Confidentialité VMware s’engage à respecter la confidentialité de vos données

Le « Contenu Client » (ou « Votre Contenu ») désigne tout contenu que vous, en tant que client, ou vos utilisateurs chargez dans un Service Cloud à des fins de traitement, de stockage ou d’hébergement en lien avec votre compte. Dans le contexte des Services de support, le « Contenu Client » désigne tout contenu que vous fournissez à VMware dans le cadre des Services de support. La définition de « Contenu Client » est fournie dans les Conditions générales de VMware. Par exemple, le Contenu Client inclut les données que vous ou vos utilisateurs stockez dans Workspace ONE. À noter que vos informations de compte telles que les noms, noms d’utilisateur, numéros de téléphone et informations de facturation associées à votre compte ne sont pas incluses dans la définition de « Contenu Client », de même que les informations que VMware collecte en lien avec votre utilisation de ses services Cloud. VMware traite ces informations en accord avec son Avis de confidentialité.

Vous conservez la propriété du Contenu Client en toutes circonstances. Vous déterminez les Services VMware Cloud que vous utilisez pour traiter, stocker et héberger le Contenu Client, ainsi que les informations que vous chargez dans le service Cloud en tant que Contenu Client. En outre, VMware n’accédera pas à votre Contenu Client et ne l’utilisera pas à d’autres fins que celles nécessaires pour vous fournir le service Cloud, ou tel que défini et autorisé dans les Conditions générales VMware que vous avez acceptées. Enfin, VMware n’utilise pas le Contenu Client à des fins marketing ou publicitaires.

VMware fournit des solutions d’entreprise qui permettent à ses clients de créer, gérer, sécuriser et exécuter des applications sur plusieurs systèmes et environnements. Même si VMware estime que la nature des offres de services qu’elle propose à ses clients ne justifie généralement pas une demande d’accès direct du gouvernement au Contenu Client, VMware a pris les mesures suivantes pour se conformer à la réglementation Schrems II et pour aider les clients dans leurs propres efforts de conformité concernant les données qu’ils traitent en tant que contrôleur :

Engagements contractuels renforcés concernant les demandes d’accès gouvernementales
VMware a mis à jour la section « Divulgation obligatoire » des Conditions générales VMware pour clarifier le traitement par VMware des demandes d’accès gouvernementales en ajoutant les engagements suivants :

Lorsque la notification au client n’est pas interdite par la loi, VMware :

• Informera le client : informe ses clients de toute demande de divulgation du contenu du client.

• Renverra l’agence gouvernementale vers le client : informe l’autorité gouvernementale compétente que VMware est un fournisseur de services agissant au nom du client et que toutes les demandes d’accès au contenu du client doivent être adressées par écrit à la personne que le client a identifiée pour nous, ou au service juridique du client.

• Limitera l’accès : donne l’accès au contenu du client uniquement avec l’autorisation du client. Si le client le demande, nous prendrons, aux frais du client, des mesures raisonnables pour contester toute demande.

S’il est légalement interdit à VMware de notifier le client, VMware :

• Évaluera la validité juridique : VMware évalue la demande de divulgation afin de déterminer si elle est juridiquement valide et contraignante.

• Contestera les demandes illégales : VMware conteste l’ordonnance s’il estime raisonnablement que l’ordonnance n’est pas conforme à la loi applicable.

• Transparence concernant le processus de traitement des demandes d’accès gouvernementales et des autorités américaines

  Pour aider les clients à mieux comprendre les engagements et le processus de VMware pour le traitement des demandes d’accès gouvernementales, y compris les engagements énoncés dans les REC de VMware, VMware a préparé les Principes VMware pour le traitement des demandes gouvernementales d’accès au contenu client.

  En outre, VMware a préparé la Déclaration VMware concernant l’application du FISA Section 702 et l’Executive Order 12333 au regard de la décision Schrems II pour répondre aux préoccupations concernant l’accès des agences de renseignement américaines aux données transitant de l’UE vers les États-Unis et pour aider les clients à comprendre l’application probable de deux autorités américaines : l’Executive Order 12333 et le Foreign Intelligence Surveillance Act (FISA) Section 702. VMware est fermement convaincu qu’il est peu probable qu’il soit soumis à la Section 702 ou à l’Executive Order 12333 en ce qui concerne la fourniture des offres de services, compte tenu de la nature des services qu’il fournit.

  Contrats mis à jour avec des Sous-entités de traitement des données pour garantir la base juridique du transfert de Données personnelles

  Depuis l’invalidation du bouclier de protection des données UE-États-Unis (EU-US Privacy Shield), VMware a mis en place des clauses contractuelles types avec toutes ses Sous-entités de traitement des données qui s’appuyaient auparavant sur le bouclier de protection des données UE-États-Unis comme mécanisme de transfert de données. En sa qualité d’entité de traitement des données, VMware s’appuie sur des règles d’entreprise contraignantes pour transférer des Données personnelles en dehors de l’UE dans le cadre de la fourniture des offres de services VMware applicables, comme indiqué dans l’Addendum relatif au traitement des données de VMware.

  Mesures techniques et organisationnelles

  VMware confirme son engagement à mettre en œuvre et à maintenir les mesures techniques et organisationnelles appropriées, comme indiqué dans l’Addendum relatif au traitement des données de VMware. Le Centre de confiance VMware présente les certifications et les audits tiers que VMware assure en relation avec ses offres de services. Compte tenu de la nature des offres de services VMware, les clients contrôlent également la façon dont ils configurent les offres de services et peuvent mettre en œuvre tous les contrôles administratifs et techniques nécessaires pour protéger les données traitées dans le cadre de leur utilisation de l’offre de services applicable. Dans de nombreux cas, VMware fournit à la fois des solutions on premise et hébergées parmi lesquelles les clients peuvent choisir lorsqu’ils gèrent leurs systèmes et leur infrastructure.

  Transparence concernant les types de données traitées par VMware Service - Fiches techniques
  Le Comité européen de la protection des données (European Data Protection Board, EDPB) dans sa FAQ sur la décision « Schrems II » a souligné qu’il est nécessaire de considérer les types de données transférées comme un facteur pour déterminer s’il existe un niveau de protection adéquat entourant le transfert de données personnelles à l’extérieur l’UE, et que les contrôleurs devraient procéder à une analyse au cas par cas pour déterminer les risques posés par un tel transfert. Pour aider les clients à comprendre les types de données traitées dans le cadre de leur utilisation des offres de services VMware, VMware fournit des Descriptions de service pour chaque offre de services, et met à disposition des fiches techniques pour certaines offres de services dans la section Confidentialité du Centre de confiance VMware. Pour les offres de services Workspace One, VMware met également à disposition l’Avis de confidentialité Workspace One.

VMware engage et utilise des tiers pour fournir des services en son nom dans le cadre de la fourniture d’offres de services VMware ou de services de support et abonnement. Dans le cadre de l’engagement de tiers qui traitent des données personnelles en tant que Sous-entité de traitement des données (tels que ces termes sont définis dans l’Addendum relatif au traitement des données), VMware a mis en œuvre les processus et procédures suivants :

1. Engagement contractuel et transferts internationaux de données : VMware conclut des accords de traitement des données avec toutes ses sous-entités de traitement des données, qui exigent que les sous-entités de traitement des données maintiennent la confidentialité, la sécurité et la confidentialité des données personnelles selon des conditions qui sont sensiblement similaires aux engagements contractuels que VMware prend avec ses propres clients dans l’Addendum relatif au traitement des données. VMware s’appuie sur les clauses contractuelles types de l’UE, à moins qu’un autre mécanisme de transfert de données légitime ne soit en place et que la sous-entité de traitement des données prenne les engagements contractuels appropriés.
2. Processus d’examen de la confidentialité et confidentialité dès la conception : VMware a mis en place un processus centralisé de gestion de bout en bout des fournisseurs tiers pour intégrer de nouveaux fournisseurs, y compris le lancement, la réalisation et le suivi d’examens tiers de confidentialité et de sécurité à l’aide d’outils centralisés pour l’aider dans ses efforts de conformité. L’équipe de confidentialité de VMware effectue des examens détaillés de la confidentialité des services fournis par les Sous-entités de traitement des données, notamment en déterminant les catégories de données personnelles traitées et les finalités du traitement. Les examens comprennent la mise en œuvre de contrôles de confidentialité pour atténuer les risques associés à l’accès et au traitement des Données personnelles par les sous-entités de traitement des données et assurer le respect de la réglementation.
   
3. Processus d’examen de sécurité : VMware maintient une politique et un processus pour effectuer des examens de sécurité des sous-entités de traitement des données. L’équipe de sécurité VMware effectue un examen de sécurité initial de tout nouveau sous-entité de traitement des données et une surveillance continue en fonction du niveau de risque de sécurité identifié.
   
4. Liste des sous-entités de traitement des données et notification des nouvelles Sous-entités de traitement des données : VMware tient une liste des Sous-entités de traitement des données utilisées par les offres de services individuelles et en relation avec les services de support et abonnement. VMware informe au préalable de tout nouvel engagement d’une sous-entité de traitement des données les clients qui se sont inscrits pour recevoir une notification relative à un service spécifique.

VMware dispose d’un processus interne de suivi, d’analyse et d’évaluation des nouvelles lois, réglementations, directives contraignantes et décisions qui peuvent s’appliquer à VMware, que ce soit dans le cadre de la fourniture de ses services ou de l’exploitation de son entreprise. L’équipe chargée de la confidentialité s’appuie sur des conseils externes, des outils de recherche sur la confidentialité externes et des alertes de cabinets d’avocats pour comprendre quand de nouvelles lois et réglementations entrent en vigueur.

Une fois qu’il a été déterminé qu’une loi spécifique sur la confidentialité s’applique à VMware, comme cela s’est par exemple produit avec des lois en Chine, au Japon, en Californie, au Colorado, en Virginie et en Utah, VMware recherche les exigences légales et met en œuvre un plan de projet pour garantir la conformité. Dans le cadre du processus de mise en œuvre, l’équipe de VMware chargée de la confidentialité implique les parties prenantes internes concernées et identifie les processus et les contrôles qui doivent être mis à jour pour se conformer aux nouvelles exigences légales. L’équipe chargée de la confidentialité de VMware s’appuie sur son écosystème de conseils sur la protection de la vie privée (dirigés par des domaines de fonction tels que le marketing, les RH et les ventes) au sein de l’entreprise pour faciliter une mise en œuvre rapide et efficace les lois nouvelles ou modifiées.

L’équipe chargée de la confidentialité de VMware exploite également sa formation standard sur la confidentialité et d’autres formations d’entreprise pour s’assurer que tous ses collaborateurs et sous-traitants sont correctement formés sur les nouvelles exigences légales susceptibles d’avoir un impact sur leur activité. Par exemple, dans le cadre de la conformité réglementaire de VMware avec ses règles d’entreprise contraignantes pour les sous-traitants, VMware a intégré les formations nécessaires à sa formation annuelle obligatoire sur la sensibilisation à la sécurité et a mis à jour son Code de conduite pour refléter les nouvelles exigences.

La sécurité de ses Services Cloud est de la plus haute importance pour VMware. Pour plus d’informations sur la manière dont VMware sécurise ses services Cloud, consultez la page du Centre de confiance sur la sécurité. VMware a un programme de gestion de la sécurité des informations aligné avec la norme ISO 27001, revu au moins une fois par an pour garantir que les contrôles, pratiques et procédures appropriés sont en place.

Dans votre utilisation de VMware Cloud Services, vous êtes responsable de la configuration et de la mise en œuvre des contrôles techniques, organisationnels et administratifs nécessaires pour vous permettre de vous conformer à toutes les lois applicables à votre utilisation du service Cloud, qui peuvent dépendre des types de données que vous choisissez de traiter à l’aide du service. Vos responsabilités relatives à la sécurité de votre Contenu Client sont définies dans l’accord applicable et incluent : (a) contrôler l’accès que vous fournissez à vos Utilisateurs ; (b) configurer le Service Cloud de manière appropriée ; (c) garantir la sécurité du Contenu Client lorsqu’il est transféré vers et depuis le Service Cloud ; (d) utiliser une technologie de chiffrement pour protéger le Contenu Client comme vous le jugez nécessaire ; et (e) sauvegarder le Contenu Client.