Confidentialité des affaires de l'entreprise

Elements Endpoint Protection

Politique de confidentialité de WithSecure™ Elements Endpoint Protection

Mai 2021

En résumé

Le portail Elements Endpoint Protection permet de contrôler un VPN, la gestion des appareils mobiles, la gestion des mises à jour logicielles ainsi que la sécurité des postes de travail et des serveurs sur une seule et même plateforme. Les principaux aspects liés au respect de la confidentialité sont les suivants :

  • la collecte de données se concentre sur votre appareil et notre service, et non sur vous ;
  • la plupart des données collectées sont accessibles à l’administrateur informatique de votre employeur, afin de lui permettre de mieux gérer les appareils et les applications de l’entreprise ;
  • nous recueillons des données de sécurité anonymes en vue de protéger votre appareil ;

Le service ne permet pas à WithSecure™ ou à l’administrateur informatique de votre entreprise de suivre vos déplacements, de consulter vos photos ou de savoir avec qui vous communiquez, ni quels sites vous consultez via le service.

Explications détaillées

Cette politique spécifique au service se concentre sur les éléments que nous estimons les plus pertinents pour vous. Il s’agit, en particulier 1) du type de données personnelles et privées que le service collecte, 2) de l’objectif de leur utilisation, 3) de notre justification, 4) des divulgations typiques, et 5) de leur durée de conservation. Les liens intégrés fournissent plus d’informations sur ces sujets ainsi que sur d’autres aspects du traitement de vos données à caractère personnel (droits des sujets de données, coordonnées, etc.).

Données utilisateur

Données relatives aux utilisateurs Administrateur sur le portail de gestion

Le service recueille les données suivantes concernant les utilisateurs Administrateur et les met ensuite à disposition sur le portail de gestion :

  • Nom de l’utilisateur
  • Adresse e-mail de l’utilisateur
  • Numéro de téléphone de l’utilisateur (facultatif)
  • Journal des actions de l’utilisateur

 

Données relatives aux autres utilisateurs sur le portail de gestion

Selon le logiciel pour lequel vous disposez d’un abonnement, le service est susceptible de recueillir les données suivantes vous concernant, ou directement liées à votre appareil et à sa propre utilisation. Il les met ensuite à votre disposition sur le portail de gestion :

  • Nom de l’utilisateur, adresse e-mail de l’utilisateur, nom de l’appareil, identifiants de l’appareil (par exemple, IMEI, nom WINS ou adresse IP) et numéro de téléphone servant à identifier les données utilisateur dans le système.
  • Le numéro de version du service, la clé d’abonnement, la date et l’heure d’installation/de mise à jour, les programmes malveillants bloqués (peut inclure le nom des fichiers et leurs chemins d’accès), les applications bloquées, les périphériques USB bloqués, la version et le système d’exploitation des appareils et l’état des fonctionnalités.
  • Les applications installées dans le cadre de l’offre de service.
  • Les périphériques USB connectés dans le cadre du contrôle des appareils.
  • Les diverses données (par exemple, l’état de chiffrement, les privilèges utilisateur, les stratégies de mot de passe, etc.) décrivant le niveau de sécurité et l’usage des appareils de l’entreprise pour une plus grande facilité de gestion.
  • Le modèle de votre appareil mobile, ainsi que l’état de racine ou de débridage potentiel, les statistiques du service par appareil telles que l’emplacement virtuel, la quantité agrégée de trafic dans le tunnel VPN, la quantité de trafic analysée, les sites dangereux, le nombre de tentatives de tracking bloquées et les compteurs de sites Web bloqués.
  • d’autres données en substance similaires.

Les données recueillies varient en fonction des appareils et des services utilisés.

Nous utilisons ces données pour exploiter, développer, améliorer et gérer les services (y compris identifier les utilisateurs autorisés, gérer les licences et envoyer des notifications Push), ainsi que pour mesurer les performances. Elles peuvent être également traitées pour fournir une assistance et résoudre les problèmes.

Ces données sont mises à disposition de l’administrateur informatique de votre entreprise à des fins similaires. Elles sont également accessibles à WithSecure™ et via le portail. Si l’administration des services informatiques de votre entreprise a été externalisée, les données sont également communiquées au « partenaire distributeur » afin qu’il puisse vous fournir une assistance et des prestations informatiques.

Données utilisateur dans les systèmes WithSecure™

Outre les données mises à disposition sur le portail, WithSecure™ recueille également directement les données suivantes via le service (ces dernières ne sont communiquées ni au client ni au partenaire distributeur) :

  • La langue de votre appareil, afin que la langue proposée dans le cadre du service soit cohérente avec celle de l’appareil.
  • Pour les clients mobiles, le niveau de charge de la batterie, la quantité de mémoire interne et sur la carte SD, ainsi qu’une liste des applications installées.
  • Password Protection chiffre et enregistre vos mots de passe. Vous seul connaissez le mot de passe principal et ce dernier n’est pas stocké par WithSecure™.

Ces données sont utilisées pour faire fonctionner le service, le dépanner, le développer, mesurer les performance et générer des statistiques.

Certaines juridictions exigent que nous collections les adresses IP publiques et privées des appareils des utilisateurs, ainsi que les heures de début et de fin du tunnel VPN. Si nous recevons une demande légalement valide, ces données peuvent être utilisées pour révéler l’adresse IP d’origine utilisée pour la connexion à une adresse IP à un moment donné. Cela ne compromet pas l’invisibilité de votre trafic de navigation via le service vers WithSecure™ ou votre administrateur informatique, car l’adresse IP n’est pas reliée à vous. Nous ne vendons ni ne divulguons vos données VPN à des tiers, sauf si la loi l’exige.

WithSecure™ et le partenaire revendeur peuvent également recueillir chacun de leur côté des données de diagnostic supplémentaires sur l’appareil protégé, lorsque cela est nécessaire en vue de résoudre un cas. Vous serez averti avant l’envoi de ces données à WithSecure™. Vous trouverez plus d’information sur la collecte de données dans la Politique de confidentialité de l’outil d’assistance WithSecure™.

Transferts et divulgations

Ces données sont mises à disposition de l’administrateur informatique de votre entreprise à des fins similaires. Elles sont également accessibles à WithSecure™ et via le portail. Si l’administration des services informatiques de votre entreprise est gérée par un tiers, celui-ci (le distributeur/partenaire revendeur de WithSecure™) y a également accès afin de pouvoir vous fournir une assistance et des prestations informatiques.

WithSecure™ emploie ses propres filiales et sous-traitants afin de pouvoir fournir ses services à l’échelle mondiale.

Vente et livraison

Nous partageons (en d’autres termes, divulguons et recevons) certaines de vos données à caractère personnel avec nos partenaires de distribution (revendeurs de services informatiques professionnels, opérateurs, boutiques en ligne, etc.) qui commercialisent, vendent et distribuent nos services. Nous accordons à ces sociétés le droit d’accéder aux données à caractère personnel nécessaires de sorte qu’elles réalisent les activités consenties. Ce partage de données vise à garantir une expérience client optimale. Cela inclut des activités telles que la gestion de la clientèle, le support technique, la résolution des problèmes, le marketing direct et la facturation.

Nos partenaires de distribution ont généralement une relation préexistante avec Vous, ou, dans le cas de nos services professionnels, avec votre employeur. Ces partenaires et clients traitent vos données à caractère personnel en tant qu’entités indépendantes, sur la base de leurs propres politiques de confidentialité. Néanmoins, nos partenaires de distribution et nos clients professionnels doivent également respecter les accords et législations en vigueur en matière de traitement des données à caractère personnel. Par défaut, chacune de ces entités est donc individuellement responsable du traitement de vos données à caractère personnel à ses propres fins.

Sous-traitance

Nous nous réservons le droit de transférer ou de divulguer certaines de vos données à caractère personnel aux sociétés du groupe WithSecure™ et à nos sous-traitants afin de nous permettre de créer les services.

Lorsque les données à caractère personnel de nos clients doivent être divulguées à nos sous-traitants (par exemple, pour résoudre un cas de demande d’assistance, l’envoyer à des partenaires logistiques en vue de la livraison du produit ou diffuser des e‑mails marketing de notre part), les contrats passés avec ceux-ci réclament qu’ils utilisent de telles informations uniquement dans le cadre de la fourniture de leurs services convenus. Nous exigeons en outre qu’ils observent scrupuleusement cette politique de confidentialité ainsi que la législation en vigueur.

Transferts internationaux

WithSecure™ est une société internationale. Par conséquent, certains de nos affiliés, sous-traitants, distributeurs et partenaires se trouvent hors de l’Espace économique européen, afin de garantir la disponibilité de nos services à l’échelle mondiale. La localisation des sites de nos filiales est indiquée sur nos pages Web publiques.

Lorsque nous transférons des données à caractère personnel en dehors de l’EEE, nous sécurisons lesdites données conformément aux exigences légales. Nous le ferons en imposant des garanties techniques et contractuelles appropriées aux sous-traitants et sociétés du groupe WithSecure™ correspondants, par exemple, en utilisant des clauses de transfert de données approuvées par l’Union européenne. Le contenu de ces clauses est disponible ici.

Nous n’effectuons aucun transfert de données mondial ou international sans motif valable et sans avoir évalué le risque inhérent en matière de confidentialité.

Nous stockons des données client plus sensibles en Finlande et au sein de l’Espace économique européen afin de les conserver sous notre contrôle exclusif.

Autres utilisations et divulgations

Dans certains cas non couverts par la présente politique de confidentialité, l’utilisation ou la divulgation de données à caractère personnel peut être justifiée ou autorisée, ou nous pouvons être tenus par la législation applicable de divulguer les informations sans obtenir votre consentement préalable ou indépendamment de la fourniture de services.

Par exemple, lorsqu’une ordonnance ou un mandat émis par une juridiction compétente nous oblige à produire ces informations.

De même, il peut exister d’autres circonstances où il existe un intérêt légitime et justifiable à la divulgation d’ensembles limités d’informations à un tiers. Il peut s’agir, par exemple, de situations où nous avons besoin de nous protéger contre toute responsabilité ou de prévenir une activité frauduleuse, où nous analysons votre usage de nos produits pour garantir leur bon fonctionnement ainsi que notre capacité à réagir en cas de mauvaises expériences, et où il est nécessaire de résoudre ou de minimiser un problème actuel, ou de répondre aux exigences légitimes d’assureurs ou d’agences réglementaires publiques. Toute action de ce type est effectuée conformément à la législation applicable.

Nous pouvons également être amenés à transférer vos données personnelles dans le cadre d’une transaction professionnelle, telle qu’une vente, une fusion, une création de filiale ou une restructuration de WithSecure™, où les informations sont transmises à la nouvelle entité en charge du contrôle des opérations habituelles. Le groupe WithSecure™ divulgue et transfère les données en interne selon les besoins du modèle opérationnel en vigueur. Toutefois, nous limitons ces divulgations en interne aux sociétés, unités, équipes et personnes qui ont besoin de connaître ces informations afin de les traiter.

Nous évaluons soigneusement chaque demande de divulgation et prenons en compte la possibilité de ces demandes lorsque nous déterminons le lieu et le mode de stockage de vos données à caractère personnel.

Sources

Même si nous collectons la majorité des données mentionnées ci-dessus directement auprès de Vous ou de votre appareil, nous recevons également des données de nos affiliés, partenaires de distribution (par exemple, opérateurs et commerçants), et entités professionnelles auprès desquelles Vous avez acheté les services. Ces entités peuvent être nos distributeurs, ainsi que nos partenaires externes de commerce en ligne. Nous collectons également des informations à caractère personnel élémentaires (informations de commande) et agrégeons des données d’analyse à partir des magasins d’applications dans lesquels nos services sont vendus . Ces autres sources peuvent également inclure les sous-traitants qui Vous ont fourni des services de support ou nos partenaires publicitaires qui nous assistent dans nos activités marketing.

Cela nous permet de créer une expérience client transparente et de disposer des informations nécessaires pour résoudre les problèmes de support.

Voici quelques exemples typiques de ces sources tierces :

  • informations sur vos achats réalisés sur notre boutique en ligne externe,
  • collecte de vos coordonnées à partir des données de connexions précédentes de notre partenaire distributeur et opérateur Vous fournissant le service,
  • coordonnées obtenues des registres professionnels à des fins de marketing, et
  • si Vous utilisez votre compte de réseau social pour Vous inscrire à nos services, nous pourrons également collecter l’adresse e‑mail de votre compte afin d’authentifier votre inscription et de Vous contacter.

Tiers

Nos services sont fournis en collaboration avec nos partenaires, et nos services et sites Web peuvent intégrer ou interagir avec des services tiers. La présente déclaration de confidentialité s’applique aux données à caractère personnel uniquement tant que celles-ci sont sous le contrôle de WithSecure™. Si ces données sont traitées par d’autres entités à des fins qui leur sont propres, ladite entité est responsable du traitement justifié de vos données conformément à ses propres politiques, ainsi que du respect de vos droits en vertu des lois applicables relatives à la protection des données.

Les scénarios les plus fréquents sont les suivants :

  • Boutique en ligne. Notre boutique en ligne est en partie gérée par un distributeur tiers. Même si les données fournies au cours de la phase d’abonnement sont traitées conformément aux politiques WithSecure™, l’achat en tant que tel et les activités associées sont quant à eux soumis aux politiques des fournisseurs de notre boutique en ligne.
  • Localisation d’appareils. Lorsque Vous tentez de localiser votre appareil à l’aide de nos services, le fournisseur de cartes doit traiter les données géographiques connexes. À la date de la publication de cette politique, WithSecure™ fait appel à Google Maps pour ses services de localisation d’appareils et ses fonctions de recherche. Les politiques de confidentialité propres à Google s’appliquent selon l’usage que Vous faites de ces fonctions.

 

Fondements juridiques

Dans la mesure où les données traitées par WithSecure™ dans les services sont identifiables, les services traitent ces données de façon à protéger les intérêts légitimes des personnes ;

  • i) pour protéger les réseaux et les appareils des clients de WithSecure™ ainsi que la confidentialité et la disponibilité des données qu’ils contiennent ;
  • ii) pour permettre à WithSecure™ de détecter des menaces émergentes et autres tendances relatives à la sécurité parmi ses clients, afin de permettre aux services WithSecure™ de s’adapter à l’évolution des menaces ; et
  • permettre à WithSecure™ de fournir une infrastructure de sécurité centralisée sur plusieurs continents à un grand nombre de clients et de partenaires..

Les outils d’analyse Web Portal sont mis en place pour améliorer les produits WithSecure™.

Dans le cas de données qui ne seraient pas strictement nécessaires à la fourniture des services, mais qui contribueraient à améliorer nos services sur le long terme, nous nous engageons à ne collecter ces données qu’avec votre consentement.

L’entreprise qui vous emploie détermine de façon indépendante les raisons légales du traitement des identifiants aux fins susmentionnées.

Conservation

Les données sont stockées et disponibles sur le portail Elements Endpoint Protection pendant toute la durée de la prestation de services. À l’issue de la résiliation du contrat de service ou d’une licence auprès du fournisseur, ces données sont conservées par WithSecure™ pendant un nombre de mois limité. Elles sont ensuite supprimées et rendues anonymes.

Outre les informations susmentionnées, les journaux d’audit, qui indiquent les utilisateurs ayant accédé au portail, sont conservés pendant trois ans selon un roulement. Les journaux de service, qui indiquent les actions effectuées dans le portail, sont conservés pendant un an selon un roulement. Ces actions incluent, sans s’y limiter, les renouvellements d’abonnements, la création d’utilisateurs, les modifications de profils et l’enregistrement de nouveaux appareils.

Le présent texte complète les durées de conservation spécifiques aux services. Par défaut, la loi impose que les données à caractère personnel soient supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires.

Toutefois, certaines données à caractère personnel doivent être conservées plus longtemps pour différentes raisons.

Voici des exemples typiques de motifs de durées de conservation plus longues :

  • périodes de grâce et sauvegardes (par ex. conservation des données à caractère personnel pendant une période donnée après la fin de votre abonnement afin de permettre la sauvegarde des données en cas de suppression par erreur) ;
  • stocker des données si la législation en vigueur l’exige (par exemple, effectuer le suivi de vos achats et du paiement de nos services) ;
  • nous permettre d’exercer les recours disponibles ou de limiter tout préjudice que nous pourrions éventuellement subir (par exemple, en raison d’une enquête ou d’un conflit en cours) ;
  • résoudre ou minimiser un problème récurrent, ou disposer d’une quantité suffisante de renseignements pour réagir efficacement aux futures situations problématiques (par exemple, votre ticket de support relatif à un problème qui n’a pas été corrigé de façon permanente au cours de votre relation client) ;
  • prévenir toute activité frauduleuse (par exemple, faire appliquer une interdiction dans notre communauté) ;
  • incorporer vos données personnelles à d’autres données à des fins secondaires (par ex. conservation de journaux) ;
  • toute autre circonstance similaire où il est nécessaire de continuer à stocker les données à caractère personnel.

La suppression définitive de votre compte peut être retardée afin de ne pas nuire aux autres interactions que Vous pouvez avoir avec nous. Cela se produit lorsque Vous disposez d’un compte WithSecure™ (par ex. si Vous Vous êtes abonné à nos services au consommateur avec votre adresse électronique) et i) disposez d’un compte sur la communauté WithSecure™ ou ii) restez abonné à nos communications marketing. La politique de suppression du compte de la communauté WithSecure™ est énoncée dans les conditions générales du service. ous pouvez demander à ne plus recevoir nos communications marketing à tout moment.

Si Vous avez souscrit le service par l’intermédiaire de l’un de nos partenaires opérateurs, la suppression du compte est contrôlée par celui-ci. Lorsque le partenaire nous informe que votre abonnement a été résilié, nous supprimons par la suite le compte et effaçons ou rendons anonymes les données à caractère personnel associées.

Si nous avons reçu vos informations dans le cadre du support technique, celles-ci sont stockées tant que l’incident correspondant n’est pas résolu. Une fois résolu, les informations sont progressivement supprimées ou anonymisées dans les deux ans suivant la clôture de l’incident.

Les données d’analyse collectées avec le consentement de l’utilisateur sont conservées à des fins statistiques et ne sont pas effacées lors de la suppression du compte utilisateur et de ses données à caractère personnel. Une fois le compte résilié, les données d’analyse ne peuvent plus être liées à un utilisateur ou à un compte identifiable.

Les données ne contenant aucun renseignement personnel (par exemple, les données analytiques agrégées) sont conservées aussi longtemps que ces dernières revêtent un caractère utile aux fins pour lesquelles elles ont été collectées.

Données de sécurité

Le service interroge WithSecure™ Security Cloud au sujet d’activités potentiellement malveillantes, de réseaux ou d’appareils protégés. WithSecure™ Security Cloud est un système d’analyse des menaces basé dans le cloud et géré par WithSecure™. Il nous permet d’établir un panorama global et actuel de la cybersécurité en vue de protéger nos clients à l’instant même où les nouvelles menaces sont détectées. Si nous limitons le traitement des informations qui pourraient être considérées comme sensibles, nous collectons néanmoins un minimum de données sur les entreprises et les utilisateurs pour garantir une protection de haute qualité. Les données collectées peuvent contenir les éléments suivants :

  • Les fichiers qui sont bloqués par WithSecure™ pour des raisons de sécurité, ainsi que les métadonnées associées. Par exemple, les métadonnées incluent le hachage, le nom et le chemin d’accès des fichiers. Nous analysons et traitons les fichiers et les e-mails dans un environnement sécurisé afin de vous protéger contre tout contenu ou comportement malveillant. La collecte de ces données établit un panorama global de la cybersécurité qui nous permet de réagir rapidement face aux nouvelles menaces.
  • Les adresses Web auxquelles vous avez tenté d’accéder, mais qui ont été bloquées par WithSecure™ pour des raisons de sécurité ou face à un comportement potentiellement malveillant, ainsi que les métadonnées associées. Par exemple, les métadonnées incluent les en-têtes de réponse. Le blocage d’un site peut être déclenché selon les préférences de protection sélectionnées et le contrôle parental défini. Les informations collectées nous permettent également de lutter contre le phishing et les attaques par ransomware.

Les administrateurs du portail ne verront qu’un récapitulatif des résultats, par exemple si le fichier est infecté ou non. Toutefois, si le service détecte un logiciel malveillant, un récapitulatif de la détection est visible dans le portail et peut être connecté à un appareil individuel par quiconque a accès au portail.

Collecte de données pour le composant VPN

Nous avons pour principe de ne pas analyser en détail le contenu de vos communications privées. Seul le trafic de vos communications est pris en compte afin de nous permettre de vous fournir des services appropriés et de vous offrir la possibilité de transférer vos données convenablement. En d’autres termes :

  • Nous traitons certaines métadonnées associées à votre trafic (telles que le volume de communications, l’horodatage et les adresses IP) lorsque nous vous fournissons le service.
  • L’adresse IP, le port et l’URL de destination du trafic relayé par le VPN sont stockés de manière parfaitement anonyme.
  • Nous recherchons les fichiers suspects ou dangereux, ainsi que leurs destinations (par exemple, des URL).
  • Nous analysons automatiquement le trafic afin d’empêcher tout usage contraire à notre politique d’utilisation acceptable.

Autres services

Les fonctions d’administration d’Elements Endpoint Protection peuvent également servir à gérer d’autres services WithSecure™. Le traitement des données associées doit alors respecter leurs politiques de confidentialité respectives.

Analyse

Outre les données disponibles sur le portail, le service utilise un sous-ensemble de données collectées aux fins d’analyse. Cette démarche est motivée par la volonté de créer des services utiles à vous comme aux autres clients. Nous recueillons également des données d’analyse sur le portail de services en vue de déterminer avec précision l’usage qu’en font les administrateurs et ainsi de leur proposer une expérience optimale.

Cette section décrit nos pratiques générales en matière de collecte et de traitement des données à des fins d’analyse.

L’analyse des données par WithSecure™ inclut la réutilisation des données de services, la réutilisation des données de sécurité et les données collectées en premier lieu à des fins d’analyse.

Nous souhaitons Vous offrir à l’avenir une expérience client plus personnalisée et des services encore améliorés. Pour cela, nous devons effectuer un suivi des habitudes d’utilisation et des segments de clientèle agrégés. Nous devons par exemple savoir quelles fonctionnalités sont les plus utilisées, quelles sont les défaillances du service, ce qui doit être corrigé et comment Vous avez connu nos services.

Données collectées. Les données traitées à des fins d’analyse incluent, par exemple, l’identificateur de l’appareil et les relations entre appareils/utilisateurs/groupes d’utilisateurs, l’environnement de fonctionnement, le temps de fonctionnement du service, le type de licence (version d’évaluation ou payante), les informations sur l’appareil (par exemple, modèle de téléphone et système d’exploitation, langue de l’appareil), l’adresse IP partielle, les erreurs du service, les fichiers problématiques, les URL et les données de performance du service, vos interactions avec nos services (par exemple, fonctionnalités utilisées et fréquence d’utilisation), le nom de domaine à partir duquel Vous Vous connectez au service, les éléments sur lesquels Vous cliquez, les horodatages, la localisation, l’efficacité de la messagerie intégrée, l’activation du service (par exemple, suivi de la réception des messages connexes et de la réussite de l’installation), les chemins d’installation et d’activation, la performance du service, les connexions, le routage des données, les quotas et autres données similaires.

D’un point de vue pratique, lorsque nous Vous demandons votre consentement dans l’interface utilisateur de nos services, il contrôle la destination des données suivantes : i) données supplémentaires, tels que les services utilisés et la fréquence d’utilisation, ainsi que les métriques du service, et ii) le nombre d’attributs envoyés dans un jeu de données spécifique.

Les informations ci-dessus se rapportent à votre utilisation de nos services de sécurité informatique. Les analyses de données exécutées sur nos sites Web sont décrites dans la Politique de confidentialité du site Web.

Droit de retrait. Nous apprécions particulièrement votre contribution à l’amélioration de nos services. Toutefois, si Vous souhaitez minimiser le trafic de données vers WithSecure™, nous respectons votre choix. Les services qui ont recours à des analyses supplémentaires Vous permettent de choisir si Vous souhaitez y contribuer ou non, et de désactiver la collecte ultérieure de données non critiques à la fourniture des services.

Si Vous avez désactivé toutes les collectes de données d’analyse, les communications que nous Vous adresserons seront uniquement basées sur la collecte des données de service (que nous collectons dans tous les cas afin de Vous fournir les services) et nos conseils seront probablement moins pertinents.

Si Vous refusez la collecte de toutes vos données en ligne (y compris sur nos sites Web), la méthode la plus efficace pour éviter que les publicitaires ne ciblent votre appareil mobile et l’utilisation que Vous en faites consiste à réinitialiser votre identifiant publicitaire de temps en temps et à désactiver le paramètre de suivi de votre activité intégré à votre appareil, ou à utiliser notre logiciel de protection de la vie privée.

Conservation des données d’analyse. Nos activités d’analyse de données combinent les données d’analyse et les données de service. Ces jeux de données combinés continuent à être traités selon un « intérêt légitime ». Les données d’analyse précédemment collectées sont conservées dans le cadre des statistiques du service, car leur suppression rétroactive invaliderait les statistiques. Lorsque Vous résiliez votre inscription à nos services (c’est-à-dire quand votre compte est supprimé), les données d’analyse liées à votre utilisation du service seront anonymisées et ne pourront plus Vous être associées.

Échange de données. En raison de l’environnement technique (Internet, l’écosystème des magasins d’applications et les réseaux sociaux), nous ne pouvons pas réaliser nous-mêmes l’intégralité de la collecte et de l’analyse des données. Nous devons échanger des données (tel que l’identifiant marketing Android et d’autres identifiants similaires) avec nos partenaires d’analyse et de marketing en ligne afin de mener à bien nos activités d’analyse et de marketing numérique. La grande majorité des données personnelles dont nous disposons n’est pas partagée avec des tiers.

Certains de nos sous-traitants assurant les services d’analyse peuvent également créer et publier des rapports d’agrégation sur les données collectées. Les statistiques et les rapports d’agrégation ne contiennent alors aucune donnée permettant de créer un lien avec une personne donnée.

Nous ne sacrifions pas votre vie privée. Ce qui nous différencie de la plupart des entreprises effectuant des activités similaires, c’est que nous comprenons le fonctionnement de l’écosystème et nous efforçons de sélectionner nos quelques partenaires avec le plus grand soin et de supprimer toutes les données qui ne sont pas absolument nécessaires dans le cadre de ces activités. Bien sûr, Vous pouvez désactiver la collecte de données à tout moment via les paramètres du service.

Lorsque nous traitons des données à des fins d’analyse ou statistiques, celles-ci sont associées à un pseudonyme. En d’autres termes, nos analystes ne savent pas à qui correspond un ensemble de données spécifique. Cette pseudonymisation est uniquement levée dans certains cas spécifiques. Par exemple, lorsque nous communiquons avec Vous, nous associons les résultats (mais pas l’intégralité des données) à votre adresse électronique. Nous pouvons également utiliser ces données dans le cadre du support technique pour résoudre d’éventuels problèmes rencontrés avec le produit.

Nous limitons également ces analyses supplémentaires à l’aspect superficiel de nos services, et les effectuons sans perdre de vue la vocation de protection de la vie privée de nos services. Par exemple, nous n’effectuons aucune analyse interne dans notre Security Cloud ou sur le trafic interne de notre service VPN.

Données de sécurité

Informations sur les pratiques de sécurité que nous mettons en œuvre pour protéger vos données.

Nous appliquons de strictes mesures de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des données à caractère personnel Vous concernant pendant leur transfert, leur stockage et leur traitement.

Nous avons recours à des mesures de sécurité physiques, administratives et techniques pour réduire le risque de perte, d’utilisation à des fins malveillantes, d’accès non autorisé, de divulgation ou de modification des données à caractère personnel Vous concernant.

Toutes les données à caractère personnel sont stockées sur des serveurs sécurisés exploités par WithSecure™ ou nos partenaires, et leur accès est restreint au personnel autorisé.

Vos droits

Informations sur vos droits légaux et comment nous contacter.

Vous avez la possibilité d’exercer les droits suivants sur les données à caractère personnel dont nous disposons à votre sujet :

  • Accès et rectification. Vous avez le droit de nous demander la nature des données à caractère personnel dont nous disposons à votre sujet et d’en obtenir une copie exhaustive. Si Vous constatez des erreurs (par exemple, des informations obsolètes), nous Vous prions de bien vouloir contacter notre service clientèle en vue d’apporter les corrections nécessaires aux données concernées, telles que votre adresse ou votre adresse e‑mail. Si Vous n’êtes pas en mesure de procéder Vous-même aux modifications, veuillez nous en informer.
  • Objection. Vous avez le droit de formuler une objection à un traitement spécifique de vos données à caractère personnel, par exemple à des fins commerciales ou dans le cadre de la poursuite d’intérêts légitimes. Dans ce dernier cas, Vous devez fonder votre objection sur un argument recevable d’un point de vue juridique.
  • Droit à l’oubli. Vous avez le droit de nous demander de cesser de stocker vos données à caractère personnel et de les effacer. Dans ce cas, votre demande doit être fondée sur un argument recevable d’un point de vue juridique.
  • Portabilité. Vous avez le droit de demander l’accès aux données à caractère personnel que Vous avez Vous-même fournies dans le cadre d’un contrat ou avec votre consentement exprès. Vous avez le droit d’obtenir que ces données soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine.
  • Retrait du consentement. Dans les cas où le traitement repose sur le consentement, Vous avez le droit de retirer ce dernier à tout moment via les paramètres correspondants. Les paramètres relatifs aux données d’analyse identifiables sont disponibles dans l’interface utilisateur du service. Vous avez également le droit de refuser de recevoir nos communications commerciales en configurant vos préférences accessibles depuis le lien.
  • Limitation. Si Vous constatez que les données à caractère personnel dont nous disposons à votre sujet sont incorrectes ou que nous n’avons légalement aucun droit de les utiliser, Vous pouvez nous demander à ce qu’elles soient seulement conservées et ne fassent l’objet d’aucune opération de traitement ultérieure jusqu’à la résolution du problème.

Vous pouvez exercer vos droits via notre fonction d’assistance clients. Les liens permettant de nous contacter figurent dans la section Coordonnées.

Notez que dans certaines situations, notre droit au respect du secret professionnel ainsi que nos obligations en matière de confidentialité et/ou de prestation de services (par exemple, à votre employeur) peuvent nous interdire de divulguer ou de supprimer vos données à caractère personnel, ou Vous empêcher d’exercer vos droits. Les droits énoncés ci-dessus dépendent également du motif juridique auquel nous traitons vos données à caractère personnel.

Pour toute réclamation relative au traitement de vos données personnelles ou pour toute information supplémentaire, Vous pouvez nous contacter à tout moment. Si Vous estimez que nous ne respections pas vos droits légaux, Vous pouvez soumettre une plainte à une autorité de surveillance. Dans la plupart des cas, il s’agit de Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Coordonnées

En cas de doute ou question concernant les points abordés dans nos politiques de confidentialité, veuillez contacter :

WithSecure™ Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlande

Comment nous contacter :

  • Si vous êtes un client de notre gamme de produits pour particuliers, contactez-nous via nos canaux d’assistance dédiés.
  • Si vous êtes un client de notre gamme de produits pour professionnels, contactez-nous via nos canaux d’assistance dédiés.
  • Vous pouvez contacter le responsable de la protection des données de WithSecure™ à l’adresse privacy@WithSecure.com. Si vous souhaitez exercer vos droits en tant que sujet de données, utilisez les liens fournis ci-dessus.

Généralités

Informations sur les définitions et la gestion des modifications.

Définitions

Voici ce que signifient certaines références que nous faisons dans la présente politique.

« Client » et « Vous » font référence à un utilisateur privé ou professionnel, ou à toute autre personne concernée qui achète et utilise nos services, ou s’inscrit à cette fin, dont les appareils et le trafic sont protégés par nos services, ou pouvant nous avoir divulgué des informations l’identifiant personnellement. Ces dernières peuvent avoir été envoyées à travers l’utilisation de nos services ou sites Web, par téléphone, par e‑mail, via les formulaires d’inscription ou par d’autres moyens similaires.

L’expression « données à caractère personnel » désigne toute information sur des particuliers qui permet de les identifier eux-mêmes, leur famille ou les membres de leur foyer. Ces informations peuvent notamment inclure des noms, des adresses e‑mail et postales, des numéros de téléphone, des données de facturation et de compte, ainsi que d’autres renseignements plus techniques dont la nature pourrait permettre d’identifier votre appareil et Vous-même, avec les comportements respectifs.

« Services » fait référence aux services ou produits fabriqués ou distribués par WithSecure™, y compris les logiciels, solutions Web, outils et services d’assistance associés.

« Site Web » fait référence au site Web WithSecure.com ou à tout autre site Web hébergé ou contrôlé par WithSecure™, y compris les sous-sites et les portails de services basés sur navigateur.

Modifications

La présente version de la politique clarifie, met à jour et remplace la version précédente. Pour maintenir à jour ce document, nous effectuerons également des ajouts et des modifications à l’avenir.

Nous publierons la nouvelle politique de confidentialité sur notre site Web ou tout autre point d’interaction où elle a déjà été mise à disposition. Si les modifications apportées sont notables, nous pourrons également vous prévenir par d’autres moyens. Tout changement entrera en vigueur à compter de la date de publication de la politique de confidentialité révisée.

Elements Vulnerability Management

Politique de confidentialité de WithSecure™ Elements Vulnerability Management

Mai 2021

 

En résumé

WithSecure™ Elements Vulnerability Management est une plateforme de gestion et d’analyse des vulnérabilités qui vous permet d’identifier et de gérer les menaces, de signaler les risques ou encore d’obtenir un aperçu de l’état de sécurité de vos systèmes informatiques. La protection de votre confidentialité constitue l’un des aspects essentiels de ce service :

  • La collecte de données vise à détecter les vulnérabilités dans le réseau de votre employeur et ne cible en aucun cas vos activités individuelles.
  • Les seules informations personnelles requises sont votre nom, votre adresse e-mail et votre numéro de téléphone (facultatif).
  • Nous surveillons l’utilisation qui est faite du service en vue de maintenir ses performances et d’empêcher tout usage abusif.

Explications détaillées

Cette politique spécifique au service se concentre sur les éléments que nous estimons les plus pertinents pour vous. Il s’agit, en particulier 1) du type de données personnelles et privées que le service collecte, 2) de l’objectif de leur utilisation, 3) de notre justification, 4) des divulgations typiques, et 5) de leur durée de conservation. Les liens intégrés fournissent plus d’informations sur ces sujets ainsi que sur d’autres aspects du traitement de vos données à caractère personnel (droits des sujets de données, coordonnées, etc.).

Quelles données collectons-nous et quel usage en faisons-nous ?

Données utilisateur sur le portail de gestion

En tant qu’utilisateur du portail, nous vous demandons votre nom complet, votre adresse e-mail, votre mot de passe (chiffré) et votre numéro de téléphone, qui tiennent lieu d’identifiants pour votre compte personnel dans le système, ainsi que vos paramètres régionaux.

Le service recueille les données suivantes vous concernant, ou directement liées à votre appareil et à sa propre utilisation. Il les met ensuite à disposition sur le portail de gestion :

  • Données sur l’utilisation du service – Les jetons d’accès utilisateur, les nœuds d’analyse, les identificateurs d’appareil (dont l’adresse IP), le numéro de version du service, la clé d’abonnement, l’heure et la date de l’installation et des mises à jour, l’état des fonctionnalités et l’état de base du système d’exploitation (par exemple, l’utilisation du disque et de la mémoire).
  • Données sur les résultats d’analyse des vulnérabilités : les informations sur l’occurrence de vulnérabilités connues et les risques identifiés lors de l’analyse vous sont communiquées via le service.
  • Pour les analyses système Elements Vulnerability Management authentifiées :
  • ▸  Le certificat ou les informations d’identification qui agissent en qualité de jetons d’accès pour effectuer une analyse approfondie.
    ▸  Le logiciel et sa version installée sur les systèmes cibles.

le portail offre une visibilité limitée à ceux qui partagent un même abonnement.

Données utilisateur dans les systèmes WithSecure™

Outre les données mises à disposition sur le portail, WithSecure™ recueille également directement les données suivantes via le service (ces dernières ne sont communiquées ni au client ni au partenaire distributeur) :

  • La quantité et la valeur des adresses IP uniques analysées à la recherche de vulnérabilités au sein de l’entreprise et,
  • dans le cas de déploiements de nœuds d’analyse sur site, les détails de la configuration du nœud d’analyse concerné (tels que le répertoire d’installation et l’empreinte de l’appareil sur lequel l’agent du nœud d’analyse est installé).

Ces données sont utilisées pour faire fonctionner le service, le dépanner, le développer, mesurer les performance et générer des statistiques.

Usage licite

Le service est conçu pour détecter les vulnérabilités dans l’infrastructure matérielle et logicielle du réseau de votre employeur. Vous êtes ainsi en mesure de les corriger pour éviter une éventuelle infiltration par des tiers malveillants.

Fondements juridiques

Nous avons des motifs légitimes de vouloir identifier les utilisateurs de notre portail et de surveiller l’utilisation qu’ils en font, comme indiqué précédemment, en vue de s’assurer que seuls ceux autorisés sont à même d’utiliser le service et que les fonctionnalités sont exclusivement exploitées à des fins licites. À cet effet, il vous incombe de fournir des informations d’accès honnêtes et précises en vue de pouvoir profiter du service.

Les données collectées par le service sous la forme de « résultats d’analyse des vulnérabilités » sont traitées dans le but de i) améliorer la sécurité des appareils/réseaux clients ainsi que la confidentialité des données qui y sont contenues et ii) nous permettre de détecter les nouvelles menaces et les tendances en matière de sécurité parmi tous nos clients, de sorte que nos services soient toujours armés contre les dernières menaces. Par défaut, les résultats d’analyse des vulnérabilités contiennent uniquement des données anonymes.

Transferts et divulgations

Pour vous aider à gérer vos abonnements/paramètres et mieux résoudre les problèmes auxquels vous pourriez être confronté, les personnes partageant un même abonnement ont accès aux données suivantes : adresse e-mail, prénom, nom. Votre numéro de téléphone (si disponible) est uniquement communiqué aux utilisateurs disposant d’un rôle d’administrateur au sein de l’entreprise.

Ces données sont mises à disposition de l’administrateur informatique de votre entreprise à des fins similaires. Elles sont également accessibles à WithSecure™ et via le portail. Si l’administration des services informatiques de votre entreprise est gérée par un tiers, celui-ci (le distributeur/partenaire revendeur de WithSecure™) y a également accès afin de pouvoir vous fournir une assistance et des prestations informatiques.

WithSecure™ emploie ses propres filiales et sous-traitants afin de pouvoir fournir ses services à l’échelle mondiale.

Vente et livraison

Nous partageons (en d’autres termes, divulguons et recevons) certaines de vos données à caractère personnel avec nos partenaires de distribution (revendeurs de services informatiques professionnels, opérateurs, boutiques en ligne, etc.) qui commercialisent, vendent et distribuent nos services. Nous accordons à ces sociétés le droit d’accéder aux données à caractère personnel nécessaires de sorte qu’elles réalisent les activités consenties. Ce partage de données vise à garantir une expérience client optimale. Cela inclut des activités telles que la gestion de la clientèle, le support technique, la résolution des problèmes, le marketing direct et la facturation.

Nos partenaires de distribution ont généralement une relation préexistante avec Vous, ou, dans le cas de nos services professionnels, avec votre employeur. Ces partenaires et clients traitent vos données à caractère personnel en tant qu’entités indépendantes, sur la base de leurs propres politiques de confidentialité. Néanmoins, nos partenaires de distribution et nos clients professionnels doivent également respecter les accords et législations en vigueur en matière de traitement des données à caractère personnel. Par défaut, chacune de ces entités est donc individuellement responsable du traitement de vos données à caractère personnel à ses propres fins.

Sous-traitance

Nous nous réservons le droit de transférer ou de divulguer certaines de vos données à caractère personnel aux sociétés du groupe WithSecure™ et à nos sous-traitants afin de nous permettre de créer les services.

Lorsque les données à caractère personnel de nos clients doivent être divulguées à nos sous-traitants (par exemple, pour résoudre un cas de demande d’assistance, l’envoyer à des partenaires logistiques en vue de la livraison du produit ou diffuser des e‑mails marketing de notre part), les contrats passés avec ceux-ci réclament qu’ils utilisent de telles informations uniquement dans le cadre de la fourniture de leurs services convenus. Nous exigeons en outre qu’ils observent scrupuleusement cette politique de confidentialité ainsi que la législation en vigueur.

Transferts internationaux

WithSecure™ est une société internationale. Par conséquent, certains de nos affiliés, sous-traitants, distributeurs et partenaires se trouvent hors de l’Espace économique européen, afin de garantir la disponibilité de nos services à l’échelle mondiale. La localisation des sites de nos filiales est indiquée sur nos pages Web publiques.

Lorsque nous transférons des données à caractère personnel en dehors de l’EEE, nous sécurisons lesdites données conformément aux exigences légales. Nous le ferons en imposant des garanties techniques et contractuelles appropriées aux sous-traitants et sociétés du groupe WithSecure™ correspondants, par exemple, en utilisant des clauses de transfert de données approuvées par l’Union européenne. Le contenu de ces clauses est disponible ici.

Nous n’effectuons aucun transfert de données mondial ou international sans motif valable et sans avoir évalué le risque inhérent en matière de confidentialité.

Nous stockons des données client plus sensibles en Finlande et au sein de l’Espace économique européen afin de les conserver sous notre contrôle exclusif.

Autres utilisations et divulgations

Dans certains cas non couverts par la présente politique de confidentialité, l’utilisation ou la divulgation de données à caractère personnel peut être justifiée ou autorisée, ou nous pouvons être tenus par la législation applicable de divulguer les informations sans obtenir votre consentement préalable ou indépendamment de la fourniture de services.

Par exemple, lorsqu’une ordonnance ou un mandat émis par une juridiction compétente nous oblige à produire ces informations.

De même, il peut exister d’autres circonstances où il existe un intérêt légitime et justifiable à la divulgation d’ensembles limités d’informations à un tiers. Il peut s’agir, par exemple, de situations où nous avons besoin de nous protéger contre toute responsabilité ou de prévenir une activité frauduleuse, où nous analysons votre usage de nos produits pour garantir leur bon fonctionnement ainsi que notre capacité à réagir en cas de mauvaises expériences, et où il est nécessaire de résoudre ou de minimiser un problème actuel, ou de répondre aux exigences légitimes d’assureurs ou d’agences réglementaires publiques. Toute action de ce type est effectuée conformément à la législation applicable.

Nous pouvons également être amenés à transférer vos données personnelles dans le cadre d’une transaction professionnelle, telle qu’une vente, une fusion, une création de filiale ou une restructuration de WithSecure™, où les informations sont transmises à la nouvelle entité en charge du contrôle des opérations habituelles. Le groupe WithSecure™ divulgue et transfère les données en interne selon les besoins du modèle opérationnel en vigueur. Toutefois, nous limitons ces divulgations en interne aux sociétés, unités, équipes et personnes qui ont besoin de connaître ces informations afin de les traiter.

Nous évaluons soigneusement chaque demande de divulgation et prenons en compte la possibilité de ces demandes lorsque nous déterminons le lieu et le mode de stockage de vos données à caractère personnel.

Sources

Même si nous collectons la majorité des données mentionnées ci-dessus directement auprès de Vous ou de votre appareil, nous recevons également des données de nos affiliés, partenaires de distribution (par exemple, opérateurs et commerçants), et entités professionnelles auprès desquelles Vous avez acheté les services. Ces entités peuvent être nos distributeurs, ainsi que nos partenaires externes de commerce en ligne. Nous collectons également des informations à caractère personnel élémentaires (informations de commande) et agrégeons des données d’analyse à partir des magasins d’applications dans lesquels nos services sont vendus . Ces autres sources peuvent également inclure les sous-traitants qui Vous ont fourni des services de support ou nos partenaires publicitaires qui nous assistent dans nos activités marketing.

Cela nous permet de créer une expérience client transparente et de disposer des informations nécessaires pour résoudre les problèmes de support.

Voici quelques exemples typiques de ces sources tierces :

  • informations sur vos achats réalisés sur notre boutique en ligne externe,
  • collecte de vos coordonnées à partir des données de connexions précédentes de notre partenaire distributeur et opérateur Vous fournissant le service,
  • coordonnées obtenues des registres professionnels à des fins de marketing, et
  • si Vous utilisez votre compte de réseau social pour Vous inscrire à nos services, nous pourrons également collecter l’adresse e‑mail de votre compte afin d’authentifier votre inscription et de Vous contacter.

Tiers

Nos services sont fournis en collaboration avec nos partenaires, et nos services et sites Web peuvent intégrer ou interagir avec des services tiers. La présente déclaration de confidentialité s’applique aux données à caractère personnel uniquement tant que celles-ci sont sous le contrôle de WithSecure™. Si ces données sont traitées par d’autres entités à des fins qui leur sont propres, ladite entité est responsable du traitement justifié de vos données conformément à ses propres politiques, ainsi que du respect de vos droits en vertu des lois applicables relatives à la protection des données.

Les scénarios les plus fréquents sont les suivants :

  • Boutique en ligne. Notre boutique en ligne est en partie gérée par un distributeur tiers. Même si les données fournies au cours de la phase d’abonnement sont traitées conformément aux politiques WithSecure™, l’achat en tant que tel et les activités associées sont quant à eux soumis aux politiques des fournisseurs de notre boutique en ligne.
  • Localisation d’appareils. Lorsque Vous tentez de localiser votre appareil à l’aide de nos services, le fournisseur de cartes doit traiter les données géographiques connexes. À la date de la publication de cette politique, WithSecure™ fait appel à Google Maps pour ses services de localisation d’appareils et ses fonctions de recherche. Les politiques de confidentialité propres à Google s’appliquent selon l’usage que Vous faites de ces fonctions.

Conservation

Les données sur les résultats d’analyse des vulnérabilités sont stockées conformément aux paramètres du service, lesquels sont configurables.

De leur côté, les données nominatives sont stockées et disponibles sur le portail pendant toute la durée de fourniture du service à notre entreprise cliente. À l’expiration de l’abonnement, elles sont stockées pendant huit mois avant d’être supprimées définitivement.

Indépendamment de cette suppression, WithSecure™ continue de conserver des journaux d’applications spécifiques (lesquels contiennent un échantillon limité des données susmentionnées) en vue de prévenir tout usage abusif des services.

Le présent texte complète les durées de conservation spécifiques aux services. Par défaut, la loi impose que les données à caractère personnel soient supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires.

Toutefois, certaines données à caractère personnel doivent être conservées plus longtemps pour différentes raisons.

Voici des exemples typiques de motifs de durées de conservation plus longues :

  • périodes de grâce et sauvegardes (par ex. conservation des données à caractère personnel pendant une période donnée après la fin de votre abonnement afin de permettre la sauvegarde des données en cas de suppression par erreur) ;
  • stocker des données si la législation en vigueur l’exige (par exemple, effectuer le suivi de vos achats et du paiement de nos services) ;
  • nous permettre d’exercer les recours disponibles ou de limiter tout préjudice que nous pourrions éventuellement subir (par exemple, en raison d’une enquête ou d’un conflit en cours) ;
  • résoudre ou minimiser un problème récurrent, ou disposer d’une quantité suffisante de renseignements pour réagir efficacement aux futures situations problématiques (par exemple, votre ticket de support relatif à un problème qui n’a pas été corrigé de façon permanente au cours de votre relation client) ;
  • prévenir toute activité frauduleuse (par exemple, faire appliquer une interdiction dans notre communauté) ;
  • incorporer vos données personnelles à d’autres données à des fins secondaires (par ex. conservation de journaux) ;
  • toute autre circonstance similaire où il est nécessaire de continuer à stocker les données à caractère personnel.

La suppression définitive de votre compte peut être retardée afin de ne pas nuire aux autres interactions que Vous pouvez avoir avec nous. Cela se produit lorsque Vous disposez d’un compte WithSecure™ (par ex. si Vous Vous êtes abonné à nos services au consommateur avec votre adresse électronique) et i) disposez d’un compte sur la communauté WithSecure™ ou ii) restez abonné à nos communications marketing. La politique de suppression du compte de la communauté WithSecure™ est énoncée dans les conditions générales du service. Vous pouvez demander à ne plus recevoir nos communications marketing à tout moment.

Si Vous avez souscrit le service par l’intermédiaire de l’un de nos partenaires opérateurs, la suppression du compte est contrôlée par celui-ci. Lorsque le partenaire nous informe que votre abonnement a été résilié, nous supprimons par la suite le compte et effaçons ou rendons anonymes les données à caractère personnel associées.

Si nous avons reçu vos informations dans le cadre du support technique, celles-ci sont stockées tant que l’incident correspondant n’est pas résolu. Une fois résolu, les informations sont progressivement supprimées ou anonymisées dans les deux ans suivant la clôture de l’incident.

Les données d’analyse collectées avec le consentement de l’utilisateur sont conservées à des fins statistiques et ne sont pas effacées lors de la suppression du compte utilisateur et de ses données à caractère personnel. Une fois le compte résilié, les données d’analyse ne peuvent plus être liées à un utilisateur ou à un compte identifiable.

Les données ne contenant aucun renseignement personnel (par exemple, les données analytiques agrégées) sont conservées aussi longtemps que ces dernières revêtent un caractère utile aux fins pour lesquelles elles ont été collectées.

Données de sécurité

Informations sur les pratiques de sécurité que nous mettons en œuvre pour protéger vos données.

Nous appliquons de strictes mesures de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des données à caractère personnel Vous concernant pendant leur transfert, leur stockage et leur traitement.

Nous avons recours à des mesures de sécurité physiques, administratives et techniques pour réduire le risque de perte, d’utilisation à des fins malveillantes, d’accès non autorisé, de divulgation ou de modification des données à caractère personnel Vous concernant.

Toutes les données à caractère personnel sont stockées sur des serveurs sécurisés exploités par WithSecure™ ou nos partenaires, et leur accès est restreint au personnel autorisé.

Vos droits

Informations sur vos droits légaux et comment nous contacter.

Vous avez la possibilité d’exercer les droits suivants sur les données à caractère personnel dont nous disposons à votre sujet :

  • Accès et rectification. Vous avez le droit de nous demander la nature des données à caractère personnel dont nous disposons à votre sujet et d’en obtenir une copie exhaustive. Si Vous constatez des erreurs (par exemple, des informations obsolètes), nous Vous prions de bien vouloir contacter notre service clientèle en vue d’apporter les corrections nécessaires aux données concernées, telles que votre adresse ou votre adresse e‑mail. Si Vous n’êtes pas en mesure de procéder Vous-même aux modifications, veuillez nous en informer.
  • Objection. Vous avez le droit de formuler une objection à un traitement spécifique de vos données à caractère personnel, par exemple à des fins commerciales ou dans le cadre de la poursuite d’intérêts légitimes. Dans ce dernier cas, Vous devez fonder votre objection sur un argument recevable d’un point de vue juridique.
  • Droit à l’oubli. Vous avez le droit de nous demander de cesser de stocker vos données à caractère personnel et de les effacer. Dans ce cas, votre demande doit être fondée sur un argument recevable d’un point de vue juridique.
  • Portabilité. Vous avez le droit de demander l’accès aux données à caractère personnel que Vous avez Vous-même fournies dans le cadre d’un contrat ou avec votre consentement exprès. Vous avez le droit d’obtenir que ces données soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine.
  • Retrait du consentement. Dans les cas où le traitement repose sur le consentement, Vous avez le droit de retirer ce dernier à tout moment via les paramètres correspondants. Les paramètres relatifs aux données d’analyse identifiables sont disponibles dans l’interface utilisateur du service. Vous avez également le droit de refuser de recevoir nos communications commerciales en configurant vos préférences accessibles depuis le lien.
  • Limitation. Si Vous constatez que les données à caractère personnel dont nous disposons à votre sujet sont incorrectes ou que nous n’avons légalement aucun droit de les utiliser, Vous pouvez nous demander à ce qu’elles soient seulement conservées et ne fassent l’objet d’aucune opération de traitement ultérieure jusqu’à la résolution du problème.

Vous pouvez exercer vos droits via notre fonction d’assistance clients. Les liens permettant de nous contacter figurent dans la section Coordonnées.

Notez que dans certaines situations, notre droit au respect du secret professionnel ainsi que nos obligations en matière de confidentialité et/ou de prestation de services (par exemple, à votre employeur) peuvent nous interdire de divulguer ou de supprimer vos données à caractère personnel, ou Vous empêcher d’exercer vos droits. Les droits énoncés ci-dessus dépendent également du motif juridique auquel nous traitons vos données à caractère personnel.

Pour toute réclamation relative au traitement de vos données personnelles ou pour toute information supplémentaire, Vous pouvez nous contacter à tout moment. Si Vous estimez que nous ne respections pas vos droits légaux, Vous pouvez soumettre une plainte à une autorité de surveillance. Dans la plupart des cas, il s’agit de Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Coordonnées

En cas de doute ou question concernant les points abordés dans nos politiques de confidentialité, veuillez contacter :

WithSecure™ Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlande

Comment nous contacter :

  • Si vous êtes un client de notre gamme de produits pour particuliers, contactez-nous via nos canaux d’assistance dédiés.
  • Si vous êtes un client de notre gamme de produits pour professionnels, contactez-nous via nos canaux d’assistance dédiés.
  • Vous pouvez contacter le responsable de la protection des données de WithSecure™ à l’adresse privacy@WithSecure.com. Si vous souhaitez exercer vos droits en tant que sujet de données, utilisez les liens fournis ci-dessus.

Généralités

Informations sur les définitions et la gestion des modifications.

Définitions

Voici ce que signifient certaines références que nous faisons dans la présente politique.

« Client » et « Vous » font référence à un utilisateur privé ou professionnel, ou à toute autre personne concernée qui achète et utilise nos services, ou s’inscrit à cette fin, dont les appareils et le trafic sont protégés par nos services, ou pouvant nous avoir divulgué des informations l’identifiant personnellement. Ces dernières peuvent avoir été envoyées à travers l’utilisation de nos services ou sites Web, par téléphone, par e‑mail, via les formulaires d’inscription ou par d’autres moyens similaires.

L’expression « données à caractère personnel » désigne toute information sur des particuliers qui permet de les identifier eux-mêmes, leur famille ou les membres de leur foyer. Ces informations peuvent notamment inclure des noms, des adresses e‑mail et postales, des numéros de téléphone, des données de facturation et de compte, ainsi que d’autres renseignements plus techniques dont la nature pourrait permettre d’identifier votre appareil et Vous-même, avec les comportements respectifs.

« Services » fait référence aux services ou produits fabriqués ou distribués par WithSecure™, y compris les logiciels, solutions Web, outils et services d’assistance associés.

« Site Web » fait référence au site Web WithSecure.com ou à tout autre site Web hébergé ou contrôlé par WithSecure™, y compris les sous-sites et les portails de services basés sur navigateur.

Modifications

La présente version de la politique clarifie, met à jour et remplace la version précédente. Pour maintenir à jour ce document, nous effectuerons également des ajouts et des modifications à l’avenir.

Nous publierons la nouvelle politique de confidentialité sur notre site Web ou tout autre point d’interaction où elle a déjà été mise à disposition. Si les modifications apportées sont notables, nous pourrons également vous prévenir par d’autres moyens. Tout changement entrera en vigueur à compter de la date de publication de la politique de confidentialité révisée.

Elements Collaboration Protection

Politique de confidentialité de WithSecure™ Elements Collaboration Protection

Mai 2021

En résumé

WithSecure™ Elements Collaboration Protection est un service de sécurité cloud conçu pour limiter les risques liés aux e-mails au sein des entreprises en protégeant efficacement les e-mails Microsoft 365 contre les menaces internes, les attaques avancées par phishing ainsi que les URL et le contenu malveillants. Outre les e-mails, d’autres éléments Exchange (comme les tâches, les rendez-vous du calendrier, les contacts et les pense-bêtes) sont examinés à la recherche d’URL et de contenu malveillants.

  • La collecte de données vise à détecter le contenu malveillant dans les boîtes aux lettres utilisateur et en aucun cas à obtenir des informations personnelles.
  • La plupart des données collectées et traitées demeurent dans le client Microsoft 365 de l’entreprise cliente.

Explications détaillées

Cette politique spécifique au service se concentre sur les éléments que nous estimons les plus pertinents pour vous. Il s’agit, en particulier 1) du type de données personnelles et privées que le service collecte, 2) de l’objectif de leur utilisation, 3) de notre justification, 4) des divulgations typiques, et 5) de leur durée de conservation. Les liens intégrés fournissent plus d’informations sur ces sujets ainsi que sur d’autres aspects du traitement de vos données à caractère personnel (droits des sujets de données, coordonnées, etc.).

Quelles sont les données traitées et dans quel but ?

Données de sécurité

WithSecure™ Elements Collaboration Protection traite le contenu (tel que les e-mails, les rendez-vous du calendrier, les tâches, les contacts et les groupes) dans les boîtes aux lettres Microsoft 365 des employés du client définis dans la stratégie de sécurité et à qui une licence valide a été attribuée.

Lors du traitement de ces données, la solution inspecte les pièces jointes, les liens Web (URL) inclus dans le corps des e-mails et certains éléments des en-têtes. Dans le cadre du processus d’identification des menaces de sécurité, les pièces jointes ainsi que les URL sont envoyées à Security Cloud pour faire l’objet d’une évaluation de la réputation et d’une analyse avancée des menaces.

WithSecure™ Security Cloud est un système cloud de vérification de la réputation et d’analyse des menaces qui inspecte les données à la recherche de contenu malveillant ou dangereux. Les données envoyées à WithSecure™ Security Cloud sont toujours anonymes et ne peuvent en aucun cas être reliées à des personnes physiques.

En cas de détection de contenu dangereux (comme une URL ou une pièce jointe malveillante), la solution déplace ou copie l’objet entier ou seulement les éléments touchés dans le dossier masqué de quarantaine du client Microsoft 365.

Les coordonnées (adresse e-mail) et les informations d’identification (nom d’utilisateur et mot de passe) des utilisateurs administrant la solution via le portail WithSecure™ Elements Collaboration Protection sont stockées et utilisées aux fins de gestion de l’accès administrateur au portail.

Les résultats des données collectées aux fins d’analyse sont communiqués aux utilisateurs administrant la solution via le portail WithSecure™ Elements Collaboration Protection. Ceux-ci peuvent notamment inclure :

  • le nom de la boîte aux lettres utilisateur dans laquelle le message ou l’élément présentant du contenu dangereux a été détecté ;
  • l’adresse e-mail de l’expéditeur (métadonnées de messagerie) ;
  • les adresses e-mail des destinataires (métadonnées de messagerie) ;
  • l’objet de l’e-mail ou de l’élément (métadonnées de messagerie) ;
  • les entêtes des e-mails (métadonnées de messagerie) ;
  • le nom du dossier dans lequel le contenu dangereux a été détecté (métadonnées de messagerie) ;
  • les noms des fichiers dans lesquels du contenu dangereux a été détecté ;
  • les liens Web (URL) considérés comme dangereux.

Nous traitons les données en vue d’assurer la protection des réseaux cibles, des appareils et des données qu’ils contiennent, et plus spécifiquement pour :

  • bloquer le contenu dangereux ou potentiellement dangereux dans le trafic de messagerie entrant, sortant et interne ;
  • détecter les activités suspectes et malveillantes dans les boîtes aux lettres utilisateur ;
  • détecter les autres menaces et atteintes à la sécurité via ou contre les services Microsoft 365 ;
  • analyser les données de sécurité et d’utilisation du service collectées aux fins d’amélioration des capacités de détection de nos produits, en veillant à optimiser tout particulièrement la fonctionnalité et la convivialité.

Le portail WithSecure™ Elements Collaboration Protection collecte des données de télémétrie non identifiables sur l’utilisation de ses fonctionnalités aux fins d’amélioration du service. L’administrateur a la possibilité de refuser cette collecte dans les paramètres de stratégie.

WithSecure™ vérifie régulièrement votre adresse e-mail pour déterminer si elle a fait l’objet d’une violation de données. Nous faisons appel aux services d’un prestataire tiers chargé de détecter toute violation des données surveillées et de collecter les diverses informations qui s’y rapportent.

Contact

Les données de contact des personnes à contacter au sein de l’entreprise cliente sont traitées comme expliqué dans la politique de confidentialité d’entreprise.

Fondements juridiques

WithSecure™ et chaque entreprise cliente contrôlent de façon indépendante leurs domaines respectifs de traitement des données dans le cadre de l’exécution des services.

Dans la mesure où les données traitées par WithSecure™ dans les services sont identifiables, les services traitent ces données de façon à protéger les intérêts légitimes des personnes ;

  • i) pour protéger les réseaux et les appareils des clients de WithSecure™ ainsi que la confidentialité et la disponibilité des données qu’ils contiennent ;
  • ii) pour permettre à WithSecure™ de détecter des menaces émergentes et autres tendances relatives à la sécurité parmi ses clients, afin de permettre aux services WithSecure™ de s’adapter à l’évolution des menaces ; et
  • permettre à WithSecure™ de fournir une infrastructure de sécurité centralisée sur plusieurs continents à un grand nombre de clients et de partenaires.

Ce traitement est essentiel en vue d’assurer une protection efficace des données de l’entreprise cliente dans son organisation Microsoft 365. Si les paramètres individuels des différents services peuvent permettre aux administrateurs informatiques et/ou Microsoft 365 de limiter le traitement que nous faisons des données de sécurité, il est toutefois déconseillé d’adopter une telle démarche. En effet, cela viendrait compromettre les efforts déployés pour atteindre les objectifs décrits ci-dessus.

Transferts et divulgations

Ces données sont mises à disposition de l’administrateur informatique de votre entreprise à des fins similaires. Elles sont également accessibles à WithSecure™ et via le portail. Si l’administration des services informatiques de votre entreprise est gérée par un tiers, celui-ci (le distributeur/partenaire revendeur de WithSecure™) y a également accès afin de pouvoir vous fournir une assistance et des prestations informatiques.

Vente et livraison

Nous partageons (en d’autres termes, divulguons et recevons) certaines de vos données à caractère personnel avec nos partenaires de distribution (revendeurs de services informatiques professionnels, opérateurs, boutiques en ligne, etc.) qui commercialisent, vendent et distribuent nos services. Nous accordons à ces sociétés le droit d’accéder aux données à caractère personnel nécessaires de sorte qu’elles réalisent les activités consenties. Ce partage de données vise à garantir une expérience client optimale. Cela inclut des activités telles que la gestion de la clientèle, le support technique, la résolution des problèmes, le marketing direct et la facturation.

Nos partenaires de distribution ont généralement une relation préexistante avec Vous, ou, dans le cas de nos services professionnels, avec votre employeur. Ces partenaires et clients traitent vos données à caractère personnel en tant qu’entités indépendantes, sur la base de leurs propres politiques de confidentialité. Néanmoins, nos partenaires de distribution et nos clients professionnels doivent également respecter les accords et législations en vigueur en matière de traitement des données à caractère personnel. Par défaut, chacune de ces entités est donc individuellement responsable du traitement de vos données à caractère personnel à ses propres fins.

Sous-traitance

Nous nous réservons le droit de transférer ou de divulguer certaines de vos données à caractère personnel aux sociétés du groupe WithSecure™ et à nos sous-traitants afin de nous permettre de créer les services.

Lorsque les données à caractère personnel de nos clients doivent être divulguées à nos sous-traitants (par exemple, pour résoudre un cas de demande d’assistance, l’envoyer à des partenaires logistiques en vue de la livraison du produit ou diffuser des e‑mails marketing de notre part), les contrats passés avec ceux-ci réclament qu’ils utilisent de telles informations uniquement dans le cadre de la fourniture de leurs services convenus. Nous exigeons en outre qu’ils observent scrupuleusement cette politique de confidentialité ainsi que la législation en vigueur.

Transferts internationaux

WithSecure™ est une société internationale. Par conséquent, certains de nos affiliés, sous-traitants, distributeurs et partenaires se trouvent hors de l’Espace économique européen, afin de garantir la disponibilité de nos services à l’échelle mondiale. La localisation des sites de nos filiales est indiquée sur nos pages Web publiques.

Lorsque nous transférons des données à caractère personnel en dehors de l’EEE, nous sécurisons lesdites données conformément aux exigences légales. Nous le ferons en imposant des garanties techniques et contractuelles appropriées aux sous-traitants et sociétés du groupe WithSecure™ correspondants, par exemple, en utilisant des clauses de transfert de données approuvées par l’Union européenne. Le contenu de ces clauses est disponible ici.

Nous n’effectuons aucun transfert de données mondial ou international sans motif valable et sans avoir évalué le risque inhérent en matière de confidentialité.

Nous stockons des données client plus sensibles en Finlande et au sein de l’Espace économique européen afin de les conserver sous notre contrôle exclusif.

Autres utilisations et divulgations

Dans certains cas non couverts par la présente politique de confidentialité, l’utilisation ou la divulgation de données à caractère personnel peut être justifiée ou autorisée, ou nous pouvons être tenus par la législation applicable de divulguer les informations sans obtenir votre consentement préalable ou indépendamment de la fourniture de services.

Par exemple, lorsqu’une ordonnance ou un mandat émis par une juridiction compétente nous oblige à produire ces informations.

De même, il peut exister d’autres circonstances où il existe un intérêt légitime et justifiable à la divulgation d’ensembles limités d’informations à un tiers. Il peut s’agir, par exemple, de situations où nous avons besoin de nous protéger contre toute responsabilité ou de prévenir une activité frauduleuse, où nous analysons votre usage de nos produits pour garantir leur bon fonctionnement ainsi que notre capacité à réagir en cas de mauvaises expériences, et où il est nécessaire de résoudre ou de minimiser un problème actuel, ou de répondre aux exigences légitimes d’assureurs ou d’agences réglementaires publiques. Toute action de ce type est effectuée conformément à la législation applicable.

Nous pouvons également être amenés à transférer vos données personnelles dans le cadre d’une transaction professionnelle, telle qu’une vente, une fusion, une création de filiale ou une restructuration de WithSecure™, où les informations sont transmises à la nouvelle entité en charge du contrôle des opérations habituelles. Le groupe WithSecure™ divulgue et transfère les données en interne selon les besoins du modèle opérationnel en vigueur. Toutefois, nous limitons ces divulgations en interne aux sociétés, unités, équipes et personnes qui ont besoin de connaître ces informations afin de les traiter.

Nous évaluons soigneusement chaque demande de divulgation et prenons en compte la possibilité de ces demandes lorsque nous déterminons le lieu et le mode de stockage de vos données à caractère personnel.

Sources

Même si nous collectons la majorité des données mentionnées ci-dessus directement auprès de Vous ou de votre appareil, nous recevons également des données de nos affiliés, partenaires de distribution (par exemple, opérateurs et commerçants), et entités professionnelles auprès desquelles Vous avez acheté les services. Ces entités peuvent être nos distributeurs, ainsi que nos partenaires externes de commerce en ligne. Nous collectons également des informations à caractère personnel élémentaires (informations de commande) et agrégeons des données d’analyse à partir des magasins d’applications dans lesquels nos services sont vendus . Ces autres sources peuvent également inclure les sous-traitants qui Vous ont fourni des services de support ou nos partenaires publicitaires qui nous assistent dans nos activités marketing.

Cela nous permet de créer une expérience client transparente et de disposer des informations nécessaires pour résoudre les problèmes de support.

Voici quelques exemples typiques de ces sources tierces :

  • informations sur vos achats réalisés sur notre boutique en ligne externe,
  • collecte de vos coordonnées à partir des données de connexions précédentes de notre partenaire distributeur et opérateur Vous fournissant le service,
  • coordonnées obtenues des registres professionnels à des fins de marketing, et
  • si Vous utilisez votre compte de réseau social pour Vous inscrire à nos services, nous pourrons également collecter l’adresse e‑mail de votre compte afin d’authentifier votre inscription et de Vous contacter.

Tiers

Nos services sont fournis en collaboration avec nos partenaires, et nos services et sites Web peuvent intégrer ou interagir avec des services tiers. La présente déclaration de confidentialité s’applique aux données à caractère personnel uniquement tant que celles-ci sont sous le contrôle de WithSecure™. Si ces données sont traitées par d’autres entités à des fins qui leur sont propres, ladite entité est responsable du traitement justifié de vos données conformément à ses propres politiques, ainsi que du respect de vos droits en vertu des lois applicables relatives à la protection des données.

Les scénarios les plus fréquents sont les suivants :

  • Boutique en ligne. Notre boutique en ligne est en partie gérée par un distributeur tiers. Même si les données fournies au cours de la phase d’abonnement sont traitées conformément aux politiques WithSecure™, l’achat en tant que tel et les activités associées sont quant à eux soumis aux politiques des fournisseurs de notre boutique en ligne.
  • Localisation d’appareils. Lorsque Vous tentez de localiser votre appareil à l’aide de nos services, le fournisseur de cartes doit traiter les données géographiques connexes. À la date de la publication de cette politique, WithSecure™ fait appel à Google Maps pour ses services de localisation d’appareils et ses fonctions de recherche. Les politiques de confidentialité propres à Google s’appliquent selon l’usage que Vous faites de ces fonctions.

Conservation

Données contrôlées par le client

Les éléments en quarantaine ainsi que les propriétés associées sont supprimés en fonction de la stratégie définie par le client.

Données contrôlées par WithSecure™

Les données sont stockées et disponibles sur le portail WithSecure™ Elements Collaboration Protection pendant toute la durée de la prestation de services. À l’issue de la résiliation du contrat de service ou d’une licence auprès du client, nous conservons ces données pendant quatre (4) mois. Elles sont ensuite supprimées et rendues anonymes.

Les données statistiques et de sécurité rendues anonymes sont stockées sur les serveurs WithSecure™ pendant une durée indéterminée, tant que celles-ci continuent d’être utilisées aux fins pour lesquelles elles ont été collectées.

Les autres types de données susmentionnés (les coordonnées et les informations relatives au support technique) sont conservés pendant la durée expressément stipulée dans leurs politiques de confidentialité respectives, afin d’être supprimés ou rendus anonymes.

Le présent texte complète les durées de conservation spécifiques aux services. Par défaut, la loi impose que les données à caractère personnel soient supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires.

Toutefois, certaines données à caractère personnel doivent être conservées plus longtemps pour différentes raisons.

Voici des exemples typiques de motifs de durées de conservation plus longues :

  • périodes de grâce et sauvegardes (par ex. conservation des données à caractère personnel pendant une période donnée après la fin de votre abonnement afin de permettre la sauvegarde des données en cas de suppression par erreur) ;
  • stocker des données si la législation en vigueur l’exige (par exemple, effectuer le suivi de vos achats et du paiement de nos services) ;
  • nous permettre d’exercer les recours disponibles ou de limiter tout préjudice que nous pourrions éventuellement subir (par exemple, en raison d’une enquête ou d’un conflit en cours) ;
  • résoudre ou minimiser un problème récurrent, ou disposer d’une quantité suffisante de renseignements pour réagir efficacement aux futures situations problématiques (par exemple, votre ticket de support relatif à un problème qui n’a pas été corrigé de façon permanente au cours de votre relation client) ;
  • prévenir toute activité frauduleuse (par exemple, faire appliquer une interdiction dans notre communauté) ;
  • incorporer vos données personnelles à d’autres données à des fins secondaires (par ex. conservation de journaux) ;
  • toute autre circonstance similaire où il est nécessaire de continuer à stocker les données à caractère personnel.

La suppression définitive de votre compte peut être retardée afin de ne pas nuire aux autres interactions que Vous pouvez avoir avec nous. Cela se produit lorsque Vous disposez d’un compte WithSecure™ (par ex. si Vous Vous êtes abonné à nos services au consommateur avec votre adresse électronique) et i) disposez d’un compte sur la communauté WithSecure™ ou ii) restez abonné à nos communications marketing. La politique de suppression du compte de la communauté WithSecure™ est énoncée dans les conditions générales du service. Vous pouvez demander à ne plus recevoir nos communications marketing à tout moment.

Si Vous avez souscrit le service par l’intermédiaire de l’un de nos partenaires opérateurs, la suppression du compte est contrôlée par celui-ci. Lorsque le partenaire nous informe que votre abonnement a été résilié, nous supprimons par la suite le compte et effaçons ou rendons anonymes les données à caractère personnel associées.

Si nous avons reçu vos informations dans le cadre du support technique, celles-ci sont stockées tant que l’incident correspondant n’est pas résolu. Une fois résolu, les informations sont progressivement supprimées ou anonymisées dans les deux ans suivant la clôture de l’incident.

Les données d’analyse collectées avec le consentement de l’utilisateur sont conservées à des fins statistiques et ne sont pas effacées lors de la suppression du compte utilisateur et de ses données à caractère personnel. Une fois le compte résilié, les données d’analyse ne peuvent plus être liées à un utilisateur ou à un compte identifiable.

Les données ne contenant aucun renseignement personnel (par exemple, les données analytiques agrégées) sont conservées aussi longtemps que ces dernières revêtent un caractère utile aux fins pour lesquelles elles ont été collectées.

Données de sécurité

Informations sur les pratiques de sécurité que nous mettons en œuvre pour protéger vos données.

Nous appliquons de strictes mesures de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des données à caractère personnel Vous concernant pendant leur transfert, leur stockage et leur traitement.

Nous avons recours à des mesures de sécurité physiques, administratives et techniques pour réduire le risque de perte, d’utilisation à des fins malveillantes, d’accès non autorisé, de divulgation ou de modification des données à caractère personnel Vous concernant.

Toutes les données à caractère personnel sont stockées sur des serveurs sécurisés exploités par WithSecure™ ou nos partenaires, et leur accès est restreint au personnel autorisé.

Vos droits

Informations sur vos droits légaux et comment nous contacter.

Vous avez la possibilité d’exercer les droits suivants sur les données à caractère personnel dont nous disposons à votre sujet :

  • Accès et rectification. Vous avez le droit de nous demander la nature des données à caractère personnel dont nous disposons à votre sujet et d’en obtenir une copie exhaustive. Si Vous constatez des erreurs (par exemple, des informations obsolètes), nous Vous prions de bien vouloir contacter notre service clientèle en vue d’apporter les corrections nécessaires aux données concernées, telles que votre adresse ou votre adresse e‑mail. Si Vous n’êtes pas en mesure de procéder Vous-même aux modifications, veuillez nous en informer.
  • Objection. Vous avez le droit de formuler une objection à un traitement spécifique de vos données à caractère personnel, par exemple à des fins commerciales ou dans le cadre de la poursuite d’intérêts légitimes. Dans ce dernier cas, Vous devez fonder votre objection sur un argument recevable d’un point de vue juridique.
  • Droit à l’oubli. Vous avez le droit de nous demander de cesser de stocker vos données à caractère personnel et de les effacer. Dans ce cas, votre demande doit être fondée sur un argument recevable d’un point de vue juridique.
  • Portabilité. Vous avez le droit de demander l’accès aux données à caractère personnel que Vous avez Vous-même fournies dans le cadre d’un contrat ou avec votre consentement exprès. Vous avez le droit d’obtenir que ces données soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine.
  • Retrait du consentement. Dans les cas où le traitement repose sur le consentement, Vous avez le droit de retirer ce dernier à tout moment via les paramètres correspondants. Les paramètres relatifs aux données d’analyse identifiables sont disponibles dans l’interface utilisateur du service. Vous avez également le droit de refuser de recevoir nos communications commerciales en configurant vos préférences accessibles depuis le lien.
  • Limitation. Si Vous constatez que les données à caractère personnel dont nous disposons à votre sujet sont incorrectes ou que nous n’avons légalement aucun droit de les utiliser, Vous pouvez nous demander à ce qu’elles soient seulement conservées et ne fassent l’objet d’aucune opération de traitement ultérieure jusqu’à la résolution du problème.

Vous pouvez exercer vos droits via notre fonction d’assistance clients. Les liens permettant de nous contacter figurent dans la section Coordonnées.

Notez que dans certaines situations, notre droit au respect du secret professionnel ainsi que nos obligations en matière de confidentialité et/ou de prestation de services (par exemple, à votre employeur) peuvent nous interdire de divulguer ou de supprimer vos données à caractère personnel, ou Vous empêcher d’exercer vos droits. Les droits énoncés ci-dessus dépendent également du motif juridique auquel nous traitons vos données à caractère personnel.

Pour toute réclamation relative au traitement de vos données personnelles ou pour toute information supplémentaire, Vous pouvez nous contacter à tout moment. Si Vous estimez que nous ne respections pas vos droits légaux, Vous pouvez soumettre une plainte à une autorité de surveillance. Dans la plupart des cas, il s’agit de Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Coordonnées

En cas de doute ou question concernant les points abordés dans nos politiques de confidentialité, veuillez contacter :

WithSecure™ Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlande

Comment nous contacter :

  • Si vous êtes un client de notre gamme de produits pour particuliers, contactez-nous via nos canaux d’assistance dédiés.
  • Si vous êtes un client de notre gamme de produits pour professionnels, contactez-nous via nos canaux d’assistance dédiés.
  • Vous pouvez contacter le responsable de la protection des données de WithSecure™ à l’adresse privacy@WithSecure.com. Si vous souhaitez exercer vos droits en tant que sujet de données, utilisez les liens fournis ci-dessus.

Généralités

Informations sur les définitions et la gestion des modifications.

Définitions

Voici ce que signifient certaines références que nous faisons dans la présente politique.

« Client » et « Vous » font référence à un utilisateur privé ou professionnel, ou à toute autre personne concernée qui achète et utilise nos services, ou s’inscrit à cette fin, dont les appareils et le trafic sont protégés par nos services, ou pouvant nous avoir divulgué des informations l’identifiant personnellement. Ces dernières peuvent avoir été envoyées à travers l’utilisation de nos services ou sites Web, par téléphone, par e‑mail, via les formulaires d’inscription ou par d’autres moyens similaires.

L’expression « données à caractère personnel » désigne toute information sur des particuliers qui permet de les identifier eux-mêmes, leur famille ou les membres de leur foyer. Ces informations peuvent notamment inclure des noms, des adresses e‑mail et postales, des numéros de téléphone, des données de facturation et de compte, ainsi que d’autres renseignements plus techniques dont la nature pourrait permettre d’identifier votre appareil et Vous-même, avec les comportements respectifs.

« Services » fait référence aux services ou produits fabriqués ou distribués par WithSecure™, y compris les logiciels, solutions Web, outils et services d’assistance associés.

« Site Web » fait référence au site Web WithSecure.com ou à tout autre site Web hébergé ou contrôlé par WithSecure™, y compris les sous-sites et les portails de services basés sur navigateur.

Modifications

La présente version de la politique clarifie, met à jour et remplace la version précédente. Pour maintenir à jour ce document, nous effectuerons également des ajouts et des modifications à l’avenir.

Nous publierons la nouvelle politique de confidentialité sur notre site Web ou tout autre point d’interaction où elle a déjà été mise à disposition. Si les modifications apportées sont notables, nous pourrons également vous prévenir par d’autres moyens. Tout changement entrera en vigueur à compter de la date de publication de la politique de confidentialité révisée.

Cloud Protection for Salesforce

Politique de confidentialité de WithSecure™ Cloud Protection for Salesforce

Mai 2019

 

En résumé

WithSecure™ Cloud Protection for Salesforce est une solution de sécurité cloud conçue pour compléter et étendre les capacités de sécurité natives des plateformes Salesforce. Le service protège les entreprises contre les menaces engendrées par le chargement ou le partage de fichiers et de liens Web (URL) via le cloud Salesforce.

Les principaux aspects liés au respect de la confidentialité sont les suivants :

  • La collecte de données porte uniquement sur l'organisation Salesforce de l'entreprise cliente, et non pas sur les individus.
  • La plupart des données collectées et traitées demeurent au sein de l'organisation Salesforce de l'entreprise cliente.
  • Les données envoyées à WithSecure™ Security Cloud sont parfaitement anonymes.
  • Les administrateurs informatiques et/ou Salesforce de l'entreprise cliente ont accès aux données collectées sous un format identifiable.

Explications détaillées

Cette politique spécifique au service se concentre sur les éléments que nous estimons les plus pertinents pour vous. Il s'agit, en particulier 1) du type de données personnelles et privées que le service collecte, 2) de l'objectif de leur utilisation, 3) de notre justification, 4) des divulgations typiques, et 5) de leur durée de conservation. Les liens intégrés fournissent plus d'informations sur ces sujets ainsi que sur d'autres aspects du traitement de vos données à caractère personnel (droits des sujets de données, coordonnées, etc.).

Quelles sont les données collectées et dans quel but ?

Données de sécurité

La solution est constituée d'une application Salesforce native et de WithSecure™ Security Cloud.

WithSecure™ Cloud Protection est installé dans l'organisation Salesforce de l'entreprise cliente. L'application inspecte tous les éléments chargés et stockés en tant que fichiers ou pièces jointes Salesforce avec des objets standard ou personnalisés dans la plateforme Salesforce. Dans le cadre de l'analyse anti-programmes malveillants avancée, WithSecure™ Cloud Protection peut être amené à envoyer le contenu des fichiers de réputation inconnue à WithSecure™ Security Cloud. Le cas échéant, ledit contenu est analysé par WithSecure™ Security Cloud et supprimé quasi instantanément à l'issue de la procédure. Voir la section « Conservation » pour en savoir plus. L'envoi du contenu des fichiers peut être désactivé en configurant les paramètres de contrôle de la confidentialité de l'application.

Les liens Web (URL) sont uniquement inspectés dans quelques objets standard, tels que les messages et commentaires Chatter, les descriptions et commentaires de cas ou bien les corps EmailMessage. Pour vérifier la réputation et la classification des liens Web, WithSecure™ Cloud Protection les envoie à WithSecure™ Security Cloud. L'application n'envoie pas le message ou le corps de texte contenant les liens Web.

WithSecure™ Security Cloud est un système cloud de vérification de la réputation et d'analyse des menaces qui inspecte les données à la recherche de contenu malveillant ou dangereux. Les données envoyées à WithSecure™ Security Cloud sont toujours anonymes et ne peuvent en aucun cas être reliées à des personnes physiques.

Les résultats de la collecte de données sont communiqués aux administrateurs informatiques et/ou Salesforce de l'entreprise cliente via les alertes et les journaux des événements d'analyse. Ils peuvent inclure, sans toutefois s'y limiter :

  • le nom d'utilisateur (nom et prénom) ;
  • l'adresse IP du réseau ou de l'appareil d'origine pour le contenu chargé sur Salesforce ou téléchargé depuis la plateforme ;
  • l'horodatage de l'accès au contenu (chargé ou téléchargé) ;
  • le nom, le type et la taille du fichier consulté (chargé ou téléchargé) ;
  • l'emplacement (nom de l'objet standard ou personnalisé) auquel le fichier est associé ;
  • les liens Web cibles (URL) et leurs catégories (par exemple, jeux d'argent).

Les administrateurs informatiques et/ou Salesforce de l'entreprise cliente sont en mesure de relier les résultats fournis par le service aux employés. Cette condition est nécessaire afin que les administrateurs puissent réagir efficacement aux problèmes de sécurité détectés par le service, par exemple. Nous n'avons toutefois pas accès à ces données dans un format permettant une quelconque identification personnelle.

Assistance technique

Si le service ne fonctionne pas correctement et qu'il n'existe aucun remède permettant de résoudre le problème, les administrateurs informatiques et/ou Salesforce de l'entreprise cliente peuvent faire appel à notre expertise pour identifier une solution. Le cas échéant, nos ingénieurs peuvent être amenés à se connecter et accéder à distance aux données dans l'organisation Salesforce de l'entreprise cliente via l'outil d'assistance fourni par Salesforce. L'accès de connexion à distance est explicitement accordé par les administrateurs Salesforce de l'entreprise cliente et toujours limité dans le temps.

Lors de l'examen d'un problème avec notre outil d'assistance via l'accès de connexion à distance, aucune donnée de l'organisation Salesforce de l'entreprise cliente n'est collectée, à l'exception des journaux de débogage nécessaires aux fins de contrôle.

Contact

Les données de contact des personnes à contacter au sein de l'entreprise cliente sont traitées comme expliqué dans la politique de confidentialité d'entreprise.

Fondements juridiques

WithSecure™ et chaque entreprise cliente contrôlent de façon indépendante leurs domaines respectifs de traitement des données dans le cadre de l'exécution des services.

Dans la mesure où les données traitées par WithSecure™ dans les services sont identifiables, les services traitent ces données de façon à protéger les intérêts légitimes des personnes ;

  • i) pour protéger les réseaux et les appareils des clients de WithSecure™ ainsi que la confidentialité et la disponibilité des données qu'ils contiennent ;
  • ii) pour permettre à WithSecure™ de détecter des menaces émergentes et autres tendances relatives à la sécurité parmi ses clients, afin de permettre aux services WithSecure™ de s'adapter à l'évolution des menaces ; et
  • permettre à WithSecure™ de fournir une infrastructure de sécurité centralisée sur plusieurs continents à un grand nombre de clients et de partenaires.

Ce traitement est essentiel en vue d'assurer une protection efficace des données de l'entreprise cliente dans son organisation Salesforce. Si les paramètres individuels des différents services peuvent permettre aux administrateurs informatiques et/ou Salesforce de limiter le traitement que nous faisons des données de sécurité, il est toutefois déconseillé d'adopter une telle démarche. En effet, cela viendrait compromettre les efforts déployés pour atteindre les objectifs décrits ci-dessus.

Transferts et divulgations

Les données de sécurité produites par le service peuvent être consultées par les administrateurs informatiques et/ou Salesforce de l'entreprise cliente aux fins déterminées. Si l'entreprise a externalisé son administration informatique/Salesforce, y compris la surveillance de ce service, le partenaire peut également accéder aux données.

Vente et livraison

Nous partageons (en d’autres termes, divulguons et recevons) certaines de vos données à caractère personnel avec nos partenaires de distribution (revendeurs de services informatiques professionnels, opérateurs, boutiques en ligne, etc.) qui commercialisent, vendent et distribuent nos services. Nous accordons à ces sociétés le droit d’accéder aux données à caractère personnel nécessaires de sorte qu’elles réalisent les activités consenties. Ce partage de données vise à garantir une expérience client optimale. Cela inclut des activités telles que la gestion de la clientèle, le support technique, la résolution des problèmes, le marketing direct et la facturation.

Nos partenaires de distribution ont généralement une relation préexistante avec Vous, ou, dans le cas de nos services professionnels, avec votre employeur. Ces partenaires et clients traitent vos données à caractère personnel en tant qu’entités indépendantes, sur la base de leurs propres politiques de confidentialité. Néanmoins, nos partenaires de distribution et nos clients professionnels doivent également respecter les accords et législations en vigueur en matière de traitement des données à caractère personnel. Par défaut, chacune de ces entités est donc individuellement responsable du traitement de vos données à caractère personnel à ses propres fins.

Sous-traitance

Nous nous réservons le droit de transférer ou de divulguer certaines de vos données à caractère personnel aux sociétés du groupe WithSecure™ et à nos sous-traitants afin de nous permettre de créer les services.

Lorsque les données à caractère personnel de nos clients doivent être divulguées à nos sous-traitants (par exemple, pour résoudre un cas de demande d’assistance, l’envoyer à des partenaires logistiques en vue de la livraison du produit ou diffuser des e‑mails marketing de notre part), les contrats passés avec ceux-ci réclament qu’ils utilisent de telles informations uniquement dans le cadre de la fourniture de leurs services convenus. Nous exigeons en outre qu’ils observent scrupuleusement cette politique de confidentialité ainsi que la législation en vigueur.

Transferts internationaux

WithSecure™ est une société internationale. Par conséquent, certains de nos affiliés, sous-traitants, distributeurs et partenaires se trouvent hors de l’Espace économique européen, afin de garantir la disponibilité de nos services à l’échelle mondiale. La localisation des sites de nos filiales est indiquée sur nos pages Web publiques.

Lorsque nous transférons des données à caractère personnel en dehors de l’EEE, nous sécurisons lesdites données conformément aux exigences légales. Nous le ferons en imposant des garanties techniques et contractuelles appropriées aux sous-traitants et sociétés du groupe WithSecure™ correspondants, par exemple, en utilisant des clauses de transfert de données approuvées par l’Union européenne. Le contenu de ces clauses est disponible ici.

Nous n’effectuons aucun transfert de données mondial ou international sans motif valable et sans avoir évalué le risque inhérent en matière de confidentialité.

Nous stockons des données client plus sensibles en Finlande et au sein de l’Espace économique européen afin de les conserver sous notre contrôle exclusif.

Autres utilisations et divulgations

Dans certains cas non couverts par la présente politique de confidentialité, l’utilisation ou la divulgation de données à caractère personnel peut être justifiée ou autorisée, ou nous pouvons être tenus par la législation applicable de divulguer les informations sans obtenir votre consentement préalable ou indépendamment de la fourniture de services.

Par exemple, lorsqu’une ordonnance ou un mandat émis par une juridiction compétente nous oblige à produire ces informations.

De même, il peut exister d’autres circonstances où il existe un intérêt légitime et justifiable à la divulgation d’ensembles limités d’informations à un tiers. Il peut s’agir, par exemple, de situations où nous avons besoin de nous protéger contre toute responsabilité ou de prévenir une activité frauduleuse, où nous analysons votre usage de nos produits pour garantir leur bon fonctionnement ainsi que notre capacité à réagir en cas de mauvaises expériences, et où il est nécessaire de résoudre ou de minimiser un problème actuel, ou de répondre aux exigences légitimes d’assureurs ou d’agences réglementaires publiques. Toute action de ce type est effectuée conformément à la législation applicable.

Nous pouvons également être amenés à transférer vos données personnelles dans le cadre d’une transaction professionnelle, telle qu’une vente, une fusion, une création de filiale ou une restructuration de WithSecure™, où les informations sont transmises à la nouvelle entité en charge du contrôle des opérations habituelles. Le groupe WithSecure™ divulgue et transfère les données en interne selon les besoins du modèle opérationnel en vigueur. Toutefois, nous limitons ces divulgations en interne aux sociétés, unités, équipes et personnes qui ont besoin de connaître ces informations afin de les traiter.

Nous évaluons soigneusement chaque demande de divulgation et prenons en compte la possibilité de ces demandes lorsque nous déterminons le lieu et le mode de stockage de vos données à caractère personnel.

Sources

Même si nous collectons la majorité des données mentionnées ci-dessus directement auprès de Vous ou de votre appareil, nous recevons également des données de nos affiliés, partenaires de distribution (par exemple, opérateurs et commerçants), et entités professionnelles auprès desquelles Vous avez acheté les services. Ces entités peuvent être nos distributeurs, ainsi que nos partenaires externes de commerce en ligne. Nous collectons également des informations à caractère personnel élémentaires (informations de commande) et agrégeons des données d’analyse à partir des magasins d’applications dans lesquels nos services sont vendus . Ces autres sources peuvent également inclure les sous-traitants qui Vous ont fourni des services de support ou nos partenaires publicitaires qui nous assistent dans nos activités marketing.

Cela nous permet de créer une expérience client transparente et de disposer des informations nécessaires pour résoudre les problèmes de support.

Voici quelques exemples typiques de ces sources tierces :

  • informations sur vos achats réalisés sur notre boutique en ligne externe,
  • collecte de vos coordonnées à partir des données de connexions précédentes de notre partenaire distributeur et opérateur Vous fournissant le service,
  • coordonnées obtenues des registres professionnels à des fins de marketing, et
  • si Vous utilisez votre compte de réseau social pour Vous inscrire à nos services, nous pourrons également collecter l’adresse e‑mail de votre compte afin d’authentifier votre inscription et de Vous contacter.

Tiers

Nos services sont fournis en collaboration avec nos partenaires, et nos services et sites Web peuvent intégrer ou interagir avec des services tiers. La présente déclaration de confidentialité s’applique aux données à caractère personnel uniquement tant que celles-ci sont sous le contrôle de WithSecure™. Si ces données sont traitées par d’autres entités à des fins qui leur sont propres, ladite entité est responsable du traitement justifié de vos données conformément à ses propres politiques, ainsi que du respect de vos droits en vertu des lois applicables relatives à la protection des données.

Les scénarios les plus fréquents sont les suivants :

  • Boutique en ligne. Notre boutique en ligne est en partie gérée par un distributeur tiers. Même si les données fournies au cours de la phase d’abonnement sont traitées conformément aux politiques WithSecure™, l’achat en tant que tel et les activités associées sont quant à eux soumis aux politiques des fournisseurs de notre boutique en ligne.
  • Localisation d’appareils. Lorsque Vous tentez de localiser votre appareil à l’aide de nos services, le fournisseur de cartes doit traiter les données géographiques connexes. À la date de la publication de cette politique, WithSecure™ fait appel à Google Maps pour ses services de localisation d’appareils et ses fonctions de recherche. Les politiques de confidentialité propres à Google s’appliquent selon l’usage que Vous faites de ces fonctions.

Conservation

Données contrôlées par le client

Les résultats des analyses, comme les alertes ou encore les événements d'analyse d'URL et de fichier, sont enregistrés au sein de l'organisation Salesforce de l'entreprise cliente, conformément aux intervalles de rétention configurés dans WithSecure™ Cloud Protection. Les administrateurs informatiques ou l'organisation Salesforce de l'entreprise cliente peuvent les supprimer à tout moment et effectuer des sauvegardes si nécessaire.

Données contrôlées par WithSecure™

Les statistiques de service et les données de sécurité rendues anonymes sont conservées aussi longtemps qu'elles demeurent utiles aux fins pour lesquelles elles ont été recueillies. En exception à ce principe et dans le but de préserver la confidentialité du contenu des fichiers de l'entreprise cliente, le service supprime quasi instantanément tout contenu considéré comme non suspect à l'issue de l'analyse.

Les autres types de données susmentionnés (les coordonnées et les informations relatives au support technique) sont conservés pendant la durée expressément stipulée dans leurs politiques de confidentialité respectives, afin d'être supprimés ou rendus anonymes.

Le présent texte complète les durées de conservation spécifiques aux services. Par défaut, la loi impose que les données à caractère personnel soient supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires.

Toutefois, certaines données à caractère personnel doivent être conservées plus longtemps pour différentes raisons.

Voici des exemples typiques de motifs de durées de conservation plus longues :

  • périodes de grâce et sauvegardes (par ex. conservation des données à caractère personnel pendant une période donnée après la fin de votre abonnement afin de permettre la sauvegarde des données en cas de suppression par erreur) ;
  • stocker des données si la législation en vigueur l’exige (par exemple, effectuer le suivi de vos achats et du paiement de nos services) ;
  • to pursue available remedies or to limit any damages that we may sustain (e.g. due to an ongoing dispute or investigation);
  • résoudre ou minimiser un problème récurrent, ou disposer d’une quantité suffisante de renseignements pour réagir efficacement aux futures situations problématiques (par exemple, votre ticket de support relatif à un problème qui n’a pas été corrigé de façon permanente au cours de votre relation client) ;
  • prévenir toute activité frauduleuse (par exemple, faire appliquer une interdiction dans notre communauté) ;
  • incorporer vos données personnelles à d’autres données à des fins secondaires (par ex. conservation de journaux) ;
  • toute autre circonstance similaire où il est nécessaire de continuer à stocker les données à caractère personnel.

La suppression définitive de votre compte peut être retardée afin de ne pas nuire aux autres interactions que Vous pouvez avoir avec nous. Cela se produit lorsque Vous disposez d’un compte WithSecure™ (par ex. si Vous Vous êtes abonné à nos services au consommateur avec votre adresse électronique) et i) disposez d’un compte sur la communauté WithSecure™ ou ii) restez abonné à nos communications marketing. La politique de suppression du compte de la communauté WithSecure™ est énoncée dans les conditions générales du service. Vous pouvez demander à ne plus recevoir nos communications marketing à tout moment.

Si Vous avez souscrit le service par l’intermédiaire de l’un de nos partenaires opérateurs, la suppression du compte est contrôlée par celui-ci. Lorsque le partenaire nous informe que votre abonnement a été résilié, nous supprimons par la suite le compte et effaçons ou rendons anonymes les données à caractère personnel associées

Si nous avons reçu vos informations dans le cadre du support technique, celles-ci sont stockées tant que l’incident correspondant n’est pas résolu. Une fois résolu, les informations sont progressivement supprimées ou anonymisées dans les deux ans suivant la clôture de l’incident.

Les données d’analyse collectées avec le consentement de l’utilisateur sont conservées à des fins statistiques et ne sont pas effacées lors de la suppression du compte utilisateur et de ses données à caractère personnel. Une fois le compte résilié, les données d’analyse ne peuvent plus être liées à un utilisateur ou à un compte identifiable.

Les données ne contenant aucun renseignement personnel (par exemple, les données analytiques agrégées) sont conservées aussi longtemps que ces dernières revêtent un caractère utile aux fins pour lesquelles elles ont été collectées.

Données de sécurité

Informations sur les pratiques de sécurité que nous mettons en œuvre pour protéger vos données.

Nous appliquons de strictes mesures de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des données à caractère personnel Vous concernant pendant leur transfert, leur stockage et leur traitement.

Nous avons recours à des mesures de sécurité physiques, administratives et techniques pour réduire le risque de perte, d’utilisation à des fins malveillantes, d’accès non autorisé, de divulgation ou de modification des données à caractère personnel Vous concernant.

Toutes les données à caractère personnel sont stockées sur des serveurs sécurisés exploités par WithSecure™ ou nos partenaires, et leur accès est restreint au personnel autorisé.

Vos droits

Informations sur vos droits légaux et comment nous contacter.

Vous avez la possibilité d’exercer les droits suivants sur les données à caractère personnel dont nous disposons à votre sujet :

  • Accès et rectification. Vous avez le droit de nous demander la nature des données à caractère personnel dont nous disposons à votre sujet et d’en obtenir une copie exhaustive. Si Vous constatez des erreurs (par exemple, des informations obsolètes), nous Vous prions de bien vouloir contacter notre service clientèle en vue d’apporter les corrections nécessaires aux données concernées, telles que votre adresse ou votre adresse e‑mail. Si Vous n’êtes pas en mesure de procéder Vous-même aux modifications, veuillez nous en informer.
  • Objection. Vous avez le droit de formuler une objection à un traitement spécifique de vos données à caractère personnel, par exemple à des fins commerciales ou dans le cadre de la poursuite d’intérêts légitimes. Dans ce dernier cas, Vous devez fonder votre objection sur un argument recevable d’un point de vue juridique.
  • Droit à l’oubli. Vous avez le droit de nous demander de cesser de stocker vos données à caractère personnel et de les effacer. Dans ce cas, votre demande doit être fondée sur un argument recevable d’un point de vue juridique.
  • Portabilité. Vous avez le droit de demander l’accès aux données à caractère personnel que Vous avez Vous-même fournies dans le cadre d’un contrat ou avec votre consentement exprès. Vous avez le droit d’obtenir que ces données soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine.
  • Retrait du consentement. Dans les cas où le traitement repose sur le consentement, Vous avez le droit de retirer ce dernier à tout moment via les paramètres correspondants. Les paramètres relatifs aux données d’analyse identifiables sont disponibles dans l’interface utilisateur du service. Vous avez également le droit de refuser de recevoir nos communications commerciales en configurant vos préférences accessibles depuis le lien.
  • Limitation. Si Vous constatez que les données à caractère personnel dont nous disposons à votre sujet sont incorrectes ou que nous n’avons légalement aucun droit de les utiliser, Vous pouvez nous demander à ce qu’elles soient seulement conservées et ne fassent l’objet d’aucune opération de traitement ultérieure jusqu’à la résolution du problème.

Vous pouvez exercer vos droits via notre fonction d’assistance clients. Les liens permettant de nous contacter figurent dans la section Coordonnées.

Notez que dans certaines situations, notre droit au respect du secret professionnel ainsi que nos obligations en matière de confidentialité et/ou de prestation de services (par exemple, à votre employeur) peuvent nous interdire de divulguer ou de supprimer vos données à caractère personnel, ou Vous empêcher d’exercer vos droits. Les droits énoncés ci-dessus dépendent également du motif juridique auquel nous traitons vos données à caractère personnel.

Pour toute réclamation relative au traitement de vos données personnelles ou pour toute information supplémentaire, Vous pouvez nous contacter à tout moment. Si Vous estimez que nous ne respections pas vos droits légaux, Vous pouvez soumettre une plainte à une autorité de surveillance. Dans la plupart des cas, il s’agit de Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Coordonnées

En cas de doute ou question concernant les points abordés dans nos politiques de confidentialité, veuillez contacter :

WithSecure™ Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlande

Comment nous contacter :

  • Si vous êtes un client de notre gamme de produits pour particuliers, contactez-nous via nos canaux d’assistance dédiés.
  • Si vous êtes un client de notre gamme de produits pour professionnels, contactez-nous via nos canaux d’assistance dédiés.
  • Vous pouvez contacter le responsable de la protection des données de WithSecure™ à l’adresse privacy@WithSecure.com. Si vous souhaitez exercer vos droits en tant que sujet de données, utilisez les liens fournis ci-dessus.

Généralités

Informations sur les définitions et la gestion des modifications.

Définitions

Voici ce que signifient certaines références que nous faisons dans la présente politique.

« Client » et « Vous » font référence à un utilisateur privé ou professionnel, ou à toute autre personne concernée qui achète et utilise nos services, ou s’inscrit à cette fin, dont les appareils et le trafic sont protégés par nos services, ou pouvant nous avoir divulgué des informations l’identifiant personnellement. Ces dernières peuvent avoir été envoyées à travers l’utilisation de nos services ou sites Web, par téléphone, par e‑mail, via les formulaires d’inscription ou par d’autres moyens similaires.

L’expression « données à caractère personnel » désigne toute information sur des particuliers qui permet de les identifier eux-mêmes, leur famille ou les membres de leur foyer. Ces informations peuvent notamment inclure des noms, des adresses e‑mail et postales, des numéros de téléphone, des données de facturation et de compte, ainsi que d’autres renseignements plus techniques dont la nature pourrait permettre d’identifier votre appareil et Vous-même, avec les comportements respectifs.

« Services » fait référence aux services ou produits fabriqués ou distribués par WithSecure™, y compris les logiciels, solutions Web, outils et services d’assistance associés.

« Site Web » fait référence au site Web WithSecure.com ou à tout autre site Web hébergé ou contrôlé par WithSecure™, y compris les sous-sites et les portails de services basés sur navigateur.

Modifications

La présente version de la politique clarifie, met à jour et remplace la version précédente. Pour maintenir à jour ce document, nous effectuerons également des ajouts et des modifications à l’avenir.

Nous publierons la nouvelle politique de confidentialité sur notre site Web ou tout autre point d’interaction où elle a déjà été mise à disposition. Si les modifications apportées sont notables, nous pourrons également vous prévenir par d’autres moyens. Tout changement entrera en vigueur à compter de la date de publication de la politique de confidentialité révisée.

 

Consulting Services (PCI)

Withsecure consulting services privacy policy (payment card industry)

September 2019

In brief

This privacy policy sets out the data processing related to WithSecure consulting services regarding Payment Card Industries (hereon PCI) criteria. These services include Data Security Standard (hereon DSS) and 3 Domain Security (hereon 3DS) assessments. The core privacy aspects of these service are:

  • PCI DSS and 3DS security standards require the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years;
  • This evidence data is collected from the organization being assessed (the customer), and might include personally identifiable information;
  • Evidence data of the assessment is stored for the needs of the PCI Security Standard Council quality assurance program and is used to verify
  • WithSecure's judgement of the performed assessment, if requested by the council;
  • Evidence data is not shared with any other parties except PCI Security
  • Standard Council or their appointed auditors.

In full

This service-specific policy focuses on the items we believe are the most relevant for you. Such items are in particular 1) the type of personal and private data that the service collects, 2) what we use it for, 3) our justification, 4) typical disclosures, and 5) for how long we store it. More information on such topics as well as on other aspects (data subject rights, contact information, etc.) of the processing of your personal data is also available via the embedded links.

What do we collect and what do we do with it?

Collected evidence from the organization being assessed

During the PCI DSS or 3DS assessment, we collect evidence from the assessed organization's information systems and related devices. We also conduct documented interviews with customer organization personnel. This data is used to showcase that the organization being assessed has built its security controls to match the requirements of PCI DSS and/or 3DS, and that they are capable of performing security management processes and procedures as is required of them:

  • Screen captures of management systems;
  • Security log exports;
  • Configuration exports from the security infrastructure devices; and
  • Internal documentation of the customer organization.

Certain PCI DSS/3DS security controls require personally identifiable evidence items to be collected (for example to ensure fulfillment of audit trail requirements), others might include unintentional personally identifiable information (such as identifiable names in device configuration exports).

  • Third-party service providers' employee data; In case the organization being assessed uses third-party services to support, develop, or maintain parts (or all) of their PCI DSS/3DS-related information systems or related processes, evidence collection might include collecting personally identifiable information of third-party personnel.

Legal grounds

The PCI DSS and 3DS security standard requires the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years. Therefore WithSecure has a legitimate interest in collecting the evidence data, as it is necessary in order for WithSecure to provide customers with PCI DSS/3DS-related services.

For collected evidence data that WithSecure receives during the PCI DSS/3DS assessments and stores as defined in this privacy policy, WithSecure acts as a controller of the data.

During assessments, only the necessary amount of personal data is collected in order to fulfill the assessment requirements set by the PCI Security Standards Council.

Disclosures

Evidence data is stored for the needs of the PCI Security Standard Council quality assurance program and to possibly verify WithSecure's judgement of the performed assessment.

Evidence data is not shared with any external parties, except upon written request to PCI Security Standard Council or their appointed forensics investigators.

WithSecure further employs its own affiliates and subcontractors so that we can provide our services globally.

Sales and delivery

We exchange (both disclose and receive) some of your personal data with our distribution partners (resellers of corporate IT services, operators, webstores, etc.), who market, distribute, administer, and support our services. We provide these companies access to such personal data that they may need for their agreed activities. The logic of this data sharing is to provide a seamless customer experience. This includes activities such as customer management, service support, incident management and problem resolution, direct marketing, and invoicing.

Our distribution partners are likely to have a pre-existing customer relationship with you or — in the case of our corporate services — with your employer. Such partners and corporate customers process your personal data as an independent entity, based on their applicable privacy policies. Regardless, our distribution partners and corporate customers must also comply with the agreements and legislation when handling your personal data. Each such entity is by default independently responsible for its own treatment of personal data, for its own purposes.

Subcontracting

We may transfer or disclose some of your personal data to WithSecure group companies and our subcontractors who help us create the services.

Where our clients’ personal data needs to be transferred or disclosed to our subcontractors, we require, in our contracts with them, that they use such information solely for providing their agreed services (for example, to solve a support case, to send it to logistics partners for product delivery, or to send marketing mails on our behalf). We require our subcontractors to process data pertaining to you in a manner that is consistent with our statements herein.

International transfers

WithSecure operates globally. Consequently, some of our affiliates, subcontractors, distributors, and partners are located outside the European Economic Area to ensure the global reach and availability of our services. The locations of WithSecure affiliates can be viewed from WithSecure’s public web pages

When we transfer personal data outside the European Economic Area, we secure such transfers of personal data according to the requirements of the law. We do this by imposing appropriate technical and contractual safeguards on relevant subcontractors and WithSecure group companies, for example by using data transfer clauses that are approved by the European Union — the fixed content of such clauses is available here.

We only do global or cross-border data transfers for a good reason and after assessing the resulting privacy risk.

We store more sensitive customer data within Finland or the European Economic Area and keep it under our own control.

Other uses and disclosures

There are circumstances not covered by this privacy policy where the use or disclosure of personal data may be justified or permitted, or where we may be obligated by applicable laws to disclose information without acquiring your consent or independent of service provisioning.

One example includes complying with a court order or a warrant issued by the authorities in the relevant jurisdiction to compel the production of information.

Similarly, there may be other circumstances where there is a justifiable legitimate interest to disclose limited sets of information to a third party. Examples of such disclosures include cases where we need to protect ourselves against liability or to prevent fraudulent activity, where we analyze your use of our products to ensure that our products are working the way you would expect them to and that we are able to react to adverse experiences, where it is necessary to solve or contain an ongoing problem, or where we need to meet the legitimate information requirements of our insurers or governmental regulatory agencies. In any such action, we will act according to the applicable laws.

We may also need to transfer your personal data as part of a corporate transaction, such as a sale, merger, spin-off, or other corporate reorganization of WithSecure, where the information is provided to the new controlling entity in the regular course of business. WithSecure group discloses and transfers data internally as required by our then current operational model. We do, however, limit the disclosures internally to only those group companies, units, teams, and individuals who have a need to know such information for the intended purposes of processing it.

We weigh each disclosure requirement carefully and take the possibility of such disclosure requests into account when deciding where and how we store your personal data.

Sources

While we collect the majority of the above-mentioned data directly from you or your device, we also receive data from our affiliates, distribution partners (such as operators and retailers), and corporate entities from whom you have purchased the services. Such entities may be our resellers, but also include our external webstore partners. We also acquire some basic personal data (order data on purchases) and aggregate analytical data from app stores in which our services are sold. Such other sources may further include subcontractors who have provided you with support for our services, or advertising partners who have assisted us in conducting our marketing activities.

We do this to create a seamless customer experience and to have the necessary information for solving support cases.

Typical examples of third-party sources are:

  • information on your purchase made in our external webstore,
  • we acquire your credentials from previous sign-in data from our operator reseller partner, so that we can provide our service to you directly,
  • we acquire your contact data from corporate decision-maker registries for marketing purposes, and
  • when you use your social media account to register to our services, we collect the email address from your account to enable us to authenticate your registration and to contact you.

Third parties

Our services are provided in conjunction with our partners and our services and websites may embed or interoperate with third-party services. This privacy document only applies to personal data as long as that data is within WithSecure’s realm of influence. Where your personal data is processed by other entities for their independent purposes, such other party is responsible for processing your personal data in a justified manner in accordance to their policies as well as for fulfilling your rights under data protection laws.

The most prevalent such scenarios are the following:

  • Webstore. Our webstore is partially run by a third-party reseller. While the data you enter in the registration phase is handled under WithSecure policies, our webstore providers’ policies apply to the actual purchase and related activities.
  • Device location queries. When you query the location of your device via our services, the provider of maps needs to process the related geographical data. On the publication date of this policy, WithSecure uses Google maps in our device location and search features. Google privacy policies shall apply accordingly to your use of the features.

Retention

The PCI DSS and 3DS security standard requires the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years. WithSecure securely destroys the evidence data after this defined retention period has exceeded.

Learn more

This text complements the service-specific retention times. The default rule under the law is that personal data should be deleted or anonymized once it is no longer needed for its purpose.

However, some personal data needs to be nonetheless stored for longer periods of varying lengths due to varying reasons.

Typical reasons why we deviate from the primary retention times include the following examples:

  • grace periods and backups (e.g. keeping your personal data stored for a designated time after the end of your subscription, so that we can safeguard the data against erroneous deletion);
  • applicable laws require us to store the data (e.g. to keep track of the purchase and payment of our services);
  • to pursue available remedies or to limit any damages that we may sustain (e.g. due to an ongoing dispute or investigation);
  • to solve or contain a recurring problem or to have enough information to respond to future issues (e.g. your support ticket related to a problem that was not permanently corrected during your customership);
  • to prevent fraudulent activity (e.g. to enforce a ban on our community);
  • your personal data is incorporated to other data for a secondary purpose (e.g. retaining logs);
  • other similar circumstances, where there continues to be a legitimate need for the ongoing storage of personal data.

The final removal of your account may be delayed to avoid disturbing the other interactions you have with us. This is the case when you have an WithSecure account (e.g. you have subscribed to our consumer services with your email address) and also i) have an WithSecure Community account or ii) you continue to subscribe to our marketing messages. The WithSecure Community account deletion policy is set out in its terms of service. You can opt out from our marketing messages at any time.

If you have purchased our service via one of our operator partners, account deletion is controlled by said operator partner. Upon the partner notifying us that your subscription has been terminated, WithSecure subsequently removes the account. This removal leads to the deletion or anonymization of any personal data related to the account.

If we have received your information when providing you with technical support, the information is stored as long as the respective support case remains unsolved. Once solved, the information is gradually deleted or anonymized within two years from closing the case.

Analytics data collected with the user’s consent is retained for statistical purposes and is not deleted on removal of personal data and the user account. After termination of the account, analytics data cannot be linked to any personally identifiable user.

Data that does not contain personal data (e.g. aggregate analytical data) is retained as long as such data continues to be useful for the purpose it was collected.

Security

PCI DSS/3DS assessment-related evidence data is stored in a secure document management system, managed by WithSecure and protected by access controls, firewalls, and other protective measures.

We apply strict security measures to protect the confidentiality, integrity, and availability of your personal data when transferring, storing, or processing it.

We use physical, administrative, and technical security measures to reduce the risk of loss, misuse, or unauthorized access, disclosure, or modification of your personal data.

All personal data is stored on secure servers operated by WithSecure or our partners with access limited to authorized personnel only.

Your rights

Information on your statutory rights and how to contact us.

You have the right to the data that we have on you. In particular, you have the following rights to the personal data that we hold on you:

  • Access and rectification. You have the right to ask us what personal data we have on you and to get a copy of the data that we can identify pertaining to you in this context. Should you find any errors (e.g. obsolete information) in such data, we urge you to contact our customer care to resolve the issue. Some of our service portals allow you to update your customer information. For such, you should update any changes to your personal data, for example change of address or email address. If you cannot update the changes yourself, you may inform us of the necessary changes.
  • Objection. You are entitled to object to certain processing of personal data, including for example the processing of your personal data for marketing purposes or when we otherwise base our processing of your data on a legitimate interest. In the latter case, you need to establish a legally valid rationale for your objection.
  • Right to be forgotten. You also have the right to request us to cease storing your personal data and erase it. In this case you need to establish a legally valid rationale for your request.
  • Portability. You also have the right to ask for personal data that you yourself have provided — pursuant to a contract or your consent. You may request the data in a structured, commonly used, and machine-readable format and further that the data is transmitted to another controller, where technically feasible.
  • Withdrawing consent. In cases where the processing is based on your consent, you have the right to withdraw your consent at any time via relevant settings. For identifiable service analytics data, you can find the settings in the service user interface. You also have the right to opt out from our marketing communications via the preference center accessible through the link.
  • Restriction. If you establish that the data we have on you is incorrect or we have no legal right to use it, you may request that we cease any further processing of your personal data, and merely keep it in store until the issue is resolved.

You can exercise your rights via our customer care function. The links to contact us are in the “Contact information” section.

Note that there may be situations where our confidentiality obligations, our right of professional secrecy, and/or our obligations to provide our services (e.g. to your employer) may prohibit us from disclosing or deleting your personal data or otherwise prevent you from exercising your rights. Your above rights are also dependent on the legal grounds based on which we process your personal data.

If you have any complaints about how we process your personal data, or would like further information, please contact us at any time. If you feel that we are not enabling your statutory rights, you have the right to lodge a complaint with a supervisory authority. In most cases, this authority is the Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Contact information

If you have any questions or concerns about the matters discussed in our privacy policies, please contact:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland

How to contact us:

  • If you are a client of our consumer line of products, please contact us via our consumer support channels.
  • If you are a client of our corporate line of products, please contact us via corporate support channels.
  • You can contact WithSecure’s Data Protection Officer by sending a message to privacy@WithSecure.com. If you wish to exercise your rights as a data subject, please use the above links instead.

General

Information on definitions and change management.

Definitions

This is what we mean when we make certain references within this policy.

“Client”, “you”, refers to a private or corporate user or any other data subjects who buy, register for use, or use our services, whose devices and data traffic are protected by our services, or who may have submitted personally identifiable information to us. This information may have been submitted through the use of our services, websites, telephone, email, registration forms, or other similar channels.

“Personal data” refers to any information on private individuals that is identifiable to them or their family or household members. This information may include names, email and mailing addresses, telephone numbers, billing and account information, and other, more technical information that can be linked to you, your device, or the behavior of either, that we process while providing our services.

“Services” refer to any services or products that are manufactured or distributed by WithSecure, including software, web solutions, tools, and related support services.

“Website” refers to the WithSecure.com website or any other website that WithSecure hosts or controls, including subsites and browser-based service portals.

Changes

This version of the policy clarifies, updates, and replaces the previous version. To continue keeping this document up to date, we will make changes and additions to this from time to time also in the future.

We will publish the changed policy document on our website or at another interaction point where it has previously been made available. If the changes are significant, we may also notify you by other means. Any changes will apply starting from the date that we publish the revised policy document.

 

Business Suite

Politique de confidentialité de WithSecure™ Business Suite

Août 2018

En résumé

WithSecure™ Business Suite est une solution de cybersécurité destinée aux stations de travail et aux serveurs contrôlés via un portail de gestion. Les principaux aspects liés au respect de la confidentialité sont les suivants :

  • la collecte de données vise à identifier toute activité malveillante sur les appareils protégés ;
  • les données recueillies sont rendues parfaitement anonymes ;
  • l’administrateur informatique de votre employeur a accès aux données collectées sous un format identifiable.

Explications détaillées

Cette politique spécifique au service se concentre sur les éléments que nous estimons les plus pertinents pour vous. Il s’agit, en particulier 1) du type de données personnelles et privées que le service collecte, 2) de l’objectif de leur utilisation, 3) de notre justification, 4) des divulgations typiques, et 5) de leur durée de conservation. Les liens intégrés fournissent plus d’informations sur ces sujets ainsi que sur d’autres aspects du traitement de vos données à caractère personnel (droits des sujets de données, coordonnées, etc.).

Services couverts

Business Suite comprend les services suivants : Client Security et Client Security pour Mac, qui protègent les ordinateurs des employés ; Email Server Security et Server Security, qui protègent les serveurs d’entreprise (y compris les serveurs Windows, Exchange et SharePoint) ; Linux Security, qui protège les serveurs et les postes de travail Linux ; Internet Gatekeeper, qui analyse le trafic au niveau des passerelles d’entreprise, et enfin Scanning and Reputation Server, qui analyse les fichiers chargés et optimise les performances au sein des environnements virtuels.

L’environnement de votre employeur est susceptible de disposer de tout ou partie de ces services spécifiques. Les programmes de collecte et de traitement des données associés sont très semblables.

L’ensemble des services susmentionnés peut être géré par Policy Manager, un outil de gestion centralisé dédié à l’administrateur informatique de l’entreprise cliente. Il s’agit d’un logiciel serveur déployé sur site.

Quelles sont les données collectées et dans quel but ?

Les données de sécurité qui nous sont transmises automatiquement par les divers services sont gérées par Security Cloud ou son sous-ensemble. Un service spécifique lui envoie des requêtes relatives à une activité potentiellement malveillante sur vos appareils et au trafic de données associé. Nous ne rapprochons en aucun cas ces requêtes à l’identité de l’utilisateur. Notez toutefois que l’administrateur informatique de votre employeur est en mesure d’établir un lien entre les résultats fournis par Security Cloud et votre identité afin de pouvoir agir rapidement en cas de problèmes de sécurité.

Nous n’avons aucun accès aux données sur les employés traitées via Policy Manager par l’administrateur informatique de l’entreprise cliente dans le cadre de la gestion des services installés. Fondée sur leur utilisation, la collecte de données WithSecure™ vise uniquement à recueillir des statistiques aux fins de facturation et de gestion des services à partir de Policy Manager, qui garantit un parfait anonymat.

Si les services ne fonctionnent pas correctement, votre employeur peut faire appel à nos experts pour résoudre les problèmes. Le cas échéant, vous êtes habituellement invité à exécuter un outil d’assistance WithSecure™ sur l’appareil (qu’il s’agisse d’un serveur ou d’un ordinateur) où le service est installé et à nous fournir les informations. La politique de confidentialité propre à l’outil d’assistance WithSecure™ explique les processus de collecte et de traitement de données dans de telles situations.

Le traitement des données à caractère personnel relatives aux contacts de l’entreprise cliente est décrit dans la politique de confidentialité d’entreprise.

Fondements juridiques

Dans la mesure où les données traitées par WithSecure™ dans les services sont identifiables, les services traitent ces données de façon à protéger les intérêts légitimes des personnes ;

  • i) pour protéger les réseaux et les appareils des clients de WithSecure™ ainsi que la confidentialité et la disponibilité des données qu’ils contiennent ;
  • ii) pour permettre à WithSecure™ de détecter des menaces émergentes et autres tendances relatives à la sécurité parmi ses clients, afin de permettre aux services WithSecure™ de s’adapter à l’évolution des menaces ; et
  • permettre à WithSecure™ de fournir une infrastructure de sécurité centralisée sur plusieurs continents à un grand nombre de clients et de partenaires.

Ce traitement est essentiel en vue d’assurer une protection efficace des appareils/réseaux. Si les paramètres individuels des différents services peuvent permettre à l’administrateur informatique ou à un employé de limiter le traitement que nous faisons des données de sécurité, il est toutefois déconseillé d’adopter une telle démarche. En effet, cela viendrait compromettre les efforts déployés pour atteindre les objectifs décrits ci-dessus.

Transferts et divulgations

Ces données sont mises à disposition de l’administrateur informatique de votre entreprise à des fins similaires. Elles sont également accessibles à WithSecure™ et via le portail. Si l’administration des services informatiques de votre entreprise est gérée par un tiers, celui-ci (le distributeur/partenaire revendeur de WithSecure™) y a également accès afin de pouvoir vous fournir une assistance et des prestations informatiques.

WithSecure™ emploie ses propres filiales et sous-traitants afin de pouvoir fournir ses services à l’échelle mondiale.

Vente et livraison

Nous partageons (en d’autres termes, divulguons et recevons) certaines de vos données à caractère personnel avec nos partenaires de distribution (revendeurs de services informatiques professionnels, opérateurs, boutiques en ligne, etc.) qui commercialisent, vendent et distribuent nos services. Nous accordons à ces sociétés le droit d’accéder aux données à caractère personnel nécessaires de sorte qu’elles réalisent les activités consenties. Ce partage de données vise à garantir une expérience client optimale. Cela inclut des activités telles que la gestion de la clientèle, le support technique, la résolution des problèmes, le marketing direct et la facturation.

Nos partenaires de distribution ont généralement une relation préexistante avec Vous, ou, dans le cas de nos services professionnels, avec votre employeur. Ces partenaires et clients traitent vos données à caractère personnel en tant qu’entités indépendantes, sur la base de leurs propres politiques de confidentialité. Néanmoins, nos partenaires de distribution et nos clients professionnels doivent également respecter les accords et législations en vigueur en matière de traitement des données à caractère personnel. Par défaut, chacune de ces entités est donc individuellement responsable du traitement de vos données à caractère personnel à ses propres fins.

Sous-traitance

Nous nous réservons le droit de transférer ou de divulguer certaines de vos données à caractère personnel aux sociétés du groupe WithSecure™ et à nos sous-traitants afin de nous permettre de créer les services.

Lorsque les données à caractère personnel de nos clients doivent être divulguées à nos sous-traitants (par exemple, pour résoudre un cas de demande d’assistance, l’envoyer à des partenaires logistiques en vue de la livraison du produit ou diffuser des e‑mails marketing de notre part), les contrats passés avec ceux-ci réclament qu’ils utilisent de telles informations uniquement dans le cadre de la fourniture de leurs services convenus. Nous exigeons en outre qu’ils observent scrupuleusement cette politique de confidentialité ainsi que la législation en vigueur.

Transferts internationaux

WithSecure™ est une société internationale. Par conséquent, certains de nos affiliés, sous-traitants, distributeurs et partenaires se trouvent hors de l’Espace économique européen, afin de garantir la disponibilité de nos services à l’échelle mondiale. La localisation des sites de nos filiales est indiquée sur nos pages Web publiques.

Lorsque nous transférons des données à caractère personnel en dehors de l’EEE, nous sécurisons lesdites données conformément aux exigences légales. Nous le ferons en imposant des garanties techniques et contractuelles appropriées aux sous-traitants et sociétés du groupe WithSecure™ correspondants, par exemple, en utilisant des clauses de transfert de données approuvées par l’Union européenne. Le contenu de ces clauses est disponible ici.

Nous n’effectuons aucun transfert de données mondial ou international sans motif valable et sans avoir évalué le risque inhérent en matière de confidentialité.

Nous stockons des données client plus sensibles en Finlande et au sein de l’Espace économique européen afin de les conserver sous notre contrôle exclusif.

Autres utilisations et divulgations

Dans certains cas non couverts par la présente politique de confidentialité, l’utilisation ou la divulgation de données à caractère personnel peut être justifiée ou autorisée, ou nous pouvons être tenus par la législation applicable de divulguer les informations sans obtenir votre consentement préalable ou indépendamment de la fourniture de services.

Par exemple, lorsqu’une ordonnance ou un mandat émis par une juridiction compétente nous oblige à produire ces informations.

De même, il peut exister d’autres circonstances où il existe un intérêt légitime et justifiable à la divulgation d’ensembles limités d’informations à un tiers. Il peut s’agir, par exemple, de situations où nous avons besoin de nous protéger contre toute responsabilité ou de prévenir une activité frauduleuse, où nous analysons votre usage de nos produits pour garantir leur bon fonctionnement ainsi que notre capacité à réagir en cas de mauvaises expériences, et où il est nécessaire de résoudre ou de minimiser un problème actuel, ou de répondre aux exigences légitimes d’assureurs ou d’agences réglementaires publiques. Toute action de ce type est effectuée conformément à la législation applicable.

Nous pouvons également être amenés à transférer vos données personnelles dans le cadre d’une transaction professionnelle, telle qu’une vente, une fusion, une création de filiale ou une restructuration de WithSecure™, où les informations sont transmises à la nouvelle entité en charge du contrôle des opérations habituelles. Le groupe WithSecure™ divulgue et transfère les données en interne selon les besoins du modèle opérationnel en vigueur. Toutefois, nous limitons ces divulgations en interne aux sociétés, unités, équipes et personnes qui ont besoin de connaître ces informations afin de les traiter.

Nous évaluons soigneusement chaque demande de divulgation et prenons en compte la possibilité de ces demandes lorsque nous déterminons le lieu et le mode de stockage de vos données à caractère personnel.

Sources

Même si nous collectons la majorité des données mentionnées ci-dessus directement auprès de Vous ou de votre appareil, nous recevons également des données de nos affiliés, partenaires de distribution (par exemple, opérateurs et commerçants), et entités professionnelles auprès desquelles Vous avez acheté les services. Ces entités peuvent être nos distributeurs, ainsi que nos partenaires externes de commerce en ligne. Nous collectons également des informations à caractère personnel élémentaires (informations de commande) et agrégeons des données d’analyse à partir des magasins d’applications dans lesquels nos services sont vendus . Ces autres sources peuvent également inclure les sous-traitants qui Vous ont fourni des services de support ou nos partenaires publicitaires qui nous assistent dans nos activités marketing.

Cela nous permet de créer une expérience client transparente et de disposer des informations nécessaires pour résoudre les problèmes de support.

Voici quelques exemples typiques de ces sources tierces :

  • informations sur vos achats réalisés sur notre boutique en ligne externe,
  • collecte de vos coordonnées à partir des données de connexions précédentes de notre partenaire distributeur et opérateur Vous fournissant le service,
  • coordonnées obtenues des registres professionnels à des fins de marketing, et
  • si Vous utilisez votre compte de réseau social pour Vous inscrire à nos services, nous pourrons également collecter l’adresse e‑mail de votre compte afin d’authentifier votre inscription et de Vous contacter.

Tiers

Nos services sont fournis en collaboration avec nos partenaires, et nos services et sites Web peuvent intégrer ou interagir avec des services tiers. La présente déclaration de confidentialité s’applique aux données à caractère personnel uniquement tant que celles-ci sont sous le contrôle de WithSecure™. Si ces données sont traitées par d’autres entités à des fins qui leur sont propres, ladite entité est responsable du traitement justifié de vos données conformément à ses propres politiques, ainsi que du respect de vos droits en vertu des lois applicables relatives à la protection des données.

Les scénarios les plus fréquents sont les suivants :

  • Boutique en ligne. Notre boutique en ligne est en partie gérée par un distributeur tiers. Même si les données fournies au cours de la phase d’abonnement sont traitées conformément aux politiques WithSecure™, l’achat en tant que tel et les activités associées sont quant à eux soumis aux politiques des fournisseurs de notre boutique en ligne.
  • Localisation d’appareils. Lorsque Vous tentez de localiser votre appareil à l’aide de nos services, le fournisseur de cartes doit traiter les données géographiques connexes. À la date de la publication de cette politique, WithSecure™ fait appel à Google Maps pour ses services de localisation d’appareils et ses fonctions de recherche. Les politiques de confidentialité propres à Google s’appliquent selon l’usage que Vous faites de ces fonctions.

Conservation

Une fois rendues anonymes, les données statistiques et de sécurité sont stockées aussi longtemps qu’elles sont utiles aux fins pour lesquelles elles ont été recueillies. Les autres types de données décrits précédemment sont conservés pendant la durée définie dans leurs politiques de confidentialité respectives, avant d’être supprimés ou rendus anonymes.

Le présent texte complète les durées de conservation spécifiques aux services. Par défaut, la loi impose que les données à caractère personnel soient supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires.

Toutefois, certaines données à caractère personnel doivent être conservées plus longtemps pour différentes raisons.

Voici des exemples typiques de motifs de durées de conservation plus longues :

  • périodes de grâce et sauvegardes (par ex. conservation des données à caractère personnel pendant une période donnée après la fin de votre abonnement afin de permettre la sauvegarde des données en cas de suppression par erreur) ;
  • stocker des données si la législation en vigueur l’exige (par exemple, effectuer le suivi de vos achats et du paiement de nos services) ;
  • nous permettre d’exercer les recours disponibles ou de limiter tout préjudice que nous pourrions éventuellement subir (par exemple, en raison d’une enquête ou d’un conflit en cours) ;
  • résoudre ou minimiser un problème récurrent, ou disposer d’une quantité suffisante de renseignements pour réagir efficacement aux futures situations problématiques (par exemple, votre ticket de support relatif à un problème qui n’a pas été corrigé de façon permanente au cours de votre relation client) ;
  • prévenir toute activité frauduleuse (par exemple, faire appliquer une interdiction dans notre communauté) ;
  • incorporer vos données personnelles à d’autres données à des fins secondaires (par ex. conservation de journaux) ;
  • toute autre circonstance similaire où il est nécessaire de continuer à stocker les données à caractère personnel.

La suppression définitive de votre compte peut être retardée afin de ne pas nuire aux autres interactions que Vous pouvez avoir avec nous. Cela se produit lorsque Vous disposez d’un compte WithSecure™ (par ex. si Vous Vous êtes abonné à nos services au consommateur avec votre adresse électronique) et i) disposez d’un compte sur la communauté WithSecure™ ou ii) restez abonné à nos communications marketing. La politique de suppression du compte de la communauté WithSecure™ est énoncée dans les conditions générales du service. Vous pouvez demander à ne plus recevoir nos communications marketing à tout moment.

Si Vous avez souscrit le service par l’intermédiaire de l’un de nos partenaires opérateurs, la suppression du compte est contrôlée par celui-ci. Lorsque le partenaire nous informe que votre abonnement a été résilié, nous supprimons par la suite le compte et effaçons ou rendons anonymes les données à caractère personnel associées.

Si nous avons reçu vos informations dans le cadre du support technique, celles-ci sont stockées tant que l’incident correspondant n’est pas résolu. Une fois résolu, les informations sont progressivement supprimées ou anonymisées dans les deux ans suivant la clôture de l’incident.

Les données d’analyse collectées avec le consentement de l’utilisateur sont conservées à des fins statistiques et ne sont pas effacées lors de la suppression du compte utilisateur et de ses données à caractère personnel. Une fois le compte résilié, les données d’analyse ne peuvent plus être liées à un utilisateur ou à un compte identifiable.

Les données ne contenant aucun renseignement personnel (par exemple, les données analytiques agrégées) sont conservées aussi longtemps que ces dernières revêtent un caractère utile aux fins pour lesquelles elles ont été collectées.

Analyse

À compter de la date de publication de la présente politique, les services individuels compris dans Business Suite ne recueillent aucune donnée d’analyse supplémentaire. La collecte se limite aux seules données strictement requises pour fournir le service.

Policy Manager nous transmet des données d’analyse statistique sur son utilisation (par exemple, les fonctionnalités utilisées). Celles-ci portent sur l’usage général du service, et non pas sur les individus.

Données de sécurité

Informations sur les pratiques de sécurité que nous mettons en œuvre pour protéger vos données.

Nous appliquons de strictes mesures de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des données à caractère personnel Vous concernant pendant leur transfert, leur stockage et leur traitement.

Nous avons recours à des mesures de sécurité physiques, administratives et techniques pour réduire le risque de perte, d’utilisation à des fins malveillantes, d’accès non autorisé, de divulgation ou de modification des données à caractère personnel Vous concernant.

Toutes les données à caractère personnel sont stockées sur des serveurs sécurisés exploités par WithSecure™ ou nos partenaires, et leur accès est restreint au personnel autorisé.

Vos droits

Informations sur vos droits légaux et comment nous contacter.

Vous avez la possibilité d’exercer les droits suivants sur les données à caractère personnel dont nous disposons à votre sujet :

  • Accès et rectification. Vous avez le droit de nous demander la nature des données à caractère personnel dont nous disposons à votre sujet et d’en obtenir une copie exhaustive. Si Vous constatez des erreurs (par exemple, des informations obsolètes), nous Vous prions de bien vouloir contacter notre service clientèle en vue d’apporter les corrections nécessaires aux données concernées, telles que votre adresse ou votre adresse e‑mail. Si Vous n’êtes pas en mesure de procéder Vous-même aux modifications, veuillez nous en informer.
  • Objection. Vous avez le droit de formuler une objection à un traitement spécifique de vos données à caractère personnel, par exemple à des fins commerciales ou dans le cadre de la poursuite d’intérêts légitimes. Dans ce dernier cas, Vous devez fonder votre objection sur un argument recevable d’un point de vue juridique.
  • Droit à l’oubli. Vous avez le droit de nous demander de cesser de stocker vos données à caractère personnel et de les effacer. Dans ce cas, votre demande doit être fondée sur un argument recevable d’un point de vue juridique.
  • Portabilité. Vous avez le droit de demander l’accès aux données à caractère personnel que Vous avez Vous-même fournies dans le cadre d’un contrat ou avec votre consentement exprès. Vous avez le droit d’obtenir que ces données soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible, dans un format structuré, couramment utilisé et lisible par machine.
  • Retrait du consentement. Dans les cas où le traitement repose sur le consentement, Vous avez le droit de retirer ce dernier à tout moment via les paramètres correspondants. Les paramètres relatifs aux données d’analyse identifiables sont disponibles dans l’interface utilisateur du service. Vous avez également le droit de refuser de recevoir nos communications commerciales en configurant vos préférences accessibles depuis le lien.
  • Limitation. Si Vous constatez que les données à caractère personnel dont nous disposons à votre sujet sont incorrectes ou que nous n’avons légalement aucun droit de les utiliser, Vous pouvez nous demander à ce qu’elles soient seulement conservées et ne fassent l’objet d’aucune opération de traitement ultérieure jusqu’à la résolution du problème.

Vous pouvez exercer vos droits via notre fonction d’assistance clients. Les liens permettant de nous contacter figurent dans la section Coordonnées.

Notez que dans certaines situations, notre droit au respect du secret professionnel ainsi que nos obligations en matière de confidentialité et/ou de prestation de services (par exemple, à votre employeur) peuvent nous interdire de divulguer ou de supprimer vos données à caractère personnel, ou Vous empêcher d’exercer vos droits. Les droits énoncés ci-dessus dépendent également du motif juridique auquel nous traitons vos données à caractère personnel.

Pour toute réclamation relative au traitement de vos données personnelles ou pour toute information supplémentaire, Vous pouvez nous contacter à tout moment. Si Vous estimez que nous ne respections pas vos droits légaux, Vous pouvez soumettre une plainte à une autorité de surveillance. Dans la plupart des cas, il s’agit de Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Coordonnées

En cas de doute ou question concernant les points abordés dans nos politiques de confidentialité, veuillez contacter :

WithSecure™ Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlande

Comment nous contacter :

  • Si vous êtes un client de notre gamme de produits pour particuliers, contactez-nous via nos canaux d’assistance dédiés.
  • Si vous êtes un client de notre gamme de produits pour professionnels, contactez-nous via nos canaux d’assistance dédiés.
  • Vous pouvez contacter le responsable de la protection des données de WithSecure™ à l’adresse privacy@WithSecure.com. Si vous souhaitez exercer vos droits en tant que sujet de données, utilisez les liens fournis ci-dessus.

Généralités

Informations sur les définitions et la gestion des modifications.

Définitions

Voici ce que signifient certaines références que nous faisons dans la présente politique.

« Client » et « Vous » font référence à un utilisateur privé ou professionnel, ou à toute autre personne concernée qui achète et utilise nos services, ou s’inscrit à cette fin, dont les appareils et le trafic sont protégés par nos services, ou pouvant nous avoir divulgué des informations l’identifiant personnellement. Ces dernières peuvent avoir été envoyées à travers l’utilisation de nos services ou sites Web, par téléphone, par e‑mail, via les formulaires d’inscription ou par d’autres moyens similaires.

L’expression « données à caractère personnel » désigne toute information sur des particuliers qui permet de les identifier eux-mêmes, leur famille ou les membres de leur foyer. Ces informations peuvent notamment inclure des noms, des adresses e‑mail et postales, des numéros de téléphone, des données de facturation et de compte, ainsi que d’autres renseignements plus techniques dont la nature pourrait permettre d’identifier votre appareil et Vous-même, avec les comportements respectifs.

« Services » fait référence aux services ou produits fabriqués ou distribués par WithSecure™, y compris les logiciels, solutions Web, outils et services d’assistance associés.

« Site Web » fait référence au site Web WithSecure.com ou à tout autre site Web hébergé ou contrôlé par WithSecure™, y compris les sous-sites et les portails de services basés sur navigateur.

Modifications

La présente version de la politique clarifie, met à jour et remplace la version précédente. Pour maintenir à jour ce document, nous effectuerons également des ajouts et des modifications à l’avenir.

Nous publierons la nouvelle politique de confidentialité sur notre site Web ou tout autre point d’interaction où elle a déjà été mise à disposition. Si les modifications apportées sont notables, nous pourrons également vous prévenir par d’autres moyens. Tout changement entrera en vigueur à compter de la date de publication de la politique de confidentialité révisée.

 

Freedome for Business

WithSecure Freedome for business privacy policy

May 2021

In brief

Freedome for Business combines VPN surfing with mobile device management, which are both controlled via the management portal. To achieve this:

  • the service encrypts your data traffic from third parties;
  • the focus of data collection is on your device and our service, not you as an individual;
  • much of the collected data is available for your employer's IT administrator, so they can better manage company devices and applications;
  • we collect anonymous security data to protect your device;

The purpose of the service is to secure and manage your device and its connections. The service is not built to monitor employees. The service does not enable WithSecure or your company's IT administrator to follow your movements, view your photos, or see who you call or communicate with, nor are we able to track the sites that you visit through the service.

In full

This service-specific policy focuses on the items we believe are the most relevant for you. Such items are in particular 1) the type of personal and private data that the service collects, 2) what we use it for, 3) our justification, 4) typical disclosures, and 5) for how long we store it. More information on such topics as well as on other aspects (data subject rights, contact information, etc.) of the processing of your personal data is also available via the embedded links.

Your private communications

Our guiding principle is that we do not seek to spy on the exact content of your private communications. We only analyze your communications traffic to provide you the service and to keep your data transfers clean. To be more exact, this means that:

  • we need to process some metadata (such as the traffic volume and IP addresses) of your traffic when providing the service to you. To safeguard your privacy, the target IP, port or URL of traffic relayed through the VPN are not stored in a way that they could be later connected to you;
  • we analyze the traffic for suspicious or malicious files and destinations (i.e. URLs); and
  • we automatically screen the traffic to inhibit usage that is against our acceptable use policy.

User data

User data in the management portal

The service collects the following data about you, your device, and use of the service, and makes it available through the management portal:

  • User’s name, email, and phone number. This data is linked to your “device ID” that acts as an identifier of the user data in the system.
  • The service version number, device identifiers (e.g. IMEI, model, etc.), subscription key, installation and update date and time, operating system and version, feature status.
  • In addition to the above, the service collects: your mobile device model, as well as the potential jailbreak or root status, service statistics per device such as the virtual location, the aggregate amount of traffic in the VPN tunnel, the amount of traffic scanned, the harmful sites, the number of blocked tracking attempts and blocked website counters.

The collected data varies according to what devices and services you use.

We use this data to operate the services, to manage them (including identifying authorized users and managing licenses), to measure performance, and to further develop, enhance, and improve the service. The data can be used to provide support and problem resolution services.

This data is visible to your company’s IT administrator and is also available to WithSecure and through the portal. If the company’s IT administration has been outsourced, the data is also available to the outsourcing partner (WithSecure’s “distributor partner”), so that they can provide your company with support and like IT services.

User data in WithSecure systems

In addition to data that is made available in the portal, WithSecure also collects the following data via the service:

  • your device ID, so we can send push notifications to the devices and to combine different types of user data;
  • your device’s language, so the service language is consistent with the device language; and
  • we may also collect the battery level, internal memory and SD card memory sizes, and a list of installed applications (to check that the service is installed correctly) for management feature development purposes.

Some jurisdictions require that we collect user devices’ public and private IP addresses as well as the start and end time for the VPN tunnel. If we receive a legally valid request, this data can be used to reveal which origin IP was used to connect to a target IP at a given time. It does not compromise the invisibility of your browsing traffic via the service towards WithSecure or your IT administrator, as we do not connect the IP address to you. We do not sell or disclose your VPN data to any third parties unless we are required under law.

Analytics

For us to learn when and how you use our service, to enhance it, and to learn how customers find out about the service, the service collects data on installation success, installation and activation paths, performance, operation environment, connections, used features, etc. We do this so that we can create services that are of value to you and our other customers.

This section outlines our general practices for the collection and processing of data for analytics purposes.

When speaking about WithSecure data analytics, it comprises both reused service data, reused security data, and the data that is collected for analytics purposes to begin with.

We want to give you a more personal customer experience and provide you with even better services in the future. For that we need to track usage patterns and create customer segments. For example, what features are used most, where the service fails, what needs fixing, and how you found out about our services.

What we collect. The data that we process for the purposes of data analytics include things like device identifier and relations between devices / users / user groups, operation environment, service operation time, license type (trial or paid version), device metrics (such as phone model and operating system, language), partial IP address, service errors, problematic files and URLs, service performance data, how you interact with our services (such as which features are used and how often), the domain name from which you connect to the service, elements clicked, timestamps, regional location, effectiveness of our in-service messaging, service activation (such as tracking that you have received the related messages and that installation was successful), installation and activation paths, service performance, connections, data routing, quota, and other similar data.

On a practical level, when we ask for your consent in our services’ user interface, it controls whether the following data is sent: i) additional data, like which features are used and how often, and service metrics, and ii) the number of attributes sent in a given data set.

The above relates to your use of our cyber security services. Data analytics running on our websites are described in our website privacy policy.

Opting out. We really appreciate your help in improving our services. However, if you want to minimize all data traffic towards WithSecure, we respect that. Those of our services that employ additional analytics give you the choice on whether to contribute. You can opt out at any time from the subsequent collection of analytical data that is non-essential to our service provisioning.

If you have opted out from all analytics data collection, our messaging directed to you will be based only on the service data collection (the data that we collect in any case to provide you with the services) and some of our messaging is likely to be less relevant.

If you oppose all collection of data from your online life (including our websites), the more wholesale method for preventing online advertisers from profiling your mobile device usage is to reset the advertising identifier from time to time and to turn on the do-not-track setting in your device settings, or to use our privacy product.

Analytics data retention. In our data analytics activities, we combine analytics data with the service data. The resulting combined data set then continues to be processed based on a “legitimate interest”. The previously collected analytical data is retained as part of the service statistics, as its retroactive removal would break the statistics. When you cease subscribing to our services (i.e. your account is deleted), the analytical data related to your service use will be reverted to anonymous data, and we are no longer able to associate it with you.

Data exchange. Because of the technical environment (that is, the internet, the app store ecosystem, and social media), we are not able to do all of the collection and activities related to data analytics ourselves. We have to exchange some data (such as “Android marketing identifier” and other like identifiers) with our online analytics and marketing partners to enable our digital analytics and marketing activities. The vast majority of the data that we have on you is not shared with others.

Some of our subcontractors who provide us with analytical capabilities for our products may also create and publish aggregate reports on the data that they have collected. In such cases, the statistics and aggregate reports do not contain any data that could be linked to any individual person.

We do not sacrifice your privacy. Where we differ from most companies doing this is in that we understand how the ecosystem works and go through great pains to select our few partners with care, removing all data that is not absolutely necessary for the above purpose. You can naturally opt out from the collection of analytics data at any time via the service settings.

When we process the data for analytical or statistical purposes, we pseudonymize the data. In other words, our data analysts do not know the individual to which a specific data set refers to. The pseudonymization is only reversed in specified use cases. For example, when we communicate with you, we connect the results — not the full data — of our data analytics to your email address. Another example is that we may use the data to resolve issues you may have with our product, when providing you with technical support services.

We also limit such added analytics only to the surface of our services and keep them at arm’s length from the core privacy areas of our services. For example, we do not have any external analytics in our Security Cloud or in the traffic inside our VPN service.

Elements Endpoint Protection privacy policy

The usage of Security Cloud, the roles in which different parties process your personal data, data retention rules, and the legal grounds on which personal data is being processed are described in the WithSecure Elements Endpoint Protection privacy policy.

Security

Information on the security practices that we employ to keep your data secure.

We apply strict security measures to protect the confidentiality, integrity, and availability of your personal data when transferring, storing, or processing it.

We use physical, administrative, and technical security measures to reduce the risk of loss, misuse, or unauthorized access, disclosure, or modification of your personal data.

All personal data is stored on secure servers operated by WithSecure or our partners with access limited to authorized personnel only.

Your rights

Information on your statutory rights and how to contact us.

You have the right to the data that we have on you. In particular, you have the following rights to the personal data that we hold on you:

  • Access and rectification. You have the right to ask us what personal data we have on you and to get a copy of the data that we can identify pertaining to you in this context. Should you find any errors (e.g. obsolete information) in such data, we urge you to contact our customer care to resolve the issue. Some of our service portals allow you to update your customer information. For such, you should update any changes to your personal data, for example change of address or email address. If you cannot update the changes yourself, you may inform us of the necessary changes.
  • Objection. You are entitled to object to certain processing of personal data, including for example the processing of your personal data for marketing purposes or when we otherwise base our processing of your data on a legitimate interest. In the latter case, you need to establish a legally valid rationale for your objection.
  • Right to be forgotten. You also have the right to request us to cease storing your personal data and erase it. In this case you need to establish a legally valid rationale for your request.
  • Portability. You also have the right to ask for personal data that you yourself have provided — pursuant to a contract or your consent. You may request the data in a structured, commonly used, and machine-readable format and further that the data is transmitted to another controller, where technically feasible.
  • Withdrawing consent. In cases where the processing is based on your consent, you have the right to withdraw your consent at any time via relevant settings. For identifiable service analytics data, you can find the settings in the service user interface. You also have the right to opt out from our marketing communications via the preference center accessible through the link.
  • Restriction. If you establish that the data we have on you is incorrect or we have no legal right to use it, you may request that we cease any further processing of your personal data, and merely keep it in store until the issue is resolved.

You can exercise your rights via our customer care function. The links to contact us are in the “Contact information” section.

Note that there may be situations where our confidentiality obligations, our right of professional secrecy, and/or our obligations to provide our services (e.g. to your employer) may prohibit us from disclosing or deleting your personal data or otherwise prevent you from exercising your rights. Your above rights are also dependent on the legal grounds based on which we process your personal data.

If you have any complaints about how we process your personal data, or would like further information, please contact us at any time. If you feel that we are not enabling your statutory rights, you have the right to lodge a complaint with a supervisory authority. In most cases, this authority is the Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Contact information

If you have any questions or concerns about the matters discussed in our privacy policies, please contact:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland

How to contact us:

  • If you are a client of our consumer line of products, please contact us via our consumer support channels.
  • If you are a client of our corporate line of products, please contact us via corporate support channels.
  • You can contact WithSecure’s Data Protection Officer by sending a message to privacy@WithSecure.com. If you wish to exercise your rights as a data subject, please use the above links instead.

General

Information on definitions and change management.

Definitions

This is what we mean when we make certain references within this policy.

“Client”, “you”, refers to a private or corporate user or any other data subjects who buy, register for use, or use our services, whose devices and data traffic are protected by our services, or who may have submitted personally identifiable information to us. This information may have been submitted through the use of our services, websites, telephone, email, registration forms, or other similar channels.

“Personal data” refers to any information on private individuals that is identifiable to them or their family or household members. This information may include names, email and mailing addresses, telephone numbers, billing and account information, and other, more technical information that can be linked to you, your device, or the behavior of either, that we process while providing our services.

“Services” refer to any services or products that are manufactured or distributed by WithSecure, including software, web solutions, tools, and related support services.

“Website” refers to the WithSecure.com website or any other website that WithSecure hosts or controls, including subsites and browser-based service portals.

Changes

This version of the policy clarifies, updates, and replaces the previous version. To continue keeping this document up to date, we will make changes and additions to this from time to time also in the future.

We will publish the changed policy document on our website or at another interaction point where it has previously been made available. If the changes are significant, we may also notify you by other means. Any changes will apply starting from the date that we publish the revised policy document.