RGPD et Politique de confidentialité Shield

Date d'entrée en vigueur : 20 novembre 2018

Introduction

La politique sur le RGPD et le Privacy Shield (« la Politique ») décrit comment Zscaler, Inc. et ses filiales (« Zscaler » ou « nous ») collectent, utilisent et divulguent certaines informations à caractère personnel que nous recevons aux États-Unis (U.S.) en provenance de l’Union européenne (UE) et/ou de la Suisse (les « Données personnelles »). Cette Politique complète la Politique de confidentialité Zscaler consultable à l’adresse www.zscaler.com/company/privacy-policy, et sauf dans le cas où elles sont définies de manière plus spécifique dans cette Politique, les conditions de cette dernière ont la même signification que dans la Politique de confidentialité Zscaler. 

Zscaler reconnaît que l’UE et la Suisse ont établi des protections strictes en ce qui concerne le traitement des Données personnelles, y compris des exigences pour fournir une protection appropriée aux Données personnelles transférées en dehors de l’UE et/ou de la Suisse. Afin de fournir une protection appropriée à certaines Données personnelles que Zscaler reçoit aux États-Unis et qui sont liées aux clients, partenaires, fournisseurs et employés de l’entreprise, Zscaler a choisi de passer une auto-certification aux « Privacy Shield Frameworks » EU-U.S. et Suisse-U.S. administrés par le département du Commerce des États-Unis (« Privacy Shield »). 

Zscaler est conforme aux principes suivants du Privacy Shield : « Notice » (Notification), « Choice » (Choix), « Accountability for Onward Transfer » (Responsabilité pour les transferts à des tiers), « Security » (Sécurité), « Data Integrity and Purpose Limitation » (Intégrité des données et limitation des applications), « Access » (Accès) et « Recourse, Enforcement and Liability » (Recours, mise en œuvre et responsabilité). En cas de conflit entre les conditions de cette Politique et les principes du Privacy Shield, ces derniers prévalent. 

Dans le cadre de la mise en œuvre de la conformité au Privacy Shield, Zscaler est soumis à l’autorité d’enquête et d’application de la Commission du commerce fédéral des États-Unis. Pour plus d’informations sur le Privacy Shield, consultez le site web du département du Commerce des États-Unis à ce sujet à l’adresse https://www.privacyshield.gov. Pour consulter la certification de Zscaler au Privacy Shield, consultez la liste des entreprises certifiées publiée par le département du Commerce des États-Unis à l’adresse https://www.privacyshield.gov/list

Cette Politique contient également des conditions qui reflètent l’engagement de Zscaler à se conformer au Règlement général sur la protection des données (Règlement (UE) 2016/679) (le « RGPD »).

Collecte et utilisation
des données personnelles

En plus des informations personnelles décrites dans la Politique de confidentialité de Zscaler, Zscaler peut recevoir les catégories de Données personnelles suivantes
en provenance de l’UE et/ou de la Suisse:
 

  • Identifiants d’utilisateur tirés du répertoire d’entreprise du client qui identifient l’utilisateur, son groupe et son département dans l’organisation du client;
  • Journaux de transaction pour toutes les transactions HTTP/HTTPS et non-HTTP/HTTPS du client;
  • Adresses IP publiques permettant de déduire les localisations du client dans le cadre de l’utilisation des Produits;
  • Certificats et clés permettant au client d’intercepter certaines communications SSL spécifiques;
  • Informations d’authentification des employés du client, y compris identifiants d’utilisateur tels que les adresses e-mail, le groupe dans l’organisation et le service de l’utilisateur, afin de permettre au client de créer des stratégies de contrôle des accès et de consigner les incidents de sécurité; 
  • Informations de facturation et coordonnées (nom, adresse postale, numéro de téléphone, adresse e-mail, etc.) des partenaires et fournisseurs;
  • Autres données fournies par un client, fournisseur ou partenaire afin de faciliter la livraison des Produits par Zscaler ou pour permettre à Zscaler de recevoir des services.

Zscaler reçoit également des données de ressources humaines de ses employés dans l’UE et/ou en Suisse afin de gérer différents aspects de la relation de salariat. Le traitement par Zscaler de ces données est soumis aux politiques internes de l’entreprise qui sont en accord avec le Privacy Shield. Zscaler s’engage à coopérer avec les autorités de protection des données européennes et le préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse, et à se conformer aux conseils donnés par ces autorités en ce qui concerne les données de ressources humaines transférées depuis l’UE et la Suisse dans le cadre de la relation de salariat.

Nous ne traitons les Données personnelles que dans le but de fournir des services à nos clients et pour tout autre but autorisé par le sujet ou le contrôleur des données. Zscaler ne traitera les Données personnelles que dans le but pour lequel l’entreprise a collecté les Données personnelles, ou pour des buts autorisés plus tard par l’individu ou l’entité qui fournit les Données personnelles. Avant d’utiliser vos Données personnelles pour un but matériellement différent de celui pour lequel elles ont été collectées ou de celui que vous avez ensuite autorisé, nous vous donnerons l’opportunité de nous communiquer votre refus. Zscaler a mis en place des procédures raisonnables pour s’assurer que les Données personnelles sont fiables pour leur utilisation prévue, précises, complètes et à jour.

Nous ne collectons pas de Données personnelles considérées comme des informations personnelles sensibles par le RGPD ou le Privacy Shield. 

Transferts de données à des tiers

Agents tiers ou fournisseurs de services

Nous pouvons transférer des Données personnelles à nos agents tiers ou fournisseurs de services qui travaillent en notre nom tel que décrit dans la Politique de confidentialité de Zscaler. Lorsque requis par le RGPD et le Privacy Shield,
nous signons des accords écrits avec ces agents tiers et fournisseurs de services pour leur demander de fournir le niveau de protection exigé par le RGPD et le Privacy Shield et pour limiter leur utilisation des données aux services spécifiques fournis en notre nom. Nous prenons les mesures raisonnables et appropriées (i) pour nous assurer que les agents tiers et fournisseurs de services traitent les Données personnelles selon les obligations du RGPD et du Privacy Shield et (ii) pour interrompre et corriger tout traitement non autorisé. Dans certains cas, nous pouvons rester responsables des actes des agents tiers ou fournisseurs de services qui effectuent des services en notre nom pour le traitement des Données personnelles que nous leur transférons.

Divulgations pour des raisons légales ou de sécurité nationale

Dans certains cas, nous pouvons être obligés de divulguer vos Données personnelles dans le cadre de demandes valides des autorités publiques, y compris pour répondre aux exigences légales ou de sécurité nationale.

Sécurité

Zscaler prend des mesures de sécurité raisonnables et appropriées pour protéger les Données personnelles de la perte, des emplois abusifs, des accès non autorisés, de la divulgation, de l'altération ou de la destruction en conformité avec le RGPD et le Privacy Shield.

Droits d’accès et de portabilité
des données

Vous pouvez avoir le droit d’accéder aux Données personnelles que nous détenons sur vous et de demander leur correction, leur modification ou leur suppression si elles sont inexactes ou traitées contrairement aux principes du RGPD ou du Privacy Shield. Ces droits d’accès peuvent ne pas être applicables dans certains cas, y compris lorsque fournir un accès à ces données impliquerait des mesures déraisonnables ou coûteuses étant donné le contexte, ou si cela impliquerait d’enfreindre les droits d’une autre personne que l’individu qui effectue la demande. Si vous souhaitez demander l’accès, la correction, la modification ou la suppression des vos Données personnelles, vous pouvez envoyer une demande écrite en utilisant les coordonnées dans la section « Contact » ci-dessous. Nous pouvons vous demander des informations spécifiques pour vérifier votre identité. Dans de rares cas, nous pouvons vous demander de payer des frais raisonnables pour accéder à vos données.

Vous avez le droit de recevoir vos Données personnelles dans un format structuré, courant et lisible par ordinateur, et de transmettre vos Données personnelles à un autre contrôleur de données sans entrave de Zscaler.

Conservation des données

Nous conservons vos Données personnelles que nous collectons aussi longtemps que nécessaire aux fins décrites dans la Politique de confidentialité de Zscaler et dans cette Politique. Veuillez garder à l'esprit qu'il est possible que nous devions conserver vos Données personnelles pour des raisons légales et comptables.

Questions ou plaintes

En accord avec les principes du Privacy Shield, Zscaler s'engage à résoudre les réclamations sur la collecte ou l'utilisation de vos Données personnelles. 

Zscaler s’engage par ailleurs à transmettre les réclamations non résolues dans le cadre du Privacy Shield à l’International Centre for Dispute Resolution, la division internationale de l’organisation American Arbitration Association (« ICDR/AAA »), située aux États-Unis. Si vous ne recevez pas rapidement de notre part un accusé de réception de votre réclamation, ou vous n’êtes pas satisfait(e) de notre réponse à votre réclamation, contactez l’ICDR/AAA ou consultez leur site web à l’adresse http://go.adr.org/privacyshield.html où vous trouverez de plus amples informations ou pourrez déposer une réclamation.Les services de l’ICDR/AAA vous sont fournis gratuitement.

Arbitrage obligatoire

Dans certains cas, il se peut que vous puissiez choisir un arbitrage obligatoire pour la résolution de votre réclamation si vous avez suivi les étapes suivantes: (1) vous avez envoyé votre réclamation à Zscaler directement et nous avez donné l’opportunité de la résoudre; (2) vous avez utilisé le mécanisme de résolution de litige indépendant mentionné ci-dessus; (3) vous avez déclaré le problème à l’autorité de protection des données appropriées et donné une chance au département du Commerce des États-Unis de le résoudre sans frais pour vous. Pour de plus amples informations sur l’arbitrage obligatoire, consultez le document suivant du département du Commerce des États-Unis: « Privacy Shield Framework: Annex I (Binding Arbitration) » à l’adresse http://ec.europa.eu/justice/data-protection/files/annexes_eu-us_privacy_shield_en.pdf.  

Contact

Pour toute question sur cette Politique ou si vous souhaitez demander l'accès à vos Données personnelles, veuillez nous contacter aux adresses suivantes: 

Zscaler, Inc.
Attn: Privacy Department
120 Holger Way
San Jose, CA 95134, USA
E-mail: [email protected]

Modifications de cette politique

Nous nous réservons le droit de modifier cette Politique
de temps en temps selon les exigences du Privacy Shield
et du RGPD.