Passer au contenu principal
Le 27 avril 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté une loi appelée Règlement général sur la protection des données (RGPD), qui est entrée en application le 25 mai 2018. Cette loi remplace la directive européenne 95/46/CE sur la protection de la vie privée. Le RGPD vise à harmoniser et à renforcer les droits à la protection des données des personnes se trouvant dans l’Union européenne (UE). Il étend également l’application de la législation de l’UE en matière de protection des données aux entreprises non établies dans l’UE qui stockent ou traitent les données personnelles de personnes se trouvant dans l’UE, et augmente les amendes pouvant être imposées aux entreprises qui ne respectent pas les exigences du RGPD.

Définitions

Voici les définitions utilisées dans la documentation d’Auth0 sur le RGPD :
TermeDéfinition
Personne concernéeUne personne physique
Responsable du traitementL’entité qui recueille et traite les données personnelles des personnes concernées (consultez le RGPD pour la définition exacte)
Sous-traitantL’entité qui recueille et traite des données personnelles pour le compte d’un responsable du traitement (consultez le RGPD pour la définition exacte)
Données personnellesDonnées pouvant servir à identifier (directement ou indirectement) une personne concernée, notamment au moyen d’un identifiant (comme un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne), ou en référence à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne
Données personnelles sensiblesDonnées personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale; données génétiques ou biométriques
Sous-traitants secondaires d’Auth0Systèmes tiers auxquels Auth0 a communiqué des données personnelles (contenues dans les données du client), telles que définies dans le MSA, afin de fournir le Service.

Aperçu du RGPD

Applicabilité

Le RGPD a un vaste champ d’application. Il s’applique à un large éventail d’entreprises, y compris aux services et aux entreprises non établis dans l’UE qui traitent les données personnelles de personnes se trouvant dans l’Union européenne, ainsi qu’aux entreprises qui surveillent le comportement de personnes se trouvant dans l’Union européenne. Avant de recueillir des données personnelles auprès de vos utilisateurs finaux, vous devez disposer d’une base juridique pour les traiter. Par exemple, vous pouvez vous appuyer sur le consentement. Lorsque vous demandez le consentement, votre avis doit :
  • Être clair et facile à comprendre
  • Indiquer la finalité du traitement des données personnelles et la façon dont elles seront traitées
Il existe parfois des exigences supplémentaires. Par exemple, vous pourriez aussi devoir :
  • Demander explicitement le consentement pour certaines activités de traitement
  • Disposer d’un mécanisme permettant à votre utilisateur final de retirer son consentement aussi facilement qu’il l’a donné

Droits des personnes

Vos utilisateurs finaux, en tant que personnes, ont le droit de :
  • Accéder aux données personnelles que l’entreprise détient à leur sujet
  • Savoir comment leurs données personnelles seront traitées ou utilisées
  • Faire supprimer leurs données personnelles ou « être oubliés » (la personne peut demander au responsable du traitement d’effacer les données personnelles en question, de cesser de les diffuser ou de mettre fin à tout traitement ultérieur)
  • Portabilité (la personne peut demander à récupérer ses données personnelles dans un format standard lisible par machine et les transmettre à un autre responsable du traitement)
  • Ne pas faire l’objet d’une prise de décision automatisée (un processus généralement appelé profilage)

Protection de la vie privée dès la conception et par défaut

Protection de la vie privée dès la conception signifie que toute nouvelle mise en œuvre faisant appel à des données personnelles doit intégrer la protection de ces données. Protection de la vie privée par défaut signifie que les paramètres de confidentialité les plus stricts s’appliquent automatiquement dès qu’un utilisateur final se procure un nouveau produit ou service (c’est-à-dire sans que l’utilisateur ait à effectuer de modification manuelle).

Exigences applicables aux sous-traitants et aux responsables du traitement des données

En tant que responsable du traitement, vous devez :
  • Faire preuve de diligence raisonnable pour vous assurer que vos sous-traitants assurent une protection adéquate des données personnelles fournies
Auth0, en tant que sous-traitant, doit :
  • Se conformer aux instructions fournies par les responsables du traitement des données
  • Mettre en place des mesures de sécurité adéquates

Application

  • Le RGPD exige que les responsables du traitement avisent des atteintes à la protection des données sans retard injustifié et, dans tous les cas, au plus tard 72 heures après en avoir pris connaissance, si certaines conditions sont remplies
  • Les amendes en cas de non-conformité sont beaucoup plus élevées
  • Les autorités de contrôle de l’Union européenne disposent de pouvoirs d’enquête plus étendus
  • Les responsables du traitement et les sous-traitants doivent nommer un délégué à la protection des données s’ils satisfont à certaines exigences prévues par le RGPD.

Rôles et responsabilités en vertu du RGPD

De manière générale**,** les clients d’Auth0 (Okta) sont des responsables du traitement, et Auth0 (Okta) agit à titre de sous-traitant.

Données personnelles traitées par Auth0

Auth0 traite les données des utilisateurs finaux figurant dans les profils d’utilisateur, y compris les métadonnées.

Responsabilités du responsable du traitement (client)

Plus précisément, le client est responsable de ce qui suit :
  • Aviser les utilisateurs finaux, obtenir leur consentement et gérer le retrait de ce consentement (lorsque requis)
  • Déterminer quelles données personnelles il communique à Auth0
  • Déterminer quelles connexions utiliser (là où résident les données et les mots de passe des utilisateurs finaux)
  • S’inscrire et, au besoin, créer de nouveaux utilisateurs
  • Veiller à ce que ses utilisateurs respectent les exigences d’âge et obtenir le consentement approprié au besoin (comme le consentement parental pour les enfants)
  • Mettre en place les mécanismes nécessaires pour permettre à ses utilisateurs finaux de récupérer, consulter, corriger ou supprimer leurs données personnelles
  • Répondre aux demandes d’exercice des droits des personnes concernées (DSAR) de ses utilisateurs finaux
  • Répondre aux communications des autorités de contrôle
  • Envoyer des avis d’atteinte à la protection des données aux autorités de contrôle et aux utilisateurs finaux lorsque certains seuils sont atteints (Auth0 aidera le client et fournira les renseignements nécessaires, au besoin)

Responsabilités du sous-traitant (Auth0)

Auth0 est responsable de :
  • Suivre les instructions du responsable du traitement, telles qu’elles sont définies dans le Subscription Agreement (SA) et le Data Processing Addendum (DPA) (pour les clients d’entreprise) ou les Terms of Service (pour les clients en libre-service)
  • Aider le client si Auth0 reçoit des demandes des utilisateurs finaux du client qui exercent leurs droits en vertu du RGPD. Aviser le client si Auth0 reçoit des demandes d’autorités de contrôle liées au traitement des données personnelles (sauf si la loi l’interdit)
  • Aviser le client s’il prend connaissance d’une atteinte à la protection des données confirmée compromettant les données du client
  • Aviser le client si l’un de ses sous-traitants informe Auth0 d’une atteinte à la protection des données confirmée touchant les données du client d’Auth0 (sauf si la loi l’interdit)
  • Fournir aux clients les moyens de récupérer, consulter, corriger ou supprimer les données client au moyen du et de l’ d’Auth0
  • Fournir un mécanisme permettant aux clients d’afficher des modalités de consentement et une case à cocher d’acceptation du consentement dans le widget Lock. Les clients peuvent aussi concevoir des formulaires d’inscription et de connexion personnalisés si des mécanismes de consentement plus élaborés sont nécessaires

Traitement des données par Auth0

Données détenues par Auth0

Toutes les données qu’Auth0 détient sur un utilisateur final se trouvent dans le profil d’utilisateur Auth0. Les attributs précis contenus dans ce profil varient selon la configuration et l’implémentation du client, et dépendent d’un certain nombre de facteurs, comme le type de connexion, le consentement de l’utilisateur pendant le flux d’authentification et le fait que vous ayez enrichi les profils d’utilisateur avec des renseignements supplémentaires.

Quand les données Auth0 sont stockées

Les renseignements du profil utilisateur Auth0 sont stockés dans Auth0 lorsque vous utilisez une connexion à une base de données. Si un utilisateur ouvre une session au moyen de tout autre type de connexion (y compris les connexions à des bases de données personnalisées), Auth0 stocke les renseignements fournis par le externe pour des requêtes ultérieures.

Comment Auth0 utilise les données qu’il conserve

Les données personnelles conservées par Auth0 sont utilisées uniquement pour fournir ses services, notamment l’authentification des utilisateurs.

Qu’advient-il des données lorsqu’un compte d’utilisateur final est supprimé

Lorsqu’un compte d’utilisateur final est supprimé, le profil de l’utilisateur, y compris les métadonnées associées, est supprimé.

Fonctionnalités d’Auth0 facilitant la conformité au RGPD

Voici une liste des exigences du RGPD et de la façon dont Auth0 peut vous aider à les respecter. Selon l’article 7 du RGPD, vous devez :
  • Demander aux utilisateurs de consentir au traitement de leurs données personnelles dans une forme claire et facilement accessible
  • Être en mesure de démontrer que l’utilisateur a donné son consentement;
  • Fournir un moyen simple de retirer son consentement en tout temps
Vous pouvez utiliser Auth0 pour demander le consentement de vos utilisateurs au moment de l’inscription (au moyen de Lock ou d’un formulaire personnalisé) et enregistrer cette information dans le profil utilisateur. Vous pourrez ensuite mettre à jour cette information à l’aide de l’API de gestion. Pour en savoir plus, consultez GDPR: Conditions for Consent.

Droit d’accès, de rectification et d’effacement des données

Conformément aux articles 15, 16, 17 et 19 du RGPD, les utilisateurs ont le droit de :
  • Obtenir une copie des données personnelles que vous traitez
  • Demander qu’elles soient rectifiées si elles sont inexactes
  • Vous demander de supprimer leurs données personnelles
Avec Auth0, vous pouvez accéder aux renseignements des utilisateurs, les modifier et les supprimer, soit manuellement, soit à l’aide de notre API. Pour en savoir plus, consultez RGPD : droit d’accès, de rectification et d’effacement des données.

Minimisation des données

Selon l’article 5 du RGPD :
  • Les données personnelles que vous recueillez doivent être limitées au strict nécessaire pour le traitement
  • Elles ne doivent être conservées que pendant la durée nécessaire, et
  • Des mesures de sécurité appropriées doivent être assurées pendant le traitement des données, y compris une protection contre tout traitement non autorisé ou illégal ainsi que contre la perte, la destruction ou les dommages accidentels
Plusieurs fonctionnalités d’Auth0 peuvent vous aider à atteindre ces objectifs, comme la liaison de comptes, le chiffrement des profils d’utilisateurs, et plus encore. Pour en savoir plus, consultez RGPD : minimisation des données.

Portabilité des données

Conformément à l’article 20 du RGPD, les utilisateurs ont le droit de recevoir les données personnelles les concernant dans un format structuré, couramment utilisé et lisible par machine. Vous pouvez exporter les données des utilisateurs stockées dans la base d’utilisateurs Auth0, manuellement ou par programmation. Les données brutes d’Auth0 peuvent être exportées au format JSON (qui est lisible par machine). Pour en savoir plus, consultez RGPD : Portabilité des données.

Protéger et sécuriser les données des utilisateurs

Conformément à l’article 32 du RGPD, vous devez mettre en œuvre des mesures appropriées afin d’assurer un niveau de sécurité adéquat, notamment (sans s’y limiter) :
  • le chiffrement des données
  • la confidentialité continue
  • l’intégrité des données
  • la disponibilité et la résilience des systèmes et services de traitement
Plusieurs fonctionnalités d’Auth0 peuvent vous aider à répondre à cette exigence, comme le chiffrement du profil utilisateur, la , la , l’authentification renforcée et bien plus encore. Pour en savoir plus, consultez RGPD : protéger et sécuriser les données des utilisateurs.

Conseils de sécurité

Auth0 recommande les pratiques suivantes pour contribuer à protéger les données de vos utilisateurs finaux et à réduire au minimum le risque d’atteinte à la protection des données :
  • Protégez les et les clés
  • Protégez les identifiants du tableau de bord de gestion et exigez l’ pour y accéder
  • Passez régulièrement en revue la liste des administrateurs du tableau de bord et supprimez les entrées désuètes
  • Passez en revue la liste des connexions et des applications associées à vos tenants Auth0, et supprimez les entrées désuètes
  • Assurez-vous que les administrateurs du tableau de bord utilisent des identifiants d’entreprise qui peuvent être facilement révoqués au besoin, et non des identifiants personnels comme un compte de courriel personnel
  • Supprimez rapidement les comptes des employés dont l’emploi a pris fin
  • Assurez-vous que les administrateurs utilisent des appareils avec verrouillage automatique de l’écran obligatoire
  • Offrez régulièrement à tous les administrateurs du tableau de bord et aux développeurs une formation sur les pratiques exemplaires en matière de sécurité et de protection des renseignements personnels
Assurez-vous de surveiller toute solution de diffusion des journaux que vous utilisez pour envoyer des données de journal vers des outils de journalisation dotés de fonctions de production de rapports.

En savoir plus