Politique de confidentialité applicable aux Solutions professionnelles Bitdefender Version 5.0, adoptée le 20/07/2021

Ce document explique quel type de données à caractère personnel nous recueillons, comment et où nous pouvons les utiliser, comment nous les protégeons, qui peut y accéder, avec qui nous les partageons et comment vous pouvez les modifier. La présente politique de confidentialité ne s’applique qu’aux Solutions professionnelles Bitdefender gérées par Bitdefender. Des politiques de confidentialité supplémentaires, détaillées aux Chapitres 7 et 8, s’appliquent au service antivol et de risques humains. Si vous être un utilisateur particulier ou que vous visitez nos sites Internet, veuillez consulter notre politique de confidentialité publique concernant les types de données à caractère personnel que nous sommes susceptibles de traiter sur notre site Internet à l’adresse https://www.bitdefender.com/site/view/legal-privacy.html.

1. Informations générales

S. C. BITDEFENDER S. R. L. (« Bitdefender »), dont le siège social est sis à Bucarest, 6e district, 15A rue Orhideelor, Tours Orhideea, étages 9-12, enregistrée au Registre du commerce de Bucarest sous le numéro J40/20427/2005, numéro fiscal RO18189442, e-mail [email protected], traite des données à caractère personnel conformément à la législation roumaine sur la protection des données et au RGPD de l’UE – Règlement général sur le protection des données (Règlement UE 2016/679). Notre délégué à la protection des données peut être contacté aux coordonnées suivantes : Bureau de la protection des données de Bitdefender –e-mail : [email protected], téléphone : 4021-206 34 70. Bitdefender propose des solutions et des services de sécurité des données. Notre objectif principal est de garantir la sécurité de l’information et des réseaux en fournissant des solutions et des services de qualité dans ces domaines tout en respectant la vie privée et les données à caractère personnel des clients, des utilisateurs d’Internet et des partenaires commerciaux. À cette fin, nous faisons de notre mieux pour limiter la collecte des données à caractère personnel à ce qui est absolument nécessaire dans le cadre des finalités spécifiées. Nous nous efforçons d’appliquer des solutions adéquates aux informations et données ainsi collectées en vue de les anonymiser, ou au moins de les pseudonymiser. Le principe de base que nous appliquons aux données que nous collectons est l’anonymisation de toutes les données techniques pouvant être utilisées par Bitdefender aux seules fins spécifiées ci-dessous. Dans certains cas où une anonymisation parfaite des données techniques est techniquement impossible, l’éventuelle identification d’un utilisateur est extrêmement improbable. Conformément à la définition fournie par la législation européenne (Règlement 2016/679), l’expression « données à caractère personnel » fait référence à « toute information se rapportant à une personne physique identifiée ou identifiable (‘personne concernée’) ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Dans ce contexte, Bitdefender traite les données à caractère personnel provenant de ses Solutions professionnelles Bitdefender aux seules fins de garantir la sécurité des réseaux et de l’information :

  • en assurant le bon fonctionnement et l’efficacité des Solutions professionnelles Bitdefender, conformément aux spécifications techniques et aux informations de licence, ainsi que leur amélioration, notamment en analysant les problèmes de sécurité informatique signalés, en fournissant des services connexes adaptés aux besoins des Personnes concernées et en développant de nouvelles technologies ;
  • si le contrat avec le Client professionnel inclut cette option, en offrant une assistance ou des conseils aux Personnes concernées (utilisateurs des Solutions professionnelles Bitdefender), si les Personnes concernées en font spécifiquement la demande ;
2. Données à caractère personnel collectées

Toutes les données à caractère personnel collectées par Bitdefender sont enregistrées, stockées, utilisées et gérées sur des serveurs protégés, ainsi que sur d’autres appareils permettant ces opérations et bénéficiant de mesures de sécurité conformes aux normes de l’industrie. De plus, l’ensemble des sites Internet de Bitdefender sont hébergés sur des serveurs protégés bénéficiant de mesures de sécurité conformes aux normes de l’industrie. Bitdefender peut collecter des informations personnelles auprès de Personnes concernées, telles que les utilisateurs des Solutions professionnelles Bitdefender, qui seront limitées aux données techniques et de licence, lesquelles peuvent parfois inclure des données à caractère personnel :

  • données à caractère personnel fournies par un Partenaire/Client au moment de la création d’un compte ;
  • données techniques envoyées par les Solutions professionnelles Bitdefender installées par le Partenaire/Client.
2.1 Données à caractère personnel directement fournies par un Partenaire/Utilisateur

- par exemple, lorsqu’une licence vous est fournie, votre employeur ou partenaire peut partager avec nous vos informations de contact professionnelles, telles que votre adresse e-mail ou votre numéro de téléphone, afin que nous puissions vous tenir au courant des mises à jour, vous envoyer des notifications ou vous fournir une assistance. Par ailleurs, lorsque vous accédez au Centre d’assistance, nous pouvons vous demander une adresse e-mail valide ou un numéro de téléphone et/ou d’autres informations techniques afin de pouvoir communiquer avec vous et vous fournir l’assistance dont vous avez besoin. Toutes ces données sont utilisées pour fournir à un utilisateur spécifique une licence permettant d’utiliser les Solutions professionnelles Bitdefender, pour traiter une requête ou une réclamation que vous nous avez adressée ou pour vous fournir un support technique. Bitdefender peut également vous demander d’autres données pouvant être considérées comme des données à caractère personnel, si celles-ci sont nécessaires à la résolution du problème de sécurité de l’information pour lequel vous avez demandé une aide. Plus d’informations vous seront fournies lorsque vous utiliserez un outil de communication spécifique pour nous contacter. Les données utilisées dans le cadre des informations de licence sont conservées pendant la durée du contrat et pendant cinq ans après l’expiration de celui-ci, afin que nous soyons en mesure d’apporter une défense dans le cadre de toute plainte en lien avec des aspects contractuels.Les données utilisées pour les services d’assistance sont conservées pendant des périodes de temps qui varient notamment selon que le problème a été résolu ou non et selon la méthode exacte employée pour communiquer avec les services d’assistance ; toutefois, les données seront conservées pendant une durée maximale de cinq ans après la date de la dernière communication, afin que Bitdefender puisse se défendre dans le cas où une plainte en lien avec des aspects contractuels serait déposée.

2.2. Données techniques envoyées par les Solutions professionnelles Bitdefender

- lorsque vous utilisez des Solutions professionnelles Bitdefender, il est possible de partager avec nous certains détails techniques, tels que les données permettant d’identifier l’appareil (UUID), l’URL infectée que vous avez signalée ou une adresse IP. Si vous utilisez une Solution professionnelle Bitdefender qui s’intègre à votre serveur de messagerie électronique, certaines données techniques des fichiers infectés pourront nous être envoyées, y compris des données relatives à l’expéditeur, au destinataire, à l’objet ou à la pièce jointe. Dans la plupart des cas, ces données techniques ne permettent pas de vous identifier directement ou indirectement, mais dans quelques cas très spécifiques, des spécialistes informatiques peuvent être en mesure d’identifier un utilisateur spécifique. Par conséquent, nous traitons toutes ces informations comme des données à caractère personnel et les protégeons comme telles. Ces informations sont utilisées uniquement pour assurer la sécurité de l’information et des réseaux par un fonctionnement convenable et efficace de nos Solutions et services, conformément aux spécifications techniques, ainsi que leur amélioration, notamment en analysant les problèmes de sécurité signalés. Cela inclut la fourniture et la personnalisation de services connexes. De plus, nous pouvons utiliser ces informations à des fins statistiques et d’amélioration de la qualité de nos Solutions. Ces données sont stockées pendant une durée limitée, en fonction de leur utilité pour répondre aux besoins actuels de sécurité de l’information. Sur la base de la vitesse à laquelle évolue actuellement la technologie, nous n’aurons pas besoin de ces données plus de 10 ans à compter de la date de leur collecte.

3. Base juridique du traitement des données à caractère personnel et autres informations s’y rapportant

Bitdefender traite les données à caractère personnel provenant des Solutions professionnelles Bitdefender sur la base des intérêts légitimes de Bitdefender, mais aussi sur celle des intérêts légitimes des Personnes concernées que Bitdefender cherche à protéger, à la seule fin d’assurer la sécurité des réseaux et de l’information, ainsi que cela est expliqué au Considérant 47 du RGPD. La façon dont le traitement de ces données est géré n’affectera ni les intérêts ni les droits et libertés fondamentaux des Personnes concernées requérant la protection de leurs données à caractère personnel. Comme expliqué ci-dessus, nous appliquons le principe de « minimisation des données » aux données collectées, afin que toutes les données collectées soient anonymisées par défaut. En tant que leader des services de sécurité de l’information, nous accordons une importance capitale à la confidentialité et à la protection des données. L’accès aux données à caractère personnel collectées est limité aux employés de Bitdefender et sous-traitants ayant besoin d’accéder à ces informations, comme expliqué ci-dessous. L’ensemble des politiques de sécurité de l’information de Bitdefender sont certifiées ISO 27001.

4. Qui a accès aux données à caractère personnel ?

En principe, Bitdefender ne divulguera pas de données à caractère personnel relatives aux Personnes concernées à des tiers, sous réserve des exceptions mentionnées ci-dessous et au Chapitre 6.

Bitdefender fait parfois appel à d’autres sociétés pour traiter les données à caractère personnel collectées, mais uniquement lorsque cela est nécessaire, et dans le seul but de leur permettre de mener des activités Bitdefender. Ces sociétés sont considérées comme des sous-traitants et sont soumises aux obligations contractuelles strictes de maintenir la confidentialité des données traitées et d’offrir un niveau de sécurité au moins équivalent à celui de Bitdefender. Les sous-traitants sont tenus d’une part de ne pas permettre à des tiers de traiter des données à caractère personnel pour le compte de Bitdefender sans l’accord préalable de Bitdefender (sous réserve de l’accord préalable de Bitdefender, les sous-traitants pourront confier le traitement des données à des tiers aux seules fins autorisées par Bitdefender) et d’autre part d’accéder aux données, de les utiliser et/ou de les conserver de manière sécurisée et confidentielle.

Bitdefender peut héberger ou transférer des données à caractère personnel en Roumanie, en Irlande, ainsi que dans l’Union européenne ou dans toute autre juridiction offrant un niveau adéquat de protection des données à caractère personnel conformément aux normes de l’Union européenne (art 45 du RGPD) ou d'autres protections appropriées, y compris des clauses types de protection des données (art 46.2 du RGPD).

En ce qui concerne les Solutions professionnelles Bitdefender, la plupart des données sont hébergées et gérées en interne. Toutefois, pour l'hébergement de certaines données, nous pouvons faire appel aux sous-traitants suivants basés dans l'UE et aux États-Unis .

  • pour les canaux de communication en direct, nous faisons appel à des sous-traitants originaires de l'UE et des États-Unis (services de support, chats en direct et centres d'appels).
  • pour les canaux de communication hors ligne, nous faisons appel à des sous-traitants originaires de l'UE et des États-Unis (services de support et hébergement des données).
  • pour certains services de sécurité des messageries, nous utilisons des sous-traitants de l'UE et du Royaume-Uni.

En raison d'obligations de confidentialité, les informations spécifiques relatives aux sous-traitants employés seront communiquées aux autorités compétentes.

Néanmoins, Bitdefender peut révéler des données personnelles à des autorités compétentes, à leur demande conformément aux lois applicables ou lorsqu'elles sont nécessaires pour protéger les droits et les intérêts de nos clients et de Bitdefender.

5. Vos droits en matière de données à caractère personnel

Conformément au RGPD, les Personnes concernées disposent d’un droit d’accès aux données à caractère personnel, des droits de rectification et d’effacement de ces données ainsi que du droit de ne pas faire l’objet de décisions individuelles. Les Personnes concernées disposent également du droit à la limitation du traitement des données à caractère personnel, du droit de demander la suppression des données à caractère personnel collectées ainsi que du droit à la portabilité des données.

Pour tout traitement de données reposant sur le consentement, vous avez le droit de retirer votre consentement à tout moment.

Pour exercer ces droits, vous pouvez envoyer une demande écrite, datée et signée, au Bureau de la protection des données de Bitdefender mentionné ci-dessus, ou bien par e-mail à l’adresse [email protected].

Les personnes concernées ne font pas l'objet de décisions fondées uniquement sur le traitement automatique, dont le profilage, qui pourraient avoir des conséquences légales ou des répercussions significatives similaires.

Les Personnes concernées ont également le droit de déposer une plainte auprès d’une autorité de contrôle ainsi que le droit de s’adresser à un tribunal.

6. Autres coresponsables du traitement des données

Si vous utilisez nos Solutions professionnelles Bitdefender, alors il est possible qu’une autre société (habituellement votre employeur en tant que Client professionnel de notre entreprise, ou un Partenaire qui intègre nos services) joue également le rôle de coresponsable du traitement des données pour certaines des données collectées par les Solutions professionnelles Bitdefender, en particulier celles disponibles dans la Console Bitdefender GravityZone, aux seules fins de la sécurité de l’information. Conformément à l’accord que nous avons passé avec nos coresponsables du traitement, ces sociétés sont entièrement responsables des données à caractère personnel qu’elles traitent et sont tenues de vous informer de tous les aspects du traitement des données à caractère personnel qu’elles opèrent, notamment la base juridique pour le traitement des données et toutes les finalités de la collecte, y compris la finalité de sécurité de l’information.

7. Informations complémentaires relatives à la collecte de données à caractère personnel par le service antivol des Solutions professionnelles Bitdefender

Le présent chapitre complète la politique de confidentialité avec des indications spécifiquement relatives au traitement des informations pouvant être des données à caractère personnel et qui sont collectées par Bitdefender aux fins des services antivol, si ces derniers sont activés dans les Solutions professionnelles Bitdefender que vous utilisez. Certaines Solutions professionnelles Bitdefender intègrent une option de service antivol conçue à la fois pour les solutions destinées aux téléphones mobiles et pour celles destinées aux tablettes et aux ordinateurs portables. Une fois activée et configurée, l’option antivol peut suivre en temps réel tout appareil perdu ou dérobé grâce à la géolocalisation. Ce service Bitdefender offre l’option de localisation ainsi que d’autres options connectées telles que le blocage à distance de l’appareil, la suppression de la totalité du contenu de l’appareil ou le déclenchement de l’appareil photo lorsqu’une personne non autorisée tente d’accéder au téléphone. Plus d’informations sont disponibles ici. Lorsque les services antivol sont activés, Bitdefender peut recevoir des données personnelles telles que des données de géolocalisation transmises par le GPS, les cellules GSM, l’utilisation du Wi-Fi ou l’adresse IP. Ces données sont traitées aux seules fins de la sécurité de l’information par le biais du service antivol de Bitdefender. Afin d’identifier un emplacement précis, nous pouvons faire appel aux services de sous-traitants pour le traitement de ces données. Toutes les données sont principalement hébergées sur le territoire de l’UE. Toutefois, certaines données peuvent également être hébergées aux États-Unis par des sous-traitants offrant un niveau adéquat de protection des données personnelles conformément aux normes de l’Union européenne (art. 45 du RGPD) ou à d’autres garanties appropriées, telles que les clauses contractuelles types (art. 46.2 du RGPD). Toutes les informations de géolocalisation sont conservées aussi longtemps que le service antivol est activé ; elles seront supprimées lorsque le service sera désactivé. Ainsi, l’administrateur(rice) d’une Solution Bitdefender peut disposer des droits d’administration pour des services et des Solutions Bitdefender. Par conséquent, sur les appareils sur lesquels les services antivol sont installés, il ou elle peut activer les commandes à distance. À cet égard, il revient à l’administrateur(rice) de veiller à ce qu’il ou elle soit légalement habilité(e) à effectuer ces manipulations et à ce qu’il ou elle ait le droit de connaître l’emplacement de l’appareil, de prendre des photos à distance, de bloquer l’appareil ou d’en supprimer le contenu, ou d’interagir avec lui de quelque manière que ce soit.

8. Informations complémentaires relatives à la collecte de données à caractère personnel par le service d'analyse du risque humain des Solutions professionnelles Bitdefender

Le présent chapitre complète la politique de confidentialité avec des indications spécifiquement relatives au traitement des informations pouvant être des données à caractère personnel et qui sont collectées par Bitdefender aux fins des services d'analyse du risque humain, dans le cas unique où ceux-ci sont activés dans les Solutions professionnelles Bitdefender que vous utilisez. Les données sont collectées à la seule fin de participer à l'identification des actions et comportements des utilisateurs présentant un risque pour la sécurité de l'entreprise. Cette collecte est réalisée par le biais d'une solution respectueuse de la confidentialité, en traitant uniquement les données sur les endpoints locaux pour identifier les activités présentant un potentiel risque humain pour la sécurité. Le résultat générique est affiché sur la console GravityZone, uniquement accessible aux administrateurs de la solution, accompagné d'un score général de risque humain. Bitdefender ne traite ces données à aucune autre fin. Pour obtenir des informations techniques sur les données traitées, consultez la documentation technique des Solutions professionnelles et notre site Internet.

9. Date de publication

La politique de confidentialité a été adoptée à la date indiquée dans le titre du document et sera modifiée chaque fois que cela sera nécessaire sans que les modifications fassent l’objet d’une notification préalable ou ultérieure. La nouvelle version entrera en vigueur dès sa publication sur le site Internet et sera identifiée en conséquence. Le présent document est accessible à l’adresse suivante : https://www.bitdefender.com/site/view/legal-privacy.html.