Zscaler et le RGPD

Introduction

Le Règlement général sur la protection des données (RGPD) (Règlement (UE) 2016/679), entré en vigueur le 25 mai 2018, est une règlementation par laquelle le Parlement européen, le Conseil européen et la Commission européenne cherchent à renforcer et unifier la protection des données des individus dans l’Union européenne (UE). Il traite également du transfert des données personnelles en dehors de l’UE. Les principaux objectifs du RGPD sont (i) de renforcer la protection des données personnelles européennes et (ii) de simplifier la réglementation pour les entreprises internationales en imposant à tous les membres de l’UE des exigences de protection des données uniformes.

Le RGPD remplace la Directive sur la protection des données (directive 95/46/CE) adoptée en 1995. Le RGPD modifie de manière significative la confidentialité des données dans l’UE (Union européenne) et distribue plus clairement les responsabilités entre les contrôleurs (les clients et partenaires Zscaler) et les processeurs de données (Zscaler) en matière de traitement des données personnelles. Depuis le RGPD, les contrôleurs et processeurs de données ont des devoirs et obligations supplémentaires en matière de protection des données personnelles, et ils sont responsables de
toute non conformité aux exigences du RGPD.

Zscaler est attaché au succès de ses clients, notamment au respect du RGPD. Le RGPD nécessitera un partenariat plus étroit entre Zscaler et ses clients pour l’utilisation de ses services et produits. Zscaler a analysé en profondeur les exigences du RGPD et a amélioré ses services, produits, sa documentation et ses contrats afin d’assurer sa propre conformité à la nouvelle réglementation. En outre, Zscaler tient à aider ses clients dans leurs efforts de conformité au RGPD.

Aider nos clients à se conformer au RGPD
 

  • Tableau des responsabilités des contrôleurs et processeurs de données : Zscaler a créé un tableau comparatif complet résumant les obligations du client en tant que contrôleur de données et celles de Zscaler en tant que processeur de données. Ce tableau permet à nos clients de mieux comprendre le détail de ce qu’ils doivent faire pour se conformer au RGPD et ce qu’ils peuvent attendre de Zscaler. 
     
  • Dernière version du Data Processing Agreement (DPA): Zscaler a aussi mis à jour son DPA (« Data Processing Agreement », Accord de traitement de données) afin de s’adapter aux exigences du RGPD. Ce nouveau DPA contient de nouvelles provisions contractuelles ou en modifie certaines afin d’aider nos clients à se conformer au RGPD. Vous pouvez télécharger le DPA pré-signé ici et suivre les instructions de la page 1 pour le remplir et le signer à votre tour. De plus, nous avons préparé une lettre d'accompagnement ayant pour but de vous aider à bien analyser notre DPA.

Conformité Zscaler au RGPD

En tant que fournisseur de sécurité en tant que service, la protection des données est au cœur des activités de Zscaler et quelque chose que nous prenons très au sérieux. Zscaler reste déterminé à protéger les données personnelles dans le respect des normes les plus élevées en matière de confidentialité et de sécurité. Vous trouverez ci-dessous un résumé détaillé de la conformité de Zscaler à certains domaines clés du RGPD.

Protection des données
 

  • Lorsqu’il agit en tant que processeur de données, Zscaler ne traite les données personnelles qu’au nom du contrôleur de données et sur autorisation écrite
    de ce dernier (via un contrat ou une commande).
  • Zscaler attend de ses clients et partenaires, en tant que contrôleurs de données, qu’ils informent leurs employés et utilisateurs (autrement dit, les sujets des données)
    et obtiennent leur accord pour le traitement de leurs données par Zscaler.
  • Zscaler assure la confidentialité et la disponibilité des données personnelles qu’il traite ainsi que la mise en place des mesures techniques et organisationnelles appropriées pour protéger ces données.
  • Zscaler traite et stocke une quantité limitée de données personnelles (par exemple, les adresses IP, les URL, les ID d'utilisateurs, les groupes d'utilisateurs et les services du répertoire d'entreprise). De plus :
     
    • Pour la majorité des services et produits Zscaler, le contenu de transaction HTTP, HTTPS et non HTTP n’est jamais stocké par Zscaler ou écrit sur disque; toute inspection a lieu dans la mémoire.
    • Pour les clients qui commandent le produit Zscaler Cloud Sandbox, Zscaler enregistre le contenu malveillant sur un disque de stockage; cependant, les clients peuvent décider quels fichiers envoyer au sandbox Zscaler (selon le type de fichier, la catégorie d’URL, l’utilisateur/groupe, etc.).
    • Pour le logiciel Zscaler Client Connector, les clients peuvent activer ou désactiver de façon globale la capture de paquets grâce à des stratégies Zscaler, et supprimer les journaux de capture de paquets d’un ordinateur portable, bureau ou appareil mobile personnel spécifique.
    • L’activation de l’inspection SSL ne change rien aux quantités de données minimales traitées ou stockées par Zscaler. Elle fournit plutôt une couche supplémentaire de protection de sécurité contre les menaces cachées dans le trafic chiffré, pour mieux protéger les employés de nos clients et autres utilisateurs.
    • Les clients ont la possibilité de brouiller leurs identifiants d’utilisateur pour qu’ils ne soient jamais visibles des équipes opérationnelles et d’assistance de Zscaler ou de leurs propres administrateurs.
    • Les journaux de transaction clients (journaux clients) sont indexés, compressés et fractionnés en jetons au moment de leur génération. Ainsi, un journal client isolé est inexploitable sans une série complète de journaux clients passés et sans un accès aux index stockés dans la Central Authority (CA) de Zscaler. Ainsi, même avec un accès aux données stockées, aucune donnée personnelle ne peut être extraite sans utiliser l’interface utilisateur Zscaler pour rassembler des informations des journaux clients et de CA.
    • Les journaux clients ne sont jamais stockés en texte clair.
    • Lors du processus de déploiement, les clients peuvent choisir de ne stocker leurs journaux clients que dans l’UE et en Suisse. Et moyennant des frais supplémentaires, ils peuvent stocker leurs journaux clients sur des serveurs gérés par Zscaler mais situés sur leur propre site.
  • Zscaler n’autorise l’accès aux données personnelles qu’aux employés qui sont des administrateurs autorisés et qui disposent des privilèges appropriés.
  • Zscaler ne traite ni ne stocke de données personnelles qui ne sont pas nécessaires à l’exécution des services sous contrat au nom du contrôleur de données.
  • Les données personnelles traitées par Zscaler au nom du contrôleur de données sont aussi précises, complètes et à jour que possible avec les moyens techniques du moment.
  • Les données personnelles ne seront divulguées, rendues disponibles ou utilisées que dans le cadre des services contractuels effectués au nom du contrôleur de données, ou pour répondre à des obligations légales.
  • Tout transfert de données personnelles hors de l’Espace économique européen (EEE) a pour seul but de fournir les services sous contrat au contrôleur de données et est soumis aux principes du bouclier de protection UE-US et Suisse-US et/ou aux clauses contractuelles standard de l’UE.
  • Zscaler conserve les journaux clients dans son infrastructure cloud pour des périodes de six mois ou moins en fonction du produit, après quoi ils sont supprimés en toute sécurité. De plus, les clients peuvent commander Nanolog Streaming Service (NSS) de Zscaler afin de conserver ces journaux clients aussi longtemps qu'ils le souhaitent.
  • Zscaler obtient le consentement (ponctuel ou général) du contrôleur de données avant de faire appel à tout sous-traitant. Zscaler est responsable et garant de la performance de ces sous-traitants. Zscaler tient une liste à jour de ses sous-traitants à l’adresse : https://www.zscaler.com/legal/subprocessors.
  • Au terme ou à l’expiration du contrat, les journaux clients seront supprimés conformément au cycle de conservation de six mois, ou plus tôt, sur demande écrite du contrôleur de données.
  • Zscaler met à disposition du contrôleur de données toute information nécessaire à ce dernier dans les limites du raisonnable pour prouver sa conformité au RGPD.
  • Zscaler est responsable d’assurer sa propre conformité au RGPD.
  • Zscaler aide le contrôleur de données à se conformer à ses obligations dans le cadre du RGPD en prenant en compte la nature du traitement et les informations dont dispose Zscaler.

Mesures de sécurité
 

  • Grâce à des dispositifs de sécurité raisonnables, Zscaler protège les données personnelles des risques tels que la perte ou l’accès non autorisé, la destruction, l’utilisation, la modification ou la divulgation.
  • Puisque Zscaler gère un cloud multi-entité, il a reçu la certification de sécurité des systèmes d’information ISO 27001 afin de maintenir des contrôles de sécurité cohérents et robustes et des procédures pour tous les clients de son cloud. De plus, Zscaler adhère aux standards « System and Organization Controls (SOC) 2, Type II ».
  • Zscaler applique des mesures de sécurité robustes sur son cloud comme des antivirus, firewalls, scans de vulnérabilité programmés, tests de pénétration et examens de codes de sécurité par des pairs.
  • L’infrastructure cloud de Zscaler est protégée contre les attaques DDoS (attaques par déni de service distribuées) et surveillée en continu, sans exception.
  • Tous les employés Zscaler autorisés à traiter des données personnelles se sont engagés (via des accords d’embauche et de confidentialité) à protéger la confidentialité et la sécurité de ces dernières.
  • Zscaler chiffre toutes les communications sur son cloud, tout en rendant les données anonymes, en les pseudonymisant et en les brouillant quand cela
    est possible d’un point de vue technique.
  • En plus d’adhérer aux principes de la norme ISO 27001, les data centers mondiaux de niveau supérieur auxquels fait appel Zscaler prennent eux aussi la sécurité très au sérieux, via notamment des systèmes de contrôle d’entrée sophistiqués, des sources d’alimentation doubles avec générateurs de secours et une surveillance vidéo.
  • Grâce à son réseau mondial de data centers et ses capacités de basculement, Zscaler est capable d’assurer une confidentialité, une intégrité, une disponibilité et une résilience constantes de ses systèmes et services de traitement, en plus de rapidement rétablir la disponibilité et l’accès en temps réel aux données personnelles en cas d’incident physique ou technique.
  • Zscaler possède un processus interne qui teste et évalue régulièrement l’efficacité des mesures techniques et organisationnelles mises en place pour assurer la sécurité du traitement des données personnelles.
  • Après notification écrite, et selon certaines exigences et certains contrôles Zscaler, les clients et partenaires pourront effectuer des audits annuels et inspections automatisées du cloud Zscaler.
  • Zscaler informera au plus vite le contrôleur de données de toute atteinte à des données personnelles constatée et l’aidera à signaler ces faits aux autorités et aux personnes concernées de l'Union Européenne.

RGPD - Foire aux questions

Nous avons préparé la FAQ (Foire Aux Questions) ci-dessous afin de répondre aux questions les plus courantes de nos clients et partenaires au sujet de notre plateforme.

  • 1. Quelles données personnelles sont conservées et/ou traitées par Zscaler ?

    Zscaler traite et stocke une quantité limitée de données personnelles (par exemple, les adresses IP, les URL, les ID d'utilisateurs, les groupes d'utilisateurs et les services du répertoire d'entreprise).

    Le support de Zscaler n'accèdera jamais aux données personnelles d'aucun client, à moins d'y avoir été explicitement autorisé par ce dernier. De plus, les clients ont la possibilité de masquer leur identifiant d'utilisateur afin qu'il ne soit même pas visible par leurs propres administrateurs.

    Pour la majorité des services et produits Zscaler, le contenu de transaction HTTP, HTTPS et non HTTP n’est jamais stocké par Zscaler ou écrit sur disque; toute inspection a lieu dans la mémoire.

    Pour les clients qui commandent le produit Zscaler Cloud Sandbox, Zscaler enregistre le contenu malveillant sur un disque de stockage; cependant, les clients peuvent décider quels fichiers envoyer au sandbox Zscaler (selon le type de fichier, la catégorie d’URL, l’utilisateur/groupe, etc.).

    Pour ce qui est du logiciel Zscaler Client Connector, les clients peuvent activer ou désactiver la capture de paquets au moyen de politiques mises en place par Zscaler. Ils peuvent également effacer le journal de capture de paquets de l'application sur un ordinateur portable, un ordinateur de bureau ou un appareil mobile.

    Les journaux de transaction des clients (Journaux client) ne sont jamais stockés en texte clair. Ils sont toujours stockés de façon cryptée et sont indexés, compressés et tokenisés –, assurant ainsi que les journaux d'un utilisateur soient inutilisables sans une chaine de caractères complète de l'historique de l'utilisateur ainsi qu'un accès aux index stockés dans Zscaler Central Authority (CA). Par conséquent, même en accédant aux données personnelles, il est impossible de les lire à moins que l'interface utilisateur de Zscaler n'assemble les informations du journal client et les informations provenant de CA (Central Authority).

  • 2. Comment Zscaler protège les données personnelles qu'elle traite et/ou stocke ?

    Zscaler met en œuvre les mesures de sécurité physiques, techniques et organisationnelles pour assurer un niveau de sécurité proportionnel au risque, conformément aux normes de l'article 32 du RGPD. Zscaler est certifié ISO 27001 et adhère aux normes System and Organization Controls (SOC) 2, Type II. De plus, Zscaler fait l'objet d'un audit annuel par une entité extérieure afin d'assurer le respect continu de ces normes de certification. Zscaler teste, mesure et évalue régulièrement l'efficacité de ses dispositifs de sécurité. Sur demande écrite, et sous réserve des mesures de protection et de confidentialité mises en place, Zscaler peut à tout moment fournir au client une copie de son plus récent certificat ISO 27001 et/ou rapport SOC 2, Type II. Pour plus d'informations : https://www.zscaler.com/company/compliance.

  • 3. Qu'est ce que la pseudonymisation des données? En quoi diffère-t-elle de l'anonymisation? Puis-je choisir de complètement anonymiser les données de mon entreprise plutôt que de les pseudonymiser?

    La pseudonymisation des données permet de réattribuer les données à un système, un individu ou une organisation. En revanche, l'anonymisation des données fait que les données ne peuvent jamais être réattribuées à un système, un individu ou une organisation.

    En matière de cybersécurité, les organisations doivent pouvoir réattribuer des données au cas où elles devraient mener une enquête, prendre des mesures correctives ou procéder à une récupération après une vulnérabilité ou une faille de sécurité (par exemple, isoler une attaque d'hameçonnage ciblée). En fournissant nos produits aux clients, nous leur donnons la possibilité de voiler ou de pseudonymiser leurs données personnelles afin que nos clients aient la possibilité de signaler quels appareils doivent être réparés après une faille de sécurité ou une vulnérabilité. Zscaler utilise la méthodologie de "tokenisation" pour effectuer la pseudonymisation des données personnelles.

  • 4. Les services de Zscaler sont-ils uniquement disponibles à partir de l'Union européenne (UE) ?

    Non. Zscaler est une société basée aux États-Unis qui exploite une plate-forme mondiale de cloud computing. Zscaler traite des données personnelles dans ses plus de 150 data centers répartis aux quatre coins du monde afin d'offrir ses services.

    Zscaler traite les données personnelles dans ses data centers les plus proches de l'endroit où se trouvent les utilisateurs (par exemple, les data centers de l'UE pour les utilisateurs de l'UE et les data centers américains pour les utilisateurs américains). Si un utilisateur de l'UE se rendrait aux États-Unis, par exemple, ses données personnelles seront traitées à partir du data center américain de Zscaler le plus proche.

    Même si notre client n'a des utilisateurs basés que dans l'Union européenne, Zscaler fournit un support global depuis les États-Unis, l'Inde et le Costa Rica (support TAM uniquement) afin d'assurer une couverture 24x7x365 . C'est ce que font également la plupart des fournisseurs de cloud computing.

    Cependant, contrairement à la plupart des autres fournisseurs de cloud computing, Zscaler offre à ses clients dans l'UE et en Suisse (uniquement) la possibilité de stocker leurs journaux clients, et ce quel que soit l'endroit où le traitement global des données a lieu. Nos clients peuvent configurer cette option avec Zscaler pendant le processus de déploiement.

  • 5. Est-ce que Zscaler accède aux données personnelles ou les transfère en dehors de l'UE ?

    Oui. Comme mentionné ci-dessus, Zscaler est une société basée aux États-Unis qui fournit une plate-forme mondiale de cloud computing.

    Le RGPD n'interdit pas l'accès ou le transfert de données personnelles en dehors de l'UE – il exige simplement que ces transferts soient couverts par un cadre juridique approuvé, tel que le Bouclier de protection ou les clauses types de l'UE.

    Zscaler adhère aux cadres de protection de la vie privée UE-États-Unis et Suisse-États-Unis ainsi qu'aux clauses types de l'UE. Ces deux cadres sont abordés dans notre Data Processing Agreement (DPA), disponible à l'adresse : www.zscaler.com/gdpr. Nos clients peuvent ainsi le télécharger et le signer.

  • 6. L'activation de l'inspection SSL modifie-t-elle les types de données personnelles que Zscaler traite ou stocke ?

    Non. L’activation de l’inspection SSL ne change rien aux quantités de données minimales traitées ou stockées par Zscaler. Elle fournit plutôt une couche supplémentaire de protection de sécurité contre les menaces cachées dans le trafic chiffré, pour mieux protéger les employés de nos clients et autres utilisateurs. On pourrait soutenir que la responsabilité du contrôleur de données en vertu de l'article 32 du RGPD (Sécurité des données) devrait inclure l'inspection SSL parce que de nombreuses menaces sont maintenant dissimulées derrière un trafic crypté.

  • 7. Zscaler fait-il appel à des sous-traitants pour fournir ses services ?

    Oui. Comme tous les fournisseurs de cloud, Zscaler fait appel à un nombre limité de sous-traitants pour offrir ses services. Comme l'exige le RGPD, Zscaler obtiendra le consentement du client avant d'engager de nouveaux sous-traitants, ce qui peut inclure un consentement contractuel ou général. En outre, Zscaler informera au préalable les clients par écrit de toute modification apportée à la liste de ses sous-traitants. Zscaler se porte entièrement garant de la performance de ses sous-traitants. Une liste à jour des sous-traitants de Zscaler est disponible à l'adresse suivante : https://www.zscaler.com/legal/subprocessors.

  • 7. Zscaler peut-il apporter son assistance pour une demande de droit à l'oubli ?

    Oui. Zscaler dispose d'un processus interne pour répondre aux demandes de droit à l'oubli. Cependant, il faut souligner qu'en tant que contrôleur de données, notre client est responsable d'examiner et de valider la demande et ensuite de soumettre un ticket de support à Zscaler. Une demande de droit à l'oubli ne devrait être faite que si une personne concernée (généralement un employé ou un utilisateur du client) en fait la demande à notre client. Si Zscaler reçoit une demande de droit à l’oubli provenant directement d'un employé ou d'un utilisateur du client, nous redirigerons la personne vers notre client pour traitement.

https://gdpr-info.eu/

http://www.eugdpr.org/gdpr-faqs.html

https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

https://ec.europa.eu/info/law/law-topic/data-protection_en

REMARQUE : ce site est conçu pour aider les organisations à comprendre les implications du RGPD pour les services et produits Zscaler, mais les informations ici fournies ne doivent pas être considérées comme des conseils juridiques. Les organisations doivent se procurer leurs propres conseils légaux pour comprendre les obligations qui s’appliquent à elles dans le cadre du RGPD.