Règlement général sur la protection des données d’Auth0
Le 27 avril 2016, le Parlement européen et le Conseil européen ont adopté une législation connue sous le nom de Règlement général sur la protection des données (RGPD), qui est devenue exécutoire le 25 mai 2018. Cette législation remplace la directive européenne 95/46/CE sur la protection de la vie privée.
Le RGPD vise à unifier et à renforcer la confidentialité des données pour les personnes situées dans l’Union européenne (UE). Le RGPD étend également l’applicabilité de la législation de l’UE sur la confidentialité des données aux entreprises non européennes qui stockent ou traitent des données sur des résidents de l’UE et augmente les amendes qui peuvent être imposées aux entreprises qui sont responsables de la prévention des violations des données personnelles ou qui enfreignent les exigences du RGPD.
Le contenu de ces documents ne constitue pas un avis juridique et ne doit pas être considéré comme un substitut à l’assistance juridique. C’est à vous qu’il incombe en dernier ressort de comprendre et de respecter le RGPD, mais Auth0 vous aidera à satisfaire aux exigences du RGPD dans la mesure du possible.
Pour en savoir plus sur le RGPD, lisez le Guide complet de la conformité au RGPD sur gdpr.eu.
Définitions
Voici les définitions utilisées pour la documentation d’Auth0 sur le RGPD :
| Terme | Définition |
|---|---|
| Sujet | Un individu/une personne physique |
| Contrôleur de données | L’entité qui collecte et traite les données sur les sujets (référez-vous au RGPD pour une définition exacte) |
| Responsable du traitement des données | L’entité qui traite les données pour le compte d’un contrôleur de données (référez-vous au RGPD pour une définition exacte) |
| Données personnelles | Les données qui peuvent être utilisées pour identifier (directement ou indirectement) un sujet, notamment par référence à un identifiant (tel qu’un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne), ou à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne. |
| Données personnelles sensibles | Données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l’appartenance syndicale; les données génétiques ou biométriques. |
| Sous-processeurs Auth0 | Systèmes tiers auxquels Auth0 fournit des données à caractère personnel |
Résumé du RGPD
Applicabilité
Le RGPD s’applique à un large éventail de territoires, y compris les entreprises et services non basés dans l’UE qui possèdent des données sur les résidents de l’UE.
Notifications et consentement
Avant de recueillir des données personnelles auprès de vos utilisateurs finaux, vous devez obtenir leur consentement. Lorsque vous demandez le consentement, vos notifications doivent :
Être claires et faciles à comprendre.
Indiquer la finalité des données concernées et la manière dont elles seront traitées.
Vous devez également :
Demander explicitement le consentement.
Faire en sorte qu’il soit aussi facile pour votre utilisateur final de révoquer son consentement que de donner son consentement.
Droits des personnes
Vos utilisateurs finaux, en tant que personnes, ont le droit de :
voir les données personnelles dont l’entreprise dispose;
savoir comment leurs données seront traitées ou utilisées;
être oublié (la personne peut demander au responsable du traitement de ses données d’effacer les données concernées, de cesser la diffusion des données ou d’arrêter tout traitement ultérieur des données);
demander la portabilité des données (la personne peut demander ses données dans un format standard lisible par machine et peut transmettre ses données à un autre responsable du traitement des données);
ne pas être soumise à une prise de décision automatique (un processus généralement appelé profilage).
Protection intégrée de la vie privée et protection de la vie privée par défaut
En tant que responsable du traitement des données, vous devez concevoir votre application de manière à respecter à la fois les principes de protection intégrée de la vie privée et de protection de la vie privée par défaut.
La protection intégrée de la vie privée signifie que chaque nouvelle mise en œuvre qui utilise des données personnelles doit prendre en considération la protection de ces données.
La protection de la vie privée par défaut signifie que les paramètres de confidentialité les plus stricts s’appliquent automatiquement une fois que l’utilisateur final acquiert un nouveau produit ou service (c’est-à-dire sans aucune modification manuelle requise de la part de l’utilisateur).
Exigences liées aux processeurs et aux responsables du traitement des données
En tant que responsable du traitement des données, vous devez :
faire preuve de diligence raisonnable pour vous assurer que vos sous-traitants fournissent une protection adéquate aux données fournies.
Auth0, en tant que processeur de données, doit :
respecter les instructions fournies par les responsables du traitement des données;
maintenir une documentation adéquate;
mettre en œuvre une sécurité adéquate;
mener une analyse d’impact sur la protection des données;
nommer un délégué à la protection des données ou créer un bureau de la protection des renseignements personnels;
respecter les règles relatives aux transferts internationaux de données;
accepter et signer un accord écrit de traitement des données qui répond aux exigences du RGPD.
Application
Le RGPD exige que les responsables du traitement des données diffusent des notifications concernant les violations de données dans les 72 heures suivant tout incident.
Les amendes pour non-conformité sont beaucoup plus élevées et sont déterminées à l’aide d’un système à plusieurs niveaux.
Les autorités de contrôle de l’Union européenne disposent de pouvoirs d’enquête plus importants.
Les organisations contrôlant les données doivent nommer un délégué à la protection des données, tandis que les organisations traitant des données doivent disposer d’un bureau de la protection des renseignements personnels.
Rôles et responsabilités dans le cadre du RGPD
Les clients d’Auth0 sont des responsables du traitement des données. Auth0 est un processeur de données.
Données personnelles traitées par Auth0
Auth0 gère les données de l’utilisateur final présentes dans les profils utilisateurs, y compris les métadonnées.
Responsabilités du responsable du traitement des données (client)
En fin de compte, vous, en tant que responsable du traitement des données, êtes responsable de la conformité au RGPD, qui consiste principalement en l’exécution de procédures opérationnelles et en la production de documentation.
Plus précisément, le client est responsable des éléments suivants :
Notification, consentement et retrait du consentement de l’utilisateur final.
Décider quelles données il expose à Auth0.
Décider quelles connexions (où résident les données et les mots de passe des utilisateurs finaux) utiliser.
Inscrire et, si nécessaire, créer de nouveaux utilisateurs.
S’assurer que ses utilisateurs remplissent les conditions d’âge et obtenir le consentement approprié si nécessaire (tel que le consentement parental pour les enfants).
Mettre en œuvre les mécanismes nécessaires pour que ses utilisateurs finaux récupèrent, examinent, corrigent ou suppriment les données personnelles.
Supprimer les données des utilisateurs après avoir reçu des demandes de droit à l’oubli.
Fournir les données dans des formats standardisés.
Répondre aux demandes d’accès aux données personnelles de ses utilisateurs finaux.
Répondre aux communications des autorités de l’Union européenne chargées de la protection de la vie privée.
Envoyer des notifications de violation de données aux autorités de surveillance et aux utilisateurs finaux (Auth0 aidera le client et fournira les informations nécessaires si nous sommes impliqués).
Sélectionner un locataire de l’UE lors de la configuration de ses locataires pour Auth0.
Le client est la partie responsable de la sécurité de ses données. Auth0 n’a aucune connaissance de la façon dont le client traite les données, configure ses applications, etc.
Responsabilités du processeur de données (Auth0)
Auth0 est responsable de :
Suivre les instructions du processeur de données telles qu’expliquées dans le contrat d’abonnement (SA) et l’addenda sur le traitement des données (DPA) (pour les clients Enterprise) ou les conditions d’utilisation (pour les clients en libre-service).
Informer le client s’il reçoit des demandes des utilisateurs finaux exerçant leurs droits d’accès aux données ou d’effacement des données en lien au RGPD.
Informer le client s’il reçoit des demandes des autorités de l’UE chargées de la protection de la vie privée (à moins que de telles demandes ne soient interdites par la loi en vigueur).
Informer le client si Auth0 prend connaissance d’une violation de sécurité confirmée.
Informer le client si l’un de ses sous-traitants fait part à Auth0 d’une violation de données confirmée qui a un impact sur les données du client d’Auth0 (sauf si la loi en vigueur l’interdit).
Fournir une politique de confidentialité, des conditions de service, une déclaration de sécurité, un accord de protection des données, etc., pour fournir des informations sur ses politiques et pratiques.
Fournir des informations sur son traitement des données, afin que le client dispose des informations dont il a besoin pour traiter les données légalement.
Définir ses services et fonctionnalités, la manière dont les données sont traitées et les droits et obligations des clients.
Fournir les moyens de permettre aux clients de récupérer, d’examiner, de corriger ou de supprimer des données client à partir de l’Auth0 Dashboard et de Management API Auth0.
Fournir un mécanisme permettant aux clients d’afficher les conditions de consentement et une case à cocher d’accord de consentement sur le gadget logiciel Lock. Les clients peuvent également concevoir des formulaires d’inscription et de connexion personnalisés si des schémas de consentement plus élaborés sont nécessaires.
Traitement des données Auth0
Données que Auth0 possède
Toutes les données que Auth0 possède sur un utilisateur final se trouvent dans le profil utilisateur Auth0. Les attributs spécifiques contenus dans le profil utilisateur varient en fonction de l’implémentation du client et sont basés sur un certain nombre de facteurs, tels que le type de connexion, le consentement de l’utilisateur pendant le flux d’authentification et si vous avez ajouté des informations supplémentaires aux profils utilisateur.
Quand les données d’Auth0 sont stockées
Les informations de profil utilisateur Auth0 sont stockées dans Auth0 lorsque vous utilisez une connexion à la base de données. Si un utilisateur se connecte en utilisant tout autre type de connexion (y compris les connexions de base de données personnalisées), Auth0 stocke les informations fournies par le fournisseur d’identité externe pour des requêtes futures.
Comment Auth0 utilise les données stockées
Les données personnelles stockées dans Auth0 sont utilisées uniquement aux fins de fournir ses services, à savoir authentifier les utilisateurs
Ce qui arrive aux données lorsque le compte d’un utilisateur final est supprimé
Lorsque le compte d’un utilisateur final est supprimé, son profil utilisateur, y compris les métadonnées, est supprimé.
Fonctionnalités d’Auth0 facilitant la conformité au RGPD
Voici une liste des règles du RGPD et comment Auth0 peut vous aider à vous y conformer.
Conditions de consentement
Conformément à l’article 7 du RGPD, vous devez :
demander aux utilisateurs de consentir au traitement de leurs données personnelles sous une forme claire et facilement accessible;
être en mesure de démontrer que l’utilisateur a donné son consentement; et
fournir un moyen facile de retirer son consentement à tout moment.
Vous pouvez utiliser Auth0 pour demander le consentement de vos utilisateurs lors de leur inscription (en utilisant Lock ou un formulaire personnalisé) et enregistrer ces informations dans le profil utilisateur. Vous pouvez par la suite mettre à jour ces informations à l’aide de Management API. Pour en savoir plus, consultez RGPD : Conditions de consentement.
Droit d’accès, de rectification et d’effacement des données
Conformément aux articles 15, 16, 17 et 19 du RGPD, les utilisateurs ont le droit de :
obtenir une copie de leurs données personnelles que vous traitez;
demander des rectifications si elles sont inexactes; et
vous demander de supprimer leurs données personnelles.
Avec Auth0, vous pouvez accéder, modifier et supprimer les informations utilisateur manuellement ou à l’aide de notre API. Pour en savoir plus, consultez RGPD : Droit d’accès, de rectification et d’effacement des données.
Minimisation des données
Conformément à l’article 5 du RGPD :
Les données personnelles que vous recueillez doivent être limitées à ce qui est nécessaire au traitement.
Les données personnelles doivent être conservées uniquement aussi longtemps que nécessaire.
Une sécurité appropriée doit être assurée pendant le traitement des données, y compris la protection contre le traitement non autorisé ou illégal des données et contre la perte, la destruction ou les dommages accidentels des données.
Plusieurs fonctionnalités d’Auth0 peuvent vous aider à atteindre ces objectifs, comme la liaison de compte, le cryptage de profil utilisateur, et plus encore. Pour en savoir plus, consultez RGPD : Minimisation des données.
Portabilité des données
Conformément à l’article 20 du RGPD, les utilisateurs ont le droit de recevoir les données personnelles les concernant dans un format structuré, couramment utilisé et lisible par machine.
Vous pouvez exporter, manuellement ou par programme, les données utilisateur stockées dans le magasin Auth0 d’utilisateurs. Les données brutes d’Auth0 peuvent être exportées au format JSON (lisible par machine). Pour en savoir plus, consultez RGPD : Portabilité des données.
Protéger et sécuriser les données des utilisateurs
Conformément à l’article 32 du RGPD, vous devez mettre en œuvre des mesures appropriées afin de garantir un niveau de sécurité, y compris (mais sans s’y limiter) :
Le chiffrage des données;
La confidentialité continue;
L’intégrité des données; et
La disponibilité et la résilience des systèmes et services de traitement.
Plusieurs fonctionnalités d’Auth0 peuvent vous aider à atteindre cet objectif, comme le chiffrement du profil utilisateur, la protection contre la force brute, la détection des violations de mot de passe, l’authentification renforcée, etc. Pour en savoir plus, consultez RGPD : Protéger et sécuriser les données des utilisateurs.
Conseils de sécurité
Auth0 recommande les pratiques suivantes pour aider à assurer la sécurité des données de vos utilisateurs finaux et minimiser la probabilité d’une violation de données :
Protégez les secrets et les clés des clients.
Protégez les informations d’identification du tableau de bord Auth0 Management et exigez une authentification multifacteur (MFA) pour accéder au tableau de bord.
Passez régulièrement en revue la liste des administrateurs du Dashboard et supprimez les entrées obsolètes.
Passez en revue la liste des connexions et des applications associées à vos locataires Auth0 et supprimez les entrées obsolètes.
Assurez-vous que les administrateurs du Dashboard utilisent des informations d’identification d’entreprise qui peuvent être facilement révoquées si nécessaire, et non des informations d’identification personnelles telles qu’un compte de messagerie personnel.
Supprimez rapidement les comptes des employés licenciés.
Assurez-vous que les administrateurs utilisent des appareils avec verrouillage d’écran obligatoire.
Fournissez une formation régulière à tous les administrateurs et développeurs du Dashboard sur les meilleures pratiques en matière de sécurité et de confidentialité.
Assurez-vous de surveiller toute solution d’exportation des journaux que vous utilisez pour envoyer des données de journal aux outils de journalisation dotés d’une capacité de production de rapports.