Les Données de service sont toutes les informations, y compris les données à caractère personnel qui sont stockées ou transmises via les Services de Zendesk, par ou pour le compte de Nos clients et leurs utilisateurs finaux.

Du point de vue de la protection de la vie privée, le client est le responsable du traitement des données de service et Zendesk est un sous-traitant. En d'autres termes, tant que le client est abonné aux services de Zendesk, il garde la propriété et le contrôle des données de service de son compte.

Zendesk peut utiliser des sous-traitants de données y compris des filiales de Zendesk ainsi que des sociétés tierces pour assurer la prestation des Services, leur sécurisation ou leur amélioration. Ces sous-traitants de données peuvent avoir accès aux Données de service.Zendesk tient à jour une liste des noms et coordonnées géographiques de tous les sous-traitants. Ladite liste est disponible dans la Politique de sous-traitance.Nos clients peuvent s'inscrire sur cette liste afin d'être informés de toute modification.Zendesk est responsable des actes et omissions des sous-traitants dans la même mesure que Zendesk serait responsable si Zendesk exécutait directement les Services de chaque sous-traitant.

Nous utilisons les Données de service pour exploiter et améliorer nos Services, aider les clients à accéder aux Services et à les utiliser, répondre aux demandes des clients et envoyer des communications liées aux Services.

Zendesk privilégie la sécurité des données et combine des fonctionnalités de sécurité professionnelles à des audits complets de ses applications, systèmes et réseaux afin de garantir une protection permanente des données des clients et des entreprises.

Par exemple, les serveurs Zendesk sont hébergés sur des sites conformes aux normes Tier IV ou III +, SSAE-16, PCI DSS ou ISO 27001. En outre, nous faisons appel à des experts en sécurité indépendants pour effectuer régulièrement des tests précis sur les intrusions, et notre équipe d’assistance est toujours disponible 24/7 pour répondre aux alertes de sécurité et aux événements.

Veuillez consulter Comment protégeons-nous Vos données de service (Services aux entreprises) pour de plus amples informations sur la gestion des incidents de sécurité et les procédures des Services aux entreprises.Veuillez consulter Comment protégeons-nous Vos Données de service (Services de l'innovation) pour de plus amples informations sur la gestion des incidents de sécurité et les procédures relatives aux Services de l'innovation.

Zendesk utilise des centres de données dans trois principales régions : États-Unis, Asie-Pacifique et Union européenne.Les données de service peuvent être stockées dans n’importe quelle région.Les clients peuvent sélectionner la région dans laquelle se trouvent les centres de données qui hébergent certaines de leurs données de service en achetant le module de localisation du centre de données.Veuillez consulter la politique régionale d’hébergement de données, pour de plus amples informations.

Zendesk dispose d'une Politique de suppression des données accessible au public dans laquelle sont décrits les processus de suppression des données de Zendesk en cas de résiliation ou d'expiration du Contrat qui le lie à un Abonné.

Zendesk reconnaît que les problèmes liés à la protection de la vie privée et de la sécurité des données sont la priorité absolue des clients.

• Zendesk divulgue les données de service, uniquement pour fournir ses services à ses clients et se conformer à la loi, comme indiqué dans sa politique de confidentialité disponible ici.

• Zendesk a obtenu un certain nombre de certifications et d’accréditations reconnues à l’échelle internationale démontrant sa conformité aux cadres d’assurance de tiers décrits sur notre Site de sécurité.

• Lorsqu'il faut agir publiquement pour protéger les clients, nous le faisons. Zendesk a exprimé son soutien à l’USA Liberty Act qui vise à réformer le programme de surveillance en vertu de la section 702 du Foreign Intelligence Surveillance Act (« FISA »).

Dans certaines situations, nous pouvons être tenus de divulguer des données personnelles en réponse à des demandes légales des autorités publiques, notamment pour répondre à des exigences de sécurité nationale ou dans le cadre de l’application de la loi.Nous pouvons divulguer des données personnelles pour répondre à des citations à comparaître, des ordonnances judiciaires ou d’autres procédures judiciaires, ou pour établir ou exercer nos droits légaux ou nous défendre contre des poursuites légales.Nous pouvons répondre aux demandes d'information en partageant ces informations avec les agences chargées de l'application de la loi ou les autorités publiques si Nous le jugeons nécessaire pour enquêter sur des activités illégales, empêcher de telles activités ou prendre des mesures y afférentes. Nous pouvons aussi partager ces informations en cas de suspicions de fraude, dans des situations impliquant des menaces potentielles pour la sécurité physique de toute personne, en cas de violations de notre contrat-cadre ou si la loi l'exige.

Le Règlement général sur la protection des données (« RGPD ») est la réglementation européenne relative à la protection des données qui remplace la Directive de l’UE sur la protection des données (« Directive 95/46/CE »).Le RGPD porte sur le traitement des données personnelles et la libre circulation de ces données.Ce règlement vise à renforcer la sécurité et la protection des données personnelles au sein de l’UE et à harmoniser la législation européenne en matière de protection des données.D’une manière générale, ce règlement énonce un certain nombre de principes et d’exigences en matière de protection des données qui doivent être respectés lors du traitement des données personnelles.

Le RGPD a également créé le Comité européen de la protection des données (« CEPD »), qui veille à ce que la loi sur la protection des données soit appliquée de manière cohérente dans l’ensemble de l’UE et s’emploie à assurer une coopération efficace entre les autorités chargées de la protection des données.

Les clients Zendesk qui collectent et stockent des données personnelles sont considérés comme responsable de traitement de données, dans le cadre du RGPD.Il incombe principalement aux Contrôleurs de données de s'assurer que le traitement des données à caractère personnel est conforme à la législation européenne pertinente en matière de protection des données, y compris le RGPD, et de déterminer de manière unique quelles données à caractère personnel sont soumises à Zendesk et traitées par ce dernier conformément aux Services.

L’un des aspects clés du RGPD est qu'il contribue à l’harmonisation entre les États membres de l’UE du traitement, de l’utilisation et de l’échange sécurisés des données personnelles.Les entreprises devront en permanence prouver la sécurité des données qu’elles traitent et leur conformité au RGPD, en mettant en place et en contrôlant régulièrement des mesures techniques et organisationnelles solides, ainsi que des politiques de conformité.

Si Zendesk reçoit une demande de Personne concernée de la part de l'utilisateur final d'un Abonné (c'est-à-dire un Utilisateur des Services auquel un Abonné a fourni nos Services), Zendesk est le Responsable du traitement de données et, dans la mesure où la législation applicable ne l'interdit pas, Zendesk demandera sans délai à l'Utilisateur final demandeur de contacter directement Notre Abonné (c'est-à-dire le Contrôleur) pour toute demande relative à ses données à caractère personnel telles que l'accès ou la suppression.Zendesk ne répondra plus à une demande de la Personne concernée sans le consentement préalable de l'Abonné.

Zendesk encourage ses clients à examiner régulièrement leurs processus et politiques de confidentialité et de sécurité des données afin de garantir leur conformité au RGPD.Les responsables de traitement des données doivent veiller à ce que le traitement des données personnelles soit conforme à la législation européenne en vigueur.Voici quelques points clés à prendre en considération pour la conformité au RGPD :

• Application géographique : Le RGPD s’applique aux organisations établies au sein de l’UE ainsi qu'à certaines organisations établies en dehors de l’UE mais traitant les données personnelles des citoyens de l’UE, en fonction de leurs activités.

• Droits des utilisateurs finaux : Les organisations doivent prendre en considération les utilisateurs finaux dont ils traitent les données personnelles. Le RGPD accorde plus de droits aux utilisateurs finaux, et les organisations devraient être en mesure de s’y adapter.

• Signalement des violations de données : Les organisations qui contrôlent les données personnelles doivent disposer de processus clairs pour pouvoir signaler les violations de données, dans les délais fixés par le RGPD. Zendesk informera les clients concernés dans les plus brefs délais si nous avons connaissance d’une violation de données dans nos services.

• Désignation d’un délégué à la protection des données (« DPD ») : Les clients pourraient avoir à désigner des DPD pour gérer les problèmes liés au traitement des données personnelles.

• Accord de traitement de données (ATD) : lorsque des données à caractère personnel sont transférées en dehors de l'EEE, un client peut demander à ses sous-traitants de mettre en place des ATD afin d'assurer un niveau de protection adéquat des données transférées.

• Évaluation de l’impact sur la protection des données (« EIVP ») : Les EIVP décrivent généralement les traitements de données des organisations et les mesures de protection mises en place, en particulier pour les traitements risqués. Pour les activités relatives au traitement des données, les clients doivent faire une EIVP et la présenter aux autorités .

Les clients peuvent utiliser les certifications ISO tierces et les rapports d’audit SOC 2 de Zendesk pour évaluer les risques et déterminer si les mesures techniques et organisationnelles appropriées ont été prises. Pour de plus amples informations, consultez le site Web de Zendesk Sécurité.

Vous trouverez ci-dessous des exemples de fonctionnalités de produits Zendesk spécifiques que les clients peuvent utiliser pour répondre aux exigences du RGPD. Grâce à notre service connexe de sécurité de pointe, les clients disposent de fonctionnalités améliorées, notamment une reprise après sinistre et un cryptage améliorés, ainsi que la possibilité de configurer la loi HIPAA sur la portabilité et la responsabilité.

Les fonctionnalités actuellement disponibles pour les produits spécifiques de Zendesk peuvent être trouvées dans les questions/réponses ci-dessous.

Normes d’audit :

• Certification ISO27001:2013

• Certification ISO27018:2014

Examen :

• Bug bounty

• Analyse dynamique des applications actives

• Analyse statique des référentiels de code

Chiffrement :

• Chiffrement des données en mouvement sur les réseaux publics

• Chiffrement de certaines données au repos avec AES256

Oui, vous trouverez de plus amples informations sur la façon d'utiliser les produits Zendesk pour rester en conformité avec le RGPD via notre Centre d'assistance ici.

La Commission européenne a approuvé un ensemble de dispositions standard appelées Clauses contractuelles types (« Clauses types ») qui mettent à la disposition du Contrôleur un mécanisme adapté de transfert des données à caractère personnel vers un Responsable du traitement de données situé en dehors de l'Espace économique européen (EEE).Les clauses types sont ajoutées à l’ATD de Zendesk afin de garantir la protection suffisante des données lors de leur transfert en dehors de l’EEE ou de la Suisse.

Zendesk fait régulièrement des copies des données à des fins d’archivage, de sauvegarde et de journaux d’audit. Nous utilisons Amazon Web Services (AWS) pour stocker certaines des informations sauvegardées, telles que les informations de base de données et les fichiers joints. Veuillez consulter notre politique régionale d’hébergement de données pour de plus amples informations.

Les clients de Zendesk, qui achètent le module complémentaire localisation du centre de données, peuvent sélectionner la région à partir des options régionales disponibles de Zendesk) dans laquelle se trouvent les centres de données hébergeant certaines de leurs données de service.Veuillez consulter notre politique régionale d’hébergement de données pour de plus amples informations.Zendesk peut également utiliser n’importe lequel des centres de données mondiaux qu’il utilise pour héberger les Données de service.

Zendesk tient à la réussite de ses Abonnés et de ses employés au Royaume-Uni et dans le reste de l'Europe. Cet attachement ne changera pas quelle que soit l'issue des négociations en cours dans le cadre du Brexit.Nous suivons de près les négociations entre le gouvernement britannique et l'Union européenne portant sur leurs relations futures.Dès que Nous en saurons plus, nous prendrons les mesures nécessaires pour que nos Abonnés puissent continuer à utiliser Nos Services dans le respect des lois européennes et britanniques. Pour Zendesk en général, les activités se poursuivront comme d'habitude et resteront axées sur la réussite de nos Abonnés.

Zendesk offre à ses clients un Accord de traitement de données solide, régissant la collaboration entre le client (en tant que Contrôleur de données) et Zendesk (en tant que Responsable du traitement de données).L'ATD facilite le respect des obligations des clients de Zendesk en vertu de la législation européenne sur la protection des données. Il contient de solides engagements en matière de respect de la vie privée et a été mis à jour pour confirmer notre conformité au RGPD.L'ATD comporte aussi des cadres de transfert de données qui garantissent à nos clients le transfert légal des données à caractère personnel vers Zendesk, en dehors de l'Union européenne, ceci en s'appuyant sur l'un des trois mécanismes suivants : les règles d'entreprise contraignantes, Notre certification de protection de confidentialité (Privacy Shield) ou les clauses contractuelles types.

Oui. L'ATD de Zendesk comprend des dispositions pour aider les Abonnés à se conformer au RGPD.

Zendesk Vous recommande de consulter Votre conseiller juridique pour évaluer l'impact potentiel de votre décision de ne pas signer le DPA par rapport à Votre situation particulière.

Non. L'ATD de Zendesk est spécifique aux Services de Zendesk, aux pratiques de confidentialité et aux engagements pris envers les régulateurs.

Si Vous avez des questions supplémentaires, veuillez contacter Votre gestionnaire de compte Zendesk. Vous pouvez aussi ouvrir un dossier auprès de l'équipe de défense du client de Zendesk en contactant support@zendesk.com.

Pas directement ; Zendesk propose un avenant distinct à son Contrat-cadre d'abonnement pour soutenir les efforts de conformité des « entreprises » avec le CCPA, tel que ce terme est définit dans le CCPA.Pour plus d'informations, veuillez consulter la section CCPA de cette page Web.

Veuillez cliquer ici si vous souhaitez consulter et/ou signer l'avenant relatif au CCPA de l'Accord-cadre d'abonnement de Zendesk.

Pour en savoir plus sur nos pratiques en matière de protection de la vie privée et sur les fonctionnalités que nous mettons à la disposition de nos Abonnés, veuillez consulter notre Site Web consacré à la Protection de la vie privée et des données, notre Politique de suppression des données et les Guides de produits.

Le CCPA accorde aux consommateurs californiens de nouveaux droits en ce qui concerne la collecte de leurs données à caractère personnel et exige que les entreprises se conforment à certaines obligations liées à ces droits, en particulier :

1. l'obligation pour chaque entreprise d'informer ses consommateurs de ses pratiques de collecte de données, y compris les catégories de données à caractère personnel recueillies, la source des informations et leur utilisation par l'entreprise, les personnes à qui elle les communique, le cas échéant ;
2. le droit du consommateur de recevoir, dans un format facilement utilisable, une copie des données à caractère personnel spécifiques collectées à son sujet au cours des douze (12) mois précédant sa demande ;
3. le droit du consommateur de faire supprimer ces données à caractère personnel (sauf exceptions) ;
4. le droit du consommateur d'être informé des pratiques de commercialisation des données par l'entreprise et le droit de demander que ses données à caractère personnel ne soient pas vendues à des tiers ;
5. l'interdiction faite aux entreprises de faire preuve de discrimination lorsque le consommateur exerce un droit ; et
6. l'obligation faite aux entreprises d'informer un consommateur de ses droits.

Zendesk suit l'évolution du CCPA et se prépare à s'y conformer depuis son adoption en 2018.Le bureau du procureur général de Californie a récemment indiqué qu'il pourrait modifier les règlements proposés pour le CCPA.Compte tenu de ces modifications éventuelles, Zendesk suit activement l'évolution de la loi et nous continuerons à tenir nos clients informés des caractéristiques et des fonctionnalités qu'ils peuvent utiliser afin de se conformer à la loi.Les clients peuvent également consulter nos Guides de produits pour obtenir des informations plus détaillées sur la manière d'utiliser les produits Zendesk afin de se conformer aux lois sur la protection des données, ainsi que notre Politique de suppression des données pour des détails supplémentaires sur la Suppression des données de service.

Les clients de Zendesk qui collectent et stockent des données à caractère personnel dans les Services de Zendesk peuvent être considérés comme des « entreprises » au sens du CCPA.Les entreprises doivent veiller à ce que le traitement des données à caractère personnel soit conforme à la législation en vigueur, y compris le CCPA.En ce qui concerne le traitement des données à caractère personnel par le biais de nos Services, Zendesk agit en tant que « Fournisseur de services », au sens de la actualisée du CCPA.Par conséquent, Zendesk collecte, consulte, actualise, utilise, traite et transfère les données à caractère personnel de ses clients et des utilisateurs finaux de ses clients traitées par les Services uniquement dans le but d'exécuter Ses obligations en vertu de Notre/Nos Contrats existants avec Nos Abonnés. Zendesk ne le fait dans aucun but autre que l'exécution de ces obligations et l'amélioration des Services que Nous fournissons.

Nous ne « commercialisons » pas les données à caractère personnel au sens du CCPA actuel. Autrement dit, nous ne louons pas, ne divulguons pas, ne communiquons pas, ne transférons pas, ne mettons pas à disposition ou ne communiquons pas de toute autre manière ces données à caractère personnel à une tierce partie pour une contrepartie financière ou toute autre contrepartie de valeur.Nous pouvons partager des informations agrégées et/ou anonymisées concernant l'utilisation des Services – ce qui n’est pas considéré comme étant des données à caractère personnel selon le CCPA – avec des tiers pour Nous aider à développer et à améliorer les Services et à fournir à Nos clients un contenu et des offres de services plus pertinents, tel que détaillé dans Nos contrats avec les clients.

Il est conseillé aux Abonnés de consulter leur propre conseiller juridique pour évaluer comment l'ACFPC s'applique à eux et déterminer comment ils peuvent se mettre en conformité avec le CCPA.

Les règles d’entreprise contraignantes (Binding Corporate Rules) (« BCR »)sont une politique de protection des données, approuvée par les autorités européennes de protection des données, afin de faciliter les transferts de données intragroupes, de l’espace économique européen (EEE) vers des pays hors EEE. Les règles d’entreprise contraignantes se fondent sur des principes de confidentialité stricts, établis par les autorités de protection des données de l’Union européenne, et nécessite une consultation approfondie avec ces autorités. Les clients peuvent trouver la liste complète des entités approuvées dans la liste des politiques internes de l’entreprise ici.

Oui, Zendesk a complété le processus d'approbation par l'UE auprès du Commissaire irlandais chargé de la protection des données (examen par les pairs du bureau du Commissaire à l'information britannique et l'Autorité néerlandaise de protection des données) pour ses Règles d'entreprise contraignantes (REC) et est désormais habileté à agir en tant que Responsable du traitement de données et Contrôleur de données.Cette approbation réglementaire significative valide la mise en œuvre par Zendesk des normes les plus strictes en matière de protection des données personnelles, à l’échelle mondiale, couvrant à la fois les données personnelles de ses clients et celles de ses employés.

Zendesk fait partie des rares sociétés de logiciels dans le monde à avoir reçu l’approbation de ses politiques internes d’entreprise ; et c’est la deuxième entreprise à recevoir l’approbation du commissaire irlandais à la protection des données.

Pour accéder aux BCR de Zendesk, veuillez suivre les liens pertinents ci-dessous :

– La politique interne des sous-traitants de Zendesk (qui s’applique lorsque Zendesk traite les données personnelles pour le compte de ses clients) ; et

– La politique interne des responsables du traitement de données de Zendesk (Zendesk’s Controller Global Binding Corporate Rules) (qui s'applique lorsque Zendesk traite les données personnelles pour lesquelles il agit en tant que responsable du traitement de données).

Zendesk a actualisé ses Règles d'entreprise contraignantes afin de les aligner sur le RGPD et de rendorcer les protections robustes de la vie privée que Nous offrons déjà à nos Abonnés.Zendesk a informé l'autorité irlandaise de protection des données de ces actualisations qui font partie de Notre mise à jour annuelle.

Le ministère américain du commerce (U.S. Department of Commerce), en coopération avec la Commission européenne et le gouvernement suisse, a créé des cadres de boucliers de protection UE-États-Unis et Suisse-États-Unis sur la protection des données à caractère personnel (Bouclier de protection de confidentialité), pour donner aux entreprises le moyen de transférer des données à caractère personnel de l’Union européenne vers les États-Unis, de manière à assurer un niveau adéquat de protection conforme à la législation européenne sur la protection des données.

Zendesk a été certifié conforme avec les cadres des boucliers de protection UE-États-Unis et Suisse-États-Unis sur la protection des données personnelles, auprès du ministère américain du commerce et a été ajouté à la liste des participants au Bouclier sur la protection des données personnelles , autocertifiés par le ministère du commerce. Nos certifications confirment que nous respectons les principes du Bouclier sur la protection des données personnelles pour le transfert de données personnelles de l'Europe et de la Suisse vers les États-Unis.

On July 16, 2020, the Court of Justice of the European Union (CJEU) issued a ruling invalidating the EU-U.S. Privacy Shield program. Zendesk customers can continue to use Zendesk services and transfer data in compliance with European law such as the GDPR, as we have both Binding Corporate Rules and Model Clauses (incorporated into our Data Processing Agreement) in place.

We understand that you may have questions around the invalidation of the Privacy Shield and Zendesk’s position in relation to same, so we have published this blog post to assist you with your queries.

If you would like to access the Zendesk DPA for review or signature, you can access it in your Customer Admin Console or click here.

• Rapport SOC 2 Type II

• Rapport 3 SOC

• ISO 27001:2013 Certification

• ISO 27018:2014 Certification

• Liste approuvée des politiques internes d’entreprise

• Liste approuvée par le Bouclier sur la protection des données personnelles

• TrustArc Privacy Seal

• De quelle manière Zendesk protège les données personnelles

• Zendesk adhère aux normes les plus strictes en matière de protection des données en vertu des règles d’entreprise contraignantes européennes.

• Termes de confidentialité Zendesk

• Politique de suppression des données de Zendesk

• Page de sécurité de Zendesk

• Meilleures pratiques de sécurité de Zendesk

• Rapport 2 SOC

• Rapport 3 SOC

• ISO 27001:2013 Certification

• ISO 27018:2014 Certification

• Master Subscription Agreement de Zendesk

• Site Web du Bouclier sur la protection des données personnelles du ministère du Commerce des États-Unis : https://www.privacyshield.gov/welcome.

• Directive CE95/46/ : http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=LEGISSUM:l14012.

• Règlement général sur la protection des données (RGPD) : http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

• L’association internationale des professionnels de la protection de la vie privée : https://iapp.org.

• « Préparer le RGPD » du Bureau du Commissaire à l’information du Royaume-Uni : https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.