Centre de confiance pour la protection de la vie privée

Protection des données chez Akamai

Akamai est un partenaire de confiance rendant les expériences digitales rapides, intelligentes et sûres. Nous comprenons que la façon dont nous traitons les données personnelles représente une partie importante de cette confiance et nous nous engageons à préserver la confidentialité de nos clients et de leurs utilisateurs finaux, des employés et des utilisateurs en ligne. Akamai respecte les lois de tous les pays dans lesquels l'entreprise opère, y compris les lois sur la protection des données en Amérique, en Europe et en Asie.

Le programme de protection des données et de confidentialité d'Akamai protège les informations personnelles que nous traitons en respectant les principes de confidentialité à travers le monde. Le Global Data Protection Office d'Akamai, dirigé par notre Chief Data Protection Officer, gère cet effort important.

Programme de protection des données et de confidentialité d'Akamai. En savoir plus.

Protection des données personnelles et sensibles chez Akamai. En savoir plus.

Règles d'engagement en matière de protection des données pour les fournisseurs d'Akamai. En savoir plus.

Identity Cloud et RGPD

Identity Cloud recueille et gère en toute sécurité les données d'identité et de profil des clients, et contrôle l'accès des clients aux applications et services.

Qu'il s'agisse d'activer un contrôle d'accès aux données précises ou de permettre aux entreprises de gérer le consentement de leurs clients, Akamai a aidé des marques internationales à dépasser leurs attentes en matière de confidentialité et à répondre aux exigences réglementaires en matière de protection des données.

Consultez également le livre blanc« Apprendre à gérer les exigences de confidentialité des données avec Akamai Identity Cloud ».

Visitez la page Identity Cloud pour en savoir plus sur la manière dont un CIAM peut vous aider à satisfaire vos besoins en matière de conformité au RGPD.

En savoir plus

Ressources

Accord de traitement des données Akamai — Pour les clients
Cet accord modifie et complète les Conditions générales d'Akamai auxquelles les clients sont soumis.

En savoir plus


Accord de traitement des données Akamai - Pour les partenaires
Cet accord modifie et complète le Contrat Channel entre Akamai et ses partenaires.

En savoir plus


Accord de traitement des données Akamai — Pour les prestataires
Cet accord modifie et complète l'Accord-cadre de niveau de service et/ou les Conditions d'achat entre Akamai et ses prestataires.

Télécharger


Mesures techniques et organisationnelles pour sécuriser les données personnelles
Cette présentation décrit les mesures techniques et organisationnelles mises en place par Akamai pour sécuriser les données personnelles qu'elle traite lors de la fourniture de ses services.

En savoir plus


Pays dans lesquels Akamai maintient des serveurs
Ce document dresse la liste des pays dans lesquels Akamai maintient des points de présence de serveur et répertorie les filiales Akamai qui possèdent des serveurs Akamai.

En savoir plus


Sous-traitants d'Akamai pour la fourniture de services

En savoir plus


Déclaration de conformité HIPAA et HITECH ACT

En savoir plus


Vue d'ensemble des activités de traitement des données personnelles chez Akamai

En savoir plus


Transfert de données transfrontalier par Akamai

Présentation

Les lois sur la protection des données et de la vie privée de certains pays prévoient des mécanismes visant à protéger les informations personnelles lorsqu'elles sont transférées entre des entités de différentes juridictions. Ces mécanismes de transfert de données transfrontalier sont conçus pour assurer une protection adéquate des informations personnelles des individus dont la juridiction ne propose pas de protection similaire.

Par exemple :
En vertu du droit argentin, les Clauses du modèle argentin sur le transfert des données à l'international constituent le mécanisme régissant tout transfert de données personnelles de l'Argentine vers une juridiction non compétente, par exemple les États-Unis.

En vertu de la législation de l'UE, les mécanismes de transfert les plus couramment utilisés sont :

  • les règles d'entreprise contraignantes et
  • les Clauses contractuelles types de l'UE.

Transferts de données par Akamai

Akamai participe à des transferts transfrontaliers dans différents contextes pour fournir, développer et améliorer ses services. Ceux-ci incluent le transfert de données personnelles contenues dans des fichiers journaux de transactions IP (p. ex., les adresses IP d'utilisateurs finaux) entre l'entité commerciale locale d'Akamai et Akamai Technologies, Inc., la société mère aux États-Unis, pour traitement ultérieur, de façon à procéder à l'analyse de la sécurité et des menaces, de la facturation et de la prestation de services.

En outre, Akamai transfère les données personnelles dans des fichiers journaux de transactions IP lors de l'exécution de services d'assistance pour les clients. Pour assurer une assistance 24 h/24, 7 j/7, Akamai a mis en place des opérations d'assistance « aux quatre coins du monde ». Ses équipes d'assistance principales sont situées aux États-Unis, dans l'UE et en Inde. La liste complète des filiales d'Akamai fournissant des services d'assistance est disponible dans la liste des sous-traitants d'Akamai dans le Centre de confiance pour la protection de la vie privée.

Akamai peut également transférer des informations personnelles dans le cadre de ses services de diffusion de contenu lorsque les sites Internet et les applications de ses clients recueillent ou traitent d'une autre manière des informations personnelles qu'ils fournissent ou envoient aux utilisateurs individuels de leurs services. Outre le traitement des règles de sécurité associées à ce trafic, Akamai sert essentiellement de canal pour ces données, dont la nature est entièrement déterminée par la conception du site Web ou de l'application du client et l'interaction avec l'utilisateur final.

Mécanisme de transfert de données spécifique à une zone géographique

Argentine
Clauses du modèle argentin sur le transfert international de données

Akamai a mis en place les Clauses du modèle argentin sur le transfert international de données entre Akamai Technologies Argentina S.R.L. et Akamai Technologies, Inc. afin de garantir la protection adéquate des données personnelles transférées depuis l'Argentine vers les États-Unis dans le cadre de la fourniture des services Akamai à des utilisateurs finaux argentins. De plus, pour les clients et les partenaires, les Clauses du modèle argentin sur le transfert international de données signées par Akamai sont disponibles au téléchargement et pour contre-signature.

Brésil
Clauses contractuelles standard

Pour le transfert de données personnelles du Brésil vers des pays tiers, jusqu'à ce que des directives supplémentaires sur les transferts internationaux de données soient émises par l'autorité brésilienne de protection des données, Akamai s'appuiera sur le mécanisme de transfert de données approuvé en Europe en raison de la similarité entre la Lei Geral de Proteção de Dados (LGPD) et le Règlement général sur la protection des données (RGPD). Akamai a mis en place des obligations contractuelles basées sur les Clauses contractuelles types de l'UE relatives au transfert international de données entre Akamai Tecnologias e Serviços do Brasil Ltda. et Akamai Technologies Inc. De plus, des clauses contractuelles similaires basées sur les Clauses contractuelles types de l'UE sur le transfert international de données sont disponibles au téléchargement et pour contre-signature pour les clients et partenaires brésiliens.

UE
Clauses contractuelles types de l'UE 

Akamai définit les Clauses contractuelles types de l'UE (« CCT de l'UE ») comme mécanisme de transfert transfrontalier pour l'UE.1

Akamai a mis en place le Module 3 : transfert de sous-traitant à sous-traitant des CCT de l'UE, signé par les entités commerciales Akamai européennes responsables dans leur rôle d'exportateur de données et Akamai Technologies, Inc., dans son rôle d'importateur de données
Akamai accorde aux clients et partenaires la possibilité d'accéder à ces CCT en signant simplement son Annexe I A, conformément à la Clause 7 des CCT.

Si vous, en tant que client ou partenaire, préférez mettre en place les CCT de l'UE directement auprès d'Akamai, nous vous proposons également de mettre en œuvre :

ou

Conformément à l'affaire Schrems II, Akamai a passé en revue les garanties contractuelles, techniques et organisationnelles mises en place pour protéger les données transférées vers les États-Unis, ainsi que l'applicabilité des lois de surveillance gouvernementales spécifiques examinées par la Cour de justice de l'Union européenne (CJUE), dans ce cas pour les transferts de données vers les États-Unis. Les résultats sont les suivants :

  • Akamai n'est pas un « fournisseur de services de communications électroniques » selon les lois en vigueur aux États-Unis et, de ce fait, n'est pas soumis aux demandes d'accès au titre de l'article 702 du Foreign Intelligence Surveillance Act (FISA).
  • Akamai recommande aux clients de configurer les services Akamai de manière à ce que les données personnelles de leurs propriétés Web transitent par les serveurs d'Akamai en bordure de l'Internet, sur la base d'une transmission, et ne soient pas stockées sur les serveurs d'Akamai en bordure de l'Internet (en bref, les données personnelles ne doivent pas être configurées comme « pouvant être mises en cache » sur les serveurs d'Akamai en bordure de l'Internet).
  • Les données personnelles des propriétés Web du client sont protégées en transit par le ou les mécanismes de chiffrement choisis et configurés par le client. Un résumé du programme de sécurité de l'information d'Akamai décrit comment Akamai sécurise, entre autres, les propriétés Web de ses clients. L'intégralité de ce programme est également accessible sur demande pour les clients et les partenaires sous réserve de la signature d'un accord de non-divulgation.
  • Les mesures techniques et organisationnelles mises à jour établies pour protéger les données personnelles traitées lors de l'exécution des services Akamai sont disponibles dans le Centre de confiance pour la protection de la vie privée. Dans la version mise à jour, Akamai souligne l'anonymisation des données personnelles stockées, à condition que cette action n'interfère pas avec l'objectif du traitement et qu'Akamai n'identifie pas les utilisateurs finaux lors du traitement de leurs adresses IP (qui font partie des Données personnelles enregistrées, telles que définies par l'autorité de protection des données (DPA) d'Akamai).
  • Les données qu'Akamai transfère vers les États-Unis sont des adresses IP d'utilisateurs finaux et d'autres métadonnées dans des fichiers journaux (définies comme Données personnelles enregistrées par la DPA d'Akamai) qui sont créées lorsqu'un utilisateur final accède aux propriétés Web d'un client. Des contrôles stricts d'accès aux réseaux et systèmes d'Akamai sont en place pour protéger les données personnelles transférées contre tout accès non autorisé par des tiers.
  • Une adresse IP d'utilisateur final est une donnée pseudonymisée pour Akamai, car Akamai n'identifie pas l'utilisateur final et ne crée pas de profils pour les utilisateurs finaux.
  • Akamai traite l'adresse IP de l'utilisateur final à des fins d'analyse de la prestation de services, du trafic et de la sécurité. À ces fins, aucune identification de l'utilisateur final n'est requise.
  • Dans leurs indications vis-à-vis de ce problème, les agences gouvernementales américaines ont confirmé qu'elles ne s'intéressaient pas aux métadonnées (Données personnelles enregistrées) utilisées à des fins de surveillance.2
  • Akamai n'autorise pas volontairement les agences gouvernementales américaines ou d'autres pays à accéder à son infrastructure.
  • Akamai conteste les demandes des forces de l'ordre qu'elle reçoit, lorsque cela est légitime. Les demandes des forces de l'ordre qu'Akamai reçoit fréquemment sont des demandes de détails concernant une adresse IP. Comme Akamai n'identifie pas les utilisateurs finaux de ses clients, elle ne détient pas les données demandées et réfute la demande, en expliquant son activité.
Akamai fournit une vue d'ensemble de ses services, des flux de données et des transferts de données respectifs aux clients et partenaires afin de les aider à réaliser leur évaluationdes risques des transferts de données.
 
Royaume-Uni
Akamai s'appuie sur les CCT de l'UE publiées avant 2021 pour tout transfert de données personnelles issues du Royaume-Uni hors de ce territoire et vers un pays non compétent, en particulier les États-Unis, jusqu'à ce que l'autorité britannique de protection des données, l'ICO, publie des CCF pour les transferts de données à partir du Royaume-Uni vers un pays non compétent.

Programme Privacy Shield
Akamai s'est engagé à respecter ses obligations en vertu du programme Privacy Shield et à assurer une protection appropriée des données transférées, nonobstant l'invalidation du programme par la décision de la Cour de justice européenne dans l'affaire Schrems II.

Mécanisme de transfert de données avec des sous-traitants ultérieurs
La liste complète des sous-traitants ultérieurs d'Akamai et du mécanisme de transfert applicable est disponible dans la liste des sous-traitants d'Akamai dans le Centre de confiance pour la protection de la vie privée.

Exécution des clauses
Nous demandons à nos clients et partenaires d'envoyer les clauses applicables mises à disposition par Akamai ci-dessus et entièrement signées à l'adresse privacy@akamai.com à des fins de sensibilisation et d'archivage.

Questions
Pour toute question relative aux transferts de données par Akamai, contactez le Global Data Protection Office d'Akamai à l'adresse privacy@akamai.com

1Akamai continuera d'examiner la viabilité de la mise en œuvre d'autres mécanismes disponibles, y compris les règles d'entreprise contraignantes, afin de s'assurer d'utiliser le ou les mécanismes disponibles les plus efficaces.

2Par exemple, « Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II » (Informations sur les garanties de confidentialité des États-Unis pertinentes pour les CCT et autres bases juridiques de l'UE vis-à-vis transferts de données entre l'UE et les États-Unis après Schrems II), disponible à l'adresse https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF, notamment le résumé (1) page 1, la portée mise à jour des exigences du Foreign Intelligence Surveillance Act (FISA) décrites à la page 12 et les jurisprudences respectives à la note de bas de page n° 44.