Questions fréquemment posées sur la conformité au RGPD

Ping Identity dispose d'un programme complet de confidentialité et de sécurité pour permettre la conformité avec le RGPD et avec d'autres lois applicables en matière de confidentialité dans le monde entier. Nos règles, procédures et contrôles sont conçus pour refléter des principes de protection des données, tels que la limitation de leur collecte, leur qualité et la spécification des objectifs qui leur sont liés, et constituent la base de notre programme de confidentialité et de protection des données de l'entreprise. La transparence et la responsabilité sont au cœur de notre programme.

Ping Identity est un fournisseur leader de produits pour la gestion des identités et des accès (IAM) et de solutions de sécurité connexes pour les grandes entreprises. Nos produits permettent à nos clients de fournir à leurs employés et à leurs propres clients un accès sécurisé à leurs réseaux et à leurs systèmes. Nos produits vont des solutions fondamentales de single sign-on aux workflows d'authentification adaptative entièrement orchestrés et basés sur le niveau de risque, qui prennent en charge différents cas d'usage de l'IAM, tels que la détection des fraudes, la vérification de l'identité et l'autorisation.

Afin de fournir des services IAM, les données personnelles relatives aux employés et/ou aux clients de nos clients peuvent être systématiquement transférées et traitées par Ping Identity. Ces données sont traitées selon les besoins pour fournir les services, vérifier et authentifier l'identité des utilisateurs, gérer les droits d'accès et les privilèges, et à des fins compatibles de sécurité et de gestion des accès.

Les solutions Ping Identity ne nécessitent généralement que des éléments de données non sensibles tels que le prénom et le nom de la personne, son titre, son poste, son employeur, ses coordonnées (entreprise, e-mail, téléphone, adresse professionnelle physique), une pièce d'identité et les informations liées à l'appareil utilisé, à la connexion et à la localisation. Certains produits permettent aux clients et aux utilisateurs finaux de gérer les données biométriques à des fins d'authentification et d'authentification multifactorielle :

Pour le service PingID : Le service lui-même ne traite pas les données biométriques mais permet aux utilisateurs de s'authentifier en utilisant les capacités biométriques de leurs appareils (comme TouchID).
Pour le service PingOne Verify : s'il est mis en œuvre par notre client, les données biométriques (reconnaissance faciale) sont traitées à des fins d'authentification. L’utilisateur final télécharge une photo pour activer cette fonctionnalité.
Pour le service PingOne DaVinci : La plate-forme d’orchestration permet aux clients de traiter et de stocker des catégories de données supplémentaires, qui peuvent inclure des catégories spéciales de données, celles-ci sont déterminées par le client et ne sont pas requises par Ping Identity.

Bien que Ping Identity serve principalement de processeur de données dans le cadre du RGPD, nous traitons également les données des clients, comme le permet la loi, à des fins commerciales internes spécifiques et limitées, à savoir :

Détecter les failles de sécurité et vous protéger contre les activités malveillantes, trompeuses, frauduleuses ou illégales.
Le débogage pour identifier et réparer les erreurs qui nuisent à la fonctionnalité prévue de nos produits et d'autres activités nécessaires pour maintenir la qualité et/ou la sécurité des produits et des plates-formes.
Des activités opérationnelles internes, telles que la réponse aux demandes des personnes concernées, la réalisation de sauvegardes dans le cadre de programmes de reprise après sinistre/de continuité des activités et la confirmation des quantités utilisées.
Le traitement requis à des fins de conformité légale ou réglementaire.

La confidentialité, l'exactitude, l'intégrité et la disponibilité des données que nous traitons sont d'une importance capitale pour Ping Identity. En tant que leader dans le secteur de la sécurité des entreprises, nos produits sont conçus pour offrir une sécurité inégalée. Vous trouverez des informations complètes sur le programme de sécurité informatique de Ping Identity en consultant Security at Ping Identity et notre Security Exhibit.

Ping Identity maintient les certifications SSAE18 SOC 2 et ISO/IEC 27001:2013. ISO 27001 est la norme internationale qui définit les meilleures pratiques pour les systèmes de gestion de la sécurité de l'information. Le respect de ces normes démontre notre engagement en faveur d'un programme de sécurité reproductible, en constante amélioration et basé sur le niveau de risques. Le système de gestion a été inspecté par un tiers indépendant accrédité par l'ANSI-ASQ National Accreditation Board (ANAB).

Ping Identity utilise également un chiffrement fort pour les données en transit et au repos afin de renforcer la sécurité et la confidentialité des données des clients.

Les produits et solutions IAM de Ping Identity ont reçu de nombreuses récompenses pour la sécurité informatique, la sécurité des API et l'excellence de la plateforme. La liste de nos récompenses est disponible ici.

Oui, Ping Identity utilise un chiffrement fort pour les données en transit et au repos afin d'améliorer la sécurité et la confidentialité des données des clients.

Notre programme d'intervention en cas de violation de la sécurité est conçu pour nous permettre (1) de détecter d'éventuelles violations de la sécurité, (2) d'atténuer le risque de préjudice lié à la violation et (3) de nous conformer aux lois applicables et à nos contrats. En tant que sous-traitant, si nous déterminons qu'une faille de sécurité a affecté les données d'un client, nous en informerons ce dernier dans les plus brefs délais.

Oui, les filiales de Ping Identity dans l'EEE ont désigné un délégué à la protection des données (DPD). Vous pouvez contacter le DPD de Ping Identity via dpo_privacy@pingidentity.com

Si nous recevons une demande d'une personne en notre qualité de sous-traitant, nous la renverrons à notre client.

Oui. Lorsque nous agissons en tant que processeur de données pour des clients, Ping Identity inclut les conditions obligatoires dans nos contrats, comme l'exigent les dispositions de l'article 28, paragraphe 3, du RGPD. Notre addendum sur la confidentialité des données clients (DPA) est disponible ici. Les conditions légales sont également incluses dans les contrats que nous concluons avec nos fournisseurs et prestataires de services.

Comme indiqué dans notre addendum sur la confidentialité des données des clients, lorsque les données personnelles ne sont plus nécessaires aux fins énoncées dans l'accord client ou à un moment antérieur sur demande écrite du client, nous (à la demande du client) lui restituerons les données du client ou les supprimerons (à l'exception des sauvegardes et des données de surveillance qui seront supprimées conformément à la politique de conservation des données de Ping Identity). Toutes les données personnelles qui ne sont pas immédiatement supprimées continueront d'être protégées conformément au RGPD et à notre DPA. Notre DPA client est disponible ici.

Ping Identity est heureux d'aider ses clients à compléter l'AIPD (analyse d'impact relative à la protection des données) conformément à la loi. En pratique, les activités de traitement associées à nos services IAM ne présentent généralement pas de « risque élevé » pour les utilisateurs. En tant que sous-traitant, Ping Identity n'est généralement pas engagé dans le profilage, la prise de décision automatisée ou d'autres activités qui déclenchent des exigences en matière d'AIPD. Ping Identity peut fournir des informations supplémentaires sur demande.

Ping Identity a mis en place des programmes formels de gestion des risques liés aux fournisseurs de services tiers. Ces programmes comprennent des procédures de qualification des fournisseurs, de passation de contrats, de surveillance continue et de retrait à la fin du contrat. Tous les fournisseurs qui gèrent des données personnelles sont tenus d'accepter les conditions contractuelles appropriées, et ceux qui accèdent aux données personnelles de l'EEE sont liés par des conditions contractuelles qui reflètent l'article 28 du RGPD. Une liste des processeurs tiers susceptibles d'avoir accès aux données personnelles des clients est fournie ici.

Les données des clients sont stockées physiquement dans les centres de données sécurisés de Google Cloud Platform (GCP) et d'Amazon Web Services (AWS), aux emplacements indiqués dans notre supplément de données. Chaque client choisit sa région d'hébergement lors de la mise en œuvre, et les clients de l'EEE/du Royaume-Uni/de la Suisse peuvent choisir de stocker leurs données au sein de l'EEE, dans les centres de colocation d'AWS en Allemagne et en Irlande. Toutefois, ces données peuvent être consultées à distance par les employés de Ping Identity, selon les besoins, pour fournir les services contractuels et l'assistance 24 heures sur 24, 7 jours sur 7. L'accès à distance aux données de l'EEE/du Royaume-Uni/de la Suisse peut se faire depuis nos centres d'opérations situés dans notre supplément de données.

Les entreprises peuvent utiliser des clauses contractuelles standard pour transférer des données à caractère personnel vers des pays tiers si elles évaluent également les risques des transferts vers des juridictions hors EEE. Comme l'a noté la Cour européenne de justice dans l'avis Schrems II, la principale préoccupation est l'accès des gouvernements étrangers aux données à caractère personnel dans le cadre de la sécurité nationale et des activités de maintien de l'ordre. L’accès à distance aux données de l’EEE/du Royaume-Uni/de la Suisse peut se faire à partir de nos centres d’exploitation situés dans notre supplément de données. Le Canada, Israël et le Royaume-Uni ont été jugés adéquats par la Commission européenne.

Pour les transferts vers les États-Unis, les entreprises doivent évaluer les risques découlant du décret 12333 et de la section 702 de la loi sur la surveillance du renseignement étranger (FISA). Les risques liés au décret 12333 découlent de la capacité du gouvernement américain à collecter des données à caractère personnel pendant qu'elles sont en transit vers les États-Unis, en interceptant les données qui transitent par les câbles transatlantiques. Les données personnelles peuvent être efficacement protégées par ce type d'interception grâce à des mesures de sécurité, telles que le chiffrement. Ping Identity chiffre les données des clients dans nos services en transit et au repos. Les risques liés à la FISA 702 découlent de la capacité du gouvernement américain à obtenir des divulgations sans mandat de données provenant de certains types d'entreprises de communication. Ping Identity ne fournit pas de services de télécommunications ou de messagerie électronique.

En outre, pour mieux traiter et atténuer les risques soulevés par la Cour Schrems, le gouvernement américain a mis en œuvre des contrôles et des sauvegardes supplémentaires. Le 7 octobre 2022, l'Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (décret sur le renforcement des garanties pour les activités de renseignement d'origine électromagnétique des États-Unis)¹ a été adopté :

ajoute des garanties supplémentaires pour les activités de renseignement d'origine électromagnétique des États-Unis, notamment en exigeant que ces activités soient menées uniquement dans le cadre d'objectifs de sécurité nationale définis, qu'elles tiennent compte de la vie privée et des libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence, et qu'elles soient menées uniquement lorsque cela est nécessaire pour faire avancer une priorité validée en matière de renseignement, et uniquement dans la mesure et d'une manière proportionnelle à cette priorité.
impose des exigences en matière de traitement des informations à caractère personnel collectées dans le cadre d'activités de renseignement d'origine électromagnétique et étend les responsabilités des responsables juridiques, des responsables de la surveillance et des responsables de la conformité afin de garantir que des mesures appropriées sont prises pour remédier aux cas de non-conformité.
Exige que les éléments de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles garanties en matière de protection de la vie privée et des libertés civiles contenues dans le décret.
crée un mécanisme à plusieurs niveaux permettant aux personnes d'obtenir un examen indépendant et contraignant et une réparation en cas d'allégations selon lesquelles leurs informations personnelles collectées par les services de renseignement électromagnétique américains ont été collectées ou traitées par les États-Unis en violation de la législation américaine applicable, y compris les garanties renforcées prévues par l'ordonnance.
invite le Conseil de surveillance de la vie privée et des libertés civiles à examiner les politiques et procédures de la communauté du renseignement pour s'assurer qu'elles sont conformes au décret et à procéder à un examen annuel de la procédure de recours.

Une déclaration de réponse de la Commission européenne², également publiée le 7 octobre, note qu'il s'agit d'"améliorations significatives" et indique que, sur la base de l'ordonnance, la Commission va maintenant préparer un projet de décision d'adéquation pour le nouveau cadre UE-États-Unis de protection des données à caractère personnel et lancer la procédure d'adoption du cadre mis à jour.

Depuis janvier 2017, Ping Identity participe activement aux programmes du bouclier de protection de la vie privée UE-États-Unis et Suisse-États-Unis. Même s'il faudra un certain temps pour que le cadre actualisé du bouclier de protection de la vie privée soit déclaré adéquat et utilisé pour les transferts, l'ordonnance elle-même montre clairement que les risques soulevés par la Cour Schrems sont atténués par le gouvernement américain, ce qui confirme également le bien-fondé des transferts effectués en vertu des clauses contractuelles types.

Pour les transferts vers l'Australie et l'Inde, les entreprises doivent évaluer les risques liés aux lois locales prévoyant (et réglementant) l'accès aux données personnelles par les services de police et de sécurité nationale. Les deux pays ont également diverses lois sur la protection de la vie privée qui offrent des protections pour les données personnelles. En outre, Ping Identity a mis en place plusieurs mesures de sécurité et d'organisation supplémentaires pour contribuer à la protection des données à caractère personnel.

Bien qu'il incombe en dernier ressort à nos clients d'évaluer les risques liés aux transferts de données à caractère personnel en dehors de l'EEE/du Royaume-Uni/de la Suisse, nous avons préparé plusieurs ressources qui sont disponibles sur demande pour aider nos clients à effectuer ces analyses.

_________________________________________

¹ Ordre : https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
Fiche d'information : https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-us-data-privacy-framework/

² https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045

Ping Identity a établi une règle en matière de demandes de données personnelles par les agences gouvernementales. Nous publions également un rapport de transparence détaillé qui résume toutes les demandes gouvernementales d'accès aux données par le biais de citations à comparaître, de mandats de perquisition, d'ordonnances judiciaires, de demandes de sécurité nationale et de demandes internationales, ainsi que le type de réponse fournie, dans la mesure où la publication est autorisée par la législation locale. Veuillez noter que Ping Identity n’a pas reçu et ne s’attend pas à recevoir de demandes d’accès aux données des clients de la part d’organismes gouvernementaux.

Non. Ping Identity n’a pas reçu et ne s’attend pas à recevoir des demandes d’accès aux données des clients de la part d’organismes gouvernementaux. Ping Identity ne fournit pas de services de télécommunications ou de messagerie électronique. Pour des raisons de clarté, certains de nos produits permettent aux clients de communiquer avec les services Ping Identity dans le cadre de processus d'authentification multi facteurs (tels que le SMS pour vérifier). Ces fonctions reposent sur des fournisseurs de télécommunications tiers (à savoir l'opérateur ou le fournisseur d'accès Internet de l'utilisateur), et ces tiers peuvent être soumis à des lois telles que la FISA. Ces fonctions sont facultatives et les communications avec les services de Ping Identity n'entraînent aucun traitement de données sensibles ou d'autres informations susceptibles d'être qualifiées d'"informations de renseignements étrangers" au sens de l'article 1801(e) du 50 USC.

La politique de Ping Identity et le rapport de transparence actuel sont disponibles ici.

Ping Identity a évalué les risques associés aux transferts transfrontaliers et nous sommes heureux d'aider les clients à documenter l'opportunité d'autoriser Ping Identity à traiter des données dans une juridiction non adéquate. Nous pouvons vous fournir des informations supplémentaires sur demande.

Nous sommes toujours heureux de recevoir des questions ou des commentaires liés à la confidentialité. Vous pouvez contacter le bureau mondial de confidentialité de Ping Identity pour toute question par e-mail à privacy@pingidentity.com.

L'engagement de Ping Identity pour la conformité au RGPD

1. Comment Ping Identity se conforme-t-il au RGPD ?

2. Quels types d’« activités de traitement » des données sont effectuées par Ping Identity ?

3. Quels types de données à caractère personnel sont traités par Ping Identity lors de la fourniture de services ?

4. Ping Identity traite-t-il ensuite les données à caractère personnel pour ses propres besoins ?

5. Quelles sont les mesures de sécurité utilisées par Ping Identity pour protéger les données à caractère personnel ?

6. Ping Identity chiffre-t-il les données personnelles des clients ?

7. Comment Ping Identity gérerait-il une faille de sécurité ?

8. Ping Identity dispose-t-il d’un délégué à la protection des données dans l’EEE (Espace Économique Européen) ?

9. Comment Ping Identity gère les demandes des personnes concernées pour que les utilisateurs de nos clients exercent leurs droits à la confidentialité ?

10. Les contrats de Ping Identity répondent-ils aux exigences du RGPD ?

11. Combien de temps Ping Identity conserve les données personnelles ?

12. Comment obtenir les informations nécessaires à la réalisation des analyses d'impact sur la protection des données ?

13. Comment Ping Identity gère les processeurs et sous-processeurs tiers ?

14. Quelles sont les garanties mises en place par Ping Identity pour le transfert de données à caractère personnel en dehors de l'Europe ?

15. Comment l'arrêt Schrems II affecte-t-il les services de Ping Identity ?

16. Comment Ping Identity répondrait-il à une demande d'accès aux données des clients émanant des autorités policières ?

17. Ping Identity reçoit-il des ordonnances de divulgation FISA 702 ?

18. Ping Identity a-t-elle évalué les risques liés aux transferts transfrontaliers ?

19. Comment puis-je contacter Ping Identity au sujet de la protection des données ?

L'engagement de Ping Identity  pour la conformité au RGPD