Français
  1. Aide Zendesk
  2. Politiques & programmes
  3. Politiques Zendesk

Politique de requête gouvernementale de données

Wendy Tankard
  • Modifié

1. Introduction

1.1 La présente Politique de requête gouvernementale de données définit la procédure de Zendesk pour 1) l'évaluation préalable des exigences existantes des pays tiers en matière de divulgation des données personnelles ou des mesures autorisant l'accès par les autorités publiques ; et 2) la réponse à une requête reçue d'une autorité chargée de l'application de la loi ou d'une autre autorité gouvernementale (ensemble, “l'Autorité Requérante ") de divulguer les données personnelles traitées par Zendesk (ci-après la " Requête  de Divulgation de Données ") qui est alignée sur nos Règles d'entreprise contraignantes (BCR) : Procédure gouvernementale de requête  de données. La Politique définit également la procédure de notification de Zendesk pour les cas où nous avons eu connaissance d'un Accès Direct (c'est-à-dire un accès aux données personnelles sans demande préalable, et/ou approbation/collaboration de Zendesk) par les forces de l'ordre ou par une autre autorité gouvernementale aux données personnelles traitées par Zendesk (ci-après " Accès Direct "), qui est aligné sur nos Règles d'entreprise contraignantes (BCR) : Procédure de requête gouvernementale de données.

 

1.2 Lorsque Zendesk reçoit une Requête de Divulgation de Données, Zendesk traitera cette Requête de Divulgation de Données conformément à la présente politique. Si la ou les lois applicables sur la protection des données exigent un niveau de protection des données personnelles plus élevé que celui exigé par la présente politique, Zendesk se conformera aux exigences pertinentes de ces lois applicables sur la protection des données.

 

2. Évaluation préalable

2.1 Avant que Zendesk n'effectue des transferts internationaux de données personnelles soumises aux exigences de la présente Politique du Contrôleur et/ou du Responsable du traitement, il procédera à une évaluation des lois et pratiques du pays tiers de destination concernant les exigences de Requête de divulgation de données ou les mesures autorisant l'Accès Direct (y compris en transit), qui pourraient empêcher Zendesk de remplir ses obligations en vertu de la Politique du Contrôleur/Responsable du traitement respective, telles que les pratiques qui ne respectent pas l'essence des droits et libertés fondamentaux et dépassent ce qui est nécessaire et proportionné dans une société démocratique, ainsi que les limitations et garanties applicables. Cette évaluation est effectuée à la lumière des circonstances spécifiques du transfert et de tout transfert ultérieur envisagé (y compris les objectifs, le lieu et le secteur dans lesquels le transfert et le traitement connexe ont lieu, les types d'entités impliquées dans le traitement, les catégories/formats de données à caractère personnel transférées et les canaux de transmission utilisés) et détermine si des garanties contractuelles, techniques ou organisationnelles supplémentaires (que ce soit pendant la transmission des données à caractère personnel ou au repos) sont nécessaires. L'évaluation (et les mesures de protection, le cas échéant) sera communiquée par les membres de l'équipe Privacy à tous les Membres du Groupe. Zendesk surveillera raisonnablement les développements futurs des lois du pays de destination pour, le cas échéant, considérer les impacts que ces changements peuvent avoir sur l'évaluation initiale qu'il a effectuée. Les Membres du Groupe agissant en tant qu'importateurs de données dans le cadre de la présente Politique du contrôleur et/ou du sous-traitant  communiqueront raisonnablement les changements dont ils ont connaissance aux Membres du Groupe/clients agissant en tant qu'exportateurs de données et au Membre du Groupe de l'EEE ayant des responsabilités déléguées en matière de protection des données.

 

2.2 Lorsque Zendesk détermine que des mesures de protection supplémentaires doivent être mises en place pour répondre aux conclusions de l'évaluation du paragraphe 2.1, Zendesk en informera le membre du Groupe de l'EEE concerné ayant des responsabilités déléguées en matière de protection des données, et les membres concernés du Conseil de la protection des données  ou de l'équipe plus large chargée de la protection des données seront impliqués, afin de refléter leurs points de vue concernant ces mesures de protection.

 

2.3 Zendesk documentera cette évaluation telle que décrite au paragraphe 2.1 et les mesures supplémentaires conformément au paragraphe 2.2 et les mettra à la disposition de l'autorité de surveillance compétente sur requête.

 

2.4 Lorsque Zendesk a déterminé que des mesures supplémentaires efficaces étaient nécessaires pour remplir ses obligations en vertu de la Politique du Contrôleur/Sous-Traitant respective, mais qu'il n'a pas pu en identifier, ou si l'autorité de surveillance compétente le lui demande, l'équipe Privacy de Zendesk s'engage à suspendre les transferts concernés (y compris les transferts pour lesquels la même évaluation et le même raisonnement conduiraient à la même conclusion) et à en informer tous les Membres du Groupe concernés. À la suite de cette suspension, les entités qui exportent des données à caractère personnel en vertu de la présente politique relative aux contrôleurs et/ou aux sous-traitants peuvent mettre fin à ce transfert de données à caractère personnel et les données à caractère personnel qui n'ont pas fait l'objet des protections suffisantes requises en vertu de la politique relative aux contrôleurs et/ou aux sous-traitants peuvent être renvoyées à l'entité exportatrice et/ou détruites.

 

3. Principe général sur les Requêtes de Divulgation de Données

3.1 En règle générale, Zendesk ne divulgue pas de données personnelles en réponse à une Requête de Divulgation de Données, sauf si :

 

- Zendesk a l'obligation légale de faire cette divulgation ; ou

 

- compte tenu de la nature, du contexte, des objectifs, de la portée et de l'urgence de la Requête de Divulgation des Données, ainsi que des droits et libertés en matière de vie privée des personnes concernées, il existe un risque imminent de préjudice grave qui justifie le respect des Requêtes  de Divulgation des Données dans tous les cas.

 

3.2 Pour cette raison, sauf s'il lui est légalement interdit de le faire ou s'il existe un risque imminent de préjudice grave, Zendesk notifiera et consultera les autorités compétentes en matière de protection des données (et, lorsqu'il traite les données personnelles pour le compte d'un client, le client) pour traiter la Requête de Divulgation des Données.

 

4. Traitement d'une Requête de Divulgation de Données

4.1 Si un Membre du Groupe Zendesk reçoit une Requête de Divulgation de Données, le destinataire de la requête doit la transmettre au service juridique immédiatement après réception, en indiquant la date à laquelle elle a été reçue ainsi que toute autre information qui pourrait aider l'équipe juridique à répondre à la requête. De même, si un membre du Groupe Zendesk  a connaissance d'un Accès Direct, il doit le communiquer immédiatement à l'équipe juridique, en indiquant la date à laquelle il s'est produit ainsi que toute autre information susceptible d'aider l'équipe juridique à répondre conformément à la présente politique.

 

4.2 Il n'est pas nécessaire que la requête de l'Autorité Requérante soit faite par écrit, qu'elle fasse l'objet d'une décision de justice ou qu'elle mentionne la loi sur la protection des données pour être considérée comme une requête  de divulgation de données. Toute requête de divulgation de données, quelle que soit sa forme, doit être notifiée à l'équipe juridique pour examen.

 

4.3 L'équipe juridique de Zendesk examinera attentivement chaque eRquête  de Divulgation de Données et chaque Accès Direct au cas par cas. L'Équipe juridique assurera la liaison avec l'Équipe Privacy et les conseils  externes, le cas échéant, pour déterminer la nature, le contexte, les objectifs, la portée et l'urgence de la Requête  de Divulgation de Données/de l'Accès Direct, ainsi que sa validité en vertu des lois applicables et des principes de courtoisie internationale, afin d'identifier si une action peut être nécessaire pour contester la Requête de Divulgation de Données/l'Accès Direct, y compris par le biais d'un recours auprès de l'Autorité Requérante, et/ou en demandant des mesures provisoires en vue de suspendre les effets de la requête jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé ou en exigeant autrement la divulgation en vertu du droit procédural applicable, selon le cas, et/ou d'informer le client et/ou les autorités compétentes en matière de protection des données conformément au paragraphe 4.

 

5. Notification d'une Requête de Divulgation de Données/Accès Direct

5.1 Avis au client

 

5.1.1 Si une requête concerne des données personnelles dont un client est le responsable du traitement, Zendesk demandera généralement à l'Autorité Requérante de faire la Requête de Divulgation des Données directement au client concerné. Si l'Autorité Requérante accepte, Zendesk soutiendra le client conformément aux termes de son contrat pour répondre à la Requête  de Divulgation des Données.

 

5.1.2 Si cela n'est pas possible (par exemple, parce que l'Autorité Requérante refuse de faire la Requête de Divulgation de Données directement au client ou ne connaît pas l'identité du client), Zendesk notifiera et fournira au client les détails de la Requête de Divulgation de Données avant de divulguer toute donnée personnelle, sauf si la loi l'interdit ou s'il existe un risque imminent de préjudice grave qui interdit la notification préalable.

 

5.1.3 Si Zendesk a connaissance d'un Accès Direct concernant des données personnelles dont un client est le responsable du traitement, Zendesk notifiera et fournira au client les détails de cet Accès Direct, sauf si la loi l'interdit ou s'il existe un risque imminent de préjudice grave qui interdit une telle notification.

 

5.2 Avis aux autorités compétentes en matière de protection des données

 

5.2.1 Si l'Autorité Requérante se trouve dans un pays qui n'assure pas un niveau de protection adéquat des données personnelles en relation avec cette requête, conformément aux lois applicables en matière de protection des données, alors Zendesk mettra également la requête en attente pour notifier et consulter les autorités compétentes en matière de protection des données, sauf si cela est légalement interdit ou s'il existe un risque imminent de préjudice grave qui interdit la notification préalable.

 

5.2.2 Si l'autorité chargée de l'application de la loi ou une autre autorité gouvernementale qui a effectué un Accès Direct se trouve dans un pays qui n'assure pas un niveau de protection adéquat des données personnelles en relation avec cette requête, conformément aux lois applicables en matière de protection des données, alors Zendesk notifiera et consultera également les autorités compétentes en matière de protection des données, sauf si la loi l'interdit ou s'il existe un risque imminent de préjudice grave qui interdit la notification préalable.

 

5.2.3 Lorsqu'il est interdit à Zendesk d'informer les autorités compétentes en matière de protection des données et/ou de suspendre la requête, Zendesk fera tout son possible (en tenant compte de la nature, du contexte, des objectifs, de la portée et de l'urgence de la requête) pour informer l'Autorité Requérante/l'autorité qui a effectué l'Accès Direct de ses obligations en vertu du droit applicable en matière de protection des données et pour obtenir le droit de renoncer à cette interdiction. Ces efforts peuvent inclure la requête à l'Autorité Requérante/autorité qui a effectué l'Accès Direct de mettre la requête en attente, afin que Zendesk puisse consulter les autorités compétentes en matière de protection des données, ou d'autoriser la divulgation à un personnel spécifié chez le client de Zendesk, et peuvent également, dans des circonstances appropriées, inclure la requête d'une ordonnance du tribunal à cet effet. Zendesk conservera, et sur demande raisonnable, fournira à ses clients et aux autorités compétentes en matière de protection des données, une trace écrite des efforts qu'il déploie, conformément à ses pratiques établies de tenue des dossiers commerciaux, sauf si la loi l'interdit.

 

6. Rapports de transparence

6.1 Zendesk s'engage à préparer un rapport semestriel (un " Rapport de Transparence "), qui reflète le nombre et le type de Requêtes de Divulgation de Données qu'il a reçues au cours des six mois précédents, comme cela peut être limité par la loi applicable ou une ordonnance du tribunal. Zendesk publiera le Rapport de Transparence sur son site Web, et mettra le rapport à la disposition, sur demande, des autorités compétentes en matière de protection des données.

 

7. Transferts en vrac

7.1 En aucun cas, un membre du groupe ne transfèrera des données à caractère personnel à une Autorité Requérante d'une manière massive, disproportionnée et indiscriminée, allant au-delà de ce qui est nécessaire dans une société démocratique.

Retour en haut

0 Commentaires

Cet article n'accepte pas de commentaires.

Articles associés

Réalisé par Zendesk