formation sur la protection de la vie privée et la sécurité lors de leur intégration, et de renouveler celle-ci chaque année.

20. Comment Zscaler se conforme-t-il à la législation sur la protection de la vie privée dans le monde entier ?

Zscaler s’engage à maintenir la conformité et suit avec attention l’évolution de la législation et de la réglementation en matière de protection de la vie privée dans divers pays. Pour plus d’informations sur la manière dont Zscaler se conforme aux diverses lois sur la protection de la vie privée, veuillez consulter zscaler.com/privacy/global-privacy-laws.

Pour plus d’informations sur les transferts internationaux de données, veuillez consulter zscaler.com/privacy/international-data-transfer-policy.

21. Zscaler conserve-t-il mon numéro de téléphone ?

Zscaler peut utiliser une plateforme d’authentification unifiée, ce qui signifie que votre numéro de téléphone peut être stocké à des fins d’authentification à double facteur.

Comment Zscaler utilise-t-il votre numéro de téléphone ?

1. Zscaler n’utilise pas ces numéros de téléphone pour envoyer des messages promotionnels
. 2. Zscaler n’utilise pas ces numéros de téléphone pour effectuer des appels marketing.
3. Zscaler n’utilise ces numéros de téléphone que pour l’envoi d’un mot de passe à usage unique (Secure OTP) lorsque l’utilisateur final s’authentifie auprès de nos systèmes.

22. Zscaler tient-il à jour et fournit-il des rapports de transparence sur les demandes de données à caractère personnel émanant des gouvernements ?

Oui. Zscaler prend très au sérieux la confiance et la transparence, en particulier en ce qui concerne l’utilisation et la divulgation des données personnelles de l’utilisateur d’un client. Zscaler publie chaque année le nombre de demandes reçues au cours de l’année précédente émanant d’agences gouvernementales, d’organismes de réglementation et d’autres autorités chargées de l’application de la loi, qui demandent de divulguer des informations relatives à l’utilisation des produits Zscaler par les clients de Zscaler.

Pour accéder à notre rapport complet sur les demandes des gouvernements, consultez notre Rapport sur la transparence.

23. Qui dois-je contacter si j’ai d’autres questions ?

Vous pouvez nous envoyer un e-mail à [email protected].