Règlement général sur la protection des données (RGPD) et cadre de protection des données
Le règlement général sur la protection des données (RGPD) est une loi de l'Union européenne qui s'applique à toutes les organisations, quel que soit leur emplacement, qui traitent les données personnelles des personnes dans l'Espace économique européen (EEE ; les 27 États membres de l'UE plus l'Islande, la Norvège et le Liechtenstein) dans le cadre de leur offre de biens ou de services ou de la surveillance de leur comportement. En vertu du RGPD, les organisations sont tenues d'identifier une base juridique pour le traitement des données personnelles, d'informer les individus sur les données collectées et la manière dont elles seront utilisées, d'honorer les demandes des individus d'accéder, de corriger ou de supprimer des informations les concernant, d'utiliser des contrôles de sécurité appropriés pour protéger les données personnelles contre tout accès non autorisé, d'informer les individus et les autorités des violations de données, de nommer un délégué à la protection des données et de prendre en compte la confidentialité au début d'une activité, plutôt qu'après coup. Le RGPD restreint également le transfert de données personnelles hors de l’EEE, à moins que des garanties ne soient en place pour assurer une protection essentiellement équivalente dans la juridiction réceptrice.
F5 est conforme au RGPD, comme détaillé dans notre avis de confidentialité . F5 exploite des services en tant que sous-traitant pour ses clients de la plateforme Cloud distribuée qui sont des contrôleurs (ou en tant que sous-traitant pour un client qui est un sous-traitant). En conséquence, F5 se conforme à l’article 28 pour chacune de nos offres de Cloud distribué. F5 participe au cadre de confidentialité des données UE-États-Unis, qui, selon la Commission européenne, offre une protection adéquate pour les transferts vers les sociétés participantes aux États-Unis, et utilise les clauses contractuelles types pour protéger les données personnelles transférées vers les sites SOC mondiaux à des fins d'assistance. De plus, F5 dispose d'un programme de confidentialité et de sécurité robuste pour garantir que les clients peuvent respecter leurs obligations en vertu du RGPD. Contactez un représentant commercial pour demander une copie du rapport SOC 2 Type II publié chaque année par F5, qui est disponible sous NDA et comprend un tableau mappant ses contrôles aux exigences du RGPD.
FAQ
Quelles données personnelles F5 traite-t-elle pour ses clients ?
Pour de nombreux services, F5 agit en tant que « sous-traitant » (et non en tant que responsable du traitement) des données personnelles nécessaires à la fourniture d’un service. Les détails sur les données personnelles traitées par F5 sont répertoriés dans les déclarations de confidentialité de chaque service. Retrouvez tous les liens vers la déclaration de confidentialité spécifique au service dans l'introduction de l'avis de confidentialité de F5 à l'adresse https://www.f5.com/company/policies/privacy-notice .
Quelles mesures de sécurité spécifiques F5 prévoit-il pour les données personnelles ?
F5 et ses services accordent la priorité à la protection des données personnelles et respectent les normes les plus élevées en matière de confidentialité des données. [TJ1] [AC2] Les contrôles techniques et organisationnels qui protègent les données personnelles collectées par F5 sont répertoriés dans les contrats de service spécifiques (par exemple, les conditions spécifiques au service applicables aux services fournis en vertu de notre contrat de services aux utilisateurs finaux) et dans le rapport SOC2 Type II de F5. F5 Global Support est certifié ISO 27001 et F5 Distributed Cloud Services est certifié ISO 27001 avec une extension ISO 27017 et ISO 27018. F5 est également conforme à la norme PCI-DSS en tant que fournisseur de services de niveau 1 pour les services cloud distribués F5. Des certifications de sécurité supplémentaires s'appliquent à des services F5 et à du matériel F5 spécifiques. Retrouvez des informations plus détaillées sur les pratiques de sécurité des données sur https://www.f5.com/company/policies/privacy-notice .
Comment F5 et ses clients répondent-ils aux exigences du chapitre V du RGPD et aux exigences similaires prévues par la législation britannique et suisse concernant les transferts de données personnelles vers les États-Unis et d'autres pays ?
Les clients dont le siège social principal se trouve en Europe, au Moyen-Orient ou en Afrique (collectivement, EMEA) reçoivent des services via des contrats avec F5 Networks, Ltd. F5 Networks, dont le siège social est situé au Royaume-Uni et est constitué en société conformément aux lois de ce pays, est le centre des opérations de F5 dans la région EMEA. Les autorités européennes et suisses ont reconnu que les lois britanniques assurent la protection des données personnelles, satisfaisant pleinement aux exigences du chapitre V du RGPD et de la législation suisse équivalente.
Les clients dont le siège social se trouve dans la région Asie-Pacifique (APAC) concluent un contrat avec F5 Networks Singapore Pte Ltd. à Singapour. Tous les autres clients (y compris ceux dont le siège social est en Amérique du Nord) ont un contrat avec F5, Inc. aux États-Unis. Pour tous les services F5, l' addendum sur la protection des données (DPA) , tel que complété par les conditions spécifiques au service , comprend les clauses contractuelles types et les dispositions qui s'appliquent à tous les transferts légalement applicables à F5. Ces clauses contractuelles types sont accompagnées de l'addenda relatif au transfert international de données publié par le gouvernement britannique pour les transferts au Royaume-Uni, ainsi que d'un texte supplémentaire publié par le Commissaire fédéral suisse à la protection des données et à la transparence pour les transferts suisses. Pour les services concernés, F5 maintient également une certification dans le cadre du protocole UE-États-Unis. Cadre de protection des données, l'extension britannique au cadre UE-États-Unis Cadre de protection des données et relations Suisse-États-Unis Cadre de confidentialité des données.
F5 est-il certifié selon le Data Privacy Framework ?
Oui. Pour les services concernés, F5 maintient une certification dans le cadre du réseau UE-États-Unis. Cadre de confidentialité des données, extension britannique du cadre UE-États-Unis Cadre de protection des données et accord entre la Suisse et les États-Unis Cadre de confidentialité des données.
Les États-Unis... L'article 702 de la loi sur la surveillance du renseignement étranger (« FISA ») et le décret exécutif (EO) 12333 évoqués dans la décision Schrems II affectent-ils le F5 ?
Non. Ces deux dispositions juridiques américaines, qui étaient au centre de l’arrêt Schrems II , n’affectent pas F5. En tout état de cause, en raison des améliorations apportées à la législation américaine suite à la décision Schrems II , la Commission européenne a déterminé dans sa décision d'exécution du 10 juillet 2023 conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil le niveau adéquat de protection des données à caractère personnel dans le cadre de l'accord UE-États-Unis. Cadre de protection des données selon lequel les préoccupations antérieures concernant ces dispositions ont été résolues. Le Comité européen de la protection des données (CEPD) a analysé la décision de la Commission européenne et a noté (dans sa note d'information sur les transferts de données au titre du RGPD vers les États-Unis après l'adoption de la décision d'adéquation le 10 juillet 2023 ) que « toutes les garanties qui ont été mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à toutes les données transférées vers les États-Unis, quel que soit l'outil de transfert utilisé » (c'est-à-dire indépendamment du fait que les données soient transférées aux États-Unis via le cadre de confidentialité des données, les clauses contractuelles types ou un autre outil de transfert).
F5 n'a jamais reçu de demande d'accès aux données ni aucun autre type de directive en vertu de la norme FISA 702. De nombreux services F5 ne sont pas le type de services éligibles pour être ciblés par une directive FISA 702. De plus, pour presque tous les clients des services F5, F5 ne traite pas le type de données pouvant être ciblées. avec une directive FISA 702, qui s'applique aux données sur la prolifération des armes de destruction massive, aux plans d'attaques de puissances étrangères contre les États-Unis, aux renseignements sur les activités clandestines d'espions étrangers ou à d'autres « informations de renseignement étranger » au sens de la FISA.
F5 ne peut pas non plus recevoir d’ordre de production de données client en vertu de l’EO 12333, car il n’existe pas d’ordre EO 12333. L'EO 12333 attribue certaines responsabilités au sein de la communauté du renseignement des États-Unis, mais n'impose aucune obligation au secteur privé. F5 crypte les données en transit et utilise des mesures de sécurité supplémentaires pour se protéger contre les activités d'interception théoriques qui concernaient le tribunal Schrems II avant la détermination d'adéquation de la Commission européenne de 2023 évoquée ci-dessus.
Comment les États-Unis... La loi Clarifying Lawful Overseas Use of Data (« CLOUD ») de 2018 affecte-t-elle la capacité du gouvernement américain à exiger l’accès aux données ?
Le CLOUD Act n’a pas donné au gouvernement américain de nouveaux pouvoirs pour exiger des données des entreprises qui font des affaires aux États-Unis. Le gouvernement américain n’émet pas d’« ordres CLOUD Act » et F5 n’en a jamais reçu. Le CLOUD Act a clarifié le fait que lorsque le gouvernement américain suit une procédure légale existante appropriée (comme l'obtention d'une ordonnance d'un juge d'un tribunal de district fédéral) pour ordonner à une entreprise de fournir des données spécifiées en sa possession, sous sa garde ou son contrôle, l'emplacement des données ne peut pas être la base de la contestation de l'ordonnance par l'entreprise (bien qu'un conflit avec les lois en vigueur à cet endroit puisse toujours l'être). Le CLOUD Act est en vigueur depuis avant la décision Schrems II de 2020. À la suite de la décision Schrems II , les États-Unis ont apporté diverses améliorations à leurs règles et pratiques concernant l’accès du gouvernement aux données. La Commission européenne a ensuite évalué ces améliorations et déterminé que la législation américaine applicable aux demandes de données du gouvernement américain offre désormais un niveau de protection adéquat au sens du RGPD. Voir la décision d'exécution du 10 juillet 2023 conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil relatif au niveau adéquat de protection des données à caractère personnel dans le cadre de l'accord UE-États-Unis Cadre de confidentialité des données . Le Comité européen de la protection des données (CEPD) a analysé cette décision et a noté (dans sa note d'information sur les transferts de données au titre du RGPD vers les États-Unis après l'adoption de la décision d'adéquation le 10 juillet 2023 ) que « toutes les garanties qui ont été mises en place par le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à toutes les données transférées vers les États-Unis, quel que soit l'outil de transfert utilisé » (c'est-à-dire indépendamment du fait que les données soient transférées aux États-Unis via le cadre de confidentialité des données, les clauses contractuelles types ou un autre outil de transfert).
Quelle est la politique de F5 pour répondre aux demandes gouvernementales en matière de données gouvernementales ?
Compte tenu de la nature des relations clients de F5 et des données limitées (et généralement cryptées) que F5 gère pour ses clients, de telles demandes sont extrêmement rares. La politique de F5 pour toute demande de données client est de (i) informer rapidement le client si la loi le permet, puis de coopérer avec le client pour résoudre le problème ou (ii) si la notification du client est illégale, de tenter de rediriger l'autorité requérante vers le client. Si ces efforts ne permettent pas de résoudre le problème, F5 évaluera la légalité de la demande et soulèvera toutes les contestations raisonnables à son encontre (par exemple en faisant appel), y compris si le respect de la demande violerait le RGPD ou d’autres lois pertinentes. Au cours de ce processus, F5 demanderait la suspension des effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé, y compris par le biais d'une éventuelle procédure d'appel. F5 ne divulguerait aucune donnée dans une telle situation, à moins que les règles de procédure applicables ne l’exigent. Si ce point était atteint, F5 ne divulguerait que les données minimales nécessaires pour se conformer à ce qui restait de la demande initiale.
Comment les clients peuvent-ils s’assurer que les mécanismes de transfert de données transfrontaliers appropriés sont en place avec F5 ?
Chaque contrat client pour les services de F5 (le contrat de services aux utilisateurs finaux (EUSA) ) comprend des conditions spécifiques au service qui intègrent et complètent l'addendum de protection des données (DPA) de F5, qui comprend les clauses contractuelles types avec un langage supplémentaire pertinent pour les transferts soumis au droit britannique ou suisse. Dans certains cas, le client et F5 auront un contrat différent qui intègre ces mêmes protections, comme le contrat pour des services de support F5 spécifiques. Les clients peuvent également se référer à https://www.dataprivacyframework.gov/list , qui montre que F5 a obtenu la certification dans le cadre du protocole UE-États-Unis Cadre de protection des données, l'extension britannique au cadre UE-États-Unis Cadre de protection des données et relations Suisse-États-Unis Cadre de confidentialité des données.
Comment F5 et ses clients gèrent-ils les transferts de données personnelles soumis à la loi britannique sur la protection des données ?
Pour les transferts vers des entités F5 dans des « pays tiers », y compris le Royaume-Uni, F5 et ses clients s'appuient sur l'addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne, qui est disponible sur le site Web du Commissaire à l'information du Royaume-Uni et est incorporé par référence dans le DPA de F5 pour les transferts pertinents régis par le droit britannique. De plus, pour certains services, F5 est certifié dans le cadre de l'extension britannique à l'UE-États-Unis. Cadre de confidentialité des données.
