Zscaler et le RGPD

Introduction

Le Règlement général sur la protection des données (RGPD) (Règlement (UE) 2016/79), entré en vigueur le 25 mai 2018, est une règlementation par laquelle le Parlement européen, le Conseil européen et la Commission européenne cherchent à renforcer et unifier la protection des données des individus dans l’Union européenne (UE). Il traite également du transfert des données personnelles en dehors de l’UE. Les principaux objectifs du RGPD sont (i) de renforcer la protection des données personnelles européennes et (ii) de simplifier la réglementation pour les entreprises internationales en imposant à tous les membres de l’UE des exigences de protection des données uniformes.

Le RGPD remplace la Directive sur la protection des données (officiellement directive 95/46/CE) adoptée en 1995. Le RGPD modifie de manière significative la confidentialité des données dans l’UE (Union européenne) et distribue plus clairement les responsabilités entre les contrôleurs (les clients et partenaires Zscaler) et les processeurs de données (Zscaler) en matière de traitement des données personnelles. Depuis le RGPD, les contrôleurs et processeurs de données ont des devoirs et obligations supplémentaires en matière de protection des données personnelles, et ils sont responsables de toute non conformité aux exigences du RGPD.

Zscaler est attaché au succès de ses clients, notamment au respect du RGPD. Le RGPD nécessitera un partenariat plus étroit entre Zscaler et ses clients pour l’utilisation de ses services et produits. Zscaler a analysé en profondeur les exigences du RGPD et a amélioré ses services, produits, sa documentation et ses contrats afin d’assurer sa propre conformité à la nouvelle réglementation. En outre, Zscaler tient à aider ses clients dans leurs efforts de conformité au RGPD.

Afin d’aider nos clients à se conformer au RGPD, nous avons compilé un comparatif complet des obligations du client en tant que contrôleur de données par rapport a celles de Zscaler en tant que processeur de données : « tableau de responsabilité contrôleur vs processeur » . Ce tableau permet à nos clients de mieux comprendre ce qu’ils doivent faire exactement pour se conformer au RGPD et ce qu’ils sont en droit d’attendre de Zscaler.

Conformité Zscaler au RGPD

En tant que fournisseur de sécurité en tant que service, la protection des données est au cœur des activités de Zscaler et quelque chose que nous prenons très au sérieux. Zscaler reste déterminé à protéger les données personnelles dans le respect des normes les plus élevées en matière de confidentialité et de sécurité. Vous trouverez ci-dessous un résumé détaillé de la conformité de Zscaler à certains domaines clés du RGPD.

Comment Zscaler assure-t-il contractuellement sa conformité avec le RGPD?
  • Updated Data Processing Agreement (DPA) : Zscaler a aussi mis à jour son DPA (« Data Processing Agreement », Accord de traitement de données) afin de s’adapter aux exigences du RGPD. Ce nouveau DPA contient de nouvelles provisions contractuelles ou en modifie certaines afin d’aider nos clients à se conformer au RGPD. Vous pouvez télécharger le DPA pré-signé au lien ci-dessous et suivre les instructions de la page 1 pour l’exécuter. En outre, vous trouverez ci-dessous  une lettre de présentation du DPA utile qui vous aidera à examiner notre DPA.
  • Lorsqu’il agit en tant que processeur de données, Zscaler ne traitera les données personnelles que pour le compte du responsable du traitement des données et sur autorisation écrite de ce dernier (c’est-à-dire par le biais d’un contrat ou d’une commande, le DPA fournissant les détails de ces instructions)..
  • En outre, nous avons conclu des accords écrits conformément aux exigences de l’article 28(4) du RGPD avec tous les sous-traitants secondaires et nous demeurons responsables des actes et omissions de ceux-ci. Nos efforts de diligence raisonnable consistent également à nous assurer que tous nos sous-traitants secondaires maintiennent leur conformité aux lois sur la protection des données.
Data Processing Agreement (DPA) et lettre d’accompagnement DPA de Zscaler pré-signés
Quels sont les processus mis en place par Zscaler pour protéger les données personnelles?
  • Zscaler assure la confidentialité et la disponibilité des données personnelles qu’il traite ainsi que la mise en place des mesures techniques et organisationnelles appropriées pour protéger ces données. 
  • Zscaler attend de ses clients et partenaires, en tant que contrôleurs de données, qu’ils informent leurs employés et utilisateurs (autrement dit, les sujets des données)
    et obtiennent leur accord pour le traitement de leurs données par Zscaler.
  • Zscaler ne traite et/ou stocke qu'une quantité limitée de données personnelles (par exemple, les adresses IP, les URL, les ID d’utilisateurs, les groupes d’utilisateurs et les services du répertoire d’entreprise). Veuillez consulter la section ci-dessous pour prendre connaissance de certaines mesures de sécurité que nous mettons en œuvre pour protéger ces données. 
  • Fidèle à son objectif de minimisation des données, Zscaler ne traite ni ne stocke aucune donnée personnelle qui ne soit pas nécessaire à l’exécution des services contractuels pour le compte du responsable du traitement des données. En outre, les données personnelles ne seront pas divulguées, mises à disposition ou utilisées que dans le cadre des services contractuels effectués au nom du contrôleur de données, sauf si la loi l’exige.
  • Au cours du processus de déploiement, les clients peuvent choisir que leurs journaux clients soient stockés dans l’UE (Allemagne et Pays-Bas) et en Suisse uniquement. Zscaler conserve les journaux clients dans son infrastructure cloud pour des périodes de six mois ou moins en fonction du produit, après quoi ils sont supprimés en toute sécurité. En outre, moyennant des frais supplémentaires, les clients peuvent stocker leurs journaux clients sur des serveurs gérés par Zscaler mais situés dans leurs propres locaux (Nanolog Streaming Service), pour la durée de leur choix. Au terme ou à l’expiration du contrat, les journaux clients sont supprimés conformément au cycle de conservation de six mois(ou plus tôt), ou sur demande écrite du contrôleur de données.
  • Tous les transferts de données personnelles en dehors de l’Espace économique européen (EEE) ne seront effectués que dans le but de fournir les services contractuels au responsable du traitement des données et seront soumis aux clauses contractuelles types de l’UE, à moins que les données ne soient transférées vers un pays reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données (il s’agit actuellement de : Andorre, l’Argentine, le Canada (organisations commerciales uniquement), les îles Féroé, Guernesey, Israël, l’île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay. – pour les mises à jour, veuillez consulter  https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_fr). 
  • Zscaler obtiendra le consentement (ponctuel ou général) du contrôleur de données avant de faire appel à tout sous-traitant. Zscaler est responsable et garant de la performance de ces sous-traitants. Zscaler tient une liste à jour de ses sous-traitants à l’adresse : https://www.zscaler.com/legal/subprocessors.
  • Zscaler met à disposition du contrôleur de données toute information nécessaire à ce dernier dans les limites du raisonnable pour prouver sa conformité au RGPD.
  • Zscaler est responsable d’assurer sa propre conformité au RGPD.
  • Zscaler aide le contrôleur de données à se conformer à ses obligations dans le cadre du RGPD en prenant en compte la nature du traitement et les informations dont dispose Zscaler.
  • Après notification écrite, et selon certaines exigences et certains contrôles Zscaler, les clients et partenaires pourront effectuer des audits annuels et inspections automatisées du cloud Zscaler.
  • Zscaler informera au plus vite le contrôleur de données de toute atteinte à des données personnelles constatée et l’aidera à signaler ces faits aux autorités et aux personnes concernées de l'Union Européenne.
Quelles mesures de sécurité Zscaler met-il en œuvre pour protéger les données personnelles?
  • Zscaler protège les données personnelles par le biais de mesures de sécurité contre des risques tels que la perte ou l’accès non autorisé, la destruction, l’utilisation, la modification ou la divulgation. Zscaler chiffre toutes les communications de trafic sur son cloud, en plus de l’anonymisation, la pseudonymisation ou l’obscurcissement des données lorsque cela est techniquement possible. Voici quelques-uns des moyens que nous utilisons pour aider nos clients à minimiser l’ampleur du traitement des données effectué par Zscaler et pour garantir que les données que nous traitons sont sécurisées par une technologie de pointe :
    • Pour la majorité des services et produits Zscaler, le contenu de transaction HTTP, HTTPS et non HTTP n’est jamais stocké par Zscaler ou écrit sur disque; toute inspection a lieu dans la mémoire.
    • Pour les clients qui commandent le produit Zscaler Cloud Sandbox, Zscaler enregistre le contenu malveillant sur un disque de stockage; cependant, les clients peuvent décider quels fichiers envoyer au sandbox Zscaler (selon le type de fichier, la catégorie d’URL, l’utilisateur/groupe, etc.).
    • Pour ce qui est du logiciel Zscaler Client Connector, les clients peuvent activer ou désactiver la capture de paquets au moyen de politiques mises en place par Zscaler. Ils peuvent également effacer le journal de capture de paquets de l'application sur un ordinateur portable, un ordinateur de bureau ou un appareil mobile.
    • L’activation de l’inspection SSL ne change rien aux quantités de données minimales traitées ou stockées par Zscaler. Elle fournit plutôt une couche supplémentaire de protection de sécurité contre les menaces cachées dans le trafic chiffré, pour mieux protéger les employés de nos clients et autres utilisateurs.
    • Les clients ont la possibilité de brouiller leurs identifiants d’utilisateur pour qu’ils ne soient jamais visibles des équipes opérationnelles et d’assistance de Zscaler ou de leurs propres administrateurs.
    • Les journaux de transaction clients (journaux clients) sont indexés, compressés et fractionnés en jetons au moment de leur génération. Ainsi, un journal client isolé est inexploitable sans une série complète de journaux clients passés et sans un accès aux index stockés dans la Central Authority (CA) de Zscaler. Ainsi, même avec un accès aux données stockées, aucune donnée personnelle ne peut être extraite sans utiliser l’interface utilisateur Zscaler pour rassembler des informations des journaux clients et de CA.
    • Les journaux clients ne sont jamais stockés en texte clair.
  • Puisque Zscaler gère un cloud multi-entité, il a reçu la certification de sécurité des systèmes d'information ISO 27001 afin de maintenir des contrôles et des procédures de sécurité cohérents et solides pour tous les clients de son cloud. En outre, Zscaler adhère aux normes System and Organization Controls (SOC) 2, Type II, ainsi qu’à plusieurs autres certifications, telles que FedRAMP ISO 27018 ou FIPS 140-2 (voir https://www.zscaler.com/privacy-compliance/compliance pour plus de détails).
  • En plus d’adhérer aux principes de la norme ISO 27001, les data centers mondiaux de niveau supérieur auxquels fait appel Zscaler prennent eux aussi la sécurité très au sérieux, via notamment des systèmes de contrôle d’entrée sophistiqués, des sources d’alimentation doubles avec générateurs de secours et une surveillance vidéo.
  • Zscaler applique des mesures de sécurité robustes sur son cloud comme des antivirus, firewalls, scans de vulnérabilité programmés, tests de pénétration et examens de codes de sécurité par des pairs.
  • L’infrastructure cloud de Zscaler est protégée contre les attaques DDoS (attaques par déni de service distribuées) et surveillée en continu, sans interruption.
  • Zscaler n’autorise l’accès aux données personnelles qu’aux employés qui sont des administrateurs autorisés et qui disposent des privilèges appropriés.
  • Tous les employés Zscaler autorisés à traiter des données personnelles se sont engagés (via des accords d’embauche et de confidentialité) à protéger la confidentialité et la sécurité de ces dernières.
  • Grâce à son réseau mondial de data centers et ses capacités de basculement, Zscaler est capable d’assurer une confidentialité, une intégrité, une disponibilité et une résilience constantes de ses systèmes et services de traitement, en plus de rapidement rétablir la disponibilité et l’accès en temps réel aux données personnelles en cas d’incident physique ou technique.
  • Zscaler possède un processus interne qui teste et évalue régulièrement l’efficacité des mesures techniques et organisationnelles mises en place pour assurer la sécurité du traitement des données personnelles.
  • Les données personnelles traitées par Zscaler au nom du contrôleur de données sont aussi précises, complètes et à jour que possible avec les moyens techniques du moment.
FAQ SUR LE RGPD

Nous avons préparé la FAQ (Foire Aux Questions) ci-dessous afin de répondre aux questions les plus courantes de nos clients et partenaires au sujet de notre plateforme. 

(1) Quelles données personnelles sont conservées et/ou traitées par Zscaler ?

Zscaler ne stocke qu’une quantité limitée de données personnelles (par ex. des adresses IP, des URL, des identifiants et groupes d’utilisateurs, des départements du répertoire d’entreprise) et ne traite ni ne stocke aucune catégorie spéciale ou sensible de données personnelles (par ex. carte de crédit ou informations de santé protégées). De plus, les clients ont la possibilité de masquer leur identifiant d’utilisateur afin qu’il ne soit même pas visible par leurs propres administrateurs. 

Le support de Zscaler n’accèdera jamais aux données personnelles d’aucun client, à moins d’y avoir été explicitement autorisé par ce dernier. 

Pour la majorité des services et produits Zscaler, le contenu de transaction HTTP, HTTPS et non HTTP n’est jamais stocké par Zscaler ou écrit sur disque; toute inspection a lieu dans la mémoire. 

Pour les clients qui commandent le produit Zscaler Cloud Sandbox, Zscaler enregistre le contenu malveillant sur un disque de stockage; cependant, les clients peuvent décider quels fichiers envoyer au sandbox Zscaler (selon le type de fichier, la catégorie d’URL, l’utilisateur/groupe, etc.).

Pour ce qui est de Zscaler Client Connector, les clients peuvent activer ou désactiver la capture de paquets au moyen de politiques mises en place par Zscaler. Ils peuvent également effacer le journal de capture de paquets de l’application sur un ordinateur portable, un ordinateur de bureau ou un appareil mobile.

Les journaux de transaction des clients (Journaux client) ne sont jamais stockés en texte clair. Ils sont toujours stockés de façon cryptée et sont indexés, compressés et tokenisés –, assurant ainsi que les journaux d’un utilisateur soient inutilisables sans une chaine de caractères complète de l’historique de l’utilisateur ainsi qu’un accès aux index stockés dans la Central Authority (CA) de Zscaler. Par conséquent, même en accédant aux données personnelles, il est impossible de les lire à moins que l’interface utilisateur de Zscaler n’assemble les informations du journal client et les informations provenant de la CA (Central Authority). 

(2) Comment Zscaler protège les données personnelles qu’elle traite et/ou stocke ?

Zscaler met en œuvre les mesures de sécurité physiques, techniques et organisationnelles requises pour assurer un niveau de sécurité adapté au risque, conformément aux normes de l’article 32 du RGPD. Zscaler est certifié selon les normes ISO 27001 et System and Organization Controls (SOC) 2, Type II et est audité chaque année par un tiers pour s’assurer de sa conformité permanente à ces normes. Zscaler teste, évalue et apprécie régulièrement l’efficacité de ses mesures de sécurité. Sur demande écrite, et sous réserve de la mise en place de protections de confidentialité appropriées, Zscaler peut fournir au client une copie de son certificat ISO 27001 le plus récent et/ou du rapport SOC 2, Type II. Pour plus d’informations, Consultez la page https://www.zscaler.com/privacy-company/compliance

(3) Les services de Zscaler sont-ils uniquement disponibles à partir de l’Union européenne (UE) ?

Non. Zscaler est une société basée aux États-Unis qui exploite une plateforme mondiale de cloud computing. Zscaler traite des données personnelles dans le monde entier par le biais de son réseau de plus de150 data centers afin de fournir nos services. 

Zscaler traite les données personnelles dans le data center le plus proche de l’endroit où se trouvent nos clients (par exemple, les data centers de l’UE pour les utilisateurs de l’UE et les data centers américains pour les utilisateurs américains). Si un utilisateur de l’UE se rend aux États-Unis, Zscaler traitera ses données personnelles à partir du data center le plus proche, qui se trouve aux États-Unis.

Même si notre client ne compte que des utilisateurs dans l’UE, Zscaler fournit des services d’assistance mondiaux non seulement depuis l’UE, mais aussi depuis les États-Unis, l’Inde et le Costa Rica (pour certaines sociétés basées aux États-Unis uniquement) afin d’assurer une couverture ininterrompue. Il s’agit d’une pratique courante chez la plupart des fournisseurs de services en cloud.

Nonobstant ce qui précède, et contrairement à la plupart des autres fournisseurs de cloud, Zscaler offre à ses clients la possibilité de stocker leurs journaux clients dans l’UE et en Suisse uniquement, et ce quel que soit l’endroit où le traitement global des données a lieu. Nos clients peuvent configurer cette option avec Zscaler pendant le processus de déploiement. 

(4) Zscaler accède-t-il aux données personnelles ou transfère-t-il des données personnelles en dehors de l’UE ? ?

Oui.  Zscaler traite des données personnelles dans le monde entier par le biais de son réseau de plus de 150 data centers afin de fournir nos service.

Le RGPD exige que les transferts de données personnelles en dehors de l’UE soient couverts par un cadre juridique approuvé, tel que les clauses contractuelles types de l’UE. Zscaler adhère aux clauses contractuelles types de l’UE relatives aux transferts de données personnelles en dehors de l’EEE, de la Suisse ou du Royaume-Uni. 

Ceci est abordé plus en détail dans notre Data Processing Agreement (DPA) qui est disponible sur www.zscaler.com/gdpr où les clients peuvent le télécharger et le signer.

(5) En quoi Zscaler est-il impacté par l’arrêt C-311/18 (« Schrems II ») de la CJUE invalidant le cadre EU-US Privacy Shield (Bouclier de protection des données UE-États-Unis) ?

À la lumière de l’arrêt Schrems II, Zscaler confirme qu’elle continue à fournir ses produits et services en pleine conformité avec la législation applicable en matière de protection des données. 

Rien n’a changé en ce qui concerne la manière dont Zscaler transfère les données personnelles en dehors de l’UE pour fournir ses produits et services. La décision du juge européen n’a aucun impact sur la manière dont Zscaler fournit ses produits et services, sur nos flux de données ou sur la manière dont nous stockons les journaux des clients. Zscaler a toujours fourni à ses clients des protections en vertu des clauses contractuelles types de l’UE et du cadre du Privacy Shield pour les transferts internationaux de données. Les clauses contractuelles types de l’UE restent valables et le juge a expressément confirmé que les entreprises pouvaient continuer à utiliser ce mécanisme. 

En outre, Zscaler maintient sa certification aux cadres des Privacy Shield UE-États-Unis et Suisse-États-Unis. Bien que Zscaler ne s’appuie pas sur le cadre du Privacy Shield UE-États-Unis comme base juridique pour les transferts de données personnelles à la lumière de l’arrêt de la Cour de justice de l’UE dans l’affaire C-311/18, nous nous engageons à respecter les principes de protection des données du cadre du Privacy Shield UE-États-Unis.

(6) Quelles garanties supplémentaires Zscaler offre-t-elle pour supporter son utilisation des clauses contractuelles types de l’UE lors du transfert de données personnelles vers les États-Unis ?

Nous comprenons que le message envoyé par le juge européen dans l’affaire Schrems II signifie que, selon une évaluation au cas par cas, en tenant compte des circonstances entourant le transfert de données spécifique, certaines mesures supplémentaires peuvent devoir être mises en œuvre pour garantir que la loi du pays vers lequel les données sont transférées n’empiète pas sur le niveau de protection adéquat garanti par les clauses contractuelles types de l’UE.

Étant donné que Zscaler a fourni à ses clients des protections garanties par les clauses contractuelles types de l’UE avant l’arrêt Schrems II, nous avons déjà effectué une l'analyse adéquate et sommes convaincus que nos processus et nos mesures de sécurité demeurent parfaitement conformes. Nous continuons bien entendu à surveiller toutes les futures directives et modifications réglementaires applicables aux données à caractère personnel et nous attendons de nouvelles décisions de la Commission européenne, du Conseil européen de la protection des données et des autorités de contrôle individuelles. 

Voici quelques-uns des moyens par lesquels nous assurons la protection des données conformément aux clauses contractuelles types de l’UE :

  • les données personnelles sont traitées uniquement pour le compte de nos clients et conformément à leurs instructions ;
  • nous mettons en œuvre les mesures de sécurité techniques et organisationnelles spécifiées dans le DPA avant de traiter les données personnelles. Nous utilisons par exemple la tokenisation pour protéger les journaux des clients (voir la question 1 pour plus de détails) ;
  • nous informons nos clients de toute demande juridiquement contraignante de divulgation des données personnelles par une autorité chargée de l’application de la loi, sauf interdiction contraire ; 
  • nous fournissons à nos clients un stockage des journaux dans l’UE (Allemagne, Pays-Bas) et en Suisse uniquement lors du premier déploiement de nos produits ;
  • nous veillons à ce que nos clients donnent leur consentement à l’utilisation de sous-traitants de données et à ce que ces sous-traitants de données fournissent une protection équivalente aux données qu’ils traitent en notre nom ;
  • moyennant un préavis écrit, et sous réserve de la mise en place de certaines exigences et contrôles de Zscaler, nous autorisons nos clients et partenaires à effectuer des audits annuels et des inspections automatisées de notre cloud ;
  • nous nous engageons à assurer notre conformité permanente avec les clauses contractuelles types de l’UE et à mettre en œuvre toute mesure supplémentaire requise par la loi dans un délai raisonnable.

(7) Comment l’activation de l’inspection SSL s’inscrit-elle dans le cadre des exigences de sécurité et de la conformité aux lois sur la protection de la vie privée ?

L’activation de l’inspection SSL ne change rien aux quantités de données minimales traitées ou stockées par Zscaler. Au contraire, elle aide nos clients à respecter leurs obligations en vertu de l’article 32 du RGPD en fournissant le niveau de sécurité approprié au traitement des données personnelles. Bien qu’il existe des implications économiques, de confidentialité et de sécurité liées à l’utilisation de l’inspection SSL que nos clients doivent prendre en compte, cela doit être mis en balance avec l’obligation de garantir que les droits de chaque employé du client sont protégés contre les menaces et les attaques. Ainsi, plutôt qu’une menace pour la vie privée, l’inspection SSL doit être considérée comme un outil soutenant la conformité d’une entreprise en matière de confidentialité.

Zscaler offre des capacités complètes d’inspection SSL/TLS pour protéger le trafic de données des clients contre les menaces dissimulées dans le trafic chiffré. Une fois l’inspection des données terminée, le flux de données se poursuit sans entrave, sans qu’aucun enregistrement des données sources ne soit conservé au-delà du journal de la transaction elle-même. 

(8) Zscaler fait-il appel à des sous-traitants pour fournir ses services ?

Oui. Comme c’est le cas pour tout fournisseur de cloud, Zscaler fait appel à un nombre limité de sous-traitants pour fournir ses services. Comme l’exige le RGPD, Zscaler obtiendra le consentement du client avant d’engager tout sous-traitant, ce qui peut inclure un consentement contractuel ou un consentement général. En outre, Zscaler informera au préalable les clients par écrit de toute modification de sa liste de sous-traitants. Zscaler se porte entièrement garant de la performance de ses sous-traitants ultérieurs. Zscaler tient à jour une liste de ses sous-traitants ultérieurs à l’adresse suivante : https://www.zscaler.com/legal/subprocessors.

(9) Zscaler peut-il apporter son aide dans le cadre d’une demande de droit à l’oubli ?

Oui. Zscaler dispose d’un processus interne pour répondre aux demandes de droit à l’oubli. Cependant, il faut souligner qu’en tant que contrôleur de données, notre client est responsable d’examiner et de valider la demande et ensuite de soumettre un ticket de support à Zscaler. Une demande de droit à l’oubli ne doit être introduite que si une personne concernée (généralement un employé ou un utilisateur du client) en fait la demande à notre client. Si Zscaler reçoit une demande de droit à l’oubli provenant directement d’un employé ou d’un utilisateur du client, nous redirigerons la personne vers notre client pour traitement.