Politique concernant les demandes d’assistance des données gouvernementales

1. Introduction

1.1 La présente Politique concernant les demandes d’accès aux données gouvernementales définit la procédure de Zendesk pour 1) l'évaluation préalable des exigences des pays tiers en matière de divulgation des données personnelles ou des mesures autorisant les autorités publiques à y accéder ; et 2) répondre à une demande reçue d'une police ou d'un autre organisme gouvernemental (ensemble, l’« Autorisation demandant ») de divulguer des données personnelles traitées par Zendesk (ci-après une « Demande de divulgation de données ») qui est conforme à nos Règles d'entreprise contraignantes : Procédure de demande de données gouvernementales. Cette Politique définit également la procédure de notification de Zendesk dans les cas où nous avons eu connaissance d'un accès direct (c.-à-d. l'accès aux données personnelles sans demande préalable et/ou approbation/collaboration par Zendesk) par les forces de l'ordre ou autres organismes gouvernementaux à des données personnelles traitées par Zendesk (ci-après « Accès direct »), qui est conforme à nos règles d'entreprise contraignantes : Procédure de demande de données gouvernementales.

1.2 Lorsque Zendesk reçoit une demande de divulgation de données, il traitera cette demande conformément à la présente politique. Si la ou les lois applicables en matière de protection des données exigent une norme de protection des données personnelles plus élevée que celle requise par la présente politique, Zendesk se conformera aux exigences pertinentes de cette ou ces lois en vigueur.

2. Évaluation précédente

2.1 Avant que Zendesk effectue des transferts internationaux de données personnelles concernées par les exigences de cette Politique en matière de responsable de traitement et/ou de traitement de données, Zendesk effectuera une évaluation des lois et pratiques du pays tiers de destination en ce qui concerne les demandes de divulgation de données ou les mesures autorisant l’accès direct. (notamment en transit), ce qui pourrait empêcher Zendesk de remplir ses obligations dans le cadre de la politique respective du responsable du traitement de données, comme des pratiques qui ne respectent pas l’essentiel des droits et libertés fondamentaux et vont au-delà de ce qui est nécessaire et adéquat dans une société démocratique, comme le ainsi que les limitations et mesures de protection applicables. Cette évaluation doit être effectuée à la lumière des circonstances spécifiques du transfert et de tout transfert futur envisage (notamment les objectifs, l’emplacement et le secteur dans lesquels a lieu le transfert et le traitement connexe, les types d’entités impliquées dans le traitement, les catégories/ format des données personnelles transférées et canaux de transmission utilisés) et déterminer si des mesures de protection contractuelle, technique ou organisationnelle supplémentaires (que ce soit pendant la transmission des données personnelles ou au repos) sont nécessaires. L’évaluation (et les mesures de protection appropriées le cas) sera communiquée par les membres de l’équipe de confidentialité à tous les Membres du groupe. Zendesk surveillera raisonnablement l’évolution future des lois du pays de destination afin, le cas échéant, d’examiner l’impact que de telles modifications peuvent avoir sur l’évaluation initiale qu’elle a effectuée. Les membres du groupe servant d’importateurs de données dans le cadre de cette Politique relative aux responsables et/ou sous-traitants communiqueront raisonnablement les modifications dont ils ont connaissance aux membres du groupe/clients servant d’exportateurs de données et au membre du groupe de l’EEE ayant des responsabilités déléguées en matière de protection des données.

2.2 Lorsque Zendesk détermine que des mesures de protection supplémentaires doivent être mises en place pour donner suite aux résultats de l’évaluation du paragraphe 2.1, Zendesk notifie le membre du groupe de l’EEE concerné avec des responsabilités de protection des données déléguées, et les membres concernés du conseil de la confidentialité ou de l’équipe chargée de la protection des données. impliqués, afin de refléter leur opinion au sujet de ces mesures de protection.

2.3 Zendesk documentera cette évaluation comme expliqué au paragraphe 2.1 ainsi que les mesures supplémentaires conformément au paragraphe 2.2 et les mettra à la disposition des autorités de contrôle compétente sur demande.

2.4 Quand Zendesk a déterminé que des mesures supplémentaires efficaces étaient nécessaires pour remplir ses obligations dans le cadre de la politique respective du responsable du traitement de données, mais il n’a pu en identifier aucune ou, sur instructions de l’autorité de contrôle compétente, l’équipe de protection des données s’engage à suspendre les transferts concernés (notamment les transferts pour lesquels la même évaluation et le même calcul aboutiraient à la même conclusion) et en informer tous les membres du groupe concernés. À la suite d’une telle suspension, les entités exportant des données à caractère personnel dans le cadre de cette Politique du responsable du traitement et/ou du traitement peuvent mettre fin à ce transfert de données à caractère personnel et les données à caractère personnel, qui ne bénéficiaient pas des mesures de protection suffisantes requises par la Politique du responsable du traitement de données, peuvent être renvoyées à l’entité exportante et/ou ou détruites.

3. Principe général pour les demandes de divulgation de données

3.1 En règle générale, Zendesk ne divulgue pas les données à caractère personnel en réponse à une demande de divulgation des données, sauf si :

• est dans l'obligation légale de divulguer les informations ; ou

• Compte tenu de la nature, du contexte, des objectifs, de la portée et de l’urgence de la demande de divulgation des données et des droits et libertés de toutes les personnes concernées en matière de confidentialité, il existe un risque imminent de dommage grave, qui justifierait de se conformer aux demandes de divulgation des données dans tous les cas.

3.2 Pour cette raison, sauf s’il est interdit par la loi ou s’il y a un risque imminent de dommage grave, Zendesk informera et consultera les autorités compétentes en matière de protection des données (et, lorsque les données personnelles sont traitées pour le compte d’un client, client) pour répondre à la demande de divulgation des données.

4. Traitement d’une demande de divulgation de données

4.1 Si un membre du groupe Zendesk reçoit une demande de divulgation de données, le destinataire de la demande doit la transmettre au service juridique dès sa réception, en indiquant la date à laquelle elle a été reçue et toutes autres informations pouvant aider l’équipe juridique à répondre à la demande. . De même, si un membre du Groupe Zendesk a connaissance de l’accès direct, il doit le communiquer immédiatement à l’équipe juridique, en indiquant la date à laquelle l’accès direct a eu lieu et toutes autres informations pouvant aider l’équipe juridique à répondre conformément à la présente Politique.

4.2 La demande de l’organisme demandeur n’est pas obligée d’être faite par écrit, sur le cadre d’une ordonnance du tribunal ou de mentionner la loi sur la protection des données pour être qualifiée de demande de divulgation de données. Toute demande de divulgation de données, quelle qu’elle soit, doit être notifiée à l’équipe juridique pour examen.

4.3 L'équipe juridique de Zendesk examinera attentivement chaque demande de divulgation de données et chaque accès direct au cas par cas. L’équipe juridique collaborera avec l’équipe chargée de la protection des données personnelles et des conseils externes pour déterminer la nature, le contexte, les objectifs, la portée et l’urgence de la demande de divulgation des données/l’accès direct aux données, ainsi que sa validité dans le cadre des lois et principes applicables de la communauté internationale, afin de déterminer si des actions peuvent être nécessaires pour contester la demande de divulgation des données/l’accès direct, y compris par le biais d’un appel à l’autorité requérante et/ou en demandant des mesures provisoires afin de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait pris une décision. à toutes les informations pertinentes ou nécessitant leur divulgation dans le cadre de la loi applicable, selon le cas, et/ou pour notifier le client et/ou les autorités chargées de la protection des données, conformément au paragraphe 4.

5. Avis de demande de divulgation de données/d’accès direct

5.1 Avis au client

5.1.1 Si une demande porte sur des données à caractère personnel pour lesquelles un client est le responsable du traitement, Zendesk demande en général à l’autorité demandante d’adresser la demande de divulgation de données directement au client concerné. Si l’autorité demandante est d’accord, Zendesk aidera le client conformément aux conditions de son contrat à répondre à la demande de divulgation des données.

5.1.2 Si cela n’est pas possible (par exemple, parce que l’autorité requérante refuse d’envoyer la demande de divulgation des données directement au client ou ne connaît pas l’identité de ce client), Zendesk prévient et fournit au client les détails de la demande de divulgation des données. Demande avant de divulguer des données à caractère personnel, sauf si la loi l’interdit ou dans le cas d’un risque imminent de dommage grave qui interdit toute notification préalable.

5.1.3 Si Zendesk a connaissance d’un Accès direct concernant les données à caractère personnel pour lequel un client est le responsable du traitement, Zendesk notifie et fournit au client les détails de cet Accès direct, sauf si la loi l’interdit ou s’il existe un risque imminent de violation grave. Il existe un problème qui interdit une telle notification.

5.2 Avis aux autorités compétentes en matière de protection des données

5.2.1 Si l’organisme demandeur se trouve dans un pays qui n’offre pas un niveau de protection adéquat pour les données à caractère personnel en rapport avec une telle demande, conformément aux lois applicables en matière de protection des données, Zendesk met aussi la demande en pause pour notifier et consultez les autorités compétentes en matière de protection des données, sauf si la loi l’interdit ou s’il existe un risque imminent de dommage grave qui interdit toute notification préalable.

5.2.2 Si l’organisme d’application de la loi ou autre organisme gouvernemental qui a effectué un Accès direct se trouve dans un pays qui n’offre pas un niveau de protection adéquat pour les données à caractère personnel en rapport avec une telle demande, conformément aux lois applicables en matière de protection des données, Zendesk en outre, informera et consultera les autorités en charge de la protection des données, sauf si la loi l’interdit ou s’il existe un risque imminent de dommage grave qui interdit l’envoi d’une notification préalable.

5.2.3 Lorsqu’il est interdit à Zendesk de notifier les autorités compétentes en matière de protection des données et/ou de suspendre la demande, Zendesk fera de son mieux (en tenant compte de la nature, du contexte, des objectifs, de la portée et de l’urgence de la demande) pour informer le demandeur L’autorité qui a effectué l’Accès direct au sujet de ses obligations dans le cadre de la loi applicable en matière de protection des données et d’avoir obtenu le droit de lever cette interdiction. De tels efforts peuvent consister à demander à l’autorité ou l’autorité demandant l’accès direct de mettre la demande en pause, afin que Zendesk puisse consulter les autorités compétentes en matière de protection des données ou d’autoriser des informations à des membres du personnel spécifiques des clients de Zendesk, et peut-être aussi dans des circonstances appropriées, notamment demander une ordonnance du tribunal à cet effet. Zendesk conservera, et sur demande raisonnable fournira à ses clients et aux autorités chargées de la protection des données, un enregistrement écrit des efforts qu’il déploie, conformément à ses pratiques établies de maintenance des dossiers, sauf si la loi l’interdit.

6. Rapports de transparence

6.1 Zendesk s'engage à préparer un rapport tous les 6 mois (un « Rapport de transparence »), qui reflètera le nombre et le type de demandes de divulgation de données reçues au cours des six mois précédents, ainsi que toute loi ou ordonnance du tribunal applicable. Zendesk publiera le rapport de transparence sur son site Web et le mettra à la disposition des autorités compétentes en matière de protection des données.

7. Transferts en masse

7.1 En aucun cas un membre du groupe ne transférera des données à caractère personnel à une autorité demandante de façon massive, disproportionnée et indiscutée, allant au-delà de ce qui est nécessaire dans une société démocratique.

Traduction - exonération : cet article a été traduit par un logiciel de traduction automatisée pour permettre une compréhension élémentaire de son contenu. Des efforts raisonnables ont été faits pour fournir une traduction correcte, mais Zendesk ne garantit pas l’exactitude de la traduction.

Si vous avez des questions quant à l’exactitude des informations contenues dans l’article traduit, consultez la version anglaise de l’article, qui représente la version officielle.