Ignorer le contenu principal

L’approche de Kaspersky en matière de traitement des données

L’approche de Kaspersky en matière de traitement des données des utilisateurs est fondée sur le respect et la protection de la vie privée des personnes, ainsi que sur un engagement de transparence et de responsabilité.

L’objectif principal du traitement des données dans notre entreprise est de fournir à nos clients les meilleures solutions de cybersécurité. Pour atteindre cet objectif, nous traitons généralement les données dans trois buts principaux : (a) utilisation nécessaire pour des fonctionnalités principales du produit, (b) amélioration de l’efficacité et des performances de la protection, et (c) l’offre de solutions plus performantes et plus adaptées et la fourniture de contenu approprié aux clients. Vous trouverez de plus amples informations dans notre Politique de confidentialité relative aux produits et services.

Les données envoyées à Kaspersky par les utilisateurs ne sont pas attribuées à un individu ou une organisation spécifique et sont anonymisées quand cela est possible. Les mesures prises pour y parvenir comprennent la suppression des informations de compte dans les URL transmises, l’obtention des sommes de hachage des menaces au lieu des fichiers exacts, la dissimulation des adresses IP des utilisateurs, etc.

Les utilisateurs des produits Kaspersky peuvent choisir s’ils souhaitent fournir des données en quelle quantité, en fonction de la fonctionnalité du produit ou du service qu’ils veulent utiliser, et des accords respectifs acceptés.

Kaspersky fournit toujours des informations concernant le traitement des données, en particulier, la liste complète des données qui feront l’objet d’un traitement afin que les clients puissent prendre des décisions en connaissance de cause. Tous les six mois, dans notre Rapport sur la transparence, nous partageons publiquement des informations sur le nombre de demandes de données que nous avons reçues et traitées de la part de nos utilisateurs.

Toutes les données traitées et/ou transférées sont fortement sécurisées grâce au chiffrement, à des certificats numériques, à un stockage séparé, à de strictes politiques d’accès aux données, ainsi qu’à d’autres méthodes. L’entreprise applique également le Cadre de développement de logiciels sécurisés (Secure Software Development Framework – SSDF) et met en œuvre des contrôles de gestion des risques de la chaîne d’approvisionnement dans le but de sécuriser son infrastructure et ses systèmes de traitement des données.

Kaspersky passe constamment en revue les types de données traitées par ses solutions afin de protéger la vie privée de ses clients et de se conformer aux toutes dernières exigences légales, telles que le RGPD en Europe.




Traitez-vous des données personnelles ?

Conformément à certains cadres juridiques (comme le RGPD), les informations traitées par Kaspersky peuvent contenir des données qui pourraient être considérées comme personnelles ou identifiables. Kaspersky ne traite jamais de données personnelles « sensibles » telles que la religion, les opinions politiques, l’orientation sexuelle, l’état de santé ou d’autres catégories spéciales de données personnelles.

Kaspersky fournit toujours des informations sur le traitement des données, en particulier la liste complète des données qui seront traitées, afin que les clients soient informés et puissent prendre des décisions en connaissance de cause. Les détails des données traitées se trouvent dans le contrat de licence de l’utilisateur final (End-User License Agreement – EULA), dans la déclaration de Kaspersky Security Network (KSN) et dans d’autres accords, qui diffèrent selon le produit. Les données envoyées à Kaspersky par les utilisateurs sont utilisées sous forme de statistiques agrégées et ne sont pas attribuées à un individu spécifique ; elles sont également rendues anonymes dans la mesure du possible.

Quelles données sont traitées ?

Kaspersky peut traiter des données et des statistiques relatives aux cybermenaces. Les données relatives aux cybermenaces comprennent des fichiers suspects et malveillants, ainsi que des statistiques. Les statistiques représentent les méta-informations, c’est-à-dire des informations techniques supplémentaires sur les événements qui se sont produits sur la machine d’un client, que nos produits peuvent envoyer en fonction de divers facteurs : par exemple, les activités de l’utilisateur, les paramètres du produit Kaspersky, la configuration du système d’exploitation sur lequel un produit Kaspersky est installé, et les autres logiciels installés sur le système. Les détails de toutes les données traitées se trouvent dans le contrat de licence de l’utilisateur final (EULA), la déclaration de Kaspersky Security Network (KSN) et d’autres documents, qui diffèrent selon le produit.

Comment protégez-vous les données des utilisateurs ?

Nous nous engageons à protéger les données de nos clients à tout moment. Pour ce faire, nous avons recours aux meilleures technologies du marché. Les mesures et les processus de sécurité mis en place par Kaspersky comprennent :

  • Le cycle de développement sécurisé qui vise à garantir le développement sécurisé des solutions et à corriger toutes les vulnérabilités potentielles dès que possible ;
  • Un chiffrement fort pour protéger les flux de données échangés entre les appareils des utilisateurs et le cloud ;
  • Le chiffrement des informations de l’utilisateur utilisées par divers services tels que Kaspersky Password Manager et Kaspersky Safe Kids. Les utilisateurs disposent d’une clé principale, ce qui signifie que personne d’autre que ces utilisateurs spécifiques n’a accès à leurs informations ;
  • Certificats numériques pour garantir une authentification légitime et sécurisée du serveur et des mises à jour des produits ;
  • Le stockage séparé, c’est-à-dire que les différentes données sont stockées dans des serveurs différents avec des droits d’accès restreints et des politiques d’accès aux données strictes ;
  • Les données sont rendues anonymes dans la mesure du possible par diverses méthodes, telles que la suppression des détails du compte dans les URL transmises, l’obtention des sommes de hachage des menaces au lieu des fichiers exacts, la dissimulation des adresses IP des utilisateurs, etc.

Comment anonymisez-vous les données que vous traitez ?

Kaspersky prend très au sérieux la confidentialité de l’utilisateur. La société met en œuvre les mesures suivantes pour anonymiser les données recueillies :

  • Les informations sont analysées sous forme de statistiques agrégées ou anonymes et ne sont pas attribuées à des personnes spécifiques ;
  • Les identifiants et mots de passe sont filtrés parmi les URL transmises, même s’ils sont indiqués dans la requête initiale de navigateur émise par l’utilisateur ;
  • Lorsque nous traitons les données relatives aux menaces éventuelles, nous obtenons une somme de hachage, qui est une fonction mathématique à sens unique fournissant un identifiant de fichier unique ;
  • Dans la mesure du possible, nous dissimulons les adresses IP et les informations sur l’appareil figurant dans les données recueillies ;
  • Les données sont stockées sur des serveurs séparés aux politiques strictes en ce qui concerne les droits d'accès, et toutes les informations transférées entre l'utilisateur et le Cloud sont chiffrées de manière sécurisée.

 

Où la société Kaspersky stocke-t-elle ses données ?

Kaspersky est une entreprise internationale et notre infrastructure de traitement des données est répartie dans le monde entier (par exemple, en Suisse, en Allemagne, en Russie, au Canada, etc.), ce qui permet un traitement plus rapide des informations et garantit la disponibilité des serveurs si l’un d’eux tombe en panne pour une raison quelconque. La liste détaillée des pays où les données personnelles fournies peuvent être traitées est ici : https://www.kaspersky.fr/products-and-services-privacy-policy.

Dans le cadre de notre Initiative de transparence mondiale (Global Transparency Initiative – GTI), Kaspersky a délocalisé une partie de son infrastructure de traitement des données : les fichiers malveillants et suspects partagés volontairement par les utilisateurs des produits Kaspersky en Europe, en Amérique du Nord et en Amérique latine, au Moyen-Orient et dans plusieurs pays d’Asie-Pacifique, sont traités dans deux centres de données à Zurich, en Suisse. Ces centres sont équipés d’installations de pointe, conformes aux principales normes de sécurité. En outre, la Suisse fait partie des quelques pays qui ont obtenu une décision d’adéquation avec l’UE, c’est-à-dire qu’elle a été reconnue par la Commission européenne comme offrant une protection adéquate des données personnelles.

Qu’est-ce que Kaspersky Security Network ?

Kaspersky Security Network (KSN) est l’un des principaux systèmes du Cloud de Kaspersky. Il a été créé pour optimiser l’efficacité de la découverte des nouvelles cybermenaces, inconnues jusqu’ici, garantissant ainsi la protection la plus rapide et la plus efficace aux utilisateurs. KSN traite automatiquement les données relatives aux cybermenaces reçues de millions d’appareils appartenant aux utilisateurs de Kaspersky, qui ont pris la décision d’utiliser ce système. Cette approche reposant sur un système basé dans le Cloud est désormais la norme du secteur, et est appliquée par de nombreux prestataires de cybersécurité au niveau mondial.

Qu'est-ce qu'un « système basé dans le Cloud » ?

Il s’agit d’un système fonctionnant sur les serveurs d’un prestataire plutôt que sur les appareils des utilisateurs et accessible via Internet partout dans le monde. C’est par exemple le cas de systèmes de Cloud de messagerie ou encore de partage ou d’hébergement de fichiers. Les services de Kaspersky Security Network sont situés dans différents pays du monde (Canada, Allemagne, Suisse, Russie, etc.), ce qui permet un traitement plus rapide des informations et garantit la disponibilité des serveurs en cas de panne de l’un d’entre eux.

Quel est l’objectif de la protection basée sur le cloud ?

La plupart des fournisseurs de cybersécurité utilisent le cloud pour améliorer les niveaux de protection, et le modèle de protection hybride (bases antivirales + défense proactive + cloud) est le plus efficace.

Les hautes performances du cloud de sécurité nous permettent d’analyser les cybermenaces plus rapidement et avec plus de précision. Alors que le cycle traditionnel de mise à jour des bases de données antivirus et anti-hameçonnage (phishing) prend généralement plusieurs heures, le cloud peut fournir aux utilisateurs une protection contre une nouvelle menace en quelques minutes.

L’utilisation du cloud permet également d’alléger un produit de sécurité, en évitant qu’il n’occupe trop de mémoire et de ressources sur l’appareil de l’utilisateur.

Le traitement des données peut-il être limité ?

Nos clients peuvent choisir de fournir ou non des données et en quelle quantité, en fonction de la fonctionnalité du produit ou du service qu’ils veulent utiliser et des accords acceptés respectifs. Kaspersky fournit toujours des informations concernant le traitement des données, en particulier, la liste complète des données qui feront l’objet d’un traitement afin que les clients puissent prendre des décisions en connaissance de cause. De plus, Kaspersky publie régulièrement des informations sur le nombre de demandes de données reçues et traitées par nos utilisateurs dans son Rapport sur la transparence. Le dernier rapport est disponible ici.

Nos clients peuvent configurer leurs solutions de manière à ce qu’aucune donnée ne soit partagée, ainsi qu’exercer leur droit d’accès à leurs données personnelles en nous contactant directement à l’adresse suivante https://support.kaspersky.com/fr/general/privacy.

Partagez-vous des données personnelles, traitées par les solutions Kaspersky, avec des tiers ?

Nous ne fournissons jamais à un tiers ou à une organisation gouvernementale un accès à l’infrastructure de l’entreprise, notamment l’infrastructure des données des utilisateurs.

Kaspersky peut être amené à partager des données avec ses fournisseurs dans le cadre d’accords de traitement des données conclus avec ces derniers. Parmi ces fournisseurs de services, on retrouve Amazon Cloud, Microsoft Azure, etc.

Avez-vous certifié vos méthodes de traitement des données ?

Pour confirmer que notre société applique le plus haut niveau de sécurité pour protéger ses utilisateurs, les services de données de Kaspersky passent régulièrement des audits et des évaluations de sécurité par des tiers. En particulier, les services de l'entreprise liés aux données ont été certifiés conformes à la norme ISO 27001 et ont été certifiés à nouveau en 2022 avec un plus grand nombre de produits ; par conséquent, services de traitement des données et statistiques liées aux cybermenaces sont couverts par la certification. La certification est valable pour les services de données situés dans les centres de données de Zurich, Francfort, Toronto, Moscou et Pékin. La conformité à la norme ISO/IEC 27001:2013, reconnue à l’international comme la norme applicable des meilleures pratiques du secteur en matière de sécurité, est au cœur de l’approche de Kaspersky pour la mise en œuvre et la gestion de la sécurité de l’information. La certification, accordée par l’organisme de certification tiers accrédité, démontre notre engagement en faveur d’une solide sécurité de l’information et que le Service de données de Kaspersky est conforme aux meilleures pratiques du secteur. Le rapport final de la nouvelle certification est remis à nos clients et partenaires sur demande.