Les Données de service sont toutes les informations, y compris les données à caractère personnel, qui sont stockées ou transmises via les Services Zendesk par, ou au nom de, nos clients et leurs utilisateurs finaux.

Du point de vue de la confidentialité, le client est le responsable du traitement des Données de service et Zendesk est un sous-traitant. Cela signifie que pendant toute la durée de l’abonnement du client aux services de Zendesk, il conserve la propriété et le contrôle des Données de service dans son compte.

Zendesk peut utiliser des sous-traitants ultérieurs, y compris des sociétés affiliées de Zendesk, ainsi que des sociétés tierces, dans le but de fournir, sécuriser ou améliorer les Services, et lesdits sous-traitants ultérieurs peuvent avoir accès aux Données de service. Zendesk maintient une liste à jour des noms et des emplacements de tous les sous-traitants ultérieurs, disponible dans notre Politique relative aux sous-traitants ultérieurs. La liste comprend la possibilité pour nos clients de s’inscrire pour recevoir des notifications de toute modification. Zendesk sera responsable des actes et omissions des sous-traitants ultérieurs, dans la même mesure que Zendesk serait responsable si elle exécutait directement les services de chaque sous-traitant ultérieur.

Nous utilisons les Données de service pour exploiter et améliorer nos Services, aider les clients à accéder aux Services et à les utiliser, répondre aux demandes des clients et envoyer des communications relatives aux Services.

Zendesk donne la priorité à la sécurité des données et combine des fonctionnalités de sécurité de classe entreprise avec des audits complets de nos applications, systèmes et réseaux, pour garantir la protection des données des clients et des entreprises.

Par exemple, les serveurs Zendesk sont hébergés dans des installations conformes aux normes Tier IV ou III+, SSAE-16, PCI DSS ou ISO 27001. De plus, nous engageons des experts en sécurité tiers pour effectuer des tests de pénétration détaillés sur une base périodique, et notre équipe d’assistance est disponible 24h/24, 7j/7 pour répondre aux alertes et événements de sécurité.

Pour plus d’informations sur la gestion des incidents de sécurité et les procédures pour les Services d’entreprise, veuillez consulter Comment nous protégeons vos Données de service (Services d’entreprise). Pour plus d’informations sur la gestion des incidents de sécurité et les procédures pour les Services d’innovation, veuillez consulter Comment nous protégeons vos Données de service (Services d’innovation).

Zendesk utilise des centres de données dans trois régions principales : les États-Unis, l’Asie-Pacifique et l’Union européenne. Les Données de service peuvent être stockées dans n’importe quelle région. Les clients peuvent sélectionner la région dans laquelle les centres de données qui hébergent certaines de leurs Données de service sont situés, en achetant le module complémentaire Localité du centre de données. Veuillez consulter la Politique régionale d’hébergement des données pour plus d’informations.

Zendesk maintient une Politique de suppression des Données de service disponible publiquement qui décrit les processus de suppression des données de Zendesk, lors de la résiliation ou de l’expiration de l’abonnement Zendesk du client.

Zendesk reconnaît que les problèmes de confidentialité et de sécurité des données sont des priorités absolues pour les clients.

• Zendesk ne divulgue pas de Données de service, sauf si cela est nécessaire pour fournir nos Services à nos clients et pour se conformer aux lois applicables, comme indiqué dans notre Politique de confidentialité disponible ici.

• Zendesk a obtenu un certain nombre de certifications et d’accréditations internationalement reconnues démontrant la conformité aux cadres d’assurance tiers, comme décrit sur notre Site de sécurité.

• Lorsque nous devons agir publiquement pour protéger les clients, nous le faisons. Zendesk a exprimé son soutien à l’USA Liberty Act qui cherche à réformer le programme de surveillance en vertu de la Section 702 de la Loi sur la surveillance des renseignements étrangers (Foreign Intelligence Surveillance Act, « FISA »).

Dans certaines circonstances, nous pouvons être contraints de divulguer des données à caractère personnel en réponse à des demandes légales émises par les autorités publiques, notamment pour satisfaire des exigences liées au respect de la loi ou à la sécurité nationale. Nous pouvons divulguer des données à caractère personnel pour répondre à une citation à comparaître, à l'ordonnance d'un tribunal ou à une autre procédure judiciaire ou pour établir ou exercer nos droits légaux ou nous défendre contre des revendications légales. Nous pouvons également partager ces informations avec les organismes chargés de l'application de la loi ou les autorités publiques, si nous pensons que cela est nécessaire pour enquêter, prévenir ou prendre des mesures contre des activités illégales, des fraudes suspectées, des situations impliquant des menaces potentielles à la sécurité physique des personnes, à la violation de notre Contrat-cadre d'abonnement, ou au titre d’autres exigences prévues par la loi.

Le Règlement général sur la protection des données (« RGPD ») est le règlement européen sur la confidentialité qui a remplacé la Directive européenne sur la protection des données (« Directive 95/46/CE »). Le RGPD traite du traitement des données à caractère personnel et de la libre circulation de ces données. Il vise à renforcer la sécurité et la protection des données personnelles dans l’UE et à harmoniser la législation de l’UE en matière de protection des données. De manière générale, il définit un certain nombre de principes et d’exigences en matière de protection des données, qui doivent être respectés lorsque des données à caractère personnel sont traitées.

Le RGPD a également mis en place le Comité européen de protection des données (European Data Protection Board, « EPDB »), qui garantit que la loi sur la protection des données est appliquée de manière cohérente dans toute l’UE et s’efforce d’assurer une coopération efficace entre les autorités de protection des données.

Les clients de Zendesk qui collectent et stockent des données à caractère personnel sont considérés comme des responsables du traitement en vertu du RGPD. Les responsables du traitement des données assument la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation européenne pertinente en matière de protection des données, y compris le RGPD, et déterminent de manière unique quelles données à caractère personnel sont soumises et traitées par Zendesk conformément aux Services.

L’un des aspects clés du RGPD est qu’il instaure une cohérence entre les États membres de l’UE sur la manière dont les données à caractère personnel peuvent être traitées, utilisées et échangées en toute sécurité. Les organisations doivent démontrer la sécurité des données qu’elles traitent et leur conformité au RGPD sur une base continue, en mettant en œuvre et en examinant régulièrement des mesures techniques et organisationnelles robustes, ainsi que des politiques de conformité.

Si Zendesk reçoit une demande de la personne concernée de la part de l’Utilisateur final d’un client (c.-à-d., un utilisateur des Services à qui un client a fourni nos Services), Zendesk est le Sous-traitant, et Zendesk, dans la mesure où la législation applicable n’interdit pas à Zendesk de le faire, informera rapidement l’Utilisateur final de contacter notre client (c.-à-d. le Responsable du traitement) directement au sujet de toute demande relative à ses Données personnelles, comme par exemple l’accès ou la suppression. Zendesk ne répondra plus à une demande d’une personne concernée sans le consentement préalable du client.

Zendesk encourage les clients à examiner en permanence leurs processus et politiques de confidentialité et de sécurité des données afin de garantir la conformité au RGPD. Les responsables du traitement des données ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données dans l’UE. Voici quelques points clés à prendre en compte pour la conformité au RGPD :

• Application géographique : Le RGPD peut s’appliquer aux organisations établies dans l’UE ainsi qu’à certaines organisations établies en dehors de l’UE, mais qui traitent les données personnelles des citoyens de l’UE, en fonction de leurs activités.

• Droits des utilisateurs finaux : Les organisations doivent être informées des utilisateurs finaux dont les données à caractère personnel peuvent être traitées. Le RGPD établit des droits renforcés pour les Utilisateurs finaux, et les organisations devraient être en mesure de s’adapter à ces droits.

• Notifications de violation de données : Les organisations qui sont responsables du traitement des données à caractère personnel doivent avoir mis en place des processus clairs, afin de se conformer à l’exigence du RGPD de signaler les violations de données, conformément aux délais définis dans le RGPD. Zendesk informera les clients concernés sans retard injustifié si nous prenons connaissance d’une violation des données de nos services.

• Nomination du Délégué à la protection des données (« DPD ») : Les clients peuvent avoir besoin de nommer des DPD pour gérer les problèmes liés au traitement des données à caractère personnel.

• Accord de traitement des données (« ATD »): Lorsque des données à caractère personnel sont transférées en dehors de l’EEE, un client peut avoir besoin que des ATD soient mis en place avec ses sous-traitants ultérieurs, afin d’assurer un niveau adéquat de protection des données transférées.

• Analyse d’impact relative à la protection des données (« AIPD ») : Les AIPD décrivent généralement les processus de données et les mesures de protection d’une organisation, en particulier celles qui peuvent être risquées. Pour les activités de traitement des données, les clients doivent mener et déposer une AIPD auprès des autorités.

Les clients peuvent utiliser les certifications ISO tierces de Zendesk et les rapports d’audit SOC 2 pour les aider à effectuer leurs évaluations des risques et à déterminer si des mesures techniques et organisationnelles appropriées sont en place. Pour plus d’informations, veuillez également consulter la section Sécurité du site Web Zendesk.

Vous trouverez ci-dessous des exemples de fonctionnalités de produit Zendesk spécifiques que les clients peuvent utiliser pour aider au programme de conformité au RGPD. Grâce à notre service associé de sécurité avancée déployée, les clients peuvent choisir d’obtenir des fonctionnalités améliorées, notamment une récupération et un cryptage améliorés en cas de sinistre, ainsi que la possibilité de configurer pour la Loi sur la transférabilité et la responsabilité de l'assurance maladie (« HIPAA »).

Les fonctionnalités actuellement disponibles pour des produits Zendesk spécifiques sont disponibles dans les questions/réponses ci-dessous.

Normes d’audit :

• Certifié ISO 27001:2013

• Certifié ISO 27018:2014

Numérisation :

• Bug bounty

• Balayage dynamique des applications en direct

• Balayage statique des référentiels de code

Cryptage :

• Cryptage des données en mouvement sur les réseaux publics

• Cryptage de certaines données au repos avec AES256

Oui, des informations plus détaillées sur la façon d’utiliser les produits Zendesk pour rester conforme au RGPD sont disponibles via notre Centre d’assistance ici.

La Commission européenne a approuvé un ensemble de dispositions standard appelées Clauses contractuelles types (« Clauses types ») qui fournissent à un responsable du traitement un mécanisme conforme pour transférer les données à caractère personnel à un sous-traitant en dehors de l’Espace économique européen (« EEE »). Les Clauses types sont annexées à l’ATD de Zendesk, afin d’aider à fournir une protection adéquate pour le transfert de données en dehors de l’EEE ou de la Suisse.

Zendesk réplique périodiquement les données à des fins d’archivage, de sauvegarde et de journaux d’audit. Nous utilisons Amazon Web Services (AWS) pour stocker certaines des informations sauvegardées, telles que les informations de base de données et les fichiers pièces jointes. Veuillez consulter notre Politique d’hébergement des données régionales pour plus de détails.

Les clients Zendesk qui achètent le module complémentaire Emplacement du centre de données ont la possibilité de sélectionner la région (à partir des options régionales Zendesk disponibles) où se trouve le centre de données qui héberge leurs Données de service. Veuillez consulter notre Politique d’hébergement des données régionales pour plus de détails. Sinon, Zendesk peut utiliser n’importe quel centre de données mondial qu’elle utilise pour héberger les Données de service.

Indépendamment du résultat des négociations en cours sur le Brexit, Zendesk reste engagée à la réussite de nos clients et employés au Royaume-Uni et dans le reste de l’Europe. Nous surveillons de près les négociations entre le gouvernement britannique et l’Union européenne concernant les détails de leur future relation. Au fur et à mesure que les détails seront clairs, nous prendrons les mesures appropriées pour nous assurer que nos clients peuvent continuer à utiliser nos services conformément aux lois de l’UE et du Royaume-Uni, et pour l’ensemble de Zendesk, l’activité se poursuivra comme d’habitude et restera axée sur la réussite de nos clients.

Zendesk propose à ses clients un solide Accord de traitement des données régissant la relation entre le client (qui agit à titre de responsable du traitement des données) et Zendesk (qui agit à titre de sous-traitant des données). L’ATD facilite le respect par les clients de Zendesk de leurs obligations en vertu de la loi européenne sur la protection des données et contient de solides engagements en matière de confidentialité, et il a été mis à jour pour confirmer notre conformité au RGPD. L’ATD contient également des cadres de transfert de données pour s’assurer que nos clients puissent légalement transférer des données à caractère personnel à Zendesk en dehors de l’Union européenne, en s’appuyant sur l’un des trois mécanismes suivants : nos Règles d’entreprise contraignantes, notre certification au Bouclier de confidentialité ou les Clauses contractuelles types.

Oui, l’ATD de Zendesk comprend des dispositions pour aider les clients à se conformer au RGPD.

Zendesk vous recommande de consulter votre conseiller juridique pour évaluer l’impact potentiel que votre décision de ne pas signer l’ATD peut avoir sur votre situation particulière.

Non. L’ATD de Zendesk est spécifique aux Services de Zendesk, aux pratiques de confidentialité et aux déclarations faites aux régulateurs.

Si vous avez des questions supplémentaires, veuillez contacter votre responsable de compte Zendesk ou, alternativement, ouvrir un dossier auprès du service d’assistance à la clientèle Zendesk.

Pas directement, en revanche Zendesk propose un addendum distinct à son Accord-cadre d'abonnement, pour soutenir les efforts de conformité des « entreprises » avec la CCPA, comme défini dans la CCPA. Pour plus d’informations, veuillez consulter la section CCPA de cette page Web.

Si vous souhaitez consulter et/ou signer l’Annexe CCPA de Zendesk au Contrat-cadre d’abonnement, veuillez cliquer ici.

Pour plus d’informations sur nos pratiques en matière de confidentialité et les fonctionnalités que nous fournissons pour soutenir la conformité de nos clients, veuillez consulter notre site Web sur la Confidentialité et protection des données, notre Politique de suppression des donnéeset nos Guides de produits.

La CCPA accorde aux consommateurs californiens de nouveaux droits en ce qui concerne la collecte de leurs informations personnelles et exige que les sociétés se conforment à certaines obligations liées à ces droits, notamment :

1. Une obligation pour les entreprises d’informer un consommateur de ses pratiques de collecte de données, y compris les catégories d’informations personnelles qu’elles ont collectées, la source des informations, l’utilisation des informations par l’entreprise, et à qui l’entreprise a divulgué les informations qu’elle a collectées sur le consommateur ;
2. Le droit du consommateur de recevoir une copie, dans un format facilement utilisable, des informations personnelles spécifiques collectées à son sujet au cours des douze (12) mois précédant sa demande ;
3. Le droit du consommateur à ce que ces informations personnelles soient supprimées (avec des exceptions) ;
4. Le droit du consommateur de connaître les pratiques de vente des données de l’entreprise et de demander que ses informations personnelles ne soient pas vendues à des tiers ;
5. L’interdiction pour les entreprises de pratiquer la discrimination pour l’exercice d’un droit du consommateur ; et
6. L’obligation pour les entreprises d’informer le consommateur de ses droits.

Zendesk a suivi la CCPA et s’est préparée à la conformité depuis que la CCPA a été adoptée pour la première fois en 2018. Plus récemment, le Bureau du Procureur général de Californie a indiqué qu’il pourrait modifier à nouveau les réglementations proposées pour la CCPA. À la lumière de potentiels amendements, Zendesk continue à respecter activement la loi et nous continuerons à tenir nos clients au courant des caractéristiques et fonctionnalités qu’ils peuvent utiliser pour soutenir leurs efforts en matière de conformité. Les clients peuvent également consulter nos Guides de produits pour obtenir des informations plus détaillées sur la façon d’utiliser les produits de Zendesk afin de se conformer aux lois sur la confidentialité des données, ainsi que notre Politique de suppression des données pour obtenir des détails sur la suppression des Données de service.

Les clients Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « Entreprises » dans le cadre de la CCPA. Les entreprises ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la CCPA. Zendesk agit en tant que « Prestataire de service », tel que ce terme est défini dans la CCPA, au regard du traitement des données à caractère personnel par le biais de nos Services. Par conséquent, Zendesk recueille, accède, conserve, utilise, traite et transfère les informations personnelles de nos clients et des utilisateurs finaux de nos clients traitées via les Services uniquement dans le but d’exécuter nos obligations en vertu de nos contrats existants avec nos clients ; et à aucune fin commerciale autre que l’exécution de ces obligations et l’amélioration des Services que nous fournissons.

Nous ne vendons pas les informations personnelles de nos clients telles qu’elles sont actuellement définies dans la CCPA, ce qui signifie que nous ne louons pas, ne divulguons pas, ne libérons pas, ne transférons pas, ne mettons pas à disposition ou ne communiquons pas autrement ces informations personnelles à un tiers pour une contrepartie monétaire ou autre. Nous pouvons partager avec des tiers des informations agrégées et/ou anonymisées concernant l’utilisation du ou des Services, qui ne sont pas considérées comme des informations personnelles en vertu de la CCPA, pour nous aider à développer et à améliorer les Services et pour fournir à nos clients un contenu et des offres de services plus pertinents, comme le précisent nos accords d’abonnement.

Il est conseillé aux abonnés de consulter leur propre conseiller juridique, afin d’évaluer comment la CCPA s’applique spécifiquement à eux et de déterminer comment atteindre leur propre conformité à la CCPA.

Vous pouvez consulter et/ou signer si vous le souhaitez l’Annexe LGPD de Zendesk au Accord-cadre d'abonnement en cliquant ici.

De plus, le Contrat-cadre d’Abonnement (MSA) de Zendesk, d’autres documents relatifs à la confidentialité et aux produits, ainsi que nos pratiques internes sont conçus pour une utilisation à l’échelle mondiale et nous les mettons à jour si nécessaire pour continuer à fournir nos Services aux clients localisés en Amérique latine et dans les Caraïbes conformément aux exigences légales. Nous attirons votre attention sur la section intitulée « Brésil » dans les Termes spécifiques aux Régions de Zendesk, qui font partie du Contrat-cadre d’abonnement de Zendesk et qui se trouve à l’adresse suivante : https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Pour plus d’informations sur nos pratiques en matière de confidentialité et les fonctionnalités que nous fournissons pour soutenir la conformité de nos clients, veuillez consulter notre site Web Confidentialité et protection des données, notre Politique de suppression des données et nos Guides de produits.

La LGPD est la principale loi brésilienne relative à la protection des données personnelles, visant à protéger « les droits fondamentaux de la liberté et de la vie privée et le libre développement de la personnalité de la personne physique ». À ce titre, les responsables du traitement et les sous-traitants (tels que définis en vertu de la LGPD) sont tenus d’adhérer à certains principes lors du traitement des données à caractère personnel, y compris, mais sans s’y limiter, la finalité, la nécessité, la transparence et la sécurité.

Zendesk a suivi la LGPD et s’est préparée à la conformité depuis que la LGPD a été adoptée pour la première fois en 2018. En outre, l’Autorité nationale de protection des données (ANPD) peut émettre des directives supplémentaires pour la LGPD. À la lumière de telles directives, Zendesk continue à respecter activement la loi et nous continuerons à tenir nos clients au courant des caractéristiques et fonctionnalités qu’ils peuvent utiliser pour soutenir leurs efforts en matière de conformité. Les clients peuvent également consulter nos Guides de produits pour obtenir des informations plus détaillées sur la façon d’utiliser les Services de Zendesk pour se conformer aux lois sur la confidentialité des données, ainsi que notre Politique de suppression des données pour plus de détails sur la suppression des Données de service.

Les clients de Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « responsables du traitement » en vertu de la LGPD. Les responsables du traitement ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la LGPD. Zendesk agit en tant que « sous-traitant », tel que ce terme est défini dans la version actuelle de la LGPD, au regard du traitement des données à caractère personnel par le biais de nos Services. Par conséquent, Zendesk traite les données à caractère personnel de nos clients et des utilisateurs finaux de nos clients sur instruction de nos clients.

Il est conseillé aux clients de consulter leur propre conseiller juridique, afin d’évaluer la manière dont la LGPD s’applique spécifiquement à eux et de déterminer la meilleure façon d’atteindre leur propre conformité avec la LGPD.

Les règles d’entreprise contraignantes (« BCR ») sont des politiques de protection des données à l’échelle de l’entreprise approuvées par les autorités européennes en charge de la protection des données, afin de faciliter les transferts intragroupe de données à caractère personnel de l’Espace économique européen (« EEE ») vers des pays en dehors de l’EEE. Les BCR sont basées sur des principes stricts de confidentialité établis par les autorités en charge de la protection des données de l’Union européenne. Elles nécessitent une consultation intensive avec ces autorités. Les clients peuvent trouver la liste complète des entités approuvées sur la liste approuvée des Règles d’entreprise contraignantes ici.

Oui, Zendesk a achevé le processus d’approbation de l’UE, auprès du Commissaire irlandais à la protection des données (« CPD ») (après un examen par les pairs par le Bureau du commissaire à l’information du Royaume-Uni et l’Autorité néerlandaise de protection des données) pour ses règles d'entreprise contraignantes (« BCR ») mondiales en tant que sous-traitant et responsable du traitement des données. Cette approbation réglementaire importante valide la mise en œuvre par Zendesk des normes les plus élevées possible pour la protection des données à caractère personnel à l’échelle mondiale, couvrant à la fois les données à caractère personnel de ses clients et de ses employés.

Zendesk est l'un des rares éditeurs de logiciels au monde à avoir reçu l'approbation pour ses BCR ; et seulement la deuxième entreprise à recevoir l'approbation du CPD irlandais.

Pour accéder aux BCR de Zendesk, veuillez suivre les liens pertinents ci-dessous :

– Les Règles d’entreprise contraignantes pour le sous-traitant de Zendesk (qui s’appliquent lorsque Zendesk traite des données à caractère personnel pour le compte de ses clients) ; et

– Les Règles d’entreprise contraignantes mondiales du responsable du traitement de Zendesk (qui s’appliquent lorsque Zendesk traite des données à caractère personnel pour lesquelles elle est un responsable de traitement de données).

Zendesk a mis à jour ses Règles d’entreprise contraignantes pour les aligner sur le RGPD et pour améliorer davantage les protections de confidentialité solides que nous offrons à nos clients. Zendesk a informé l’autorité irlandaise de protection des données de ces mises à jour dans le cadre de notre mise à jour annuelle.

Le ministère du Commerce des États-Unis, avec la Commission européenne et le gouvernement suisse, a créé l’EU–US- et le Swiss–US Privacy Shield Frameworks, ou Bouclier de protection des données UE-EU et Suisse-EU afin de fournir aux entreprises un mécanisme permettant de transférer des données à caractère personnel de l’Union européenne vers les États-Unis, d’une manière qui offre un niveau de protection adéquat aux fins de la législation européenne sur la protection des données.

Zendesk a certifié sa conformité avec les normes du Bouclier de protection des données UE-EU et Suisse-EU au ministère du Commerce et a été ajoutée à la liste des participants auto-certifiés au bouclier de protection des données du ministère du Commerce. Nos certifications confirment que nous respectons les principes du Bouclier de protection des données pour le transfert de données à caractère personnel européennes et suisses vers les États-Unis.

Le 16 juillet 2020, la Cour de justice de l’Union européenne (« CJUE ») a rendu un arrêt invalidant l’accord UE-États-Unis. Programme de bouclier de protection des données. Les clients de Zendesk peuvent continuer à utiliser les services de Zendesk et à transférer des données conformément à la législation européenne telle que le RGPD, car nous avons à la fois des Règles d’entreprise contraignantes et des Clauses types (intégrées dans notre Accord de traitement des données).

Nous comprenons que vous puissiez avoir des questions concernant l’invalidation du Bouclier de protection des données et la position de Zendesk à ce sujet, c’est pourquoi nous avons publié ce post sur le blog pour répondre à vos questions.

Si vous souhaitez accéder à l’ATD Zendesk pour examen ou signature, vous pouvez y accéder dans votre console d’administration Client ou cliquez ici.