Merci d’avoir pris connaissance de l’annexe sur le traitement des données (« DPA ») et du Guide de sécurité des données (« DSG ») de ServiceNow. Vous trouverez ci‑dessous des informations sur nos programmes de confidentialité et de sécurité, qui sont conçus pour protéger les données personnelles que vous soumettez aux services dans le cloud de ServiceNow.
La DPA et le DSG de ServiceNow répondent à nos obligations en tant que responsables du traitement des données et à vos obligations en tant que contrôleur des données en vertu des lois en vigueur sur la protection des données. Cette FAQ fournit des réponses aux questions les plus fréquemment posées concernant notre DPA et notre DSG ainsi que des explications sur les différences que vous pouvez rencontrer dans nos formulaires. Plus précisément, en vertu des services dans le cloud que nous fournissons, nous n’examinons pas ni n’analysons le contenu des données entrées par les clients au cours d’une utilisation normale de nos services. Par conséquent, nous ne savons pas si des données personnelles sont téléchargées dans votre instance de services. Ainsi, en tant que client et responsable du contrôle des données, vous êtes principalement en charge du respect de toutes les obligations relatives à la protection des données et découlant des lois en vigueur qui exigent l’examen ou l’analyse des données. C’est la raison pour laquelle notre DPA et notre DSG sont rédigés pour aider nos clients à répondre à leurs exigences réglementaires tout en reflétant simultanément l’état opérationnel des services dans le cloud que nous fournissons.
1. Quelles sont les obligations de ServiceNow en matière de sécurité des données personnelles ?
ServiceNow s’engage à protéger les données personnelles traitées en mettant en œuvre et en maintenant un programme de sécurité robuste. La section 4.3 (Mesures de sécurité des données) du DPA et la section 2 (Mesures de sécurité physiques, techniques et administratives) de la DSG détaillent les mesures de sécurité techniques, physiques et organisationnelles spécifiques que ServiceNow déploie pour protéger vos données.
En tant que fournisseur de service normalisé basé sur le cloud, ServiceNow maintient un programme de sécurité agnostique des données. En d’autres termes, nous mettons en œuvre les mêmes mesures de sécurité quelle que soit la catégorie ou la sensibilité des données que les clients traitent dans leur environnement ServiceNow. En définitive, parce que vous avez un aperçu exclusif du contenu de vos données, il vous incombe d’examiner notre programme de sécurité afin de déterminer s’il est en adéquation avec les données que vous traitez ou prévoyez de traiter dans votre environnement, tel que décrit à la section 2.2 (Évaluation des risques de sécurité) de la DPA.
2. Comment ServiceNow aide‑t‑il les clients à respecter les droits des personnes concernées prévus par les lois sur la protection des données ?
Le logiciel cloud de ServiceNow offre des fonctionnalités qui facilitent l’accès, la correction, la rectification, l’effacement et le blocage des données personnelles et permet en outre à un client de transférer ou de transporter des données personnelles.
3. Quels sont les droits d’audits des clients en tant que responsables du contrôle des données ?
ServiceNow croit fermement en la transparence de ses programmes de confidentialité et de sécurité des données. Conformément à la section 4.2.1 (Audits) du DSG, les clients actuels peuvent demander l’accès au ServiceNow CORE, un référentiel complet d’informations et de documentation, comprenant les politiques, les procédures, ainsi que nos rapports d’audit tiers en cours par rapport aux normes internationales reconnues telles que ISO 27001 et ISO 27018, et aux évaluations indépendantes réalisées par des tiers en fonction de normes de sécurité comme SSAE 18 / SOC 1 et SOC 2 de type 2.
4. ServiceNow utilise‑t‑il des sous‑processeurs ? Comment serai‑je informé de ceux que ServiceNow a l’intention d’utiliser à l’avenir ?
ServiceNow s’engage à fournir un service exceptionnel à ses clients, ce qui inclut une assistance technique 24 h/24 et 7 j/7. Pour assurer la prestation et la prise en charge de nos services, ServiceNow fait appel à ses sociétés affiliées situées partout dans le monde, notamment aux États‑Unis, au Royaume‑Uni, en Australie et en Inde.
ServiceNow peut également engager un tiers pour fournir des services de traitement. Cependant, avant d’engager un nouveau sous‑processeur, ServiceNow vous en informe conformément à la section 8.1.2 (Nouveaux sous‑processeurs) de la DPA. Vous pouvez vous opposer à l’utilisation proposée par ServiceNow de ce sous‑processeur conformément à la Section 8.2 (Droit d’opposition).
Cela s’effectue dans le cadre de l’investissement de ServiceNow dans une offre de prestation de services dédiée à l’UE..
5. Comment ServiceNow informe‑t‑il ses clients des violations de données ?
En cas d’incident de sécurité affectant les données client, ServiceNow fournit un rapport initial au contact client désigné dans le portail d’assistance clientèle. Les clients sont tenus de s’assurer que la personne appropriée est répertoriée dans le portail d’assistance.
6. Quel mécanisme juridique ServiceNow utilise‑t‑il pour transférer des données personnelles depuis l’Union européenne ?
ServiceNow s’appuie sur les décisions d’adéquation de la Commission européenne et les clauses contractuelles types (SCC). Pour plus d’informations, consultez notre FAQ sur les transferts internationaux..
Veuillez contacter privacy@servicenow.com si vous avez d’autres questions sur la DPA et le DSG de ServiceNow.