Pour en savoir plus sur les récents développements concernant le Bouclier de protection des données de l’UE-États-Unis, cliquez ici.

Confidentialité et Protection des données

Plus d’informations sur les ressources de sécurité

Aperçu

Zendesk donne la priorité à la confiance des clients. Nous savons que la sécurité et l’intégrité des données des clients sont importantes pour les valeurs et les opérations de nos clients. C’est pourquoi nous les conservons de manière privée et en sécurité.

Zendesk prend en charge des milliers de clients dans plus de 160 pays et territoires. Nos clients nous confient de grandes quantités d’informations sensibles, provenant d’un large éventail de secteurs, notamment les soins de santé, les services financiers, le gouvernement et la technologie.

Zendesk aide les clients à garder le contrôle de leur confidentialité et de la sécurité des données d’une myriade de façons :

  • Sécurité des données : Nous assurons la conformité de nos clients avec des normes de sécurité élevées, telles que le cryptage des données en mouvement sur les réseaux publics, les normes d’audit (SOC 2, ISO 27001, ISO 27018), les mesures d’atténuation des dénis de service distribué (« DDoS ») et une équipe d’assistance disponible 24 h/24, 7 j/7.

  • Divulgation des données du service client : Zendesk ne divulgue les Données de service à des tiers que lorsque la divulgation est nécessaire pour fournir les services, ou pour répondre aux demandes légales des autorités publiques.

  • Confiance : Zendesk a développé des protections de sécurité et des processus de contrôle pour aider nos clients à garantir un environnement sécurisé pour leurs informations. Des experts tiers indépendants ont confirmé l’adhésion de Zendesk à des normes industrielles élevées.

  • Localité d’hébergement de données : Les clients qui achètent le service associé à l’emplacement du centre de données (« module complémentaire Emplacement du centre de données ») ont la possibilité de sélectionner la région (à partir des options régionales Zendesk disponibles) où se trouve le centre de données qui héberge leurs Données de service.

  • Gestion de l’accès : Zendesk fournit un ensemble avancé de fonctionnalités d’accès et de chiffrement pour aider les clients à protéger efficacement leurs informations. Nous n’accédons ni n’utilisons le contenu client à aucune autre fin que la fourniture, la maintenance et l’amélioration des services Zendesk et comme l’exige autrement la loi.

Qu’est-ce que les Données de service ?

Les Données de service sont toutes les informations, y compris les données à caractère personnel, qui sont stockées ou transmises via les Services Zendesk par, ou au nom de, nos clients et leurs utilisateurs finaux.

Qui possède et contrôle les Données de service ?

Du point de vue de la confidentialité, le client est le responsable du traitement des Données de service et Zendesk est un sous-traitant. Cela signifie que pendant toute la durée de l’abonnement du client aux services de Zendesk, il conserve la propriété et le contrôle des Données de service dans son compte.

Qui sont les sous-traitants ultérieurs de Zendesk ?

Zendesk peut utiliser des sous-traitants ultérieurs, y compris des sociétés affiliées de Zendesk, ainsi que des sociétés tierces, dans le but de fournir, sécuriser ou améliorer les Services, et lesdits sous-traitants ultérieurs peuvent avoir accès aux Données de service. Zendesk maintient une liste à jour des noms et des emplacements de tous les sous-traitants ultérieurs, disponible dans notre Politique relative aux sous-traitants ultérieurs. La liste comprend la possibilité pour nos clients de s’inscrire pour recevoir des notifications de toute modification. Zendesk sera responsable des actes et omissions des sous-traitants ultérieurs, dans la même mesure que Zendesk serait responsable si elle exécutait directement les services de chaque sous-traitant ultérieur.

Comment Zendesk utilise-t-elle les Données de service ?

Nous utilisons les Données de service pour exploiter et améliorer nos Services, aider les clients à accéder aux Services et à les utiliser, répondre aux demandes des clients et envoyer des communications relatives aux Services.

Quelles mesures Zendesk prend-elle pour sécuriser les Données de service ?

Zendesk donne la priorité à la sécurité des données et combine des fonctionnalités de sécurité de classe entreprise avec des audits complets de nos applications, systèmes et réseaux, pour garantir la protection des données des clients et des entreprises.

Par exemple, les serveurs Zendesk sont hébergés dans des installations conformes aux normes Tier IV ou III+, SSAE-16, PCI DSS ou ISO 27001. De plus, nous engageons des experts en sécurité tiers pour effectuer des tests de pénétration détaillés sur une base périodique, et notre équipe d’assistance est disponible 24h/24, 7j/7 pour répondre aux alertes et événements de sécurité.

Comment Zendesk informe-t-elle les clients d’un incident de sécurité ?

Pour plus d’informations sur la gestion des incidents de sécurité et les procédures pour les Services d’entreprise, veuillez consulter Comment nous protégeons vos Données de service (Services d’entreprise). Pour plus d’informations sur la gestion des incidents de sécurité et les procédures pour les Services d’innovation, veuillez consulter Comment nous protégeons vos Données de service (Services d’innovation).

Où les Données de service seront-elles stockées ?

Zendesk utilise des centres de données dans trois régions principales : les États-Unis, l’Asie-Pacifique et l’Union européenne. Les Données de service peuvent être stockées dans n’importe quelle région. Les clients peuvent sélectionner la région dans laquelle les centres de données qui hébergent certaines de leurs Données de service sont situés, en achetant le module complémentaire Localité du centre de données. Veuillez consulter la Politique régionale d’hébergement des données pour plus d’informations.

Qu’advient-il des Données de service à la résiliation ou à l’expiration de l’accord d’un client avec Zendesk ?

Zendesk maintient une Politique de suppression des Données de service disponible publiquement qui décrit les processus de suppression des données de Zendesk, lors de la résiliation ou de l’expiration de l’abonnement Zendesk du client.

Comment Zendesk répond-elle aux demandes d’information ?

Zendesk reconnaît que les problèmes de confidentialité et de sécurité des données sont des priorités absolues pour les clients.

  • Zendesk ne divulgue pas de Données de service, sauf si cela est nécessaire pour fournir nos Services à nos clients et pour se conformer aux lois applicables, comme indiqué dans notre Politique de confidentialité disponible ici.

  • Zendesk a obtenu un certain nombre de certifications et d’accréditations internationalement reconnues démontrant la conformité aux cadres d’assurance tiers, comme décrit sur notre Site de sécurité.

  • Lorsque nous devons agir publiquement pour protéger les clients, nous le faisons. Zendesk a exprimé son soutien à l’USA Liberty Act qui cherche à réformer le programme de surveillance en vertu de la Section 702 de la Loi sur la surveillance des renseignements étrangers (Foreign Intelligence Surveillance Act, « FISA »).

Comment Zendesk répond-elle aux demandes légales de Données de service ?

Dans certaines circonstances, nous pouvons être contraints de divulguer des données à caractère personnel en réponse à des demandes légales émises par les autorités publiques, notamment pour satisfaire des exigences liées au respect de la loi ou à la sécurité nationale. Nous pouvons divulguer des données à caractère personnel pour répondre à une citation à comparaître, à l'ordonnance d'un tribunal ou à une autre procédure judiciaire ou pour établir ou exercer nos droits légaux ou nous défendre contre des revendications légales. Nous pouvons également partager ces informations avec les organismes chargés de l'application de la loi ou les autorités publiques, si nous pensons que cela est nécessaire pour enquêter, prévenir ou prendre des mesures contre des activités illégales, des fraudes suspectées, des situations impliquant des menaces potentielles à la sécurité physique des personnes, à la violation de notre Contrat-cadre d'abonnement, ou au titre d’autres exigences prévues par la loi.

RGPD

Depuis sa création, l’approche de Zendesk s’ancre dans un engagement fort en faveur de la confidentialité, de la sécurité, de la conformité et de la transparence. Cette approche consiste à soutenir la conformité de nos clients aux exigences de l’UE en matière de protection des données, y compris celles énoncées dans le Règlement général sur la protection des données (« RGPD »), qui a remplacé la Directive européenne sur la protection des données (également appelée « Directive 95/46/CE ») et est devenue applicable le 25 mai 2018.

Si une entreprise collecte, transmet, héberge ou analyse des données à caractère personnel de citoyens de l’UE, le RGPD exige que l’entreprise utilise des processeurs de données tiers qui garantissent leur capacité à mettre en œuvre les exigences techniques et organisationnelles du RGPD. Pour gagner davantage la confiance de nos clients, notre accord de traitement des données (« ATD ») a été mis à jour, pour fournir à nos clients des engagements contractuels au regard de notre conformité à la législation européenne applicable en matière de protection des données, mais aussi pour mettre en œuvre des dispositions contractuelles supplémentaires requises dans le cadre du RGPD. Nos engagements contractuels garantissent que les clients puissent :

  • Répondre aux demandes des personnes concernées d’exporter, de corriger, de modifier ou de supprimer des données à caractère personnel.

  • Être informés et signaler les violations de données à caractère personnel aux autorités de contrôle et aux personnes concernées compétentes conformément aux délais du RGPD.

  • Démontrer leur conformité au RGPD en ce qui concerne les services de Zendesk.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (« RGPD ») est le règlement européen sur la confidentialité qui a remplacé la Directive européenne sur la protection des données (« Directive 95/46/CE »). Le RGPD traite du traitement des données à caractère personnel et de la libre circulation de ces données. Il vise à renforcer la sécurité et la protection des données personnelles dans l’UE et à harmoniser la législation de l’UE en matière de protection des données. De manière générale, il définit un certain nombre de principes et d’exigences en matière de protection des données, qui doivent être respectés lorsque des données à caractère personnel sont traitées.

Le RGPD a également mis en place le Comité européen de protection des données (European Data Protection Board, « EPDB »), qui garantit que la loi sur la protection des données est appliquée de manière cohérente dans toute l’UE et s’efforce d’assurer une coopération efficace entre les autorités de protection des données.

Comment le RGPD s’applique-t-il aux clients ?

Les clients de Zendesk qui collectent et stockent des données à caractère personnel sont considérés comme des responsables du traitement en vertu du RGPD. Les responsables du traitement des données assument la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation européenne pertinente en matière de protection des données, y compris le RGPD, et déterminent de manière unique quelles données à caractère personnel sont soumises et traitées par Zendesk conformément aux Services.

Quelles sont les implications du RGPD pour les organisations qui traitent les données à caractère personnel des citoyens de l’UE ?

L’un des aspects clés du RGPD est qu’il instaure une cohérence entre les États membres de l’UE sur la manière dont les données à caractère personnel peuvent être traitées, utilisées et échangées en toute sécurité. Les organisations doivent démontrer la sécurité des données qu’elles traitent et leur conformité au RGPD sur une base continue, en mettant en œuvre et en examinant régulièrement des mesures techniques et organisationnelles robustes, ainsi que des politiques de conformité.

En sa qualité de sous-traitant des données, comment Zendesk gère-t-elle les demandes faites par les utilisateurs finaux ?

Si Zendesk reçoit une demande de la personne concernée de la part de l’Utilisateur final d’un client (c.-à-d., un utilisateur des Services à qui un client a fourni nos Services), Zendesk est le Sous-traitant, et Zendesk, dans la mesure où la législation applicable n’interdit pas à Zendesk de le faire, informera rapidement l’Utilisateur final de contacter notre client (c.-à-d. le Responsable du traitement) directement au sujet de toute demande relative à ses Données personnelles, comme par exemple l’accès ou la suppression. Zendesk ne répondra plus à une demande d’une personne concernée sans le consentement préalable du client.

Quelles sont les suggestions pour les clients Zendesk concernant le RGPD ?

Zendesk encourage les clients à examiner en permanence leurs processus et politiques de confidentialité et de sécurité des données afin de garantir la conformité au RGPD. Les responsables du traitement des données ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données dans l’UE. Voici quelques points clés à prendre en compte pour la conformité au RGPD :

  • Application géographique : Le RGPD peut s’appliquer aux organisations établies dans l’UE ainsi qu’à certaines organisations établies en dehors de l’UE, mais qui traitent les données personnelles des citoyens de l’UE, en fonction de leurs activités.

  • Droits des utilisateurs finaux : Les organisations doivent être informées des utilisateurs finaux dont les données à caractère personnel peuvent être traitées. Le RGPD établit des droits renforcés pour les Utilisateurs finaux, et les organisations devraient être en mesure de s’adapter à ces droits.

  • Notifications de violation de données : Les organisations qui sont responsables du traitement des données à caractère personnel doivent avoir mis en place des processus clairs, afin de se conformer à l’exigence du RGPD de signaler les violations de données, conformément aux délais définis dans le RGPD. Zendesk informera les clients concernés sans retard injustifié si nous prenons connaissance d’une violation des données de nos services.

  • Nomination du Délégué à la protection des données (« DPD ») : Les clients peuvent avoir besoin de nommer des DPD pour gérer les problèmes liés au traitement des données à caractère personnel.

  • Accord de traitement des données (« ATD »): Lorsque des données à caractère personnel sont transférées en dehors de l’EEE, un client peut avoir besoin que des ATD soient mis en place avec ses sous-traitants ultérieurs, afin d’assurer un niveau adéquat de protection des données transférées.

  • Analyse d’impact relative à la protection des données (« AIPD ») : Les AIPD décrivent généralement les processus de données et les mesures de protection d’une organisation, en particulier celles qui peuvent être risquées. Pour les activités de traitement des données, les clients doivent mener et déposer une AIPD auprès des autorités.

Quels services et fonctionnalités Zendesk peuvent soutenir la conformité des clients au RGPD ?

Les clients peuvent utiliser les certifications ISO tierces de Zendesk et les rapports d’audit SOC 2 pour les aider à effectuer leurs évaluations des risques et à déterminer si des mesures techniques et organisationnelles appropriées sont en place. Pour plus d’informations, veuillez également consulter la section Sécurité du site Web Zendesk.

Vous trouverez ci-dessous des exemples de fonctionnalités de produit Zendesk spécifiques que les clients peuvent utiliser pour aider au programme de conformité au RGPD. Grâce à notre service associé de sécurité avancée déployée, les clients peuvent choisir d’obtenir des fonctionnalités améliorées, notamment une récupération et un cryptage améliorés en cas de sinistre, ainsi que la possibilité de configurer pour la Loi sur la transférabilité et la responsabilité de l'assurance maladie (« HIPAA »).

Les fonctionnalités actuellement disponibles pour des produits Zendesk spécifiques sont disponibles dans les questions/réponses ci-dessous.

Normes d’audit :

  • Certifié ISO 27001:2013

  • Certifié ISO 27018:2014

Numérisation :

  • Bug bounty

  • Balayage dynamique des applications en direct

  • Balayage statique des référentiels de code

Cryptage :

  • Cryptage des données en mouvement sur les réseaux publics

  • Cryptage de certaines données au repos avec AES256

Zendesk fournit-elle actuellement des caractéristiques/fonctionnalités spécifiques à ses produits pour nous aider dans notre programme de conformité au RGPD ?

Oui, des informations plus détaillées sur la façon d’utiliser les produits Zendesk pour rester conforme au RGPD sont disponibles via notre Centre d’assistance ici.

Quelles sont les « Clauses types » ?

La Commission européenne a approuvé un ensemble de dispositions standard appelées Clauses contractuelles types (« Clauses types ») qui fournissent à un responsable du traitement un mécanisme conforme pour transférer les données à caractère personnel à un sous-traitant en dehors de l’Espace économique européen (« EEE »). Les Clauses types sont annexées à l’ATD de Zendesk, afin d’aider à fournir une protection adéquate pour le transfert de données en dehors de l’EEE ou de la Suisse.

Zendesk réplique-t-elle les Données de service qu’elle stocke ?

Zendesk réplique périodiquement les données à des fins d’archivage, de sauvegarde et de journaux d’audit. Nous utilisons Amazon Web Services (AWS) pour stocker certaines des informations sauvegardées, telles que les informations de base de données et les fichiers pièces jointes. Veuillez consulter notre Politique d’hébergement des données régionales pour plus de détails.

Les Données de service hébergées dans la région UE quittent-elles parfois cette région ?

Les clients Zendesk qui achètent le module complémentaire Emplacement du centre de données ont la possibilité de sélectionner la région (à partir des options régionales Zendesk disponibles) où se trouve le centre de données qui héberge leurs Données de service. Veuillez consulter notre Politique d’hébergement des données régionales pour plus de détails. Sinon, Zendesk peut utiliser n’importe quel centre de données mondial qu’elle utilise pour héberger les Données de service.

Quelles mesures Zendesk a-t-elle prises pour se préparer au Brexit (le départ du Royaume-Uni de l’Union européenne) ?

Indépendamment du résultat des négociations en cours sur le Brexit, Zendesk reste engagée à la réussite de nos clients et employés au Royaume-Uni et dans le reste de l’Europe. Nous surveillons de près les négociations entre le gouvernement britannique et l’Union européenne concernant les détails de leur future relation. Au fur et à mesure que les détails seront clairs, nous prendrons les mesures appropriées pour nous assurer que nos clients peuvent continuer à utiliser nos services conformément aux lois de l’UE et du Royaume-Uni, et pour l’ensemble de Zendesk, l’activité se poursuivra comme d’habitude et restera axée sur la réussite de nos clients.

Accord de traitement de données

Zendesk offre aux clients actifs de ses services payants et d’essai la possibilité de conclure un Accord de traitement des données (ATD) pour refléter l’accord des parties concernant le traitement des données à caractère personnel. Si vous souhaitez accéder à l’ATD Zendesk pour examen ou signature, veuillez cliquer ici. Les clients qui ont signé des versions antérieures de notre ATD peuvent signer notre ATD actuel à tout moment.

Qu'est-ce qu'un accord de traitement de données (« ATD ») ?

Zendesk offre aux clients un solide Accord de traitement des données régissant la relation entre le client (agissant en tant que responsable du traitement des données) et Zendesk (agissant en tant que sous-traitant des données). L’ATD facilite le respect par les clients de Zendesk de leurs obligations en vertu de la loi européenne sur la protection des données et contient de solides engagements en matière de confidentialité, et il a été mis à jour pour confirmer notre conformité au RGPD. L’ATD contient également des cadres de transfert de données pour s’assurer que nos clients puissent légalement transférer des données à caractère personnel à Zendesk en dehors de l’Union européenne, en s’appuyant sur l’un des trois mécanismes suivants : nos Règles d’entreprise contraignantes, notre certification au Bouclier de confidentialité ou les Clauses contractuelles types.

L’ATD prend-elle en compte le RGPD ?

Oui, l’ATD de Zendesk comprend des dispositions pour aider les clients à se conformer au RGPD.

Que se passe-t-il si un client ne signe pas l’ATD ?

Zendesk vous recommande de consulter votre conseiller juridique pour évaluer l’impact potentiel que votre décision de ne pas signer l’ATD peut avoir sur votre situation particulière.

Un client peut-il utiliser son propre ATD ?

Non. L’ATD de Zendesk est spécifique aux Services de Zendesk, aux pratiques de confidentialité et aux déclarations faites aux régulateurs.

Que faire si j’ai des questions supplémentaires sur l’ATD ?

Si vous avez des questions supplémentaires, veuillez contacter votre responsable de compte Zendesk ou, alternativement, ouvrir un dossier auprès du service d’assistance à la clientèle Zendesk.

L’ATD prend-elle en compte la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ?

Pas directement, au lieu de cela, Zendesk offre un addendum distinct à son Accord-cadre d'abonnement, pour soutenir les efforts de conformité des « entreprises » avec la CCPA, comme défini dans la CCPA. Pour plus d’informations, veuillez consulter la section CCPA de cette page Web.

CCPA

La loi California Consumer Privacy Act, Cal. Civ. civ. §§ 1798.100 et seq. (CCPA) est une loi américaine promulguée dans l’État de Californie avec une date d’entrée en vigueur au 1er janvier 2020. De manière générale, elle étend les droits à la vie privée disponibles pour certains consommateurs californiens et exige que certaines entreprises se conforment à diverses exigences en matière de protection des données.

L’accord-cadre d’abonnement de Zendesk traite-t-il spécifiquement du CCPA ?

Si vous souhaitez consulter et/ou signer l’Annexe CCPA de Zendesk au Contrat-cadre d’abonnement, veuillez cliquer ici.

Pour plus d’informations sur nos pratiques en matière de confidentialité et les fonctionnalités que nous fournissons pour soutenir la conformité de nos clients, veuillez consulter notre site Web sur la Confidentialité et protection des données, notre Politique de suppression des donnéeset nos Guides de produits.

Qu’est-ce que la CCPA ?

La CCPA accorde aux consommateurs californiens de nouveaux droits en ce qui concerne la collecte de leurs informations personnelles et exige que les sociétés se conforment à certaines obligations liées à ces droits, notamment :

  1. Une obligation pour les entreprises d’informer un consommateur de ses pratiques de collecte de données, y compris les catégories d’informations personnelles qu’elles ont collectées, la source des informations, l’utilisation des informations par l’entreprise, et à qui l’entreprise a divulgué les informations qu’elle a collectées sur le consommateur ;
  2. Le droit du consommateur de recevoir une copie, dans un format facilement utilisable, des informations personnelles spécifiques collectées à son sujet au cours des douze (12) mois précédant sa demande ;
  3. Le droit du consommateur à ce que ces informations personnelles soient supprimées (avec des exceptions) ;
  4. Le droit du consommateur de connaître les pratiques de vente des données de l’entreprise et de demander que ses informations personnelles ne soient pas vendues à des tiers ;
  5. L’interdiction pour les entreprises de pratiquer la discrimination pour l’exercice d’un droit du consommateur ; et
  6. L’obligation pour les entreprises d’informer le consommateur de ses droits.

Comment Zendesk s’est-elle préparée pour la CCPA et comment les produits Zendesk soutiennent-ils la conformité à la CCPA ?

Zendesk a suivi la CCPA et s’est préparée à la conformité depuis que la CCPA a été adoptée pour la première fois en 2018. Plus récemment, le Bureau du Procureur général de Californie a indiqué qu’il pourrait modifier à nouveau les réglementations proposées pour la CCPA. À la lumière de potentiels amendements, Zendesk continue à respecter activement la loi et nous continuerons à tenir nos clients au courant des caractéristiques et fonctionnalités qu’ils peuvent utiliser pour soutenir leurs efforts en matière de conformité. Les clients peuvent également consulter nos Guides de produits pour obtenir des informations plus détaillées sur la façon d’utiliser les produits de Zendesk afin de se conformer aux lois sur la confidentialité des données, ainsi que notre Politique de suppression des données pour obtenir des détails sur la suppression des Données de service.

Comment la CCPA s’applique-t-elle aux clients Zendesk ?

Les clients Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « Entreprises » dans le cadre de la CCPA. Les entreprises ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la CCPA. Zendesk agit en tant que « Prestataire de service », tel que ce terme est défini dans la CCPA, au regard du traitement des données à caractère personnel par le biais de nos Services. Par conséquent, Zendesk recueille, accède, conserve, utilise, traite et transfère les informations personnelles de nos clients et des utilisateurs finaux de nos clients traitées via les Services uniquement dans le but d’exécuter nos obligations en vertu de nos contrats existants avec nos clients ; et à aucune fin commerciale autre que l’exécution de ces obligations et l’amélioration des Services que nous fournissons.

Zendesk vend-elle des informations personnelles ?

Nous ne vendons pas les informations personnelles de nos clients telles qu’elles sont actuellement définies dans la CCPA, ce qui signifie que nous ne louons pas, ne divulguons pas, ne libérons pas, ne transférons pas, ne mettons pas à disposition ou ne communiquons pas autrement ces informations personnelles à un tiers pour une contrepartie monétaire ou autre. Nous pouvons partager avec des tiers des informations agrégées et/ou anonymisées concernant l’utilisation du ou des Services, qui ne sont pas considérées comme des informations personnelles en vertu de la CCPA, pour nous aider à développer et à améliorer les Services et pour fournir à nos clients un contenu et des offres de services plus pertinents, comme le précisent nos accords d’abonnement.

Comment les clients Zendesk peuvent-ils garantir la conformité avec la CCPA ?

Il est conseillé aux abonnés de consulter leur propre conseiller juridique, afin d’évaluer comment la CCPA s’applique spécifiquement à eux et de déterminer comment atteindre leur propre conformité à la CCPA.

LGPD

La loi générale brésilienne sur la protection des données ou Lei Geral de Proteção de Dados Pessoais (« LGPD»), est entrée en vigueur le 16 août 2020. Il s’agit de la loi principale au Brésil relative à la protection des données personnelles.

L’accord-cadre d’abonnement de Zendesk traite-t-il spécifiquement de la LGPD ?

Vous pouvez consulter et/ou signer si vous le souhaitez l’Annexe LGPD de Zendesk au Accord-cadre d'abonnement en cliquant ici.

De plus, le Contrat-cadre d’Abonnement (MSA) de Zendesk, d’autres documents relatifs à la confidentialité et aux produits, ainsi que nos pratiques internes sont conçus pour une utilisation à l’échelle mondiale et nous les mettons à jour si nécessaire pour continuer à fournir nos Services aux clients localisés en Amérique latine et dans les Caraïbes conformément aux exigences légales. Nous attirons votre attention sur la section intitulée « Brésil » dans les Termes spécifiques aux Régions de Zendesk, qui font partie du Contrat-cadre d’abonnement de Zendesk et qui se trouve à l’adresse suivante : https://www.zendesk.com/company/agreements-and-terms/region-specific-terms/.

Pour plus d’informations sur nos pratiques en matière de confidentialité et les fonctionnalités que nous fournissons pour soutenir la conformité de nos clients, veuillez consulter notre site Web Confidentialité et protection des données, notre Politique de suppression des données et nos Guides de produits.

Qu’est-ce que la LGPD ?

La LGPD est la principale loi brésilienne relative à la protection des données personnelles, visant à protéger « les droits fondamentaux de la liberté et de la vie privée et le libre développement de la personnalité de la personne physique ». À ce titre, les responsables du traitement et les sous-traitants (tels que définis en vertu de la LGPD) sont tenus d’adhérer à certains principes lors du traitement des données à caractère personnel, y compris, mais sans s’y limiter, la finalité, la nécessité, la transparence et la sécurité.

Comment Zendesk s’est-elle préparée pour la LGPD et comment les Services Zendesk soutiennent-ils la conformité avec la LGPD ?

Zendesk a suivi la LGPD et s’est préparée à la conformité depuis que la LGPD a été adoptée pour la première fois en 2018. En outre, l’Autorité nationale de protection des données (ANPD) peut émettre des directives supplémentaires pour la LGPD. À la lumière de telles directives, Zendesk continue à respecter activement la loi et nous continuerons à tenir nos clients au courant des caractéristiques et fonctionnalités qu’ils peuvent utiliser pour soutenir leurs efforts en matière de conformité. Les clients peuvent également consulter nos Guides de produits pour obtenir des informations plus détaillées sur la façon d’utiliser les Services de Zendesk pour se conformer aux lois sur la confidentialité des données, ainsi que notre Politique de suppression des données pour plus de détails sur la suppression des Données de service.

Comment la LGPD s’applique-t-elle aux clients Zendesk ?

Les clients de Zendesk qui collectent et stockent des données à caractère personnel dans les Services Zendesk peuvent être considérés comme des « responsables du traitement » en vertu de la LGPD. Les responsables du traitement ont la responsabilité principale de s’assurer que leur traitement des données à caractère personnel est conforme à la législation applicable en matière de protection des données, notamment la LGPD. Zendesk agit en tant que « sous-traitant », tel que ce terme est défini dans la version actuelle de la LGPD, au regard du traitement des données à caractère personnel par le biais de nos Services. Par conséquent, Zendesk traite les données à caractère personnel de nos clients et des utilisateurs finaux de nos clients sur instruction de nos clients.

Comment les clients Zendesk peuvent-ils garantir la conformité avec la LGPD ?

Il est conseillé aux clients de consulter leur propre conseiller juridique, afin d’évaluer la manière dont la LGPD s’applique spécifiquement à eux et de déterminer la meilleure façon d’atteindre leur propre conformité avec la LGPD.

Préparation des produits de Zendesk à la Confidentialité et à la protection des données

Cliquez sur les produits Zendesk ci-dessous pour voir les caractéristiques et fonctionnalités disponibles dans chacun des produits Zendesk, qui peuvent soutenir la conformité aux obligations de confidentialité et de protection des données.

Les cadres de protection de la vie privée de différentes régions peuvent différer dans la terminologie qu’ils utilisent pour décrire les rôles et obligations des parties respectives. Par souci de cohérence, Zendesk utilise les termes suivants dans l’ensemble de ces guides pour s’appliquer à l’échelle mondiale. Pour éviter toute ambiguïté, ces définitions ne remplacent pas les définitions se trouvant dans les accords que les clients ou les individus peuvent avoir avec Zendesk.

  • Le responsable du traitement des données est la partie qui détermine les finalités et les moyens du traitement des données à caractère personnel ;
  • Le sous-traitant est la partie qui traite les données à caractère personnel pour le compte du responsable du traitement des données ;
  • La personne concernée est la personne physique identifiée ou identifiable, dont les données à caractère personnel sont en cause ; et
  • Les données à caractère personnel sont toutes les informations relatives à la personne concernée.

Pour en savoir plus sur la façon dont les produits Zendesk s’alignent sur les droits mondiaux à la confidentialité, veuillez cliquer sur les icônes ci-dessous

Cliquez sur les produits Zendesk ci-dessous pour voir les caractéristiques et fonctionnalités disponibles dans chacun des produits Zendesk, qui peuvent soutenir la conformité au RGPD. Si vous êtes un client de Zendesk Suite, les produits référencés dans le tableau ci-dessous correspondent à la fonctionnalité suivante, qui peut être mise à disposition dans votre Plan de service (tel que défini dans les termes spécifiques au service disponibles ici : https://support.zendesk.com/hc/en-us/articles/360047508453-Supplemental-terms-Zendesk-s-service-specific-terms).

  • Assistance Zendesk
  • Guide Zendesk
  • Zendesk Chat
  • Zendesk Talk
  • Zendesk Explore
  • Zendesk Connect
Produit Fonctionnalité de Zendesk Suite
Assistance Fonctionnalité du Système de Tickets
Guide Fonctionnalité de Centre d’aide
Chat Fonctionnalité de Chat en direct
Talk Fonctionnalité vocale
Explore Fonctionnalité d’analyse

Règles d’entreprise contraignantes

Que sont les règles d’entreprise contraignantes ?

Les règles d’entreprise contraignantes (« BCR ») sont des politiques de protection des données à l’échelle de l’entreprise approuvées par les autorités européennes en charge de la protection des données, afin de faciliter les transferts intragroupe de données à caractère personnel de l’Espace économique européen (« EEE ») vers des pays en dehors de l’EEE. Les BCR sont basées sur des principes stricts de confidentialité établis par les autorités en charge de la protection des données de l’Union européenne. Elles nécessitent une consultation intensive avec ces autorités. Les clients peuvent trouver la liste complète des entités approuvées sur la liste approuvée des Règles d’entreprise contraignantes ici.

Zendesk a-t-elle des BCR approuvées en place ?

Oui, Zendesk a achevé le processus d’approbation de l’UE, auprès du Commissaire irlandais à la protection des données (« CPD ») (après un examen par les pairs par le Bureau du commissaire à l’information du Royaume-Uni et l’Autorité néerlandaise de protection des données) pour ses règles d'entreprise contraignantes (« BCR ») mondiales en tant que sous-traitant et responsable du traitement des données. Cette approbation réglementaire importante valide la mise en œuvre par Zendesk des normes les plus élevées possible pour la protection des données à caractère personnel à l’échelle mondiale, couvrant à la fois les données à caractère personnel de ses clients et de ses employés.

Zendesk est l'un des rares éditeurs de logiciels au monde à avoir reçu l'approbation pour ses BCR ; et seulement la deuxième entreprise à recevoir l'approbation du CPD irlandais.

Pour accéder aux BCR de Zendesk, veuillez suivre les liens pertinents ci-dessous :

Les Règles d’entreprise contraignantes pour le sous-traitant de Zendesk (qui s’appliquent lorsque Zendesk traite des données à caractère personnel pour le compte de ses clients) ; et

Les Règles d’entreprise contraignantes mondiales du responsable du traitement de Zendesk (qui s’appliquent lorsque Zendesk traite des données à caractère personnel pour lesquelles elle est un responsable de traitement de données).

Zendesk met-elle à jour ses BCR ?

Zendesk a mis à jour ses Règles d’entreprise contraignantes pour les aligner sur le RGPD et pour améliorer davantage les protections de confidentialité solides que nous offrons à nos clients. Zendesk a informé l’autorité irlandaise de protection des données de ces mises à jour dans le cadre de notre mise à jour annuelle.

Bouclier de protection des données

Qu’est-ce que le Bouclier de protection des données ?

Le ministère du Commerce des États-Unis, avec la Commission européenne et le gouvernement suisse, a créé l’EU–US- et le Swiss–US Privacy Shield Frameworks, ou Bouclier de protection des données UE-EU et Suisse-EU afin de fournir aux entreprises un mécanisme permettant de transférer des données à caractère personnel de l’Union européenne vers les États-Unis, d’une manière qui offre un niveau de protection adéquat aux fins de la législation européenne sur la protection des données.

Zendesk est-elle certifiée en vertu du Bouclier de protection des données ?

Zendesk a certifié sa conformité avec les normes du Bouclier de protection des données UE-EU et Suisse-EU au ministère du Commerce et a été ajoutée à la liste des participants auto-certifiés au bouclier de protection des données du ministère du Commerce. Nos certifications confirment que nous respectons les principes du Bouclier de protection des données pour le transfert de données à caractère personnel européennes et suisses vers les États-Unis.

Comment l’invalidation du Bouclier de protection des données affecte-t-elle les transferts des Données de service Zendesk de l’EEE vers les États-Unis ?

Le 16 juillet 2020, la Cour de justice de l’Union européenne (« CJUE ») a rendu un arrêt invalidant l’accord UE-États-Unis. Programme de bouclier de protection des données. Les clients de Zendesk peuvent continuer à utiliser les services de Zendesk et à transférer des données conformément à la législation européenne telle que le RGPD, car nous avons à la fois des Règles d’entreprise contraignantes et des Clauses types (intégrées dans notre Accord de traitement des données).

Nous comprenons que vous puissiez avoir des questions concernant l’invalidation du Bouclier de protection des données et la position de Zendesk à ce sujet, c’est pourquoi nous avons publié ce post sur le blog pour répondre à vos questions.

Si vous souhaitez accéder à l’ATD Zendesk pour examen ou signature, vous pouvez y accéder dans votre console d’administration Client ou cliquez ici.

Rapport de transparence Zendesk

En date du : 09 février 2022.

À PROPOS DE NOTRE RAPPORT DE TRANSPARENCE

Zendesk, comme de nombreuses entreprises technologiques, reçoit occasionnellement des demandes d'organismes chargés de l'application de la loi aux États-Unis et ailleurs, à la recherche d'informations sur les clients. Lesdites demandes peuvent prendre la forme d’une assignation à comparaître, d’une ordonnance du tribunal, d’un mandat de perquisition ou d’une lettre de procédure de sécurité nationale. Zendesk doit se conformer aux demandes gouvernementales valides de données personnelles.

Dans le même temps, Zendesk se soucie profondément de maintenir la confiance de nos clients. Une façon de le faire est d’informer les clients de Zendesk et le public des demandes gouvernementales auxquelles il répond. Pour ce faire, nous avons préparé ce rapport de transparence.

Ce rapport de transparence fournit des informations relatives aux demandes d’informations à caractère personnel émanant des organes d’application de la loi que nous avons reçues au cours du second semestre de 2021 (du 1er juillet 2021 au 31 décembre 2021). Zendesk fournira des rapports mis à jour environ tous les six mois pour la période de six mois précédente.

Pour plus d’informations sur l’approche de Zendesk pour répondre aux demandes d’informations émanant des organes d’application de la loi et autres agences gouvernementales, veuillez consulter notre Politique relative aux demandes de données gouvernementales ici.

RAPPORT

Demandes des entités gouvernementales et de l’application de la loi des États-Unis

Type de demande Nombre de demandes Données de contenu divulguées Données non-contenu divulguées
Assignation 4 0 0
Ordonnance du tribunal 0 S/O S/O
Mandat de perquisition 0 S/O S/O
Demandes d’urgence 1 0 0

Procédure de sécurité nationale

En vertu de la loi des États-Unis, 50 U.S.C. § 1874, Zendesk a l’interdiction de fournir certains détails concernant les demandes émises en vertu de FISA ou 18 U.S.C. § 2709 (lettres de sécurité nationale ou NSL). Zendesk ne peut déclarer que le nombre cumulé de procédures qu’elle reçoit dans des fourchettes définies par la loi, sous réserve d’un retard de six mois. Le tableau suivant fournit des informations concernant les procédures de sécurité nationale reçues par Zendesk dans les tranches autorisées par la loi, sous réserve d’un retard de six mois dans la déclaration.

Période de rapport Procédures de sécurité nationale Nombre de comptes clients affectés
2021 – Premier semestre 0 0

Demandes provenant d’une entité non américaine Application de la loi et entités gouvernementales

Bien que Zendesk soit située aux États-Unis, nous sommes présents dans plusieurs autres pays. Lorsque nous recevons des demandes de gouvernements de pays autres que les États-Unis, nous travaillons avec des avocats des États-Unis et de ces pays autres que les États-Unis pour déterminer la validité de la demande et notre obligation de répondre en vertu des Lois des États-Unis et d’autres lois applicables.

Type de demande Nombre de demandes Nombre de divulgations de données
Demandes informelles 1 0
Demandes gouvernementales non américaines conformément à un MLAT 0 S/O

Définitions

  • Données de contenu: Inclut le contenu des communications des Utilisateurs finaux avec un Compte, comme le contenu des Tickets d’assistance Zendesk et des Chats Zendesk. Les données de contenu sont généralement considérées comme des Données de service telles que définies dans le Contrat-cadre d’abonnement de Zendesk.
  • Données hors contenu: Toutes les données qui ne sont pas des Données de contenu. Il peut s’agir d’Informations de compte telles que définies dans la Politique de confidentialité de Zendesk (telles que le nom et les coordonnées du propriétaire du compte, les informations de facturation du compte, la durée du Service, les types de Services utilisés et les informations de connexion au compte). Ce type d’informations est également appelé « Informations de base de l’abonné » et doit être produit en réponse à une assignation valide du gouvernement. En outre, en réponse à une ordonnance du tribunal, Zendesk peut également devoir produire des métadonnées hors contenu liées aux communications des Utilisateurs finaux avec un Compte.
  • Assignation : Une demande légale obligatoire pour la production de documents.
  • Ordonnance du tribunal : Ordonnance rendue par un juge lorsqu’il conclut qu’il existe des motifs raisonnables de croire que les renseignements demandés sont pertinents et importants pour une enquête criminelle en cours.
  • Mandat de perquisition : Ordonnance émise par un tribunal à la demande formelle d’un organe d’application de la loi et sur constatation d’une cause probable. Un mandat de perquisition est requis pour obtenir des Données de contenu.
  • MLAT : Signifie « traité d'entraide judiciaire ». Zendesk exige que les entités gouvernementales non américaines utilisent la procédure légale internationale appropriée pour obtenir les données traitées par Zendesk au nom d'un client.
  • Lettres de sécurité nationale : Une lettre de sécurité nationale émise en vertu de l’article 18 U.S.C. § 2709.
  • Ordonnances FISA : Une ordonnance ou une demande émise en vertu de la loi Foreign Intelligence Surveillance Act (50 U.S.C. § 1801, et suivants) pour les informations des utilisateurs émises aux États-Unis.

VERSIONS HISTORIQUES

Du 1er janvier 2021 au 30 juin 2021

Du 1er janvier 2021 au 22 février 2021

Ressources supplémentaires

Rapports/certificats Zendesk :

Ressources tierces :

Dernière mise à jour le 1er juin 2021.