Les données de service sont toutes les informations, y compris les données personnelles, qui sont stockées ou transmises via les services de Zendesk, par ou pour le compte de nos clients et leurs utilisateurs finaux.

Du point de vue de la protection de la vie privée, le client est le responsable du traitement des données de service et Zendesk est un sous-traitant. En d'autres termes, tant que le client est abonné aux services de Zendesk, il garde la propriété et le contrôle des données de service de son compte.

Zendesk may use sub-processors, including affiliates of Zendesk as well as third party companies, to provide, secure or improve the Services, and such sub-processors may have access to Service Data. Zendesk maintains an up-to-date list of the names and locations of all sub-processors is available at our Sub-Processor Policy. The list includes the ability for our customers to sign up for notifications of changes. Zendesk shall be responsible for the acts and omissions of sub-processors to the same extent that Zendesk would be responsible if Zendesk was performing the services of each sub-processor directly.

We use Service Data to operate and improve our services, help customers access and use the services, respond to customer inquiries, and send communications related to the services.

Zendesk privilégie la sécurité des données et combine des fonctionnalités de sécurité professionnelles à des audits complets de ses applications, systèmes et réseaux afin de garantir une protection permanente des données des clients et des entreprises.

Par exemple, les serveurs Zendesk sont hébergés sur des sites conformes aux normes Tier IV ou III +, SSAE-16, PCI DSS ou ISO 27001. En outre, nous faisons appel à des experts en sécurité indépendants pour effectuer régulièrement des tests précis sur les intrusions, et notre équipe d’assistance est toujours disponible 24/7 pour répondre aux alertes de sécurité et aux événements.

For more information about security incident management and procedures for Enterprise Services, please visit How We Protect Your Service Data (Enterprise Services). For more information about security incident management and procedures for Innovation Services, please visit How We Protect Your Service Data (Innovation Services).

Zendesk possède des centres de données dans trois régions principales : les États-Unis, l’Asie-Pacifique et l’Union européenne. Les données de service peuvent être stockées dans n’importe quelle région. Les clients peuvent sélectionner la région dans laquelle se trouvent les centres de données qui hébergent certaines de leurs données de service en achetant le module de localisation du centre de données. Veuillez consulter la politique régionale d’hébergement de données, pour de plus amples informations.

Zendesk maintains a publicly available Data Deletion Policy that describes Zendesk’s data deletion processes upon termination or expiration of a Subscriber’s agreement with Zendesk.

Zendesk reconnaît que les problèmes liés à la protection de la vie privée et de la sécurité des données sont la priorité absolue des clients.

• Zendesk divulgue les données de service, uniquement pour fournir ses services à ses clients et se conformer à la loi, comme indiqué dans sa politique de confidentialité disponible ici.

• Zendesk a obtenu un certain nombre de certifications et d’accréditations reconnues à l’échelle internationale démontrant sa conformité aux cadres d’assurance de tiers décrits sur notre Site de sécurité.

• Lorsqu'il faut agir publiquement pour protéger les clients, nous le faisons. Zendesk a exprimé son soutien à l’USA Liberty Act qui vise à réformer le programme de surveillance en vertu de la section 702 du Foreign Intelligence Surveillance Act (« FISA »).

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements. We may disclose personal data to respond to subpoenas, court orders, or legal process, or to establish or exercise our legal rights or defend against legal claims. We may also share such information with relevant law enforcement agencies or public authorities if we believe the same to be necessary in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of our Master Subscription Agreement, or as otherwise required by law.

Le Règlement général sur la protection des données (« RGPD ») est la réglementation européenne relative à la protection des données qui remplace la Directive de l’UE sur la protection des données (« Directive 95/46/CE »).Le RGPD porte sur le traitement des données personnelles et la libre circulation de ces données.Ce règlement vise à renforcer la sécurité et la protection des données personnelles au sein de l’UE et à harmoniser la législation européenne en matière de protection des données.D’une manière générale, ce règlement énonce un certain nombre de principes et d’exigences en matière de protection des données qui doivent être respectés lors du traitement des données personnelles.

Le RGPD a également créé le Comité européen de la protection des données (« CEPD »), qui veille à ce que la loi sur la protection des données soit appliquée de manière cohérente dans l’ensemble de l’UE et s’emploie à assurer une coopération efficace entre les autorités chargées de la protection des données.

Zendesk customers that collect and store personal data are considered data controllers under the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant EU data protection law, including the GDPR and uniquely determine what personal data is submitted to, and processed by, Zendesk in accordance with the Services.

L’un des aspects clés du RGPD est qu'il contribue à l’harmonisation entre les États membres de l’UE du traitement, de l’utilisation et de l’échange sécurisés des données personnelles.Les entreprises devront en permanence prouver la sécurité des données qu’elles traitent et leur conformité au RGPD, en mettant en place et en contrôlant régulièrement des mesures techniques et organisationnelles solides, ainsi que des politiques de conformité.

If Zendesk receives a data subject request from a Subscriber’s End-User (i.e., a user of the Services to whom a Subscriber has provided our Services), Zendesk is the Processor, and Zendesk will, to the extent that applicable legislation does not prohibit Zendesk from doing so, promptly inform the End-User to contact our Subscriber (i.e. the Controller) directly about any request relating to his/her Personal Data such as access or deletion. Zendesk will not further respond to a data subject request without Subscriber’s prior consent.

Zendesk encourages customers to continually review their privacy and data security processes and policies to ensure compliance with the GDPR. Data controllers bear the primary responsibility for ensuring that their processing of personal data is compliant with EU data protection law. Below are some key points to consider for GDPR compliance:

• Application géographique : Le RGPD s’applique aux organisations établies au sein de l’UE ainsi qu'à certaines organisations établies en dehors de l’UE mais traitant les données personnelles des citoyens de l’UE, en fonction de leurs activités.

• Droits des utilisateurs finaux : Les organisations doivent prendre en considération les utilisateurs finaux dont ils traitent les données personnelles. Le RGPD accorde plus de droits aux utilisateurs finaux, et les organisations devraient être en mesure de s’y adapter.

• Signalement des violations de données : Les organisations qui contrôlent les données personnelles doivent disposer de processus clairs pour pouvoir signaler les violations de données, dans les délais fixés par le RGPD. Zendesk informera les clients concernés dans les plus brefs délais si nous avons connaissance d’une violation de données dans nos services.

• Désignation d’un délégué à la protection des données (« DPD ») : Les clients pourraient avoir à désigner des DPD pour gérer les problèmes liés au traitement des données personnelles.

• Data Processing Agreement (“DPA”): Where personal data is transferred outside the EEA, a customer may need DPAs in place with its sub-processors to ensure an adequate level of protection for the transferred data.

• Évaluation de l’impact sur la protection des données (« EIVP ») : Les EIVP décrivent généralement les traitements de données des organisations et les mesures de protection mises en place, en particulier pour les traitements risqués. Pour les activités relatives au traitement des données, les clients doivent faire une EIVP et la présenter aux autorités .

Les clients peuvent utiliser les certifications ISO tierces et les rapports d’audit SOC 2 de Zendesk pour évaluer les risques et déterminer si les mesures techniques et organisationnelles appropriées ont été prises. Pour de plus amples informations, consultez le site Web de Zendesk Sécurité.

Vous trouverez ci-dessous des exemples de fonctionnalités de produits Zendesk spécifiques que les clients peuvent utiliser pour répondre aux exigences du RGPD. Grâce à notre service connexe de sécurité de pointe, les clients disposent de fonctionnalités améliorées, notamment une reprise après sinistre et un cryptage améliorés, ainsi que la possibilité de configurer la loi HIPAA sur la portabilité et la responsabilité.

Les fonctionnalités actuellement disponibles pour les produits spécifiques de Zendesk peuvent être trouvées dans les questions/réponses ci-dessous.

Normes d’audit :

• Certification ISO27001:2013

• Certification ISO27018:2014

Examen :

• Bug bounty

• Analyse dynamique des applications actives

• Analyse statique des référentiels de code

Chiffrement :

• Chiffrement des données en mouvement sur les réseaux publics

• Chiffrement de certaines données au repos avec AES256

Yes, more detailed information on how to use Zendesk products to stay compliant with GDPR can be found via our Help Center here.

La Commission européenne a approuvé un ensemble de dispositions standard appelées Clauses contractuelles types (« clauses types ») qui mettent à la disposition du responsable du traitement de données, un mécanisme de transfert des données personnelles vers un sous-traitant situé en dehors de l’espace économique européen (EEE). Les clauses types sont ajoutées à l’ATD de Zendesk afin de garantir la protection suffisante des données lors de leur transfert en dehors de l’EEE ou de la Suisse.

Zendesk fait régulièrement des copies des données à des fins d’archivage, de sauvegarde et de journaux d’audit. Nous utilisons Amazon Web Services (AWS) pour stocker certaines des informations sauvegardées, telles que les informations de base de données et les fichiers joints. Veuillez consulter notre politique régionale d’hébergement de données pour de plus amples informations.

Les clients de Zendesk, qui achètent le module complémentaire localisation du centre de données, peuvent sélectionner la région à partir des options régionales disponibles de Zendesk) dans laquelle se trouvent les centres de données hébergeant certaines de leurs données de service.Veuillez consulter notre politique régionale d’hébergement de données pour de plus amples informations.Zendesk peut également utiliser n’importe lequel des centres de données mondiaux qu’il utilise pour héberger les Données de service.

Irrespective of the outcome of the ongoing Brexit negotiations, Zendesk remains committed to the success of our Subscribers and employees in the UK and the rest of Europe. We are closely monitoring the negotiations between the UK government and the European Union regarding the details of their future relationship. As the details become clear, we will take appropriate measures to ensure that our Subscribers can continue to use our services in compliance with both EU and UK laws, and for Zendesk overall, business will continue as usual and will remain focused on our Subscribers’ success.

Zendesk offers customers a robust Data Processing Agreement governing the relationship between the customer (acting as a data controller) and Zendesk (acting as a data processor). The DPA facilitates Zendesk’s customers’ compliance with their obligations under EU data protection law and contains strong privacy commitments, and has been updated to confirm our compliance with the GDPR. The DPA also contains data transfer frameworks to ensure that our customers can lawfully transfer personal data to Zendesk outside of the European Union by relying on one of three mechanisms: our Binding Corporate Rules, our Privacy Shield certification, or Standard Contractual Clauses.

Yes, Zendesk’s DPA includes provisions to assist Subscribers with their GDPR compliance.

Zendesk recommends that you consult with your legal counsel to assess the potential impact that your decision not to sign the DPA may have on your particular situation.

No. The Zendesk DPA is specific to Zendesk’s Services, privacy practices and representations made to regulators.

If you have additional questions, please contact your Zendesk Account Executive or alternatively, open a case with the Zendesk customer advocacy team by contacting support@zendesk.com.

Not directly, instead Zendesk offers a separate addendum to its Master Subscription Agreement to support a “Businesses” compliance efforts with CCPA, as such term is defined in the CCPA. For more information, please review the CCPA section of this webpage.

If you would like to review and/or execute Zendesk’s CCPA Addendum to the Master Subscription Agreement, please click here.

For information on our privacy practices and the functionality we provide to support our Subscribers’ compliance, please visit our Privacy and Data Protection Website, Data Deletion Policy, and Product Guides.

The CCPA grants California consumers new rights with respect to the collection of their personal information and requires companies to comply with certain obligations related to those rights, including:

1. An obligation on businesses to notify a consumer of its data collection practices, including the categories of personal information it has collected, the source of the information, the business’s use of the information, and to whom the business disclosed the information it has collected about the consumer;
2. The consumer’s right to receive a copy, in a readily usable format, of the specific personal information collected about them during the twelve (12) months prior to their request;
3. The consumer’s right to have such personal information deleted (with exceptions);
4. The consumer’s right to know the business’ data sale practices and to request that their personal information not be sold to third parties;
5. A prohibition on businesses on discrimination for exercising a consumer right; and
6. An obligation on businesses to notify a consumer of their rights.

Zendesk has been following the CCPA and preparing for compliance since the CCPA was first passed in 2018. Most recently, the California Office of the Attorney General has indicated that it may further amend regulations proposed for the CCPA. In light of such potential amendments, Zendesk is actively tracking the law and we will continue to keep our customers updated on features and functionality they can use to support their compliance efforts. Customers can also view our Product Guides for more detailed information on how to use Zendesk’s products to comply with data privacy laws, as well as our Data Deletion Policy for details on Service Data deletion.

Zendesk customers that collect and store personal information in Zendesk Services may be considered “Businesses” under the CCPA. Businesses bear the primary responsibility for ensuring that their processing of personal data is compliant with relevant data protection law, including the CCPA. Zendesk acts as a “Service Provider,” as such term is defined in the current version of the CCPA, with respect to the processing of personal information through our Services. Therefore, Zendesk collects, accesses, maintains, uses, processes and transfers the personal information of our customers and our customer’s end-users processed through the Services solely for the purpose of performing our obligations under our existing contract(s) with our subscribers; and, for no commercial purpose other than the performance of such obligations and improvement of the Services we provide.

We do not “sell” our customer’s personal information as currently defined under the CCPA, meaning that we also do not rent, disclose, release, transfer, make available or otherwise communicate that personal information to a third party for monetary or other valuable consideration. We may share aggregated and/or anonymized information regarding use of the Service(s)—which is not considered personal information under the CCPA—with third parties to help us develop and improve the Services and provide our customers with more relevant content and service offerings as detailed in our customer agreements.

Subscribers are advised to consult their own legal counsel to evaluate how the CCPA specifically applies to them and determine how to achieve their own compliance with CCPA.

Les règles d’entreprise contraignantes (Binding Corporate Rules) (« BCR »)sont une politique de protection des données, approuvée par les autorités européennes de protection des données, afin de faciliter les transferts de données intragroupes, de l’espace économique européen (EEE) vers des pays hors EEE. Les règles d’entreprise contraignantes se fondent sur des principes de confidentialité stricts, établis par les autorités de protection des données de l’Union européenne, et nécessite une consultation approfondie avec ces autorités. Les clients peuvent trouver la liste complète des entités approuvées dans la liste des politiques internes de l’entreprise ici.

Oui, Zendesk a achevé le processus d’approbation de l’UE auprès du commissaire irlandais à la protection des données Irish Data Protection Commissioner (« DPC ») (examen par les pairs du Bureau du Commissaire britannique à l’information et de l’autorité néderlandaise de protection des données (« BCR »)). Cette approbation réglementaire significative valide la mise en œuvre par Zendesk des normes les plus strictes en matière de protection des données personnelles, à l’échelle mondiale, couvrant à la fois les données personnelles de ses clients et celles de ses employés.

Zendesk fait partie des rares sociétés de logiciels dans le monde à avoir reçu l’approbation de ses politiques internes d’entreprise ; et c’est la deuxième entreprise à recevoir l’approbation du commissaire irlandais à la protection des données.

Pour accéder aux BCR de Zendesk, veuillez suivre les liens pertinents ci-dessous :

– La politique interne des sous-traitants de Zendesk (qui s’applique lorsque Zendesk traite les données personnelles pour le compte de ses clients) ; et

– La politique interne des responsables du traitement de données de Zendesk (Zendesk’s Controller Global Binding Corporate Rules) (qui s'applique lorsque Zendesk traite les données personnelles pour lesquelles il agit en tant que responsable du traitement de données).

Zendesk has updated its Binding Corporate Rules to align them with the GDPR and to further enhance the robust privacy protections offered by Zendesk to its Subscribers. Zendesk notified the Irish data protection authority of these updates as part of our annual update.

Le ministère américain du commerce (U.S. Department of Commerce), en coopération avec la Commission européenne et le gouvernement suisse, a créé des cadres de boucliers de protection UE-États-Unis et Suisse-États-Unis sur la protection des données personnelles , pour donner aux entreprises le moyen de transférer des données personnelles de l’Union européenne vers les États-Unis, de manière à assurer un niveau adéquat de protection conforme à la législation européenne sur la protection des données.

Zendesk a été certifié conforme avec les cadres des boucliers de protection UE-États-Unis et Suisse-États-Unis sur la protection des données personnelles, auprès du ministère américain du commerce et a été ajouté à la liste des participants au Bouclier sur la protection des données personnelles , autocertifiés par le ministère du commerce. Nos certifications confirment que nous respectons les principes du Bouclier sur la protection des données personnelles pour le transfert de données personnelles de l'Europe et de la Suisse vers les États-Unis.

Il s'agit d'une très bonne nouvelle pour nos clients, car cela leur offre un moyen de transférer les données encore plus performant que le cadre précédent, à savoir le Safe Harbor É.-U.-UE et É.-U.-Suisse. Zendesk a rapidement adopté les principes du Bouclier sur la protection des données personnelles dans le cadre de son engagement continu en faveur de la protection de la vie privée et des données de ses clients.

• Rapport SOC 2 Type II

• Rapport 3 SOC

• ISO 27001:2013 Certification

• ISO 27018:2014 Certification

• Liste approuvée des politiques internes d’entreprise

• Liste approuvée par le Bouclier sur la protection des données personnelles

• TrustArc Privacy Seal

• De quelle manière Zendesk protège les données personnelles

• Zendesk adhère aux normes les plus strictes en matière de protection des données en vertu des règles d’entreprise contraignantes européennes.

• Zendesk Privacy Policy

• Politique de suppression des données de Zendesk

• Page de sécurité de Zendesk

• Meilleures pratiques de sécurité de Zendesk

• Rapport 2 SOC

• Rapport 3 SOC

• ISO 27001:2013 Certification

• ISO 27018:2014 Certification

• Master Subscription Agreement de Zendesk

• Site Web du Bouclier sur la protection des données personnelles du ministère du Commerce des États-Unis : https://www.privacyshield.gov/welcome.

• Directive CE95/46/ : http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Règlement général sur la protection des données (RGPD) : http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• L’association internationale des professionnels de la protection de la vie privée : https://iapp.org.

• « Préparer le RGPD » du Bureau du Commissaire à l’information du Royaume-Uni : https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.