Ignorer le contenu principal

Kaspersky et le traitement des données

L’approche de Kaspersky en matière de traitement des données des utilisateurs est fondée sur le respect et la protection de la vie privée des personnes, ainsi que sur un engagement de transparence et de responsabilité.

L’objectif principal du traitement des données dans notre entreprise est de fournir à nos clients les meilleures solutions en matière de cybersécurité. Pour atteindre cet objectif, nous traitons généralement les données dans trois buts principaux : (a) soutenir les fonctionnalités clés du produit, (b) améliorer les performances et l’efficacité des composants de protection, et (c) proposer des solutions améliorées et mieux adaptées aux clients, et leur fournir un contenu approprié. Vous trouverez plus de détails dans notre Politique de confidentialité relative aux produits et services.

Pour atteindre ces objectifs, les données ne doivent pas nécessairement être liées à une personne en particulier et peuvent être anonymisées dans la mesure du possible. Pour y parvenir, Kaspersky prend notamment les mesures suivantes : suppression des détails des comptes des URL transmises, obtention des sommes de hachage des menaces au lieu des fichiers exacts, masquage des adresses IP des utilisateurs, etc.

Dans la plupart des cas, les utilisateurs des produits Kaspersky peuvent choisir ou non, de fournir leur données personnelles à l’entreprise, ou décider de la quantité d’informations qu’ils souhaitent communiquer, selon les fonctionnalités des produits, des services et des sites Internet. Ils peuvent également s’abstenir d’envoyer des informations directement à Kaspersky. 

Kaspersky communique toujours clairement concernant le traitement des données, en particulier la liste complète des données qui seront traitées, afin que les clients puissent prendre des décisions en toute connaissance de cause. Kaspersky revoie en permanence le type de données traitées par ses solutions afin de protéger la vie privée de ses clients, et être conforme aux dernières exigences légales.

Toutes les données traitées et/ou transférées sont fortement sécurisées grâce au chiffrement, aux certificats numériques, à un stockage séparé, à de strictes politiques d’accès aux données ainsi qu’à d’autres méthodes. L’entreprise applique également le cadre de développement logiciel sécurisé (SSDF) et met en œuvre des contrôles de gestion des risques liés à la chaîne d’approvisionnement afin de sécuriser son infrastructure et ses systèmes de traitement des données.

Tous les six mois, dans notre rapport sur la transparence, nous publions des informations sur le nombre de demandes de données que nous avons reçues de la part de nos utilisateurs, et traitées.




Traitez-vous des données personnelles ?

Conformément à certains cadres juridiques (tels que le RGPD), les informations traitées par Kaspersky peuvent contenir des données pouvant être considérées comme personnelles ou permettant d’identifier une personne. Les produits Kaspersky ne traitent jamais les données personnelles « sensibles » des clients, comme la religion, les opinions politiques, les préférences sexuelles, la santé ou d’autres catégories spéciales de données personnelles.

Si le traitement des données personnelles est nécessaire pour atteindre les objectifs des produits ou services, Kaspersky analyse soigneusement les finalités, la composition et la base juridique du traitement des données personnelles au regard de la législation applicable. L’ensemble des données personnelles traitées correspond toujours aux finalités du traitement ; nos produits ou services ne collectent ni ne traitent de données personnelles superflues. De plus, Kaspersky fournit toujours toutes les informations relatives au traitement des données, en particulier la liste complète des données qui seront traitées, afin que les clients soient informés et puissent prendre des décisions éclairées. Les détails relatifs aux données traitées sont disponibles dans le Contrat de licence utilisateur final (CLUF), la déclaration de Kaspersky Security Network (KSN), la Politique de confidentialité de Kaspersky pour les sites et services Internet, ainsi que dans d’autres documents fournis, qui varient en fonction du produit ou du service. Les données que nous collectons et traitons sont utilisées sous forme de statistiques agrégées, elles ne sont pas attribuées à une personne en particulier et sont anonymisées dans la mesure du possible.

Quelles sont les données traitées ?

Tout service informatique moderne implique le traitement de grandes quantités de données pour fonctionner correctement. La composition des données traitées dépend du produit ou du service choisi. En tant que leader mondial de la cybersécurité, Kaspersky peut traiter diverses données et statistiques liées aux cybermenaces. Les données relatives aux cybermenaces comprennent des fichiers suspects et malveillants ainsi que des statistiques permettant d’identifier à la fois les menaces informatiques déjà connues, ainsi que les nouvelles méthodes et les nouveaux programmes malveillants utilisés par les cybercriminels. Ces statistiques sont également appelées méta-informations : il s’agit d’informations techniques supplémentaires concernant des événements qui se sont produits sur l’ordinateur d’un utilisateur, que nos produits peuvent envoyer en fonction de divers facteurs, tels que les activités de l’utilisateur, les paramètres des produits Kaspersky, la configuration du système d’exploitation sur lequel un produit Kaspersky est installé et les autres logiciels installés sur le système. Les détails concernant toutes les données traitées figurent dans le Contrat de licence utilisateur final (CLUF), la déclaration de Kaspersky Security Network (KSN) et d’autres documents, qui varient en fonction du produit ou du service.

Comment protégez-vous les données des utilisateurs ?

La sécurité et la sûreté des données des utilisateurs sont une priorité pour Kaspersky, qui adopte une approche multidimensionnelle afin d’atténuer tout risque potentiel. Kaspersky dispose d’une politique de gestion de la sécurité bien établie, mise en œuvre par un service dédié à la sécurité de l’information. Ce service est chargé d’appliquer la politique et la stratégie de sécurité de l’entreprise, et assure une surveillance continue des performances en matière de sécurité ainsi qu'une évaluation de l’efficacité des processus de sécurité.

Les données des utilisateurs sont protégées à l’aide d’algorithmes de protection modernes. L’entreprise garantit la sécurité du réseau et des accès afin d’empêcher tout accès non autorisé aux données des utilisateurs, et contrôle de manière stricte l’accès physique à son infrastructure de données, qui est sécurisée par des systèmes de surveillance et d’alarme. La sécurité globale des réseaux et des systèmes de l’entreprise repose sur des mesures comme une gestion continue des ressources, un processus global de gestion des risques et des vulnérabilités, des contrôles de conformité réguliers et une formation continue des employés, mais sans s’y limiter. Pour en savoir plus sur la manière dont nous protégeons votre vie privée et vos données, veuillez consulter la Politique de confidentialité relative aux produits et services de Kaspersky.

Comment anonymisez-vous les données que vous traitez ?

Kaspersky prend très au sérieux la confidentialité de l’utilisateur. La société met en œuvre les mesures suivantes pour anonymiser les données traitées :

  • Approche multicouche qui renforce la protection et réduit les risques de réidentification : combinaison de techniques telles que la généralisation, la randomisation et la confidentialité différentielle ;
  • Suppression de tous les identifiants directs (par exemple, noms, numéros d’identification) des données traitées (par exemple, URL, fichiers, etc.) ;
  • Les informations sont traitées sous forme de statistiques anonymisées et agrégées, et ne sont pas attribuées à des personnes en particulier ;
  • Afin d’empêcher le recoupement des données anonymisées avec d’autres ensembles de données qui pourraient permettre de réidentifier des personnes, les données sont stockées sur des serveurs distincts soumis à des politiques strictes en matière de droits d’accès ;
  • Lorsque nous traitons des données relatives à des menaces possibles, nous utilisons des sommes de contrôle, qui sont des fonctions mathématiques unidirectionnelles fournissant un identifiant unique pour chaque fichier.
  • Documentation et audit régulier des processus d’anonymisation.

Où la société Kaspersky stocke-t-elle ses données ?

Kaspersky est une entreprise internationale et notre infrastructure de traitement des données est répartie à travers le monde (par exemple en Suisse, en Allemagne, en Russie, au Canada, etc.), ce qui permet un traitement plus rapide des informations et garantit la disponibilité des serveurs en cas de défaillance de l’un d’entre eux pour quelque raison que ce soit. La liste détaillée des pays dans lesquels les données personnelles peuvent être traitées figure dans les politiques officielles de Kaspersky, notamment dans la Politique de confidentialité relative aux produits et services.

Dans le cadre de notre initiative mondiale pour la transparence (GTI), Kaspersky a délocalisé une partie de son infrastructure de traitement des données. Les fichiers malveillants et suspects partagés volontairement par les utilisateurs des produits Kaspersky en Europe, en Amérique du Nord et en Amérique latine, au Moyen-Orient, ainsi que dans plusieurs pays d’Asie-Pacifique, sont traités dans deux centres de données basés à Zurich, en Suisse. Ces centres offrent des installations de classe mondiale conformes aux normes de sécurité les plus strictes. De plus, la Suisse fait partie des rares pays à avoir conclu une décision d’adéquation avec l’UE, ce qui signifie que le pays a été reconnu par la Commission européenne comme offrant une protection adéquate des données à caractère personnel.

Qu’est-ce que Kaspersky Security Network ?

Kaspersky Security Network (KSN) est l’un des principaux systèmes du cloud de Kaspersky. Il a été créé pour optimiser l’efficacité de la découverte des nouvelles cybermenaces, inconnues jusqu’ici, garantissant ainsi une protection rapide et efficace aux utilisateurs. KSN traite automatiquement les données relatives aux cybermenaces reçues de millions d’appareils appartenant à des utilisateurs de Kaspersky qui ont choisi d’utiliser ce système. Cette approche reposant sur un système basé dans le cloud est désormais la norme du secteur, et est appliquée par de nombreux prestataires de cybersécurité au niveau mondial.

Qu'est-ce qu'un « système basé dans le Cloud » ?

Il s’agit d’un système fonctionnant sur les serveurs d’un prestataire plutôt que sur les appareils des utilisateurs et accessible via Internet partout dans le monde. C’est par exemple le cas de systèmes de cloud de messagerie ou encore de partage ou d’hébergement de fichiers. Les services de Kaspersky Security Network sont répartis dans différents pays à travers le monde (Canada, Allemagne, Suisse, Russie, etc.), ce qui permet un traitement plus rapide des informations et garantit la disponibilité des serveurs en cas de défaillance de l’un d’entre eux.

Quel est l’objectif de la protection basée sur le cloud ?

Kaspersky considère qu’un modèle de protection hybride (bases de données antivirus + défense proactive + cloud) est le plus efficace.

Les performances élevées du cloud de sécurité nous permettent d’analyser les cybermenaces plus rapidement et avec plus de précision. Alors que le cycle traditionnel de mise à jour des bases de données antivirus et anti-phishing prend généralement plusieurs heures, le cloud peut fournir aux utilisateurs une protection contre une nouvelle menace en quelques minutes.

L’utilisation du cloud permet également d’alléger un produit de sécurité, en évitant qu’il n’occupe trop de mémoire et de ressources sur l’appareil de l’utilisateur.

Le traitement des données peut-il être limité ?

Nos clients peuvent choisir s’ils souhaitent fournir des données et, le cas échéant, leur quantité, en fonction des fonctionnalités du produit ou du service qu’ils souhaitent utiliser et selon les accords acceptés correspondants. Kaspersky fournit toujours des informations concernant le traitement des données, en particulier la liste complète des données qui seront traitées, afin de garantir que les clients puissent prendre des décisions éclairées. De plus, Kaspersky publie régulièrement dans son rapport de transparence des informations sur le nombre de demandes de données reçues et traitées de la part de ses utilisateurs. Le dernier rapport est disponible ici.

Pour certains produits destinés aux entreprises, nos clients peuvent configurer leurs solutions de manière à ce qu’aucune donnée ne soit partagée, et exercer leur droit d’accès à leurs données personnelles traitées en nous contactant directement à l’adresse https://support.kaspersky.fr/general/privacy.

Partagez-vous des données personnelles, traitées par les solutions Kaspersky, avec des tiers ?

Nous ne fournissons jamais à un tiers ni à aucune organisation gouvernementale un accès à l’infrastructure de l’entreprise, notamment l’infrastructure des données des utilisateurs.

Kaspersky est susceptible de partager des données avec ses fournisseurs dans le cadre d’accords de traitement des données conclus avec ces derniers. Lors de la sélection de ces fournisseurs, nous contrôlons minutieusement le respect des exigences légales et nos approches en matière de traitement des données. Ces fournisseurs nous procurent, par exemple, des services de stockage dans le cloud et d’autres services pertinents.

Kaspersky collabore également avec les autorités policières internationales et partage avec elles les informations nécessaires à l’enquête sur les cybercrimes.  La société a fait preuve de transparence concernant ces contacts, en publiant dans ses rapports de transparence des données sur les demandes émanant des autorités chargées de l’application de la loi concernant les données des utilisateurs et l’expertise technique.

Ces rapports décrivent également les principes fondamentaux de l’entreprise en matière de réponse aux demandes émanant des gouvernements et des autorités policières du monde entier, et présentent notre procédure en plusieurs étapes pour évaluer chaque demande reçue.  Par conséquent, toute demande de données utilisateur fait l’objet d’une vérification légale obligatoire, au cours de laquelle nous nous assurons que les demandes sont légalement justifiées, émises conformément aux lois applicables et peuvent être mises en œuvre sans compromettre la sécurité ou la confidentialité des utilisateurs de Kaspersky. 

Avez-vous certifié vos méthodes de traitement des données ?

Afin de confirmer que l’entreprise applique les normes de sécurité les plus strictes pour nos utilisateurs, les services de données de Kaspersky sont régulièrement soumis à des audits et évaluations de sécurité réalisés par des tiers. Plus particulièrement, les services de données de l’entreprise ont été certifiés ISO 27001 et recertifiés en 2022 avec unchamp d’application élargi, de sorte que les services de données pour le traitement des données liées aux cybermenaces et des statistiques sont couverts par la certification. La certification est valable pour les services de données de l’entreprise situés dans les centres de données de Zurich, Francfort, Toronto, Moscou et Pékin. La conformité à la norme ISO/IEC 27001:2013, reconnue internationalement comme la meilleure pratique du secteur et la norme de sécurité applicable, est au cœur de l’approche de Kaspersky en matière de mise en œuvre et de gestion de la sécurité de l’information. La certification, délivrée par un organisme de certification tiers accrédité, témoigne de notre engagement en faveur d’une sécurité informatique renforcée et atteste que le service de données de Kaspersky est conforme aux meilleures pratiques du secteur. Le rapport final concernant la recertification est fourni sur demande à nos clients et partenaires professionnels.