close

Keeper Security s'engage à mettre en œuvre le respect du RGPD

Les changements importants à venir en conséquence de l'application du RGPD

Qu'est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est considéré comme l'élément le plus important introduit dans la législation de l'Union européenne (UE) en 20 ans en matière de protection des données. Il remplace la directive sur la protection des données personnelles de 1995. Le RGPD consolide les droits des personnes physiques européennes en matière de protection de la vie privée et renforce les obligations reposant sur les entreprises et organisations manipulant des données. Chez Keeper Security, nous nous engageons à faire du RGPD un succès.

Le RGPD régule le traitement des données à caractère personnel concernant des personnes physiques en Union européenne, notamment la collecte, le stockage, le transfert ou l'utilisation de telles données. Le concept de « données à caractère personnel » est défini au sens large et couvre toute information relative à une personne physique identifiée ou identifiable, désignée par le RGPD comme une « personne concernée ». Pour la plupart des entreprises, cette définition englobe à la fois ses collaborateurs et ses clients.

Le RGPD identifie deux entités pouvant traiter des données à caractère personnel. Un « responsable du traitement des données » contrôle le traitement des données à caractère personnel et décide des données à collecter. Un « sous-traitant » agit sous la direction d'un responsable du traitement et collecte, stocke, extrait et/ou supprime des données à caractère personnel. Keeper Security est un responsable du traitement des données lorsque nous vendons notre gestionnaire de mots de passe directement à des particuliers. Nous sommes un sous-traitant lorsque nous vendons un produit à des entreprises, qui sont alors considérées comme responsables du traitement.

Notre engagement

Keeper est conforme au RGPD et nous nous engageons à maintenir la conformité de nos procédures d'entreprise et produits au RGPD pour nos clients de l'Union européenne.

Le client web, les applis Android, Windows Phone et iPhone/iPad et les extensions de navigateur Keeper ont déjà été certifiés « sphère de sécurité » (Safe Harbour) de l'UE, conformément au programme Safe Harbour UE/États-Unis du ministère américain du commerce et respectent la directive sur la protection des données personnelles de la Commission européenne. Keeper est également certifié conforme SOC 2 Type 2, conformément au cadre défini par l'AICPA Service Organization Control. Keeper est aussi certifié ISO27001.

Renforcement des droits des personnes physiques

Le RGPD renforce les droits des personnes physiques dans l'Union européenne en leur accordant notamment le droit à l'oubli et le droit d'obtenir une copie de toute donnée à caractère personnel stockée à leur égard. Ces données doivent être fournies dans un format couramment utilisé et lisible par machine et le responsable du traitement ne doit pas s'opposer au transfert de ces données.

Obligations de respect

Le RGPD exige que les entreprises et organisations mettent en place des politiques appropriées et des protocoles de sécurité, effectuent des évaluations d'impact sur la confidentialité, conservent des archives détaillées des activités liées aux données et concluent des accords écrits avec des fournisseurs.

Application stricte

Conformément au RGPD, les autorités peuvent infliger aux entreprises ou organisations des amendes allant jusqu'à soit 20 millions d'euros soit 4 % du chiffre d'affaire mondial annuel (le plus élevé de ces deux montants étant retenu), en fonction de la gravité de la violation et des dommages subis. De plus, le RGPD fournit un point central d'application pour les entreprises et organisations effectuant des opérations dans plusieurs états-membres de l'UE en exigeant des entreprises qu'elles travaillent avec une autorité de contrôle chef de file pour les problématiques de protection transfrontalière des données.

Nouvelles obligations en matière de profilage et surveillance

Le RGPD impose des obligations supplémentaires de sécurité aux entreprises et organisations effectuant le profilage ou la surveillance de comportements de personnes physiques de l'UE. Les dispositions du RGPD s'appliquent dans le monde entier à n'importe quelle entreprise ou organisation traitant des données à caractère personnel de personnes physiques de l'Union européenne, notamment le suivi de leurs activités en ligne, compte non tenu de la présence physique de l'entreprise ou organisation en UE.

Signalisation des violations de données et sécurité

Le RGPD exige que les entreprises et organisations signalent certaines violations de données aux autorités de protection des données et, dans certaines circonstances, aux personnes concernées affectées. Le RGPD impose également aux entreprises et organisations des obligations supplémentaires de sécurité.

Le contrat de traitement des données (DPA) de Keeper

Les clients professionnels devront peut-être signer un contrat de traitement des données (DPA, Data Processing Agreement) avec Keeper Security pour recevoir de l'aide dans l'application du RGPD. Demandez le contrat DPA à votre représentant de Keeper Security ou écrivez-nous par e-mail à l'adresse business.support@keepersecurity.com.

Télécharger le contrat de traitement des données (DPA)

Foire aux questions

Quelles sont les mesures prises par Keeper Security quant au RGPD ?

Nous avons travaillé en collaboration avec TrustArc, leader mondial du respect des normes de protection de la vie privée, pour identifier les changements nécessaire à effectuer dans nos procédures, pratiques en matière de confidentialité et produits afin de les conformer aux exigences du RGPD.

En tant qu'entreprise à connaissance nulle, nos produits et services centraux sont étroitement alignés sur le RGPD. Le respect des lois internationales et la protection de la confidentialité de nos clients sont primordiaux à nos yeux.

Qu'est-ce que la connaissance nulle ?

Keeper est un fournisseur de sécurité à connaissance nulle. L'utilisateur de Keeper est la seule personne qui contrôle en intégralité le chiffrement et déchiffrement de ses données. Avec Keeper, les chiffrement et déchiffrement sont effectués sur l'appareil de l'utilisateur lors de la connexion au coffre-fort. Chaque archive individuelle stockée sur le coffre-fort de l'utilisateur est chiffrée avec une clé AES 256 bits générée aléatoirement sur l'appareil. Les clés d'archive sont protégées par une clé supplémentaire, appelée la clé de données. La clé de donnée est chiffrée par une clé dérivée du mot de passe principal de l'utilisateur sur l'appareil. Les données stockées sur l'appareil de l'utilisateur sont également chiffrées par une autre clé, appelée la clé client. La synchronisation sécurisée des archives sur les différents appareils de l'utilisateur est également chiffrée au niveau du réseau et transite via le Cloud Security Vault de Keeper. Ce modèle de chiffrement à multiples niveaux propose une des protection de données les plus avancées de l'industrie.

Quelles modifications va mettre en place Keeper Security pour se maintenir conforme au RGPD ?

En tant que plateforme à connaissance nulle, les données stockées sur notre produit sont intégralement chiffrées et à la seule disposition de l'utilisateur. Nous avons apporté des modifications à nos systèmes analytiques pour garantir l'anonymat de nos clients. D'autres modifications vous permettent de contrôler votre consentement quant à la façon dont toute donnée à caractère personnel vous concernant et susceptible d'être collectée est utilisée ou stockée.

Keeper est-il sous-traitant ou responsable du traitement des données ?

Le RGPD identifie deux entités pouvant traiter des données à caractère personnel. Un « responsable du traitement des données » décide des données à collecter et contrôle le traitement des données à caractère personnel. Un « sous-traitant » agit sous la direction d'un responsable du traitement et collecte, stocke, extrait et/ou supprime des données à caractère personnel. Keeper Security est un responsable du traitement des données lorsque nous vendons notre gestionnaire de mots de passe directement à des particuliers. Nous sommes un sous-traitant lorsque nous vendons un produit à des entreprises, qui sont alors considérées comme responsables du traitement.

Comment faire pour exporter mes données personnelles ?

Pour exporter vos données, connectez-vous au coffre-fort Internet de Keeper sur https://keepersecurity.com/vault et cliquez sur Plus >> Sauvegarde >> Exporter. Vous pouvez télécharger vos données stockées au format CSV ou PDF. Si votre compte est arrivé à expiration, contactez-nous à l'adresse support@keepersecurity.com et notre équipe d'assistance vous aidera pour accéder à votre coffre-fort.

Comment faire pour demander la suppression de mes données ?

Contactez-nous par e-mail à l'adresse support@keepersecurity.com en indiquant l'adresse e-mail associée à votre compte Keeper.

Où sont stockées mes données ?

Keeper utilise des centres de données dans plusieurs régions des États-Unis et d'Irlande. Nos clients professionnels peuvent choisir d'établir leur solution Keeper dans un centre de données soit aux États-Unis, soit en Union européenne. Nos clients particuliers s'inscrivant sur l'appli mobile ou de bureau ou le coffre-fort Internet (https://keepersecurity.com/vault) Keeper américains sont affectés par défaut au centre de données américain. Les données des utilisateurs s'inscrivant directement sur le coffre-fort Internet européen (https://keepersecurity.eu/vault) seront stockées dans le centre de données situé dans l'Union européenne.

Comment faire pour transférer mes données du centre de données américain vers le centre de données européen ?

Contactez-nous à l'adresse support@keepersecurity.com pour recevoir des instructions et de l'assistance pour transférer vos données.

Comment Keeper Security peut nous aider à nous conformer au RGPD ?

Architecture à connaissance nulle et sécurité : le gestionnaire de mots de passe Keeper est conçu de A à Z sur le principe qu'un utilisateur individuel est la seule personne à avoir accès à ses données. Ce principe s'accorde parfaitement avec les principes et obligations de protection des données du RGPD. Tous les chiffrements sont effectués sur le ou les appareils de la personne. Les données sont chiffrées à l'aide du protocole Transport Layer Security (TLS) lors de leur transfert et sont stockées sous forme de ciphertext chiffré AES-256. La séparation des données et clés de chiffrement garantit qu'aucun employé de Keeper n'a accès aux données du coffre-fort d'un client. Conformément à l'Article 34, si les données d'un coffre-fort Keeper venaient à être violées, le contenu chiffré (ciphertext) serait inutile aux pirates responsables de l'attaque et il n'y aurait donc pas besoin de prévenir le client.

En plus d'analyses et tests de sécurité réguliers, Keeper est certifié SOC 2 Type 2 et ISO27001 annuellement.

Keeper utilise l'infrastructure Cloud renforcée d'Amazon AWS dans différentes régions géographiques pour l'hébergement et le fonctionnement du coffre-fort Keeper. Les données stockées et en transit sont localisées en intégralité sur le centre de données global choisi par l'utilisateur. Autrement dit, les données européennes restent en Union européenne. Cette solution fournit aux clients le stockage dématérialisé le plus rapide et sécurisé possible.

Aucun traitement supplémentaire : Keeper n'exploite en aucune circonstance les données des coffres-forts de ses clients. Tout d'abord, une politique établie aux plus hauts niveaux hiérarchiques de Keeper assure que nous garantissons la protection de la confidentialité de nos clients. De plus, grâce à notre architecture à connaissance nulle, une telle exploitation serait techniquement impossible. Cela suit les principes du RGPD en matière de politiques techniques et d'entreprise pour la protection des données à caractère personnel.

Contrôle des données : les clients peuvent exporter leurs données (au format CSV et PDF), modifier ou supprimer les archives de leur coffre-fort à tout moment. Cela permet de respecter les obligations du RGPD concernant le transfert ou la suppression des données à caractère personnel dès que l'utilisation visée est terminée, que le consentement est retiré ou que l'objectif de l'entreprise légitime change. Étant donné que les personnes concernées utilisent leur coffre-fort Keeper en libre-service, les obligations de respect du RGPD sont considérablement allégées pour le responsable du traitement des données. Les données sont chiffrées de manière à ce qu'elles soient uniquement accessibles à la personne concernée, aucun employé ne peut donc les voir, ni n'a aucun besoin de les voir.

Contrôle d'accès en fonction du rôle : le principe de sécurité de moindre privilège signifie que les collaborateurs d'une entreprise devraient avoir accès uniquement aux données nécessaires à leur travail. Ce principe est le plus souvent mis en pratique avec le contrôle d'accès en fonction du rôle (RBAC).

Keeper fonctionne avec Microsoft Active Directory (AD) afin de synchroniser nœuds (unités d'organisation), équipes et utilisateurs. Une fois connecté, Keeper propose la fonction de contrôle d'accès en fonction du rôle (RBAC) sur n'importe quel nœud. Ces contrôles peuvent être appliqués en cascade aux nœuds de niveau inférieur au besoin. Ces contrôles des coffres-forts Keeper incluent : complexité du mot de passe principal, délai de rotation, application de l'authentification à deux facteurs, liste verte d'adresses IP, etc. Keeper verrouille les comptes clôturés dans AD et permet de transférer ces comptes à des administrateurs de confiance. Les administrateurs informatiques contrôlent ainsi les biens et comptes de données sur toute l'entreprise.

Analyse et auditing : Keeper Enterprise permet d'analyser la complexité et la réutilisation des mots de passe des collaborateurs, ainsi que l'utilisation de l'authentification à deux facteurs. Keeper propose des journaux d'audit avec horodatage et des options de filtre pour effectuer des recherches rapides d'anomalies, mauvais comportement, procédures d'analyses ou signalement de non-respect.