FAQ

Nous avons préparé la FAQ (Foire Aux Questions) ci-dessous afin de répondre aux questions les plus courantes de nos clients et partenaires au sujet de notre plateforme. 

(1) Quelles données personnelles sont conservées et/ou traitées par Zscaler ?

Zscaler ne stocke qu’une quantité limitée de données personnelles (par ex. des adresses IP, des URL, des identifiants et groupes d’utilisateurs, des départements du répertoire d’entreprise) et ne traite ni ne stocke aucune catégorie spéciale ou sensible de données personnelles (par ex. carte de crédit ou informations de santé protégées). De plus, les clients ont la possibilité de masquer leur identifiant d’utilisateur afin qu’il ne soit même pas visible par leurs propres administrateurs. 

Le support de Zscaler n’accèdera jamais aux données personnelles d’aucun client, à moins d’y avoir été explicitement autorisé par ce dernier. 

Pour la majorité des services et produits Zscaler, le contenu de transaction HTTP, HTTPS et non HTTP n’est jamais stocké par Zscaler ou écrit sur disque; toute inspection a lieu dans la mémoire. 

Pour les clients qui commandent le produit Zscaler Cloud Sandbox, Zscaler enregistre le contenu malveillant sur un disque de stockage; cependant, les clients peuvent décider quels fichiers envoyer au sandbox Zscaler (selon le type de fichier, la catégorie d’URL, l’utilisateur/groupe, etc.).

Pour ce qui est de Zscaler Client Connector, les clients peuvent activer ou désactiver la capture de paquets au moyen de politiques mises en place par Zscaler. Ils peuvent également effacer le journal de capture de paquets de l’application sur un ordinateur portable, un ordinateur de bureau ou un appareil mobile.

Les journaux de transaction des clients (Journaux client) ne sont jamais stockés en texte clair. Ils sont toujours stockés de façon cryptée et sont indexés, compressés et tokenisés –, assurant ainsi que les journaux d’un utilisateur soient inutilisables sans une chaine de caractères complète de l’historique de l’utilisateur ainsi qu’un accès aux index stockés dans la Central Authority (CA) de Zscaler. Par conséquent, même en accédant aux données personnelles, il est impossible de les lire à moins que l’interface utilisateur de Zscaler n’assemble les informations du journal client et les informations provenant de la CA (Central Authority). 

(2) Comment Zscaler assure-t-il contractuellement sa conformité avec le RGPD ?

Lorsqu’il agit en tant que processeur de données, Zscaler ne traitera les données personnelles que pour le compte du responsable du traitement des données et sur autorisation écrite de ce dernier (c’est-à-dire par le biais d’un contrat ou d’une commande, le DPA fournissant les détails de ces instructions).

Pour plus d’informations sur le DPA de Zscaler, veuillez vous rendre sur www.zscaler.fr/privacy/dpa.

En outre, nous avons conclu des accords écrits conformément aux exigences de l’Article 28(4) du RGPD avec tous les sous-traitants et nous demeurons responsables des actes et omissions de ceux-ci. Nos efforts de diligence raisonnable consistent également à nous assurer que tous nos sous-traitants maintiennent leur conformité aux lois sur la protection des données.

(3) Comment Zscaler protège-t-il les données personnelles qu’il traite et/ou stocke ?

Zscaler met en œuvre les mesures de sécurité physiques, techniques et organisationnelles pour assurer un niveau de sécurité proportionnel au risque, conformément aux normes de l’Article 32 du RGPD. Zscaler est certifié selon les normes ISO 27001 et SOC (System and Organization Controls) 2, Type II. De plus, il fait l’objet d’un audit annuel par une tierce partie pour s’assurer de sa conformité continue avec ces certifications. Zscaler teste, mesure et évalue régulièrement l’efficacité de ses dispositifs de sécurité. Sur demande écrite, et sous réserve des mesures de protection et de confidentialité mises en place, Zscaler s’engage à fournir au Client une copie de son certificat ISO 27001 le plus récent et/ou du rapport SOC 2, Type II. Pour plus d’informations, veuillez consulter [lien vers la page de conformité].

(4) Les services de Zscaler sont-ils uniquement disponibles à partir de l’Union européenne (UE) ?

Non. Zscaler est une société basée aux États-Unis qui exploite une plateforme cloud mondiale. Zscaler traite des données personnelles dans ses plus de 150 data centers dans le monde afin d’offrir ses services. 

Zscaler traite les données personnelles dans le data center le plus proche de l’endroit où se trouvent nos clients (par exemple, les data centers de l’UE pour les utilisateurs de l’UE et les data centers américains pour les utilisateurs américains). Si un utilisateur de l’UE se rend aux États-Unis, Zscaler traitera ses données personnelles à partir du data center le plus proche, qui se trouve aux États-Unis.

Même si notre client ne compte que des utilisateurs dans l’UE, Zscaler fournit des services d’assistance mondiaux non seulement depuis l’UE, mais aussi depuis les États-Unis, l’Inde et le Costa Rica (pour certaines sociétés basées aux États-Unis uniquement) afin d’assurer une couverture ininterrompue. Il s’agit d’une pratique courante chez la plupart des fournisseurs de services en cloud.

Nonobstant ce qui précède, et contrairement à la plupart des autres fournisseurs de cloud, Zscaler offre à ses clients la possibilité de stocker leurs journaux clients dans l’UE et en Suisse uniquement, et ce quel que soit l’endroit où le traitement global des données a lieu. Nos clients peuvent configurer cette option avec Zscaler pendant le processus de déploiement. 

(5) Zscaler accède-t-il à des données personnelles ou transfère-t-il des données personnelles en dehors de l’UE ?

Oui. Zscaler traite des données personnelles dans le monde entier par le biais de son réseau de plus de 150 data centers afin de fournir ses services.

Le RGPD exige que les transferts de données personnelles en dehors de l’UE soient couverts par un cadre juridique approuvé, tel que les clauses contractuelles types de l’UE. Zscaler adhère aux clauses contractuelles types de l’UE relatives aux transferts de données personnelles en dehors de l’EEE, de la Suisse ou du Royaume-Uni. 

Ceci est abordé plus en détail dans notre Data Processing Agreement (DPA) qui est disponible à l’adresse www.zscaler.fr/privacy/dpa où nos clients peuvent le télécharger et le signer.

(6) En quoi Zscaler est-il impacté par l’arrêt C-311/18 (« Schrems II ») de la CJUE invalidant le cadre EU-US Privacy Shield (Bouclier de protection des données UE-États-Unis) ?

À la lumière de l’arrêt Schrems II, Zscaler confirme qu’elle continue à fournir ses produits et services en pleine conformité avec la législation applicable en matière de protection des données. 

Rien n’a changé en ce qui concerne la manière dont Zscaler transfère les données personnelles en dehors de l’UE pour fournir ses produits et services. La décision du juge européen n’a aucun impact sur la manière dont Zscaler fournit ses produits et services, sur nos flux de données ou sur la manière dont nous stockons les journaux des clients. Zscaler a toujours fourni à ses clients des protections en vertu des clauses contractuelles types de l’UE et du cadre du Privacy Shield pour les transferts internationaux de données. Les clauses contractuelles types de l’UE restent valables et le juge a expressément confirmé que les entreprises pouvaient continuer à utiliser ce mécanisme. 

En outre, Zscaler maintient sa certification aux cadres des Privacy Shield UE-États-Unis et Suisse-États-Unis. Bien que Zscaler ne s’appuie pas sur le cadre du Privacy Shield UE-États-Unis comme base juridique pour les transferts de données personnelles à la lumière de l’arrêt de la Cour de justice de l’UE dans l’affaire C-311/18, nous nous engageons à respecter les principes de protection des données du cadre du Privacy Shield UE-États-Unis.

(7) Quelles garanties supplémentaires Zscaler offre-t-il pour soutenir son utilisation des clauses contractuelles types de l’UE lors du transfert de données personnelles vers les États-Unis ?

Nous comprenons que le message envoyé par le juge européen dans l’affaire Schrems II signifie que, selon une évaluation au cas par cas, en tenant compte des circonstances entourant le transfert de données spécifique, certaines mesures supplémentaires peuvent devoir être mises en œuvre pour garantir que la loi du pays vers lequel les données sont transférées n’empiète pas sur le niveau de protection adéquat garanti par les clauses contractuelles types de l’UE.

Étant donné que Zscaler a fourni à ses clients des protections garanties par les clauses contractuelles types de l’UE avant l’arrêt Schrems II, nous avons déjà effectué une l'analyse adéquate et sommes convaincus que nos processus et nos mesures de sécurité demeurent parfaitement conformes. Nous continuons bien entendu à surveiller toutes les futures directives et modifications réglementaires applicables aux données à caractère personnel et nous attendons de nouvelles décisions de la Commission européenne, du Conseil européen de la protection des données et des autorités de contrôle individuelles. 

Voici quelques-uns des moyens par lesquels nous assurons la protection des données conformément aux clauses contractuelles types de l’UE :

  • les données personnelles sont traitées uniquement pour le compte de nos clients et conformément à leurs instructions ;
  • nous mettons en œuvre les mesures de sécurité techniques et organisationnelles spécifiées dans le DPA avant de traiter les données personnelles. Nous utilisons par exemple la tokenisation pour protéger les journaux des clients (voir la question 1 pour plus de détails) ;
  • nous informons nos clients de toute demande juridiquement contraignante de divulgation des données personnelles par une autorité chargée de l’application de la loi, sauf interdiction contraire ; 
  • nous fournissons à nos clients un stockage des journaux dans l’UE (Allemagne, Pays-Bas) et en Suisse uniquement lors du premier déploiement de nos produits ;
  • nous veillons à ce que nos clients donnent leur consentement à l’utilisation de sous-traitants de données et à ce que ces sous-traitants de données fournissent une protection équivalente aux données qu’ils traitent en notre nom ;
  • moyennant un préavis écrit, et sous réserve de la mise en place de certaines exigences et contrôles de Zscaler, nous autorisons nos clients et partenaires à effectuer des audits annuels et des inspections automatisées de notre cloud ;
  • nous nous engageons à assurer notre conformité permanente avec les clauses contractuelles types de l’UE et à mettre en œuvre toute mesure supplémentaire requise par la loi dans un délai raisonnable.

 

(8) Comment l’activation de l’inspection SSL s’inscrit-elle dans le cadre des exigences de sécurité et de la conformité aux lois sur la protection de la vie privée ?

L’activation de l’inspection SSL ne change rien aux quantités de données minimales traitées ou stockées par Zscaler. Au contraire, elle aide nos clients à respecter leurs obligations en vertu de l’article 32 du RGPD en fournissant le niveau de sécurité approprié au traitement des données personnelles. Bien qu’il existe des implications économiques, de confidentialité et de sécurité liées à l’utilisation de l’inspection SSL que nos clients doivent prendre en compte, cela doit être mis en balance avec l’obligation de garantir que les droits de chaque employé du client sont protégés contre les menaces et les attaques. Ainsi, plutôt qu’une menace pour la vie privée, l’inspection SSL doit être considérée comme un outil soutenant la conformité d’une entreprise en matière de confidentialité.

Zscaler offre des capacités complètes d’inspection SSL/TLS pour protéger le trafic de données des clients contre les menaces dissimulées dans le trafic chiffré. Une fois l’inspection des données terminée, le flux de données se poursuit sans entrave, sans qu’aucun enregistrement des données sources ne soit conservé au-delà du journal de la transaction elle-même. 

(9) Zscaler fait-il appel à des sous-traitants pour fournir ses services ?

Oui. Comme tous les fournisseurs de cloud, Zscaler fait appel à un nombre limité de sous-traitants pour offrir ses services. Comme l’exige le RGPD, Zscaler obtiendra le consentement du client avant d’engager des sous-traitants, ce qui peut inclure un consentement contractuel ou général. En outre, Zscaler informera au préalable les clients par écrit de toute modification apportée à sa liste de ses sous-traitants. Zscaler se porte entièrement garant de la performance de ses sous-traitants. Zscaler tient à jour une liste de ses sous-traitants à l’adresse www.zscaler.fr/privacy/sub-processors.

(10) Zscaler peut-il apporter son aide dans le cadre d’une demande de droit à l’oubli ?

Oui. Zscaler dispose d’un processus interne pour répondre aux demandes de droit à l’oubli. Cependant, il faut souligner qu’en tant que contrôleur de données, notre client est responsable d’examiner et de valider la demande, et ensuite de soumettre un ticket de support à Zscaler. Une demande de droit à l’oubli ne doit être introduite que si une personne concernée (généralement un employé ou un utilisateur du client) en fait la demande à notre client. Si Zscaler reçoit une demande de droit à l’oubli provenant directement d’un employé ou d’un utilisateur du client, nous redirigerons la personne vers notre client pour traitement.

(11) Zscaler se conforme-t-il a des réglementations relatives à la protection de la vie privée autres que le RGPD ?

Zscaler s’engage à maintenir la conformité et suit avec attention l’évolution de la législation et de la réglementation en matière de confidentialité dans divers pays. Pour plus d’informations sur la manière dont Zscaler se conforme aux diverses lois sur la confidentialité, veuillez consulter www.zscaler.fr/privacy/international-data-transfer-policy.