Sécurité

Vous pouvez faire confiance à nos dispositifs de sécurité. Découvrez notre engagement pour la protection de vos données, au repos et en transit, pour vos déploiements Cloud, hybrides et on premise.

Confidentialité

Gardez le contrôle. Consultez les règles qui vous permettent de décider des modalités d’accès à vos données et de leur utilisation.

Conformité

Atteignez un niveau de conformité étendu dans toutes les régions. Consultez notre liste complète de normes et règles de conformité.

Résilience

Restez informé sur le statut de vos solutions. Accédez à une vue transparente de la disponibilité mondiale des produits et services.

Pourquoi la sécurité VMware Cloud ?

Environnement Cloud, hybride ou on premise, votre sécurité est notre priorité.
Longue expérience de la sécurité

Du secteur public et de la défense, jusqu’aux plus grands Data Centers au monde, VMware est depuis très longtemps un partenaire de confiance dans les environnements les plus sensibles du monde entier. Cette réputation s’étend désormais à nos offres de solutions Cloud.

 

Conformité intégrée

VMware intègre la sécurité dans les bases de chacune de ses solutions Cloud. En d’autres termes, nos offres sont alignées avec les certifications majeures en matière de conformité afin de toujours utiliser des normes conformes aux meilleures pratiques du secteur.

 

Une accélération sans compromis

Migration vers le Cloud, création d’applications modernes, évolution de votre Data Center ou automatisation des opérations multicloud : dans tous les cas, agissez avec agilité et confiance.

 

Fonctions de sécurité VMware Cloud

Sécurité des logiciels

Avec des partenariats en matière de sécurité à l’échelle mondiale et un processus de pointe de gestion du cycle de vie du développement de la sécurité, VMware garantit un alignement total des contrôles opérationnels et de sécurité du Cloud avec les références et meilleures pratiques du secteur.

Sécurité des données

VMware utilise des normes strictes de protection des données pour garantir leur gestion adéquate à n’importe quel niveau de classification, du traitement et du stockage à la transmission et à la destruction des données. La responsabilité des données sur le Cloud est partagée, et nous avons défini des contrôles pour veiller à ce que le client conserve la propriété et la gérance de ses données organisationnelles



Sécurité réseau

Les solutions VMware Cloud ajoutent des fonctionnalités supplémentaires à la sécurité réseau de base fournie par nos partenaires IaaS. Les environnements réseau sont séparés et protégés logiquement par des pare-feu afin de respecter les exigences des entreprises en matière de sécurité et garantir des niveaux de protection et d’isolement adéquats.

Gestion des identités et des accès

Basées sur le principe du moindre privilège, les solutions VMware Cloud utilisent des contrôles de gestion des identités et des accès, pour garantir que le niveau d’accès approprié est octroyé à chaque membre du personnel afin de sécuriser vos données et vos systèmes.

 

Gestion des vulnérabilités et des correctifs

Très complet, le programme de gestion des vulnérabilités VMware inclut des analyses des vulnérabilités tierces et des tests de pénétration sur les couches réseau, d’application et de système d’exploitation local, qui vous aident à prévenir les failles de sécurité nouvelles et émergentes.

Gestion des opérations

Les solutions VMware Cloud collectent et surveillent en continu les journaux d’environnement liés aux informations sur les menaces publiques et privées, afin de détecter les activités suspectes et inhabituelles. Tout cela est rendu possible par des contacts continus et réguliers avec les organismes du secteur, les organisations chargées de la surveillance des risques et de la conformité, les autorités locales et les organismes de réglementation, pour garantir la gestion des nouvelles menaces rapidement.

Ressources associées

Blog sur la sécurité VMware

Veillez à la bonne protection de votre entreprise en découvrant les dernières tendances, recommandations et technologies des leaders et experts VMware en matière de sécurité.

Présentation de la sécurité VMware Cloud Services

Découvrez une présentation détaillée de l’approche de VMware en matière de sécurité du Cloud dans notre livre blanc sur les contrôles de sécurité implémentés au sein de VMware Cloud Services.

Nous agissons comme une entreprise pour protéger les données

Transparence concernant le mode de collecte, d’utilisation, de divulgation, de transfert et de stockage des informations personnelles

Avis sur les produits et les services

S’applique aux informations personnelles collectées et utilisées par VMware lors de l’utilisation de produits et services VMware, notamment :

 

  • Les cookies et les technologies de suivi similaires que nous sommes susceptibles d’utiliser lorsque nous fournissons des produits ou des services.
  • Les données que nous recueillons pour améliorer nos produits et services et l’expérience client.

Les informations relatives aux programmes d’analyse et d’amélioration de l’expérience client VMware concernant les produits et services VMware sont disponibles ici.

Avis de confidentialité

Ce document aborde les informations personnelles que nous collectons lorsque vous :

 

  • visitez, utilisez ou interagissez avec l’un(e) de nos sites Web, pages de médias sociaux, applications mobiles (lorsqu’ils redirigent vers le présent avis de confidentialité ou mentionnent celui-ci), publicités en ligne et communications marketing ;
  • visitez, utilisez ou interagissez avec l’un(e) de nos événements, ventes, marketing et autres activités hors ligne ;
  • achetez des produits et services VMware et fournissez des informations personnelles relatives aux comptes.

Avis concernant les cookies

Ce document aborde la manière dont VMware utilise les cookies et les technologies de suivi similaires lorsque vous utilisez et interagissez avec nos sites Web et nos propriétés en ligne.

Autres avis

Il se peut que VMware dispose d’avis de confidentialité supplémentaires pour les sites Web, les événements, les applications mobiles, y compris des divulgations « en flux tendu » et des avis de confidentialité intégrés aux produits. Ces avis peuvent compléter ou éclairer les pratiques de confidentialité de VMware, mais aussi vous fournir des renseignements supplémentaires quant à la façon dont VMware traite les données.

Nous protégeons les données en tant que fournisseur de services

Pour vous permettre de vous conformer aux exigences en matière de protection des données et de confidentialité

Traitement du Contenu Client

VMware traite, stocke et héberge le contenu que vous et vos utilisateurs finaux avez chargé sur les services VMware comme du « Contenu Client » (tel que défini dans les Conditions d’utilisation des services VMware ou tout autre contrat pertinent). VMware traite les données personnelles du Contenu Client en tant que « fournisseur de services » ou « unité de traitement des données » agissant selon vos instructions. Affichez nos Questions fréquentes pour en savoir plus.

Addendum relatif au traitement des données

Les obligations et engagements de VMware en tant qu’unité de traitement des données sont présentés dans l’Addendum relatif au traitement des données de VMware. VMware traite les données personnelles du Contenu Client conformément à cet addendum et aux accords applicables. Les contrats standard de chaque produit et service sont disponibles à lapage Contrat de licence d’utilisateur final.

Règles d’entreprise contraignantes

VMware respecte les règles d’entreprise contraignantes (REC) en tant qu’unité de traitement en reconnaissant que la réglementation relative à la protection des données générale de l’UE pour les transferts internationaux de données personnelles contenues dans le Contenu Client a bien été respectée.

Sous-entités de traitement des données

VMware peut faire appel à des entreprises tierces pour fournir certains services en son nom. Les fournisseurs de services tiers traitant les données personnelles du Contenu Client (sous-entités de traitement des données) ont des contrats et mécanismes de transfert de données en place pour protéger les données personnelles conformément à l’Addendum relatif au traitement des données.

 

Sécurité VMware Cloud

VMware a mis en place des programmes, des règles et des pratiques pour garantir la protection appropriée des données personnelles du Contenu Client (notamment des formations régulières et des accords de confidentialité destinés aux collaborateurs traitant les données), et pour identifier, prévenir et résoudre les vulnérabilités liées à la sécurité dans nos produits et services. Ces programmes sont constamment revus et mis à jour.

 

 

Gestion unifiée des terminaux

VMware offre des solutions qui vous permettent de protéger les informations et systèmes de votre organisation, accessibles et disponibles sur des appareils personnels ou appartenant à l’entreprise, avec des contrôles de gestion. Consultez les informations sur le programme et la déclaration de confidentialité et de sécurité de Workspace ONE par rapport aux données collectées et utilisées par le service.

 

Ressources associées

Confidentialité relative à CloudHealth by VMware

Découvrez comment VMware traite et protège les données personnelles sur la plate-forme éprouvée pour optimiser les environnements multicloud.

Confidentialité relative à VMware Carbon Black Cloud

Découvrez les types de données personnelles collectés par cette solution de sécurité Cloud et comment VMware les traite et les protège.

Confidentialité relative à VMware SD-WAN by VeloCloud

Découvrez les types de données personnelles collectés par cette solution de superposition de réseau et comment VMware les traite et les protège.

 

Confidentialité VMware Workspace ONE

Découvrez les types de données personnelles collectés par cette plate-forme d’espace de travail numérique et comment VMware les traite et les protège.

Confidentialité relative à VMware Cloud on AWS

Découvrez qui est responsable des données personnelles dans les SDDC VMware Cloud on AWS et comment VMware protège les données dans son domaine.

Respect de la conformité en continu

VMware assure une veille continue des normes et exigences de sécurité existantes et émergentes, et intègre les exigences applicables dans nos programmes de conformité des services Cloud. Dans le cadre de votre partenariat de conformité avec VMware, vous devez, en tant que client, garantir que les Offres de Services respectent les obligations et réglementations de conformité.

Pour toute question sur la conformité, n’hésitez pas à discuter des objectifs de votre entreprise avec votre représentant commercial VMware.

Programmes de conformité Cloud existants

Informations mises à jour en continu sur les programmes de conformité les plus pertinents pour vous.
Pour plus d’informations sur la conformité des produits VMware, cliquez ici.
Filter by
Filter by

 

 

Informations supplémentaires sur la conformité

Merci de l’intérêt que vous portez à la conformité chez VMware.

Contactez votre représentant commercial VMware pour en savoir plus sur nos programmes de conformité. Votre représentant commercial peut aussi vous aider à accéder aux rapports de conformité non disponibles en téléchargement immédiat.

Service Status

Service Location

Service Status

Questions fréquentes

Centre de confiance

Pour plus d’informations sur le centre de confiance VMware Cloud, nous vous invitons à contacter votre représentant commercial VMware. Il vous fournira les informations dont vous avez besoin.

Confidentialité

« Votre Contenu » ou le « Contenu Client » désigne tout contenu que vous, le client, chargez dans une Offre de Services, tel que défini dans votre contrat avec VMware (par ex. Conditions d’utilisation des services VMware. Cela inclut tout fichier texte, audio, vidéo ou d’image, et tout logiciel (y compris les images de machine), ou d’autres informations que vous ou vos utilisateurs chargez dans l’Offre de Services à des fins de traitement, stockage ou hébergement, en lien avec votre compte chez nous. Par exemple, le Contenu Client inclut les données que vous ou vos utilisateurs finaux stockez dans Workspace ONE. À noter que vos informations de compte telles que les noms, noms d’utilisateur, numéros de téléphone et informations de facturation associées à votre compte ne sont pas incluses dans la définition de « Contenu Client », de même que les informations que nous collectons en lien avec votre utilisation de nos Offres de Services. VMware traite ces informations en accord avec notre Avis de confidentialité.

Vous conservez la propriété de votre Contenu Client en toutes circonstances. Vous déterminez quelles Offres de Services VMware vous souhaitez utiliser pour le traitement, le stockage et l’hébergement de Contenu Client, et quelles informations vous chargez dans l’Offre de Services en tant que Contenu Client. En outre, nous n’accéderons pas à votre Contenu Client et nous ne l’utiliserons pas à d’autres fins que celles nécessaires pour vous fournir l’Offre de Services, tel que défini et autorisé dans les Conditions de service VMware que vous avez acceptées. Enfin, nous n’utilisons pas le Contenu Client à des fins marketing ou publicitaires.

 

VMware prend les engagements contractuels suivants concernant la manière dont il traitera les citations à comparaître, les ordonnances du tribunal, les actions d’agence ou d’autres obligations légales ou réglementaires pour divulguer le Contenu de tout client, comme indiqué dans la section « Divulgation obligatoire » des Conditions de service :

Lorsque la notification au client n’est pas interdite par la loi, VMware :

 - Notifiera le Client : informe ses clients de toute demande de divulgation du contenu du client.

- Renverra l’agence gouvernementale vers le client : informe l’autorité gouvernementale compétente que VMware est un fournisseur de services agissant au nom du client et que toutes les demandes d’accès au contenu du client doivent être adressées par écrit à la personne que le client a identifiée pour nous, ou au service juridique du client. 

- Limitera l’accès : donne l’accès au contenu du client uniquement avec l’autorisation du client. Si le client le demande, nous prendrons, aux frais du client, des mesures raisonnables pour contester toute demande. 

S’il est légalement interdit à VMware de notifier le client, VMware :

- Évaluera la validité juridique : VMware évalue la demande de divulgation afin de déterminer si elle est juridiquement valide et contraignante. 

- Contestera les demandes illégales : VMware conteste la commande s’il estime raisonnablement que la commande n’est pas conforme à la loi applicable. 

- Limitera la portée de la divulgation : VMware limite la portée de toute divulgation aux seules informations que nous sommes tenus de divulguer et divulgue les informations conformément à la loi applicable.

VMware s’engage à protéger le Contenu de ses clients tout en se conformant à la loi applicable, et en conséquence, VMware a pris des engagements dans ses Conditions d’utilisation de VMware (Divulgations obligatoires) et Politique en matière de traitement des règles d’entreprise contraignantes (REC) concernant la manière dont VMware répondra aux demandes d’accès du gouvernement, comme détaillé ci-dessous. VMware a préparé les Principes de VMware pour le traitement des demandes gouvernementales d’accès au Contenu Client afin d’aider les clients à mieux comprendre les engagements et les processus de VMware pour le traitement des demandes d’accès gouvernementales, y compris les engagements énoncés dans les REC de VMware

VMware prend spécifiquement les engagements contractuels suivants concernant la manière dont la société traitera les demandes d’accès gouvernementales, comme indiqué dans la section « Divulgation obligatoire » des Conditions de service de VMware :

Lorsque la notification au client n’est pas interdite par la loi, VMware :

 - Notifiera le client : informe ses clients de toute demande de divulgation du contenu du client.

- Renverra l’agence gouvernementale vers le client : informe l’autorité gouvernementale compétente que VMware est un fournisseur de services agissant au nom du client et que toutes les demandes d’accès au contenu du client doivent être adressées par écrit à la personne que le client a identifiée pour nous, ou au service juridique du client. 

- Limitera l’accès : donne l’accès au contenu du client uniquement avec l’autorisation du client. Si le client le demande, nous prendrons, aux frais du client, des mesures raisonnables pour contester toute demande.

S’il est légalement interdit à VMware de notifier le client, VMware :

- Évaluera la validité juridique : VMware évalue la demande de divulgation afin de déterminer si elle est juridiquement valide et contraignante.

- Contestera les demandes illégales : VMware conteste la commande s’il estime raisonnablement que la commande n’est pas conforme à la loi applicable.

- Limitera la portée de la divulgation : VMware limite la portée de toute divulgation aux seules informations que nous sommes tenus de divulguer et divulgue les informations conformément à la loi applicable.

En aucun cas, VMware ne divulguera des Données personnelles de manière massive, disproportionnée et sans discernement allant au-delà de ce qui est nécessaire dans une société démocratique.

En outre, à la suite de la décision de la Cour de Justice de l’Union Européenne (CEJ) dans l’affaire Data Protection Commissioner v. Facebook Ireland et Maximillian Schrems, C-311/18 (Schrems II), VMware a préparé la Déclaration VMware concernant l’application du FISA Section 702 et l’Executive Order 12333 au regard de la décision Schrems II pour répondre aux préoccupations concernant l’accès des agences de renseignement américaines aux données transitant de l’UE vers les États-Unis et pour aider les clients à comprendre l’application probable de deux autorités américaines : l’Executive Order 12333 et le Foreign Intelligence Surveillance Act (FISA) Section 702. VMware est fermement convaincu qu’il est peu probable qu’il soit soumis à la Section 702 ou à l’Executive Order 12333 en ce qui concerne la fourniture des offres de services, compte tenu de la nature des services qu’il fournit.

VMware est une entreprise internationale et est soumise aux lois internationales. La liste des pays dans lesquels les Données personnelles contenues dans le Contenu client sont traitées en relation avec une Offre de Services spécifique est indiquée dans la ou les listes des Sous-entités de traitement des données applicables, identifiées ici. VMware n’a connaissance d’aucune loi applicable qui pourrait empiéter sur sa capacité à se conformer à ses engagements relatifs aux demandes d’accès gouvernementales et aux divulgations obligatoires, comme indiqué dans les Conditions d’utilisation de VMware.

Dans le cadre de la fourniture de services VMware à un client, VMware peut transférer des données personnelles incluses dans le Contenu Client (tels que ces termes sont définis dans l’Addendum relatif au traitement des données VMware de l’Espace économique européen (« EEE »), la Suisse et le Royaume-Uni vers des pays tiers en sa qualité d’entité de traitement des données. Le règlement général sur la protection des données (« RGPD ») a été intégré à la législation nationale du Royaume-Uni et, par conséquent, le mécanisme de transfert de données autorisé par le RGPD pour les transferts de données personnelles en dehors de l’EEE s’appliquera également aux transferts depuis le Royaume-Uni. En ce qui concerne la Suisse, la loi fédérale sur la protection des données (« LPDP ») suit un cadre similaire à celui du RGPD et, par conséquent, les mêmes mécanismes de transfert de données s’appliquent aux transferts depuis la Suisse (avec les modifications nécessaires pour tenir compte des différences).

Les destinataires ou importateurs des données personnelles du client incluent les entités du groupe VMware et certains fournisseurs tiers que nous engageons et qui traitent les données personnelles en notre nom pour fournir nos services (« Sous-entités de traitement des données »). Une liste des entités du groupe VMware et des Sous-entités de traitement des données que nous utilisons pour traiter les Données personnelles de nos clients dans le cadre de nos offres de services et de notre support client, ainsi que les détails de leur emplacement, sont disponibles ici.

Transferts intra-groupes : chaque fois que VMware, agissant en tant qu’entité de traitement des données, partage des informations personnelles provenant de l’EEE, elle le fera sur la base de ses règles d’entreprise contraignantes approuvées par des pairs et son commissaire irlandais chargé de la protection des données, connues sous le nom de Règles d’entreprise contraignantes de VMware (« REC de VMware ») qui établissent une protection adéquate de ces informations personnelles et sont juridiquement contraignantes pour le groupe VMware.

Les REC de VMware ont été approuvées le 23 mai 2018 par les Autorités européennes chargées de la protection des données. Vous pouvez consulter la confirmation que cet examen est maintenant terminé ici. Pour plus d’informations sur les règles d’entreprise contraignantes de VMware et pour accéder à la politique de traitement des REC de l’EEE de VMware, consultez Règles d’entreprise contraignantes VMware en matière de traitement. Pour voir une liste des sociétés affiliées de VMware ayant signé un accord intra-groupe relatif aux REC de VMware pour l’EEE, cliquez ici. Pour en savoir plus, cliquez ici.

La demande de VMware de mise en place de règles d’entreprise contraignantes au Royaume-Uni (« REC britanniques de VMware ») est actuellement en cours, et l’Addendum relatif au traitement des données de VMware sera mis à jour lorsque les REC britanniques entreront en vigueur. Voir la section des FAQ « Quelle est la stratégie de transfert de données VMware à la lumière du Brexit ? » pour en savoir plus.

Transferts vers des Sous-entités de traitement des données tiers : VMware a mis en place des accords de traitement des données (DPA) avec ses Sous-entités de traitement des données qui intègrent la version actuelle du Contrôleur aux Clauses contractuelles types (CCT) des Sous-entités de traitement des données pour garantir des données sûres, sécurisées et légales transferts depuis l’EEE, la Suisse et le Royaume-Uni et pour protéger tout transfert ultérieur. La Commission européenne a publié une nouvelle version provisoire des CCT disponible ici. Une fois les nouvelles CCT approuvées et entrées en vigueur, VMware prendra les mesures nécessaires pour mettre en œuvre ces nouvelles CCT avec ses Sous-entités de traitement des données conformément aux nouvelles exigences établies par la Commission européenne.

VMware a préparé une FAQ « Brexit et transferts de données internationaux », disponible ici, pour répondre aux préoccupations des clients concernant la stratégie de transfert de données de VMware à la lumière du Brexit, et en particulier concernant l’utilisation de règles d’entreprise contraignantes (REC) et de clauses contractuelles types (CCT).

Pour plus d’informations sur les mécanismes mis en œuvre par VMware pour garantir le transfert approprié de données personnelles, consultez la section de la FAQ « Quel mécanisme la société VMware a-t-elle mis en œuvre pour garantir les transferts sécurisés de données personnelles en dehors de l’EEE, de la Suisse et du Royaume-Uni où VMware agit en tant qu’entité de traitement des données ? »

La sécurité de nos Offres de Services est de la plus haute importance pour VMware. Pour obtenir une liste des mesures de sécurité déployées en lien avec nos Offres de Services, consultez la page du Centre de confiance sur la sécurité.

Dans votre utilisation des Offres de Services, vous êtes responsable de la configuration et de la mise en œuvre des contrôles techniques, organisationnels et administratifs nécessaires pour vous permettre de vous conformer à toutes les lois applicables à votre utilisation de l’Offre de Services, qui peuvent dépendre des types de données que vous choisissez de traiter à l’aide de l’Offre de Services. Vos responsabilités relatives à la sécurité de votre Contenu Client sont définies dans l’accord applicable et incluent : (a) contrôler l’accès que vous fournissez à vos Utilisateurs ; (b) configurer l’Offre de Services de manière appropriée ; (c) garantir la sécurité du Contenu Client lorsqu’il est transféré vers et depuis l’Offre de Services ; (d) utiliser une technologie de chiffrement pour protéger le Contenu Client comme vous le jugez nécessaire ; et (e) sauvegarder le Contenu Client.

VMware a un programme de gestion de la sécurité des informations aligné avec la norme ISO 27001 (le cas échéant), revu au moins une fois par an pour garantir que les contrôles, pratiques et procédures appropriés sont en place. Pour obtenir une liste des mesures de sécurité déployées en lien avec nos Offres de Services, consultez la page du Centre de confiance sur la sécurité.

VMware engage et utilise des tiers pour fournir des services en son nom dans le cadre de la fourniture d’offres de services VMware ou de services d’assistance et d’abonnement. Consultez les détails fournis ici. Dans le cadre de l’engagement de tiers qui traitent des Données personnelles en tant que Sous-entité de traitement des données (tels que ces termes sont définis dans l’Addendum relatif au traitement des données), VMware a mis en œuvre les processus et procédures suivants :

1. Engagement contractuel et transferts internationaux de données : VMware conclut des accords de traitement des données avec tous ses Sous-entités de traitement des données, qui exigent que les Sous-entités de traitement des données maintiennent la confidentialité, la sécurité et la confidentialité des données personnelles selon des conditions qui sont sensiblement similaires aux engagements contractuels que VMware prend avec ses propres clients dans l’Addendum relatif au traitement des données. VMware s’appuie sur les clauses contractuelles types de l’UE, à moins qu’un autre mécanisme de transfert de données légitime ne soit en place et que la Sous-entité de traitement des données prenne les engagements contractuels appropriés.

2. Processus d’examen de la confidentialité et confidentialité dès la conception : VMware a mis en place un processus centralisé de gestion de bout en bout des fournisseurs tiers pour intégrer de nouveaux fournisseurs, y compris le lancement, la réalisation et le suivi d’examens tiers de confidentialité et de sécurité à l’aide d’outils centralisés pour l’aider dans ses efforts de conformité. L’équipe de confidentialité de VMware effectue des examens détaillés de la confidentialité des services fournis par les Sous-entités de traitement des données, notamment en déterminant les catégories de données personnelles traitées et les finalités du traitement. Les examens comprennent la mise en œuvre de contrôles de confidentialité pour atténuer les risques associés à l’accès et au traitement des Données personnelles par les Sous-entités de traitement des données et assurer le respect de la réglementation.

3. Processus d’examen de sécurité : VMware maintient une politique et un processus pour effectuer des examens de sécurité des Sous-entités de traitement des données. L’équipe de sécurité VMware effectue un examen de sécurité initial de tout nouveau Sous-entité de traitement des données et une surveillance continue en fonction du niveau de risque de sécurité identifié.

4. Liste des Sous-entités de traitement des données et notification des nouvelles Sous-entités de traitement des données : VMware tient à jour une liste des Sous-entités de traitement des données utilisés par les Offres de Services individuelles et en relation avec les services d’assistance et d’abonnement. La liste de chaque Offre de Services est accessible ici. VMware informe au préalable le Client de tout nouvel engagement d’une Sous-entité de traitement des données si le Client s’est abonné pour recevoir une notification pour un Service spécifique via les mécanismes fournis par VMware. Si vous souhaitez recevoir des notifications de nouvelles Sous-entités de traitement des données, accédez ici et activez les notifications pour la ou les listes de Sous-entités de traitement des données concernées.

VMware a mis en place une approche axée sur la confidentialité pour garantir que ses Produits et Offres de Services on premise sont conçus d’une manière conforme aux principes de confidentialité applicables et aux exigences légales. Un processus d’examen de la confidentialité a été mis en œuvre dans le cycle de vie de la conception des offres de produits et de services on premise de VMware, qui comprend des instructions documentées pour la soumission d’un produit ou service via un examen de la confidentialité, un conseiller juridique désigné pour effectuer des examens de confidentialité, des évaluations d’impact du traitement des données (en fonction des exigences) et les exigences générales de confidentialité pour la conception de produits/services, conformément aux lois applicables en matière de protection des données et de confidentialité.

En outre, VMware a mis en place un processus centralisé de gestion de bout en bout des fournisseurs tiers pour intégrer de nouveaux fournisseurs, y compris le lancement, la réalisation et le suivi d’examens tiers de confidentialité et de sécurité à l’aide d’outils centralisés pour l’aider dans ses efforts de conformité. L’équipe de confidentialité de VMware effectue des examens détaillés de la confidentialité des services fournis par les Sous-entités de traitement des données, notamment en déterminant les catégories de données personnelles traitées et les finalités du traitement. Les examens comprennent la mise en œuvre de contrôles de confidentialité pour atténuer les risques associés à l’accès et au traitement des Données personnelles par les Sous-entités de traitement des données et assurer le respect de la réglementation.

VMware dispose d’un délégué à la protection des données (Data Protection Officer, DPO) qui est avocat et directeur d’un cabinet de conseil externe en protection des données. Le rôle du DPO est décrit aux articles 38 et 39 du RGPD. Le DPO doit être impliqué dans toutes les questions relatives à la protection des données personnelles, conseiller l’organisation sur ses obligations au titre du RGPD, surveiller sa conformité, fournir des conseils concernant toute évaluation d’impact sur la protection des données et être un point de contact pour les autorités de contrôle.  L’équipe de confidentialité de VMware engage le DPO de VMware, le cas échéant. Pour contacter le DPO de VMware, veuillez envoyer un e-mail à dpo@vmware.com. L’équipe de confidentialité de VMware traitera la demande et/ou engagera notre DPO, le cas échéant.

D’après les termes du règlement général sur la protection des données (RGPD) de l’Union européenne, VMware est l’« Entité de traitement des données » en ce qui concerne le Contenu Client. Les obligations et engagements de VMware en tant qu’entité de traitement des données définis dans le RGPD sont présentés dans notre Addendum relatif au traitement des données et VMware traitera les données personnelles du Contenu Client conformément à l’accord applicable et à cet Addendum relatif au traitement des données. En outre, VMware a approuvé des Règles d’entreprise contraignantes concernant les données personnelles qu’il traite en tant qu’entité de traitement des données. Une copie des REC de VMware est disponible ici et le document attestant de leur approbation par VMware est disponible sur le site Web de la Commission européenne.

VMware fournit des solutions d’entreprise qui permettent à ses clients de créer, gérer, sécuriser et exécuter des applications sur plusieurs systèmes et environnements. Même si VMware estime que la nature des Offres de Services qu’elle propose à ses clients ne justifie généralement pas une demande d’accès direct du gouvernement au Contenu Client, VMware a pris les mesures suivantes pour se conformer à la réglementation Schrems II et pour aider les clients dans leurs propres efforts de conformité concernant les données qu’ils traitent en tant que contrôleur :

Engagements contractuels renforcés concernant les demandes d’accès gouvernementales

VMware a mis à jour la section « Divulgation obligatoire » de ses Conditions d’utilisation pour clarifier la façon dont VMware traite les demandes d’accès gouvernementales en ajoutant les engagements suivants :

Lorsque la notification au client n’est pas interdite par la loi, VMware :

 - Notifiera le client : informe ses clients de toute demande de divulgation du contenu du client.

- Renverra l’agence gouvernementale vers le client : informe l’autorité gouvernementale compétente que VMware est un fournisseur de services agissant au nom du client et que toutes les demandes d’accès au contenu du client doivent être adressées par écrit à la personne que le client a identifiée pour nous, ou au service juridique du client.

- Limitera l’accès : donne l’accès au contenu du client uniquement avec l’autorisation du client. Si le client le demande, nous prendrons, aux frais du client, des mesures raisonnables pour contester toute demande.

S’il est légalement interdit à VMware de notifier le client, VMware :

- Évaluera la validité juridique : VMware évalue la demande de divulgation afin de déterminer si elle est juridiquement valide et contraignante,

- Contestera les demandes illégales : VMware conteste la commande s’il estime raisonnablement que la commande n’est pas conforme à la loi applicable.

- Limitera la portée de la divulgation : VMware limite la portée de toute divulgation aux seules informations que nous sommes tenus de divulguer et divulgue les informations conformément à la loi applicable.

Transparence concernant le processus de traitement des demandes d’accès gouvernementales et des autorités américaines

Pour aider les clients à mieux comprendre les engagements et le processus de VMware pour le traitement des demandes d’accès gouvernementales, y compris les engagements énoncés dans les REC de VMware, VMware a préparé les Principes VMware pour le traitement des demandes gouvernementales d’accès au contenu client.

En outre, VMware a préparé la Déclaration VMware concernant l’application du FISA Section 702 et l’Executive Order 12333 au regard de la décision Schrems II pour répondre aux préoccupations concernant l’accès des agences de renseignement américaines aux données transitant de l’UE vers les États-Unis et pour aider les clients à comprendre l’application probable de deux autorités américaines : l’Executive Order 12333 et le Foreign Intelligence Surveillance Act (FISA) Section 702. VMware est fermement convaincu qu’il est peu probable qu’il soit soumis à la Section 702 ou à l’Executive Order 12333 en ce qui concerne la fourniture des offres de services, compte tenu de la nature des services qu’il fournit.

Contrats mis à jour avec des Sous-entités de traitement des données pour garantir la base juridique du transfert de Données personnelles

Depuis l’invalidation du bouclier de protection des données UE-États-Unis (EU-US Privacy Shield), VMware a mis en place des clauses contractuelles types avec tous ses Sous-entités de traitement des données qui s’appuyaient auparavant sur le bouclier de protection des données UE-États-Unis comme mécanisme de transfert de données. En sa qualité d’entité de traitement des données, VMware s’appuie sur des règles d’entreprise contraignantes pour transférer des Données personnelles en dehors de l’UE dans le cadre de la fourniture des Offres de Services VMware applicables, comme indiqué dans l’Addendum relatif au traitement des données de VMware. Des informations supplémentaires sur les REC de VMware sont disponibles ici et sur le Centre de confiance VMware

Mesures techniques et organisationnelles

VMware confirme son engagement à mettre en œuvre et à maintenir les mesures techniques et organisationnelles appropriées, comme indiqué dans l’Addendum relatif au traitement des données de VMwareLe site Web du Centre de confiance VMware présente les certifications et les audits tiers que VMware assure en relation avec ses Offres de Services. Compte tenu de la nature des Offres de Services VMware, les clients contrôlent également la façon dont ils configurent les Offres de Services et peuvent mettre en œuvre tous les contrôles administratifs et techniques nécessaires pour protéger les données traitées dans le cadre de leur utilisation de l’Offre de Services applicable. Dans de nombreux cas, VMware fournit à la fois des solutions on premise et hébergées parmi lesquelles les clients peuvent choisir lorsqu’ils gèrent leurs systèmes et leur infrastructure.

Transparence concernant les types de données traitées par VMware Service - Fiches techniques

Le Comité européen de la protection des données (European Data Protection Board, EDPB) dans sa FAQ sur la décision « Schrems II » a souligné qu’il est nécessaire de considérer les types de données transférées comme un facteur pour déterminer s’il existe un niveau de protection adéquat entourant le transfert de données personnelles à l’extérieur l’UE, et que les contrôleurs devraient procéder à une analyse au cas par cas pour déterminer les risques posés par un tel transfert. Pour aider les clients à comprendre les types de données traitées dans le cadre de leur utilisation des Offres de Services VMware, VMware fournit des Descriptions de service pour chaque Offre de Services disponible ici, et met à disposition des fiches techniques pour certaines Offres de Services dans la section Confidentialité du Centre de confiance VMware. Pour les Offres de Services Workspace One, VMware met également à disposition l’Avis de confidentialité Workspace One.

Le CCPA (California Consumer Privacy Act) concerne les entreprises fournissant des services aux consommateurs de Californie. Il donne aux individus certains droits concernant le traitement de leurs données personnelles. D’après les termes du CCPA, VMware agit en tant que « fournisseur de services » du client en ce qui concerne le traitement des données personnelles du contenu client. VMware n’accédera pas à ces données personnelles à d’autres fins que celles nécessaires pour fournir ces services au client, conformément à l’accord applicable et aidera le client à répondre aux demandes d’accès à certaines données tombant sous la juridiction du CCPA, comme indiqué dans notre Addendum relatif au traitement des données. Lorsque VMware agit en tant qu’« entreprise » d’après les termes du CCPA, l’Avis de confidentialité en Californie de VMware et d’autres Avis de confidentialité fournissent des détails sur la façon dont VMware gère ces informations personnelles en tant qu’entreprise, y compris des divulgations relevant des catégories de données collectées et utilisées, ainsi que la vente d’informations personnelles. Pour des informations plus détaillées sur le champ d’application du CCPA en ce qui concerne le provisionnement des services VMware, cliquez ici.

Prêt à vous lancer ?