Keeper Security : une plateforme à connaissance nulle conforme au RGPD

Points essentiels concernant la conformité de Keeper au RGPD

Notre engagement

Keeper est conforme au RGPD et nous nous engageons à maintenir la conformité de nos procédures d'entreprise et produits au RGPD pour nos clients de l'Union européenne.

Le client web Keeper, l'application Android, l'application Windows Phone, l'application iPhone/iPad et les extensions de navigateur ont été certifiés par le cadre de protection des données UE-États-Unis (« EU-U.S. DPF »), l'extension britannique du cadre de protection des données UE-États-Unis et le cadre de protection des données Suisse-États-Unis (« Swiss-U.S. DPF »), tels que définis par le ministère du Commerce des États-Unis. Keeper est conforme à la norme SOC 2 Type 2, conformément au cadre de contrôle des entreprises de services de l'AICPA. Keeper est également certifié ISO27001.

Renforcement des droits des personnes physiques

Le RGPD renforce les droits des personnes physiques dans l'Union européenne en leur accordant notamment le droit à l'oubli et le droit d'obtenir une copie de toute donnée à caractère personnel stockée à leur égard. Ces données doivent être fournies dans un format couramment utilisé et lisible par machine et le responsable du traitement ne doit pas s'opposer au transfert de ces données.

Obligations de respect

Le RGPD exige que les entreprises et organisations mettent en place des politiques appropriées et des protocoles de sécurité, effectuent des évaluations d'impact sur la confidentialité, conservent des archives détaillées des activités liées aux données et concluent des accords écrits avec des fournisseurs.

Application stricte

Conformément au RGPD, les autorités peuvent infliger aux entreprises ou organisations des amendes allant jusqu'à soit 20 millions d'euros soit 4 % du chiffre d'affaire mondial annuel (le plus élevé de ces deux montants étant retenu), en fonction de la gravité de la violation et des dommages subis. De plus, le RGPD fournit un point central d'application pour les entreprises et organisations effectuant des opérations dans plusieurs états-membres de l'UE en exigeant des entreprises qu'elles travaillent avec une autorité de contrôle chef de file pour les problématiques de protection transfrontalière des données.

Nouvelles obligations en matière de profilage et surveillance

Le RGPD impose des obligations supplémentaires de sécurité aux entreprises et organisations effectuant le profilage ou la surveillance de comportements de personnes physiques de l'UE. Les dispositions du RGPD s'appliquent dans le monde entier à n'importe quelle entreprise ou organisation traitant des données à caractère personnel de personnes physiques de l'Union européenne, notamment le suivi de leurs activités en ligne, compte non tenu de la présence physique de l'entreprise ou organisation en UE.

Signalisation des violations de données et sécurité

Le RGPD exige que les entreprises et organisations signalent certaines violations de données aux autorités de protection des données et, dans certaines circonstances, aux personnes concernées affectées. Le RGPD impose également aux entreprises et organisations des obligations supplémentaires de sécurité.

Le contrat de traitement des données (DPA) de Keeper

Les clients professionnels devront peut-être signer un contrat de traitement des données (DPA, Data Processing Agreement) avec Keeper Security pour recevoir de l'aide dans l'application du RGPD. Demandez le contrat DPA à votre représentant de Keeper Security ou contactez-nous sur https://keepersecurity.com/support.

Télécharger le contrat de traitement des données (DPA)

Foire aux questions

Quelles sont les mesures prises par Keeper Security quant au RGPD ?

Nous avons travaillé en collaboration avec TrustArc, leader mondial du respect des normes de protection de la vie privée, pour identifier les changements nécessaire à effectuer dans nos procédures, pratiques en matière de confidentialité et produits afin de les conformer aux exigences du RGPD.

En tant qu'entreprise à connaissance nulle, nos produits et services centraux sont étroitement alignés sur le RGPD. Le respect des lois internationales et la protection de la confidentialité de nos clients sont primordiaux à nos yeux.

Qu'est-ce que la connaissance nulle ?

Keeper est un fournisseur de services de sécurité basé sur le principe de zero knowledge. L'utilisateur de Keeper est le seul à exercer un contrôle total sur le chiffrement et le déchiffrement de ses données. Avec Keeper, le chiffrement et le déchiffrement se font uniquement sur l'appareil de l'utilisateur, au moment de la connexion au coffre-fort. Chaque archive individuelle stockée dans le coffre-fort de l'utilisateur est chiffrée à l'aide d'une clé AES 256 bits générée de manière aléatoire sur l'appareil. Les clés des archives sont protégées par une clé supplémentaire, appelée clé de données. Dans le cas des utilisateurs qui se connectent à Keeper avec un mot de passe principal, la clé de données est chiffrée par une clé dérivée sur l'appareil à partir du mot de passe principal de l'utilisateur suivant la méthode PBKDF2 avec 1 000 000 d'itérations. Pour les utilisateurs qui se connectent avec l'authentification unique, la clé de données est chiffrée par une clé privée à courbe elliptique. Les données stockées au repos sur l'appareil de l'utilisateur sont également chiffrées par une autre clé AES 256 bits, appelée clé client. La synchronisation sécurisée des archives entre les appareils de l'utilisateur est également chiffrée au niveau de la couche réseau et passe par le coffre-fort sécurisé dans le cloud de Keeper. Ce modèle de chiffrement à plusieurs niveaux offre la protection des données la plus avancée du secteur.

Quels changements Keeper Security a-t-il mis en place pour assurer la conformité avec le RGPD ?

En tant que plateforme à connaissance nulle, les données stockées sur notre produit sont intégralement chiffrées et à la seule disposition de l'utilisateur. Nous avons apporté des modifications à nos systèmes analytiques pour garantir l'anonymat de nos clients. D'autres modifications vous permettent de contrôler votre consentement quant à la façon dont toute donnée à caractère personnel vous concernant et susceptible d'être collectée est utilisée ou stockée.

Keeper est-il sous-traitant ou responsable du traitement des données ?

Le RGPD identifie deux entités pouvant traiter des données à caractère personnel. Un « responsable du traitement des données » décide des données à collecter et contrôle le traitement des données à caractère personnel. Un « sous-traitant » agit sous la direction d'un responsable du traitement et collecte, stocke, extrait et/ou supprime des données à caractère personnel. Keeper Security est un responsable du traitement des données lorsque nous vendons notre gestionnaire de mots de passe directement à des particuliers. Nous sommes un sous-traitant lorsque nous vendons un produit à des entreprises, qui sont alors considérées comme responsables du traitement.

Comment faire pour exporter mes données personnelles ?

Pour exporter vos données, connectez-vous au coffre-fort Internet de Keeper sur https://keepersecurity.com/vault et cliquez sur Plus >> Sauvegarde >> Exporter. Vous pouvez télécharger vos données stockées au format CSV ou PDF. Si votre compte est arrivé à expiration, contactez-nous à l'adresse exportme@keepersecurity.com et notre équipe d'assistance vous aidera pour accéder à votre coffre-fort.

Comment faire pour demander la suppression de mes données ?

Contactez-nous par e-mail à l'adresse deleteme@keepersecurity.com en indiquant l'adresse e-mail associée à votre compte Keeper.

Où sont stockées mes données ?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

Comment faire pour transférer mes données du centre de données américain vers le centre de données européen ?

Contactez-nous à l'adresse exportme@keepersecurity.com pour recevoir des instructions et de l'assistance pour transférer vos données.

Comment Keeper Security peut nous aider à nous conformer au RGPD ?

Architecture à connaissance nulle et sécurité: le gestionnaire de mots de passe Keeper est conçu de A à Z sur le principe qu'un utilisateur individuel est la seule personne à avoir accès à ses données. Ce principe s'accorde parfaitement avec les principes et obligations de protection des données du RGPD. Tous les chiffrements sont effectués sur le ou les appareils de la personne. Les données sont chiffrées à l'aide du protocole Transport Layer Security (TLS) lors de leur transfert et sont stockées sous forme de ciphertext chiffré AES-256. La séparation des données et clés de chiffrement garantit qu'aucun employé de Keeper n'a accès aux données du coffre-fort d'un client. Conformément à l'Article 34, si les données d'un coffre-fort Keeper venaient à être violées, le contenu chiffré (ciphertext) serait inutile aux pirates responsables de l'attaque et il n'y aurait donc pas besoin de prévenir le client.

En plus d'analyses et tests de sécurité réguliers, Keeper est certifié SOC 2 Type 2 et ISO27001 annuellement.

Keeper utilise l'infrastructure Cloud renforcée d'Amazon AWS dans différentes régions géographiques pour l'hébergement et le fonctionnement du coffre-fort Keeper. Les données stockées et en transit sont localisées en intégralité sur le centre de données global choisi par l'utilisateur. Autrement dit, les données européennes restent en Union européenne. Cette solution fournit aux clients le stockage dématérialisé le plus rapide et sécurisé possible.

Aucun traitement supplémentaire: Keeper n'exploite en aucune circonstance les données des coffres-forts de ses clients. Tout d'abord, une politique établie aux plus hauts niveaux hiérarchiques de Keeper assure que nous garantissons la protection de la confidentialité de nos clients. De plus, grâce à notre architecture à connaissance nulle, une telle exploitation serait techniquement impossible. Cela suit les principes du RGPD en matière de politiques techniques et d'entreprise pour la protection des données à caractère personnel.

Contrôle des données: les clients peuvent exporter leurs données (au format CSV et PDF), modifier ou supprimer les archives de leur coffre-fort à tout moment. Cela permet de respecter les obligations du RGPD concernant le transfert ou la suppression des données à caractère personnel dès que l'utilisation visée est terminée, que le consentement est retiré ou que l'objectif de l'entreprise légitime change. Étant donné que les personnes concernées utilisent leur coffre-fort Keeper en libre-service, les obligations de respect du RGPD sont considérablement allégées pour le responsable du traitement des données. Les données sont chiffrées de manière à ce qu'elles soient uniquement accessibles à la personne concernée, aucun employé ne peut donc les voir, ni n'a aucun besoin de les voir.

Contrôle d'accès en fonction du rôle: le principe de sécurité de moindre privilège signifie que les collaborateurs d'une entreprise devraient avoir accès uniquement aux données nécessaires à leur travail. Ce principe est le plus souvent mis en pratique avec le contrôle d'accès en fonction du rôle (RBAC).

Keeper fonctionne avec Microsoft Active Directory (AD) afin de synchroniser nœuds (unités d'organisation), équipes et utilisateurs. Une fois connecté, Keeper propose la fonction de contrôle d'accès en fonction du rôle (RBAC) sur n'importe quel nœud. Ces contrôles peuvent être appliqués en cascade aux nœuds de niveau inférieur au besoin. Ces contrôles des coffres-forts Keeper incluent : complexité du mot de passe principal, délai de rotation, application de l'authentification à deux facteurs, liste verte d'adresses IP, etc. Keeper verrouille les comptes clôturés dans AD et permet de transférer ces comptes à des administrateurs de confiance. Les administrateurs informatiques contrôlent ainsi les biens et comptes de données sur toute l'entreprise.

Analyse et auditing: Keeper Enterprise permet d'analyser la complexité et la réutilisation des mots de passe des collaborateurs, ainsi que l'utilisation de l'authentification à deux facteurs. Keeper propose des journaux d'audit avec horodatage et des options de filtre pour effectuer des recherches rapides d'anomalies, mauvais comportement, procédures d'analyses ou signalement de non-respect.