FAQ Conformité au RGPD

Ping Identity dispose d’un programme complet dédié à la confidentialité et la sécurité à l’international afin de respecter le RGPD et d’autres lois en matière de confidentialité applicables dans le monde entier. Nos politiques, procédures et contrôles sont conçus pour refléter des principes équitables en matière de collecte des données, de qualité des données et de finalité des objectifs, et fournissent le fondement du programme et de confidentialité et de protection des données de notre entreprise. La transparence et la responsabilité sont au cœur de notre programme.

Ping Identity est un des plus grandes fournisseurs de produits de gestion des identités et des accès (IAM) et de solutions de sécurité associées pour les grandes entreprises. Nos produits permettent à nos clients de fournir un accès sécurisé à leurs réseaux et à leurs systèmes pour leurs employés et leurs clients. Nos produits vont de simples solutions de single sign-on à des workflows d’authentification adaptatifs, basés sur le niveau de risque et entièrement orchestrés, qui supportent différents cas d’usage IAM, comme la détection des fraudes, la vérification d’identité et l’autorisation.

Pour fournir des services d’IAM, les données personnelles liées aux employés de nos clients et/ou aux clients peuvent être aisément transférées à Ping Identity, qui les traitera. Ces données sont traitées en fonction des besoins pour fournir des services, vérifier et authentifier l’identité des utilisateurs, gérer les privilèges et les droits d’accès, mais aussi pour des questions de sécurité et de gestion des accès.

Les solutions de Ping Identity n’ont généralement besoin que de données non sensibles, comme le prénom et le nom de la personne, son titre, sa profession, son employeur, ses coordonnées (entreprise, email, téléphone, adresse postale de l’entreprise), les données d’identité et sur l’appareil, les données de connexion et les données d’emplacement. Certains produits fournissent aux clients et aux utilisateurs finaux la capacité de traiter des données biométriques pour l’authentification et l’authentification multifacteur :

Concernant le Service PingID : Ce service même ne traite pas les données biométriques mais permet aux utilisateurs de s’authentifier avec les fonctionnalités biométriques de leurs appareils (comme TouchID).
Concernant le service PingOne Verify : S’il est installé par notre client, biometric data (facial recognition) les données biométriques (reconnaissance faciale) sont traitées pour s’authentifier. L’utilisateur final charge une photo pour activer cette fonctionnalité.

Concernant le service PingOne DaVinci : La plateforme d’orchestration permet aux clients de traiter et de stocker des catégories supplémentaires de données, pouvant inclure des catégories spéciales de données : elles sont déterminées par le client et ne sont pas demandées par Ping Identity.

Tandis que Ping Identity sert principalement à traiter les données pour respecter le RGPD, nous traitons également les données des clients dans la limite de ce que permet la loi, à des fins spécifiques, limitées et internes, à savoir :

Détecter les failles de sécurité et se protéger contre des activités malveillantes, trompeuses, frauduleuses ou illégales.
Déboguer pour identifier et réparer les erreurs qui affectent la fonctionnalité visée de nos produits et d’autres activités nécessaires pour conserver la qualité et/ou la sécurité des produits et des plateformes.
Les activités opérationnelles internes, telles que la réponse aux demandes de sujet de données, les sauvegardes dans le cadre de programme de continuité professionnelle/reprise après un sinistre, et la confirmation des quantités utilisées.
Le traitement est nécessaire pour des questions de conformité juridique ou réglementaire.

La confidentialité, l’exactitude, l’intégrité et la disponibilité des données que nous traitons sont primordiales pour Ping Identity. En qualité de leader dans le secteur de la sécurité professionnelle, nos produits sont créés pour une sécurité inégalée. Des informations complètes sur le programme de sécurité des informations de Ping Identity sont disponibles sur la page La sécurité chez Ping Identity et notre Annexe sécurité.

Ping Identity dispose des certifications SSAE18 SOC 2 et ISO/IEC 27001:2013. ISO 27001 est la norme internationale définissant les meilleures pratiques des systèmes de management de la sécurité de l’information. Le respect de ces normes atteste notre engagement envers un programme de sécurité basé sur les risques, reproductible et que nous améliorons en permanence. Le système de gestion a été inspecté par un tiers accrédité par l’ANSI-ASQ National Accreditation Board (ANAB).

Ping Identity a également recours à un chiffrement fort pour les données en transit ou au repos pour renforcer la sécurité et améliorer la confidentialité des données des clients.

Les produits et solutions d’IAM de Ping Identity ont reçu plusieurs récompenses pour la sécurité informatique, la sécurité des API et l’excellence de la plateforme. Une liste de nos récompenses est disponible ici.

Oui, Ping Identity a recours à un chiffrement fort pour les données en transit ou au repos pour renforcer la sécurité et améliorer la confidentialité des données des clients.

Notre programme de réponse aux failles de sécurité est conçu pour nous permettre de (1) détecter les potentielles failles de sécurité, (2) réduire le risque de dommages engendrés par cette faille, et (3) respecter les lois applicables et nos contrats. En qualité de responsable du traitement des données, si nous constatons qu’une faille de sécurité a affecté les données des clients, nous en informerions le client sans délai.

Oui, les filiales de Ping Identity situées dans l’EEE ont nommé un Délégué à la protection des données (DPO). Le DPO de Ping Identity peut être contacté à l’adresse dpo_privacy@pingidentity.com

Si nous recevons une demande de la part d’une personne se trouvant dans notre compétence de délégué à la protection des données personnelles, nous adresserions cette personne à notre client.

Oui. Nous agissons en qualité de responsable du traitement des données pour les clients, Ping Identity inclut les termes obligatoires dans ses contrats comme requis par les dispositions de l’Article 28(3) du RGPD. Notre Addendum relatif à la protection des données (DPA) des clients est disponible ici. Des termes légaux sont également inclus dans nos contrats avec nos fournisseurs et nos fournisseurs de service.

Comme indiqué dans notre Addendum sur la confidentialité des données, lorsque les données personnelles ne sont plus nécessaires pour l’objectif indiqué dans le contrat client ou de manière anticipée si le client en fait la demande par écrit, nous (à la demande du client) renverrons les données au client ou nous les supprimerons, sauf pour les sauvegardes et les données de surveillance qui seront supprimées conformément à la politique de rétention des données de Ping Identity. Toutes les données personnelles qui ne sont pas immédiatement supprimées continueront à être protégées conformément au RGPD et à notre DPA. Notre DPA pour les clients peut être consulté ici.

Ping Identity est heureux d’aider ses clients à se conformer au DPIA, comme la loi l’exige. En pratique, les activités de traitement associées à nos services d’IAM ne sont généralement pas à « haut risque » pour les utilisateurs. En qualité de responsable du traitement des données, Ping Identity n’est généralement pas concerné par le profilage, la prise de décisions automatisée ni par d’autres activités donnant lieu à des exigences du DPIA. Ping Identity peut fournir des informations complémentaires sur demande.

Ping Identity est doté de programmes officiels de gestion des risques par des tiers, pour gérer les risques liés à ses fournisseurs de services tiers. Ces programmes incluent des procédures pour devenir fournisseur, créer un contrat, assurer le suivi et pour la désinstallation à la fin du délai. Il est demandé à tous les fournisseurs qui gèrent des données personnelles d’accepter des conditions contractuelles adaptées, et ceux qui ont accès à des données personnelles de l’EEE sont tenus par les conditions contractuelles reflétant l’Article 28 du RGPD. Une liste des responsables du traitement des données tiers susceptibles d’avoir accès aux données personnelles des clients est disponible ici.

Les données des clients sont stockées physiquement dans des centres de données sécurisés AWS (Amazon Web Services) dans des endroits listés dans notre Supplément données. Chaque client sélectionne sa région d’hébergement pendant la mise en place, et les clients de l’EEE, du Royaume-Uni et/ou de la Suisse peuvent choisir de stocker leurs données dans l’EEE, dans des centres de colocation AWS situés en Allemagne et en Irlande. Toutefois, les collaborateurs de Ping Identity peuvent accéder à ces données à distance pour assurer leurs services contractuels et leur assistance 24h/24 et 7j/7. L’accès à distance aux données de l’EEE/Royaume-Uni/Suisse peut avoir lieu depuis nos centres d’opération situés dans notre Supplément données.

Les entreprises peuvent utiliser des clauses contractuelles standard pour transférer des données personnelles à des pays tiers s’ils évaluent aussi les risques des transferts vers les juridictions en dehors de l’EEE. Comme la Cour de justice de l’Union européenne l’a remarqué dans son arrêt Schrems II, la principale préoccupation concerne l’accès des gouvernements étrangers aux données personnelles en lien avec la sécurité nationale et les activités d’application de la loi. L’accès à distance aux données de l’EEE/Royaume-Uni/Suisse peut avoir lieu depuis nos centres d’opération situés dans notre Supplément données. La Commission européenne a considéré que le Canada, Israël et le Royaume-Uni étaient adéquats.

Concernant les transferts vers les États-Unis, les entreprises doivent évaluer les risques émanant de l’Executive Order 12333 et de la Section 702 du Foreign Intelligence Surveillance Act (FISA). Des risques relatifs à l’EO 12333 découlent de la capacité du gouvernement des États-Unis à collecter, potentiellement, des données personnelles lorsqu’elles sont en transit vers les États-Unis, en interceptant ces données lorsqu’elles circulent dans les câbles transatlantiques. Les données personnelles peuvent être efficacement protégées contre ce type d’interception grâce à des mesures de sécurité telles que le chiffrement. Ping Identity chiffre les données des clients dans nos services, quand ces données sont en transit et au repos. Les risques liés à la Section 702 du FISA découlent de la capacité du gouvernement des États-Unis à constater la divulgation de données, sans mandat, depuis certains types d’entreprises de communication. Ping Identity ne propose pas de services de télécommunication ni de messagerie électronique.

Concernant les transferts vers l’Australie et vers l’Inde, les entreprises doivent évaluer les risques liés à la législation locale relative à (et réglementant) l’application des lois et à l’accès des agences de sécurité nationales aux données personnelles. Les deux pays ont plusieurs lois sur le respect de la vie privée incluant des mesures de protection des données personnelles. De plus, Ping Identity inclut plusieurs mesures de sécurité et d’organisation supplémentaires pour renforcer la protection des données personnelles.

Bien qu’il soit de la responsabilité de nos clients d’évaluer les risques liés au transfert de données personnelles en dehors de l’EEE/Royaume-Uni/Suisse, nous avons préparé plusieurs ressources disponibles sur demande pour aider nos clients à réaliser ces analyses.

Ping Identity a établi une politique liée aux Demandes des agences gouvernementales pour accéder aux données personnelles. Nous publions également un rapport de transparence détaillé qui intègre toutes les demandes gouvernementales d’accès aux données sous forme d’assignations, comme des mandats, des décisions de justice, des demandes liées à la sécurité nationale et des demandes internationales, ainsi que le type de réponse fourni, si cette publication est autorisée par la législation locale. Merci de noter : Ping Identity n’a pas et ne prévoit pas de recevoir de demandes d’agences gouvernementales pour accéder aux données de clients.

Non. Ping Identity n’a pas et ne prévoit pas de recevoir de demandes d’agences gouvernementales pour accéder aux données de clients. Ping Identity ne propose pas de services de télécommunication ni de messagerie électronique. Par souci de clarté, certains de nos produits permettent aux clients de communiquer avec des services de Ping Identity dans le cadre de procédures d’authentification multifacteur (comme un texte à verifier). Ces options s’appuient sur des fournisseurs de télécommunications tiers (à savoir le porteur de l’utilisateur ou l’ISP), et ces tiers peuvent être soumis à des lois telles que le FISA. Ces options sont facultatives, et les communications avec les services de Ping Identity n’entraînent pas le traitement de données sensibles ou d’autres informations pouvant être qualifiées d’« informations d’intelligence étrangères » conformément au 50 USC § 1801(e).

La Politique de Ping Identity et le Rapport de transparence actuel sont disponibles ici.

Ping Identity a évalué les risques liés aux transferts transfrontaliers et nous sommes ravis d’aider les clients à trouver des informations sur la pertinence d’autoriser Ping Identity à traiter les données dans une juridiction non adéquate. Nous pouvons fournir des informations supplémentaires sur demande.

Nous sommes toujours ravis de recevoir des questions ou des commentaires liés à la confidentialité. Vous pouvez adresser toutes vos questions au Global Privacy Office de Ping Identity en écrivant à l’adresse privacy@pingidentity.com.

L’engagement de Ping Identity envers la conformité au RGPD

1. Comment Ping Identity se conforme au RGPD ?

2. Quels types d’« activités de traitement des données » sont-ils réalisés par Ping Identity ?

3. Quels types de données personnelles sont traités par Ping Identity lorsqu’il fournit des services ?

4. Est-ce que Ping Identity traite également les données personnelles pour ses propres buts ?

5. Quelles sont les mesures de sécurité utilisées par Ping Identity pour protéger les données personnelles ?

6. Est-ce que Ping Identity chiffre les données personnelles des clients ?

7. Comment Ping Identity réagirait face à une faille de sécurité ?

8. Est-ce que Ping Identity a un Délégué à la protection des données dans l’EEE ?

9. Comment Ping Identity gère les demandes liées aux données pour les utilisateurs de nos clients, pour exercer leur droit au respect de la vie privée ?

10. Les contrats de Ping Identity tiennent-ils compte des exigences du RGPD ?

11. Pendant combien de temps Ping Identity conserve-t-il les données personnelles ?

12. Comment obtenir les informations nécessaires pour évaluer l’impact de la protection des données ?

13. Comment Ping Identity gère les tiers en charge du traitement des données, directs et sous-traités ?

14. Quelles mesures de protection Ping Identity a mis en place pour transférer des données personnelles en dehors de l’Europe ?

15. De quelle manière la décision de justice Schrems II affecte-t-elle les services de Ping Identity ?

16. Comment Ping Identity répondrait à une demande d’application de la loi concernant l’accès aux données d’un client ?

17. Est-ce que Ping Identity reçoit des ordonnances de divulgation relevant de la Section 702 du FISA ?

18. Est-ce que Ping Identity a évalué les risques liés aux transferts transfrontaliers ?

19. Comment puis-je contacter Ping Identity au sujet des questions liées à la protection des données ?