Dell EMC VxRail
VMware on AWS Outposts
Fournisseurs VMware Verified Cloud
Consulter les obligations contractuelles de VMware en matière de protection continue des données personnelles que vous communiquez à ses services.
Découvrez comment VMware traite les demandes d’accès gouvernementales, les citations à comparaître, les ordonnances du tribunal et autres obligations légales et réglementaires.
Découvrez les mécanismes sur lesquels VMware s’appuie pour transférer des données personnelles de l’Espace économique européen, de la Suisse et du Royaume-Uni vers des pays tiers.
Consultez la liste des tiers auxquels VMware fait appel pour fournir des services en son nom et inscrivez-vous pour être averti en cas de modification de la liste.
Les données personnelles collectées et traitées par VMware varient en fonction des services que vous achetez. Lisez attentivement les fiches techniques relatives à la vie privée et l’avis de confidentialité UEM pour prendre connaissance des informations personnelles traitées par VMware dans le cadre de ses offres de services.
Les avis de confidentialité de VMware fournissent le détail des informations personnelles collectées, de la manière dont elles sont utilisées, de la durée de leur stockage et des personnes qui y ont accès.
Les déclarations de confidentialité et les programmes de formation de VMware garantissent que ses collaborateurs savent protéger vos données. Ils peuvent également consulter le délégué à la protection des données au besoin.
VMware dispose d’un programme exhaustif relatif à la confidentialité, lequel comprend des examens de confidentialité, des registres des activités de traitement et des évaluations d’impact des transferts.
VMware respecte votre vie privée et vous offre choix et contrôle sur vos informations personnelles.
Le « Contenu Client » (ou « Votre Contenu ») désigne tout contenu que vous, en tant que client, ou vos utilisateurs chargez dans un Service Cloud à des fins de traitement, de stockage ou d’hébergement en lien avec votre compte. Dans le contexte des Services de support, le « Contenu Client » désigne tout contenu que vous fournissez à VMware dans le cadre des Services de support. La définition de « Contenu Client » est fournie dans les Conditions générales de VMware. Par exemple, le Contenu Client inclut les données que vous ou vos utilisateurs stockez dans Workspace ONE. À noter que vos informations de compte telles que les noms, noms d’utilisateur, numéros de téléphone et informations de facturation associées à votre compte ne sont pas incluses dans la définition de « Contenu Client », de même que les informations que VMware collecte en lien avec votre utilisation de ses services Cloud. VMware traite ces informations en accord avec son Avis de confidentialité.
Vous conservez la propriété du Contenu Client en toutes circonstances. Vous déterminez les Services VMware Cloud que vous utilisez pour traiter, stocker et héberger le Contenu Client, ainsi que les informations que vous chargez dans le service Cloud en tant que Contenu Client. En outre, VMware n’accédera pas à votre Contenu Client et ne l’utilisera pas à d’autres fins que celles nécessaires pour vous fournir le service Cloud, ou tel que défini et autorisé dans les Conditions générales VMware que vous avez acceptées. Enfin, VMware n’utilise pas le Contenu Client à des fins marketing ou publicitaires.
VMware fournit des solutions d’entreprise qui permettent à ses clients de créer, gérer, sécuriser et exécuter des applications sur plusieurs systèmes et environnements. Même si VMware estime que la nature des offres de services qu’elle propose à ses clients ne justifie généralement pas une demande d’accès direct du gouvernement au Contenu Client, VMware a pris les mesures suivantes pour se conformer à la réglementation Schrems II et pour aider les clients dans leurs propres efforts de conformité concernant les données qu’ils traitent en tant que contrôleur :
Engagements contractuels renforcés concernant les demandes d’accès gouvernementales
VMware a mis à jour la section « Divulgation obligatoire » des Conditions générales VMware pour clarifier le traitement par VMware des demandes d’accès gouvernementales en ajoutant les engagements suivants :
Lorsque la notification au client n’est pas interdite par la loi, VMware :
S’il est légalement interdit à VMware de notifier le client, VMware :
Pour aider les clients à mieux comprendre les engagements et le processus de VMware pour le traitement des demandes d’accès gouvernementales, y compris les engagements énoncés dans les REC de VMware, VMware a préparé les Principes VMware pour le traitement des demandes gouvernementales d’accès au contenu client.
En outre, VMware a préparé la Déclaration VMware concernant l’application du FISA Section 702 et l’Executive Order 12333 au regard de la décision Schrems II pour répondre aux préoccupations concernant l’accès des agences de renseignement américaines aux données transitant de l’UE vers les États-Unis et pour aider les clients à comprendre l’application probable de deux autorités américaines : l’Executive Order 12333 et le Foreign Intelligence Surveillance Act (FISA) Section 702. VMware est fermement convaincu qu’il est peu probable qu’il soit soumis à la Section 702 ou à l’Executive Order 12333 en ce qui concerne la fourniture des offres de services, compte tenu de la nature des services qu’il fournit.
Contrats mis à jour avec des Sous-entités de traitement des données pour garantir la base juridique du transfert de Données personnelles
Depuis l’invalidation du bouclier de protection des données UE-États-Unis (EU-US Privacy Shield), VMware a mis en place des clauses contractuelles types avec toutes ses Sous-entités de traitement des données qui s’appuyaient auparavant sur le bouclier de protection des données UE-États-Unis comme mécanisme de transfert de données. En sa qualité d’entité de traitement des données, VMware s’appuie sur des règles d’entreprise contraignantes pour transférer des Données personnelles en dehors de l’UE dans le cadre de la fourniture des offres de services VMware applicables, comme indiqué dans l’Addendum relatif au traitement des données de VMware.
Mesures techniques et organisationnelles
VMware confirme son engagement à mettre en œuvre et à maintenir les mesures techniques et organisationnelles appropriées, comme indiqué dans l’Addendum relatif au traitement des données de VMware. Le Centre de confiance VMware présente les certifications et les audits tiers que VMware assure en relation avec ses offres de services. Compte tenu de la nature des offres de services VMware, les clients contrôlent également la façon dont ils configurent les offres de services et peuvent mettre en œuvre tous les contrôles administratifs et techniques nécessaires pour protéger les données traitées dans le cadre de leur utilisation de l’offre de services applicable. Dans de nombreux cas, VMware fournit à la fois des solutions on premise et hébergées parmi lesquelles les clients peuvent choisir lorsqu’ils gèrent leurs systèmes et leur infrastructure.
Transparence concernant les types de données traitées par VMware Service - Fiches techniques
Le Comité européen de la protection des données (European Data Protection Board, EDPB) dans sa FAQ sur la décision « Schrems II » a souligné qu’il est nécessaire de considérer les types de données transférées comme un facteur pour déterminer s’il existe un niveau de protection adéquat entourant le transfert de données personnelles à l’extérieur l’UE, et que les contrôleurs devraient procéder à une analyse au cas par cas pour déterminer les risques posés par un tel transfert. Pour aider les clients à comprendre les types de données traitées dans le cadre de leur utilisation des offres de services VMware, VMware fournit des Descriptions de service pour chaque offre de services, et met à disposition des fiches techniques pour certaines offres de services dans la section Confidentialité du Centre de confiance VMware. Pour les offres de services Workspace One, VMware met également à disposition l’Avis de confidentialité Workspace One.
VMware engage et utilise des tiers pour fournir des services en son nom dans le cadre de la fourniture d’offres de services VMware ou de services de support et abonnement. Dans le cadre de l’engagement de tiers qui traitent des données personnelles en tant que Sous-entité de traitement des données (tels que ces termes sont définis dans l’Addendum relatif au traitement des données), VMware a mis en œuvre les processus et procédures suivants :
VMware dispose d’un processus interne de suivi, d’analyse et d’évaluation des nouvelles lois, réglementations, directives contraignantes et décisions qui peuvent s’appliquer à VMware, que ce soit dans le cadre de la fourniture de ses services ou de l’exploitation de son entreprise. L’équipe chargée de la confidentialité s’appuie sur des conseils externes, des outils de recherche sur la confidentialité externes et des alertes de cabinets d’avocats pour comprendre quand de nouvelles lois et réglementations entrent en vigueur.
Une fois qu’il a été déterminé qu’une loi spécifique sur la confidentialité s’applique à VMware, comme cela s’est par exemple produit avec des lois en Chine, au Japon, en Californie, au Colorado, en Virginie et en Utah, VMware recherche les exigences légales et met en œuvre un plan de projet pour garantir la conformité. Dans le cadre du processus de mise en œuvre, l’équipe de VMware chargée de la confidentialité implique les parties prenantes internes concernées et identifie les processus et les contrôles qui doivent être mis à jour pour se conformer aux nouvelles exigences légales. L’équipe chargée de la confidentialité de VMware s’appuie sur son écosystème de conseils sur la protection de la vie privée (dirigés par des domaines de fonction tels que le marketing, les RH et les ventes) au sein de l’entreprise pour faciliter une mise en œuvre rapide et efficace les lois nouvelles ou modifiées.
L’équipe chargée de la confidentialité de VMware exploite également sa formation standard sur la confidentialité et d’autres formations d’entreprise pour s’assurer que tous ses collaborateurs et sous-traitants sont correctement formés sur les nouvelles exigences légales susceptibles d’avoir un impact sur leur activité. Par exemple, dans le cadre de la conformité réglementaire de VMware avec ses règles d’entreprise contraignantes pour les sous-traitants, VMware a intégré les formations nécessaires à sa formation annuelle obligatoire sur la sensibilisation à la sécurité et a mis à jour son Code de conduite pour refléter les nouvelles exigences.
La sécurité de ses Services Cloud est de la plus haute importance pour VMware. Pour plus d’informations sur la manière dont VMware sécurise ses services Cloud, consultez la page du Centre de confiance sur la sécurité. VMware a un programme de gestion de la sécurité des informations aligné avec la norme ISO 27001, revu au moins une fois par an pour garantir que les contrôles, pratiques et procédures appropriés sont en place.
Dans votre utilisation de VMware Cloud Services, vous êtes responsable de la configuration et de la mise en œuvre des contrôles techniques, organisationnels et administratifs nécessaires pour vous permettre de vous conformer à toutes les lois applicables à votre utilisation du service Cloud, qui peuvent dépendre des types de données que vous choisissez de traiter à l’aide du service. Vos responsabilités relatives à la sécurité de votre Contenu Client sont définies dans l’accord applicable et incluent : (a) contrôler l’accès que vous fournissez à vos Utilisateurs ; (b) configurer le Service Cloud de manière appropriée ; (c) garantir la sécurité du Contenu Client lorsqu’il est transféré vers et depuis le Service Cloud ; (d) utiliser une technologie de chiffrement pour protéger le Contenu Client comme vous le jugez nécessaire ; et (e) sauvegarder le Contenu Client.
Engagements contractuels de VMware pour protéger la sécurité, la confidentialité et l’intégrité de vos données personnelles.
Partie intégrante de l’Addendum relatif au traitement des données VMware qui s’aligne sur les clauses contractuelles types révisées de l’UE suite à la décision Schrems II.
Engagement de VMware vis-à-vis des applications médicales protégées pour certains services lorsque le client est une entité couverte la réglementation HIPAA.
Présentation du traitement par VMware des données personnelles reçues des clients en sa qualité d’entité de traitement et de contrôleur, selon la définition du RGPD.
Informations détaillées sur l’aide que vous fournit VMware pour respecter les exigences de conformité de la loi californienne sur la protection de la vie privée et sur le traitement par VMware des données personnelles au titre d’entreprise régie par le CCPA.
En sa qualité d’entité de traitement des données, VMware s’appuie sur des règles d’entreprise contraignantes (BCR-P) pour transférer des données personnelles depuis l’Espace économique européen (« EEE »), la Suisse et le Royaume-Uni vers des pays tiers. Les BCR sont un mécanisme de transfert de données régi par le règlement général sur la protection des données (« RGPD »), la loi fédérale sur la protection des données en Suisse (« LPDP ») et la loi britannique sur la protection des données. Les BCR-P de VMware sont juridiquement contraignantes pour les membres du groupe de sociétés VMware via un accord intra-groupe (« IGA ») et s’appliquent à tous les transferts de données personnelles entre les membres lorsque les BCR-P sont référencées dans le contrat avec le client.
Les REC-P de VMware pour l’EEE ont été approuvés par les Autorités européennes chargées de la protection des données, dont l’autorité irlandaise chargée de la protection des données est l’autorité principale, le 23 mai 2018. Ces BCR-P ont été mises à jour en mai 2021 pour mettre en œuvre des contrôles post-RGPD, puis à nouveau en octobre 2022 pour mettre en œuvre des exigences post-Schrems II. VMware fournit des mises à jour annuelles à la DPA irlandaise, lesquelles impliquent des amendements des BCR-P, le cas échéant. Des mises à jour annuelles sont effectuées chaque année en mai.
Pour les transferts de données personnelles hors de Suisse, VMware s’appuie également sur les BCR-P de l’EEE.
La demande de VMware concernant les règles d’entreprise contraignantes pour les entités de traitement des données au Royaume-Uni (« BCR-P britanniques ») est actuellement en attente, et l’Addendum relatif au traitement des données de VMware sera mis à jour lorsque les BCR-P britanniques entreront vigueur. Dans l’intervalle, VMware a accepté contractuellement dans son Addendum sur la protection des données d’étendre les protections stipulées dans les REC-P de l’EEE aux transferts de données personnelles depuis le Royaume-Uni vers des pays tiers où VMware agit en tant qu’entité de traitement des données.
VMware conclut des accords de traitement des données avec toutes les sous-entités de traitement des données, lesquelles sont tenues d’assurer le caractère privé, la sécurité et la confidentialité des données personnelles sous des conditions essentiellement similaires à celles des engagements contractuels de notre Addendum relatif au traitement des données. Pour garantir des transferts de données sûrs, sécurisés et légaux depuis l’EEE, la Suisse ou le Royaume-Uni, et pour protéger les transferts ultérieurs, VMware s’appuie sur les clauses contractuelles types de l’EEE (« CCT de l’EEE »), l’accord de transfert de données international du Royaume-Uni ou l’Addendum du Royaume-Uni aux CCT de l’EEE, sauf si un autre mécanisme de transfert de données légitime est en vigueur.
VMware tient une liste des sous-entités de traitement des données utilisées par chaque service VMware.
Vous pouvez être informé qu’une nouvelle sous-entité de traitement des données est engagée par votre service en vous inscrivant pour recevoir une notification.
VMware s’engage dans ses Conditions générales VMware (Divulgations obligatoires) et sa Politique en matière de règles d’entreprise contraignantes (BCR-P) concernant la manière dont elle traitera les demandes d’accès gouvernementales, les citations à comparaître, les ordonnances du tribunal, les actions d’agence ou d’autres obligations légales ou réglementaires pour divulguer le Contenu de tout client.
VMware n’a connaissance d’aucune loi applicable qui pourrait empiéter sur sa capacité à se conformer à ses engagements relatifs aux demandes d’accès gouvernementales et aux divulgations obligatoires, comme indiqué dans les Conditions générales de VMware.
En aucun cas, VMware ne divulguera des données personnelles de manière massive, disproportionnée et sans discernement allant au-delà de ce qui est nécessaire dans une société démocratique.
Publié chaque année, ce rapport indique le nombre de demandes émanant des gouvernements et des autorités d’applications des lois VMware reçoit dans le monde.
Déclaration de VMware concernant le Foreign Intelligence Surveillance Act (FISA) Section 702 et l’Executive Order (EO) 12333.
La société VMware est régie par un ensemble de principes fondamentaux concernant ses réponses aux demandes d’accès relatives à votre contenu.
Découvrez les types de données personnelles collectés par cette solution de sécurité Cloud et comment VMware les traite et les protège.
Découvrez qui est responsable des données personnelles dans les SDDC VMware Cloud on AWS et comment VMware protège les données dans son domaine.
Découvrez comment VMware traite et protège vos données personnelles dans le cadre de l’offre VMware Cloud Disaster Recovery Service.
Découvrez les types de données personnelles collectés par cette passerelle Web sécurisée et comment VMware les traite et les protège.
Découvrez comment VMware traite et protège les données personnelles sur la plate-forme éprouvée pour optimiser les environnements multicloud.
Découvrez comment VMware traite et protège vos données personnelles dans le cadre de l’offre VMware Horizon Service.
Découvrez les types de données personnelles collectés par cette solution de superposition de réseau et comment VMware les traite et les protège.
Découvrez comment VMware traite et protège les données personnelles avec l’offre hébergée Secure Access.
Découvrez comment VMware traite et protège vos données personnelles dans le cadre de l’offre VMware Tanzu Mission Control.
Découvrez comment VMware traite et protège vos données personnelles dans le cadre de l’offre VMware Tanzu Service Mesh.
Découvrez les types de données personnelles collectés par cette plate-forme d’espace de travail numérique et comment VMware les traite et les protège.
VMware Workspace ONE Unified Endpoint Management est une solution unique qui offre une approche scalable de l’automatisation des processus, de la gestion des terminaux et des applications des utilisateurs et de la sécurité de niveau entreprise. Pour aider les clients à se conformer à leurs obligations de transparence dans le cadre de la loi, VMware met à disposition le Workspace One Disclosure. En leur qualité de contrôleurs, les clients peuvent fournir à leurs utilisateurs un avis de confidentialité reposant sur cette divulgation et sur la configuration, l’utilisation et le déploiement de Workspace One par le client. Pour en savoir plus, accédez à la page produit de Workspace ONE Unified Endpoint Management (UEM).
Explique les données personnelles que VMware collecte pour gérer son activité et ses relations avec les clients, les visiteurs et les participants aux événements.
S’applique aux informations personnelles collectées et utilisées par VMware lors de l’utilisation de produits et services VMware.
Explique les droits à la confidentialité des résidents de Californie et comment exercer ces droits.
Explique les obligations de divulgation de VMware et les détails concernant les Informations personnelles telles que définies par la loi sur la protection des informations personnelles de la République populaire de Chine (« PIPL »).
Ce document aborde la manière dont VMware utilise les cookies et les technologies de suivi similaires lorsque vous utilisez et interagissez avec ses sites Web et ses propriétés en ligne.
Concerne les données personnelles que VMware collecte concernant les candidats dans le cadre de ses efforts de recrutement.
Explique les types d’informations collectées par les produits Workspace ONE UEM auprès des utilisateurs des clients et de leurs appareils.
VMware a mis en œuvre une structure de confidentialité dès la conception dans le cycle de vie de ses produits on premise et de ses services hébergés.
La structure de confidentialité dès la conception inclut :
VMware a mis en place un processus de gestion centralisée de bout en bout pour intégrer de nouveaux fournisseurs.
L’équipe VMware chargée de la confidentialité examine la confidentialité des services proposés par ces fournisseurs, en effectuant notamment les actions suivantes :
VMware effectue des évaluations d’impact des transferts (Transfer Impact Assessments, TIA) sur les données personnelles transférées depuis l’EEE, le Royaume-Uni et la Suisse vers des pays tiers qui n’ont pas obtenu le statut d’adéquation.
Son processus interne pour mener les TIA repose sur les directives du Comité européen de la protection des données (EDPB, European Data Protection Board) et de l’outil d’évaluation des risques liés aux transferts internationaux du bureau du commissaire à l’information du Royaume-Uni.
Ce que cela implique :
Pour plus d’informations, notamment sur la manière dont VMware traite les demandes d’accès gouvernementales et sur la probabilité de telles demandes, consultez la FAQ sur les TIA.
Les registres des activités de traitement (RoPA) indiquent les données personnelles que VMware détient en tant qu’entreprise, ainsi que leur localisation. Créé par l’intermédiaire d’un audit des informations et d’un mappage des données, le RoPA est un registre complet des activités de traitement des données personnelles par VMware et inclut les informations suivantes :
Les RoPA VMware sont régulièrement examinés et mis à jour. VMware autorise l’accès des autorités de protection des données sur demande pour se conformer aux obligations réglementaires.
VMware a mis en place des règles et des pratiques complètes pour garantir que les données personnelles sont protégées de manière adéquate et aider à identifier, prévenir et résoudre les vulnérabilités de sécurité dans ses produits et services.
Ces règles et pratiques sont examinées et mises à jour en permanence.
Les collaborateurs de VMware suivent régulièrement des sessions de formation obligatoires sur la confidentialité, aussi bien générales que spécifiques à leur fonction. Des accords de confidentialité sont également requis pour tous les collaborateurs.
L’équipe de VMware chargée de la confidentialité engage un délégué à la protection des données, le cas échéant, pour toute question liée à la protection des données personnelles, aux obligations réglementaires et à la conformité, aux évaluations d’impact sur la protection des données, et en tant que point de contact pour les autorités de surveillance.
Mettez à jour vos préférences relatives aux communications publicitaires et promotionnelles, notamment pour les invitations à des événements, les bulletins d’information et les offres de programmes de formation.
Contactez VMware pour obtenir des réponses concernant vos données personnelles ou pour exercer vos droits en vertu de la loi sur la protection de la vie privée.
L’avis de VMware relatif aux cookies décrit notre utilisation des cookies et des technologies similaires. Pour gérer vos préférences, cliquez sur le bouton Cookie Settings dans l’angle inférieur droit de n’importe quelle page Web VMware.
