ESET Cloud Office Security Manuel du propriétaire

ESET Cloud Office Security
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2024 d'ESET, spol. s r.o.
ESET Cloud Office Security a été développé par ESET, spol. s r.o.
Pour plus d’informations, consultez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique,
photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis.
Assistance technique : https://support.eset.com
RÉV. 31/10/2024
1 Présentation ...................................................................................................................................... 1
1.1 Principales fonctionnalités ........................................................................................................... 2
1.2 Nouveautés ............................................................................................................................... 5
1.3 Intégration ................................................................................................................................ 7
2 Spécifications .................................................................................................................................... 8
2.1 Configuration requise .................................................................................................................. 8
2.2 Offres Microsoft 365 prises en charge ........................................................................................... 9
2.3 Offres Google Workspace prises en charge .................................................................................. 10
2.4 Navigateurs Web pris en charge ................................................................................................. 10
2.5 Limites et politique de rétention des données ............................................................................. 10
3 Licence pour ESET Cloud Office Security ......................................................................................... 12
3.1 Compte ESET PROTECT Hub ....................................................................................................... 13
3.2 ESET Business Account .............................................................................................................. 13
3.2 Création d'un compte ESET Business Account ...................................................................................... 13
3.2 Ajouter une licence de ESET Cloud Office Security dans ESET Business Account ................................................. 14
3.2 Gérer ESET Business Account ........................................................................................................ 15
3.3 ESET MSP Administrator ............................................................................................................ 16
4 Activation d'ESET Cloud Office Security .......................................................................................... 16
5 Gestion de vos tenants dans Paramètres ........................................................................................ 18
5.1 Ajout de votre première tenant .................................................................................................. 21
5.2 Tenant Microsoft 365 ................................................................................................................ 23
5.3 Tenant Google Workspace ......................................................................................................... 26
5.4 Suppression d'un tenant d'ESET Cloud Office Security ................................................................... 32
6 Navigation dans ESET Cloud Office Security ................................................................................... 34
6.1 Tableau de bord ....................................................................................................................... 36
6.2 Utilisateurs .............................................................................................................................. 39
6.3 Équipes et sites ........................................................................................................................ 41
6.4 Détections ............................................................................................................................... 42
6.5 Quarantaine ............................................................................................................................. 43
6.6 Journaux de l'analyse ................................................................................................................ 45
6.7 Rapports ................................................................................................................................. 47
6.8 Politique par défaut .................................................................................................................. 49
6.8 Paramètres de protection d'Exchange Online ....................................................................................... 52
6.8 Paramètres de protection de Gmail .................................................................................................. 55
6.8 Paramètres de protection de OneDrive .............................................................................................. 58
6.8 Paramètres de protection de Google Drive .......................................................................................... 59
6.8 Paramètres de protection des groupes de travail ................................................................................... 60
6.8 Paramètres de protection des sites SharePoint ..................................................................................... 61
6.8 Paramètres de protection de ESET LiveGuard Advanced ........................................................................... 62
6.8 Rapports et protection par apprentissage machine ................................................................................. 63
6.9 Gestion des licences ................................................................................................................. 64
6.9 ESET Cloud Office Security accès utilisateur à une société spécifique ............................................................. 67
6.10 Journal de vérification ............................................................................................................. 68
6.11 Exportation de sysLogs ........................................................................................................... 69
6.12 Envoyer les commentaires ....................................................................................................... 71
7 ESET LiveGuard Advanced .............................................................................................................. 71
8 Disponibilité du service ................................................................................................................... 71
9 Assistance technique ...................................................................................................................... 72
10 ESET Connect (API) ....................................................................................................................... 73
11 Documents juridiques ................................................................................................................... 74
................................................................................... 74
............................................................................................................ 78
11.2 Contrat de licence de l'utilisateur final ............................................................................................. 82
11.2 Accord sur le traitement des données .............................................................................................. 89
11.2 Clauses contractuelles types ....................................................................................................... 91
11.3 Politique de confidentialité .................................................................................................... 117
11.1 Sécurité pour ESET Cloud Office Security
11.2 Conditions d'utilisation
Présentation
ESET Cloud Office Security est un service cloud multiclient et évolutif dans Microsoft Azure. ESET Cloud Office
Security est proposé sous la forme d'un produit Software-as-a-Service (SaaS) qui fonctionne entièrement dans le
cloud sans nécessiter de matériel. Il s'agit d'une combinaison des fonctionnalités suivantes : filtrage du courrier
indésirable, analyse contre les programmes malveillants et protection anti-hameçonnage, qui permet de protéger
les communications de votre entreprise contre les logiciels malveillants. Cela minimise les effets négatifs des
messages non sollicités sur la productivité quotidienne et empêche les e-mails externes entrants d'être utilisés
comme canal pour des attaques ciblées.
Les services de sécurité ESET Cloud Office Security couvrent les principaux fournisseurs de plates-formes cloud et
offrent une protection complète de la messagerie avec des moteurs de protection contre les programmes
malveillants de pointe et ESET LiveGuard Advanced. Cette solution offre une défense avancée contre les menaces
grâce au sandboxing basé sur le cloud, qui analyse les échantillons suspects dans un environnement isolé.
L'architecture d'ESET Cloud Office Security vous permet d'initier rapidement la protection en vous connectant à
votre plate-forme cloud : Microsoft 365 et Google Workspace. Vous avez la possibilité de gérer la protection via
une console web accessible depuis n'importe où.
ESET Cloud Office Security offre une protection préventive avancée pour protéger les applications Microsoft 365
de votre entreprise : Exchange Online, OneDrive, SharePoint Online et Teams. La même protection est proposée à
vos applications Google Workspace : Gmail Gmail et Google Drive.
1
ESET Cloud Office Security protège l'outil de stockage OneDrive et la boîte aux lettres des utilisateurs sous licence,
ainsi que les groupes de travail et les sites SharePoint. Chaque magasin de ces applications Microsoft 365 est
protégé, quelle que soit la personne qui a téléchargé un fichier ou envoyé un e-mail. Le contenu est protégé, quel
que soit l’auteur. L’auteur peut également être un utilisateur invité afin de garantir la meilleure protection
possible.
Principales fonctionnalités
Le tableau ci-après répertorie les fonctionnalités disponibles dans ESET Cloud Office Security.
Multitenant
2
Vous pouvez protéger et gérer plusieurs tenants Microsoft 365 et Google Workspace à
partir d’une seule console ESET Cloud Office Security. Azure Active Directory (Azure AD)
organise les objets tels que les utilisateurs et les applications en groupes appelés tenants.
Les tenants permettent de définir des politiques pour les utilisateurs et les applications de
votre entreprise afin de respecter les politiques de sécurité et d’exploitation.
Antispam
Le composant antispam est essentiel pour n'importe quel serveur de messagerie. ESET
Cloud Office Security utilise un moteur antispam de pointe qui empêche les tentatives
d'hameçonnage et de remise de courrier indésirable avec des taux de capture très élevés.
ESET Cloud Office Security a réussi de manière consécutive un test de filtrage de courrier
indésirable de Virus Bulletin, autorité de test de sécurité de premier plan, et a reçu la
certification VBSpam+ pendant plusieurs années. Le moteur antispam a atteint un taux de
capture de courrier indésirable de 99,99 % sans aucun faux positif, ce qui en fait une
technologie de pointe en matière de protection antispam. La protection antispam d'ESET
Cloud Office Security est une solution cloud. La plupart des bases de données de cloud
sont situées dans les centres de données ESET. Les services cloud Antispam permettent
une mise à jour rapide des données, ce qui accélère le temps de réaction lorsqu'un
nouveau courrier indésirable apparaît.
Protection antihameçonnage
Cette fonctionnalité empêche les utilisateurs d'accéder à des pages web connues pour le
hameçonnage. Les e-mails peuvent contenir des liens menant à des pages Web
d'hameçonnage. ESET Cloud Office Security utilise un analyseur sophistiqué qui recherche
ces liens (URL) dans le corps et l'objet des e-mails entrants. Si des entités HTML sont
utilisées pour obscurcir les URL, le moteur anti-hameçonnage analyse et traduit
également les symboles HTML afin de trouver et d'évaluer correctement les URL
obscurcies. Les liens URL sont comparés à une base de données d'hameçonnage qui est
mise à jour en permanence. ESET Cloud Office Security peut également détecter les URL
contenant des homoglyphes codés dans Punycode. Cela signifie qu'un e-mail avec une URL
falsifiée ressemblant à celle d'une banque, d'une compagnie d'assurance ou d'un
détaillant bien connu voit certaines de ses lettres remplacées par des lettres similaires
d'un alphabet différent, afin de tromper l'utilisateur et de lui faire croire qu'il est légitime.
Ce type d'e-mail est considéré comme de l'hameçonnage.
Protection contre les Protection récompensée et innovante contre les logiciels malveillants, cette technologie
programmes
de pointe empêche les attaques. Elle élimine tous les types de menaces, notamment les
malveillants
virus, les ransomwares, les rootkits, les vers et les logiciels spyware, grâce à une analyse
dans le cloud pour des taux de détection plus élevés. D'un faible encombrement, cette
protection utilise peu de ressources système et n'a pas d'impact négatif sur les
performances. La détection des programmes malveillants utilise un modèle de sécurité
par couches. Chaque couche, ou phase, possède plusieurs technologies de base. La phase
de pré-exécution comprend les technologies suivantes : Scanner UEFI (Unified Extensible
Firmware Interface), protection contre les attaques réseau, réputation et cache, sandbox
intégré au produit, détections ADN. Les technologies de la phase d'exécution sont les
suivantes : bloqueur d'exploit, bouclier anti-ransomwares, analyseur de mémoire avancé
et analyseur de scripts (AMSI). La phase de post-exécution utilise les technologies
suivantes : protection anti-botnet, système CMPS et sandboxing. Cet ensemble de
technologies riche en fonctionnalités offre un niveau de protection inégalé.
Politique par défaut Les grandes entreprises ont généralement plusieurs services et souhaitent configurer
différents paramètres de protection pour chaque unité d’organisation. ESET Cloud Office
Security fournit des paramètres de protection basés sur des politiques qui peuvent être
attribués aux tenants, aux utilisateurs, aux groupes de travail ou aux sites SharePoint
sélectionnés. Vous pouvez personnaliser chaque politique en fonction de vos besoins.
Gestionnaire de mise Inspectez les objets mis en quarantaine et exécutez une action adéquate (téléchargement,
en quarantaine
suppression ou libération). Cette fonctionnalité permet de gérer de manière simple les emails, les pièces jointes et les fichiers d'Exchange Online / de OneDrive / des groupes de
travail / des sites SharePoint ayant été mis en quarantaine par ESET Cloud Office Security.
Le téléchargement vous offre la possibilité d’analyser les objets mis en quarantaine à
l’aide d’outils tiers, si nécessaire, ce qui peut vous aider pour décider l’action à exécuter.
3
Tableau de bord
Obtenez une vue d’ensemble rapide des activités de sécurité dans Microsoft 365. Le
avec des statistiques tableau de bord fournit des informations essentielles dans chacun de ses onglets de vue
de détection
d’ensemble (Exchange Online / OneDrive/ Groupes de travail / Sites SharePoint). La vue
d'ensemble des utilisateurs indique le nombre de tenants et l'utilisation des licences, ainsi
que les statistiques par client : nombre d’utilisateurs, principaux destinataires de courrier
indésirable/hameçonage/logiciel malveillant, principaux comptes OneDrive suspects et
principaux groupes de travail et sites SharePoint suspects. Vous pouvez choisir une
période et un tenant pour lesquels afficher les statistiques. D'autres statistiques et
graphiques de détection sont visibles dans les onglets de vue d'ensemble Exchange
Online, OneDrive, Groupes de travail et Sites SharePoint. Ces statistiques comprennent le
nombre d'e-mails et de fichiers analysés et le nombre de courriers indésirables,
d’hameçonnages et de logiciels malveillants détectés. Les graphiques montrent le trafic
pour chaque type de détection : courrier indésirable, logiciels malveillants et
hameçonnage.
Détections avec
options de filtrage
Cette fonctionnalité contient toutes les enregistrements concernant les détections. Ces
enregistrements comprennent les journaux de toutes les détections par analyse des emails dans l'onglet Exchange Online et l'analyse des fichiers dans les onglets OneDrive /
Groupes de travail / Sites SharePoint. Vous pouvez ainsi filtrer et trouver efficacement les
éléments que vous recherchez à l'aide d'informations supplémentaires sur la détection
spécifique (par exemple, un nom d’infiltration, un hachage de fichier, etc.).
Utilisateurs
L’entité centrale protégée par ESET Cloud Office Security est le compte d'utilisateur.
Recherchez des informations utiles en ouvrant les détails d’un utilisateur, tels que la vue
d’ensemble, les paramètres définis par des politiques, la liste des politiques attribuées à
l’utilisateur et les détections pour Exchange Online et OneDrive. Cette fonctionnalité est
utile lorsque vous devez examiner les détections liées à un utilisateur spécifique. Vous
pouvez également choisir les utilisateurs à protéger. Les utilisateurs sont classés dans des
groupes. Chaque groupe est un tenant Microsoft 365 contenant ses utilisateurs. Pour
simplifier la recherche d’un utilisateur spécifique dans un groupe, utilisez plusieurs
critères de filtrage.
Rapports et
protection par
apprentissage
machine
L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue
couche avancée de protection qui améliore la détection basée sur l’apprentissage
machine. Pour en savoir plus sur ce type de protection, consultez le Glossaire. Vous
pouvez configurer les niveaux des rapports pour les catégories suivantes : Logiciels
malveillants, Applications potentiellement indésirables, Applications potentiellement
suspectes et Applications potentiellement dangereuses.
Rapports (statistique Recevez par e-mail des données statistiques pour la protection Exchange Online et
et quarantaine de
OneDrive, les groupes de travail et les sites Sharepoint, ou générez un rapport pour une
messages)
date sélectionnée et téléchargez-le. Vous pouvez planifier la génération et la distribution
régulière des rapports à des destinataires spécifiés. Sélectionnez PDF ou CSV en tant que
format de sortie. Les rapports contiennent des données telles que le nombre d'e-mails
analysés, les logiciels malveillants détectés, les tentatives d'hameçonnage et le courrier
indésirable. Le format PDF comprend des données sous forme de graphique. Il existe un
graphique pour chaque catégorie : e-mails analysés, trafic des logiciels malveillants, trafic
du hameçonnage et trafic du courrier indésirable. Il contient également des statistiques
distinctes pour les principaux destinataires pour chaque catégorie : logiciels malveillants,
tentative d'hameçonnage et courrier indésirable. Plusieurs options sont disponibles pour
générer des rapports. En outre, vous pouvez envoyer un rapport sur la quarantaine des
messages (liste des e-mails mis en quarantaine) à des destinataires sélectionnés. Le
rapport sur la quarantaine des messages est envoyé à la date et à l'heure spécifiées, mais
uniquement s'il y a de nouveaux éléments à signaler.
Équipes et sites
4
ESET Cloud Office Security protège les groupes de travail ou les sites SharePoint. La
protection est ainsi étendue aux solutions de collaboration Microsoft 365 en protégeant le
partage de fichiers sécurisés SharePoint et équipes. Si vous avez utilisé l’outil ESET Cloud
Office Security, vous devrez peut-être mettre à jour le consentement avant d’utiliser les
Équipes et sites.
ESET LiveGuard
Advanced
Couche supplémentaire de protection contre les menaces avancées de type « zero-day ».
ESET LiveGuard Advanced est une solution de sandboxing cloud qui analyse les fichiers
soumis en exécutant le code suspect dans un environnement isolé afin d’évaluer son
comportement. ESET Cloud Office Security envoie à ESET LiveGuard Advanced des pièces
jointes et des fichiers suspects provenant d’Exchange Online, de OneDrive, des groupes de
travail et des sites SharePoint pour analyse. Activez et configurez la fonctionnalité ESET
LiveGuard Advanced à l’aide de politiques. Les résultats de l'analyse sont affichés dans les
journaux d'analyse.
Journal de
vérification
Le journal de vérification permet à l'administrateur d'inspecter les activités effectuées
dans ESET Cloud Office Security. Cette fonctionnalité peut s’avérer utile, tout
particulièrement s'il existe plusieurs utilisateurs de console ESET Cloud Office Security. Les
entrées du journal de vérification constituent une preuve des activités et montrent l'ordre
dans lequel elles se sont déroulées. Les journaux de vérification stockent des informations
sur une opération ou un événement spécifique. Les journaux de vérification sont créés dès
qu'un objet ESET Cloud Office Security (groupe de licences, utilisateur, politique, rapport,
élément en quarantaine comme une pièce jointe) est créé ou modifié. De plus, le journal
de vérification peut être envoyé via SysLogs si vous le souhaitez.
Google Workspace ESET Cloud Office Security étend la couverture des services de sécurité à un autre
(protection de Gmail fournisseur de messagerie cloud de premier plan, Google Workspace. ESET Cloud Office
et Google Drive)
Security offre une protection complète aux utilisateurs de Gmail et de Google Drive en
utilisant toutes ses fonctionnalités. Il protège les utilisateurs de Google Workspace contre
les logiciels malveillants, l'hameçonnage et le courrier indésirable.
Exportation de
sysLogs
Permet d'exporter les événements consignés répertoriés dans Détections et de les
envoyer à votre serveur Syslog. Vous pouvez choisir les événements à exporter. Les
événements concernent Exchange Online/Gmail, OneDrive/Google Drive, les groupes de
travail et SharePoint Online. Sélectionnez les tenants pour lesquels vous souhaitez
recevoir les événements. Vous pouvez configurer plusieurs exportations SysLog et les
activer/désactiver selon vos besoins. En outre, les journaux de vérification peuvent être
envoyés à l'aide de l'exportation Syslog.
Nouveautés
Voici des informations sur les nouvelles fonctionnalités et les améliorations qui ont été ajoutées dans chaque
version d'ESET Cloud Office Security :
Portail ECOS 490 Publication en novembre 2024
5
• Personnalisez le tableau de bord à l'aide du Mode d'édition pour changer sa disposition en ajoutant ou en
supprimant des widgets et en ajustant leur taille et leur ordre afin d'affiner l'affichage des informations
statistiques. Ajoutez des onglets personnalisés et réorganisez l'ordre des onglets si cela vous convient mieux.
• Ajout de champs SysLogs : Boîte aux lettres et nom d'utilisateur principal.
• L'ajout du retrait des e-mails permet de mettre en quarantaine manuellement n'importe quel e-mail,
notamment les e-mails non infectés (suite à une analyse) ou lorsque seule la pièce jointe a été mise en
quarantaine précédemment. Vous pouvez le faire à partir des journaux d'analyse et des détections. Cette
fonctionnalité s'avère utile pour les attaques avancées par harponnage qui sont généralement difficiles à
détecter. Déplacer un e-mail suspect de la boîte de réception d'un utilisateur vers la quarantaine empêche
l'utilisateur de l'ouvrir et vous permet de l'inspecter manuellement.
• Ajout d'une nouvelle option permettant d'ajouter des des exclusions de détection aux politiques. Alors que
vous pouviez déjà ajouter des exclusions d'expéditeurs pour le courrier indésirable, vous pouvez désormais
également exclure les fichiers de logiciels malveillants destinés à des fins de formation, comme les campagnes
de cybersécurité.
• Vous pouvez maintenant soumettre des faux positifs et des faux négatifs (courrier indésirable, hameçonnage
ou logiciels malveillants manqués) directement à partir des journaux d'analyse. De plus, vous pouvez bloquer
le domaine, l'adresse IP ou l'adresse e-mail de l'expéditeur dans le même écran. Vérifiez que l'option
Consigner les objets non infectés est activée dans les politiques pour voir les e-mails non infectés dans les
journaux d'analyse.
Portail ECOS 449 Publication en août 2024
• Ajout de la possibilité d'envoyer les journaux de vérification via SysLogs.
• Colonnes et filtre d'expéditeur pour les journaux d'e-mails dans les écrans Détections, Quarantaine et
Journaux d'analyse.
• L'API ESET Connect est désormais disponible pour la quarantaine et les détections ESET Cloud Office
Security.
• Les homoglyphes sont désormais évalués pendant la détection de l'hameçonnage.
• Le tableau de bord présente désormais des composants d'interface utilisateur mis à jour, ce qui permet
d'actualiser l'aspect général de la console.
Portail ECOS 409 Publication en mai 2024
• Ajout de l'exportation de sysLogs : envoi automatiquement de syslogs chiffrés au serveur syslog de votre
choix.
• Nouvelles analyses automatiques des e-mails : améliore encore le taux de capture du courrier indésirable
pour les e-mails dont le score de confiance est faible. Ces e-mails pourront être analysés à nouveau après
quelques secondes ou minutes, une fois que les systèmes internes d'ESET pourront tirer une conclusion fiable
sur ceux-ci.
• Un champ Expéditeur a été ajouté à la page des détails de l'e-mail, éliminant ainsi le besoin d'effectuer une
recherche dans les en-têtes des e-mails. L'expéditeur est la valeur « From » extraite des en-têtes. Le fait que
l'expéditeur soit disponible dans les détails facilite l'identification de l'expéditeur réel, par exemple lorsque
vous soupçonnez que le nom de l'expéditeur a été usurpé.
• Ajout d'un avertissement pour le tenant Google Workspace lorsque le consentement de l'application ESET
Cloud Office Security est révoqué (par exemple, l'application ESET Cloud Office Security est désinstallée).
• Autres corrections de bugs et améliorations du back-end.
Portail version 353 Publication le 23 novembre 2023
• Ajout de l'intégration de Google Workspace
• Navigateur de produits pour accéder rapidement à ESET Business Account (plus de consoles dans les
prochains mois).
• Autres corrections de bugs et améliorations du back-end.
Version du portail : 342.3 Publication le 24 octobre 2023
• Ajout de la vérification de compte d'administrateur Google Workspace.
• Ajout de la colonne de type Utilisateur.
• Autres corrections de bugs et améliorations du back-end.
Version du portail : 311.2 Publication le 31 juillet 2023
6
• Ajout de Google Workspace (protection Gmail et Google Drive) – accédez aux fonctionnalités d'aperçu à
partir des liens rapides.
• Ajout du thème en mode sombre.
• Ajout du Navigateur de produits pour les utilisateurs disposant d'un accès anticipé à ESET HUB.
• Autres corrections de bugs et améliorations du back-end.
Version du portail : 293.7 Publication le 13 juillet 2023
• Ajout de l'association des tenants aux sites ESET Business Account (EBA). Ce changement assure la
compatibilité avec le futur portail client ESET PROTECT HUB, qui remplacera ESET MSP Administrator (EMA) et
ESET Business Account (EBA). Il ne concerne que très peu de clients qui utilisent des licences provenant de
plusieurs sites pour protéger un seul tenant. Si c'est votre cas, vous serez invité à associer vos tenants aux sites
EBA.
• Autres améliorations mineures et corrections de bugs.
Version du portail : 251.1 Publication le 21 mars 2023
• Améliorations du chargement différé des écrans pour mieux prendre en charge les tenants dotés de dizaines
de milliers d’utilisateurs.
• Modifications apportées à l'assistant Ajout de tenant.
• Mises à jour de la page À propos de.
• Mises à jour des Conditions d'utilisation et de la Politique de confidentialité (Limites et politique de rétention
des données).
Intégration
Flux d'intégration d'ESET Cloud Office Security avec votre fournisseur de services cloud :
7
Spécifications
Les spécification techniques de référence pour ESET Cloud Office Security :
• Configuration requise
• Offres Microsoft 365 prises en charge
• Offres Google Workspace prises en charge
• Navigateurs Web pris en charge
• Limites et politique de rétention des données
Configuration requise
Pour tirer pleinement parti du service ESET Cloud Office Security protégeant Microsoft 365 et Google Workspace,
les éléments suivants sont nécessaires :
• Offre d’abonnement Microsoft 365 prise en charge
• Accès administrateur à Azure Active Directory (Azure AD)
8
• Azure Cloud Services – Exchange | OneDrive
• Compte sur le portail ESET Business Account ou ESET MSP Administrator
• Certificat SSL/TLS de serveur valide émis par une autorité de certification approuvée pour la fonctionnalité
Exportation de sysLogs
Offres Microsoft 365 prises en charge
ESET Cloud Office Security prend en charge les offres Microsoft 365, Exchange Online et OneDrive ci-après.
Offres d'entreprise Microsoft 365 :
• Microsoft 365 Apps for enterprise
• Microsoft 365 E3
• Microsoft 365 E5
• Microsoft 365 F3
• Office 365 E1
• Office 365 E3
• Office 365 E5
• Office 365 F3
Offres d'entreprise Microsoft 365 :
• Microsoft 365 Business Basic
• Microsoft 365 Business Standard
• Microsoft 365 Business Premium
• Microsoft 365 Apps
Offres Microsoft 365 Education :
• Microsoft 365 A3
• Microsoft 365 A5
Offres Exchange Online :
• Exchange Online (Plan 1)
• Exchange Online (Plan 2)
• Microsoft 365 Business Standard
Offres OneDrive :
9
• OneDrive for Business (Plan 1)
• OneDrive for Business (Plan 2)
• Microsoft 365 Business Basic
• Microsoft 365 Business Standard
Offres Google Workspace prises en charge
ESET Cloud Office Security prend en charge les offres Google Workspace ci-après.
• Business Starter
• Business Standard
• Business Plus
• Enterprise
Navigateurs Web pris en charge
Pour une expérience d'utilisation optimale de la console Web d'ESET Cloud Office Security Web Console, il
est recommandé de conserver les navigateurs Web à jour.
Vous pouvez utiliser la console ESET Cloud Office Security avec les navigateurs web suivants :
• Mozilla Firefox 69 et versions ultérieures
• Microsoft Edge 44 et versions ultérieures
• Google Chrome 77 et versions ultérieures
• Opera 63 et versions ultérieures
• Safari 13.x et versions ultérieures
Microsoft Internet Explorer n’est pas pris en charge.
Limites et politique de rétention des données
Dans certaines circonstances, ESET Cloud Office Security présente des limites en ce qui concerne les analyses. Un
fichier n'est pas analysé et apparaît dans les journaux d'analyse comme Non analysé dans les cas suivants :
• La taille du fichier est supérieure à 200 Mo
• L’analyse dure plus de 2 minutes et expire
• Le fichier d’archive possède au moins 10 niveaux d’imbrication (il s’agit généralement d’un fichier connu
10
sous le nom de bombe de décompression)
• Le fichier d'archive est protégé par mot de passe
• Le fichier est endommagé
Types de fichiers Google Drive (analysés et non analysés) :
• Les fichiers analysés par ESET Cloud Office Security sont des fichiers Blob. Selon la spécification des types
de fichiers de Google, les fichiers Blob sont des fichiers contenant du texte ou du contenu binaire stockés sur
Google Drive.
• ESET Cloud Office Security n'analyse pas les fichiers tels que les raccourcis et les documents Google
Workspace (fichiers créés par l'application Google Workspace : Google Docs,, Sheets, Slides, etc.). Il n'y a
pas de journal d'analyse pour les fichiers qui ne sont pas analysés.
Limites de quarantaine (en cas de sortie de quarantaine) :
• 15 Mo pour une pièce jointe à un e-mail
• 150 Mo pour l'ensemble de l'e-mail, pièces jointes comprises
Politique de rétention des données :
Entité
Période de rétention
Commentaire
Objets mis en quarantaine
30 jours
Les objets datant de plus de 30 jours seront définitivement supprimés.
Détections
90 jours
Les entrées datant de plus de 90 jours seront définitivement supprimées.
Entrées des journaux de l'analyse
90 jours
Les entrées datant de plus de 90 jours seront définitivement supprimées.
Entrées des journaux de l'analyse avec le
résultat d'analyse Non infecté
3 jours
Si vous disposez d'une politique qui utilise la fonction Consigner tous les objets, les résultats
d'analyse Non infecté datant de plus de trois jours seront définitivement supprimés.
Sauvegarde de la base de données ESET Cloud
Office Security
90 jours
Les sauvegardes datant de plus de 90 jours seront définitivement supprimées.
Journaux de vérification
90 jours
Les entrées datant de plus de 90 jours seront définitivement supprimées.
Journaux Application Insights
90 jours
Les entrées datant de plus de 90 jours seront définitivement supprimées.
Tenant supprimé de la console ESET Cloud Office Security
Lorsque vous supprimez un tenant de la console ESET Cloud Office Security, la période de rétention des données
du tenant est de 30 jours (quarantaine, journaux de l’analyse et statistiques supprimées après 30 jours). Si vous
rajoutez le tenant dans un délai de 30 jours, toutes les données seront restaurées. Les autres objets (tenants,
utilisateurs, groupes, sites, rapports, politiques) sont définitivement supprimés après 90 jours.
ESET Cloud Office Security désactivé dans ESET Business Account ou ESET MSP Administrator
Si vous désactivez ESET Cloud Office Security dans ESET Business Account ou ESET MSP Administrator, ce
processus supprime également les tenants de ESET Cloud Office Security. La suppression de ESET Cloud Office
Security est définitive et les données supprimées ne peuvent pas être restaurées.
Analyse antispam :
ESET Cloud Office Security analyse les e-mails stockés dans les boîtes aux lettres pour rechercher du courrier
indésirable. Pour cette raison, ESET Cloud Office Security ne peut pas empêcher un utilisateur d'envoyer un
courrier indésirable à une adresse e-mail externe. Dans un scénario peu probable, lorsque les identifiants d'un
utilisateur d'Office 365 sont volés, ils peuvent être utilisés par un spammeur pour envoyer du courrier indésirable
11
en masse (trafic de messages sortants).
Licence pour ESET Cloud Office Security
Gérez les licences ESET Cloud Office Security via ESET PROTECT Hub, ESET Business Account ou ESET MSP
Administrator. Essayez ESET Cloud Office Security avec une licence d'essai de 30 jours.
• Reportez-vous à ESET PROTECT Hub pour tout ce qui concerne les licences ESET Cloud Office Security.
• Reportez-vous à ESET Business Account pour créer un compte, ajouter une licence ou en gérer une.
• Voir ESET MSP Administrator si vous êtes un MSP.
ESET Business Account et ESET MSP Administrator (compte de licence hybride)
Si vous avez enregistré la même adresse e-mail dans ESET MSP Administrator et ESET Business Account
(authentification unique), vous pouvez basculer entre les vues ESET Business Account et ESET MSP Administrator.
Protégez les utilisateurs ou les sociétés à l'aide de la gestion des licences pour ESET Cloud Office Security.
La gestion des licences dans ESET Cloud Office Security ne permet pas au client de choisir des licences
individuelles. Au contraire, l'utilisation des licences est basée sur le concept de groupes de licences. Un
groupe de licences (représenté par une société ou un site dans ESET Business Account ou ESET MSP
Administrator) contient une ou plusieurs licences. C'est le système de gestion des licences qui décide de
l'attribution d'un appareil. Le client ne doit donc pas s'en préoccuper.
Période de grâce pour une licence arrivant à expiration dans ESET Business Account
Lorsque votre licence arrive à expiration, une alerte s'affiche dans l'interface d'ESET Business Account. Si la date
d'expiration est dépassée et que vous n'avez pas renouvelé votre licence ou activé une nouvelle licence, une
alerte d'expiration de licence s'affiche dans ESET Business Account. S'il n'existe pas de licence éligible, une
notification indiquant que votre licence sera suspendue dans 14 jours s'affiche dans ESET Business Account. Vous
recevez également un e-mail à l'adresse spécifiée dans votre compte d'administrateur.
Vous disposez d'un délai de 14 jours pour effectuer un renouvellement après l'expiration de votre licence. Vous
serez informé dans ESET Business Account et par e-mail à mi-chemin du délai de 14 jours. Après le délai de
14 jours, l'utilisation d'ESET Cloud Office Security sera suspendue. Le compte devient inaccessible et non
fonctionnel. Un compte ESET Cloud Office Security suspendu sera stocké. Il redeviendra accessible lorsqu'une
nouvelle licence ESET Cloud Office Security sera ajoutée à ESET Business Account. Votre compte ESET Cloud Office
Security peut rester suspendu jusqu'à 30 jours. Ensuite, il sera définitivement supprimé.
Si votre compte devient suspendu, vous en serez informé dans ESET Business Account et par e-mail 14 jours avant
la suppression de votre compte. Vous devez activer une nouvelle licence ESET Cloud Office Security pour
restaurer l'accès à votre compte ESET Cloud Office Security.
Les utilisateurs restent entièrement protégés pendant la période de grâce. Lorsque la période de grâce est
terminée, les utilisateurs ne sont plus protégés.
Licence suspendue
Si aucune licence ESET Cloud Office Security valide ne figure dans ESET Business Account, votre instance ESET
Cloud Office Security est suspendue. L'instance devient inaccessible et non fonctionnelle. Votre instance ESET
12
Cloud Office Security peut rester suspendue jusqu'à 30 jours. Ensuite, elle sera définitivement supprimée. Vous
devez activer une nouvelle licence éligible ESET Cloud Office Security pour restaurer l'accès à votre instance ESET
Cloud Office Security.
Compte ESET PROTECT Hub
ESET PROTECT Hub est une passerelle centrale vers la plate-forme de sécurité unifiée ESET PROTECT. Elle fournit
une gestion centralisée des identités, des abonnements et des utilisateurs pour tous les modules de la plateforme ESET. Avec ESET PROTECT Hub, vous pouvez :
• Obtenir une vue d'ensemble des abonnements de sécurité
• Vérifier l'utilisation et l'état des services souscrits
• Allouer et contrôler l’accès granulaire à chaque plateforme ESET
• Authentification unique pour toutes les plateformes ESET liées et accessibles
Si vous ne possédez pas de compte ESET PROTECT Hub enregistré, créez un compte et connectez-vous avec votre
adresse e-mail et votre mot de passe.
Pour plus d'informations, voir l'aide en ligne d'ESET PROTECT Hub.
ESET Business Account
ESET Business Account fonctionne comme un point d’accès unifié pour ESET Business Account et ESET Cloud
Office Security. Utilisez la page de connexion d'ESET Cloud Office Security ou d'ESET Business Account pour
accéder à ESET Cloud Office Security. Les deux pages vous redirigent vers l’authentification ESET Business Account
pour vérifier vos informations d'identification.
• Créez un compte si vous ne disposez pas de compte enregistré dans ESET Business Account.
• Si vous possédez un compte ESET Business Account, ajoutez votre licence ESET Cloud Office Security.
• Gérer ESET Business Account.
Création d'un compte ESET Business Account
1. Ouvrez la page de connexion ESET Business Account, puis cliquez sur S'enregistrer gratuitement. Remplissez
le formulaire avec soin pour l’enregistrement. L’adresse e-mail saisie sera utilisée en tant que nom
d'utilisateur.
2. Le mot de passe doit contenir au moins 10 caractères. Saisissez votre nom et les informations sur la société,
puis cliquez sur Continuer. Lisez les Conditions d'utilisation d'ESET et confirmez que vous les acceptez.
Remplissez le formulaire reCAPTCHA et cliquez sur Enregistrer.
3. Vous recevrez un e-mail de confirmation après votre inscription (cela peut prendre jusqu'à 15 minutes).
Cliquez sur le lien contenu dans l'e-mail de confirmation pour ouvrir la fenêtre Activate account (Activer le
compte).
13
4. Saisissez votre mot de passe et cliquez sur Activate (Activer) pour activer le compte ESET Business Account.
Vous recevez un autre e-mail indiquant que votre compte ESET Business Account a été créé. Vous êtes
maintenant prêt à vous connecter à ESET Business Account.
Une fois ESET Business Account activé, ajoutez votre licence ESET Cloud Office Security.
Ajouter une licence de ESET Cloud Office Security dans
ESET Business Account
Une fois connecté à ESET Business Account, l'écran de bienvenue d'ESET Business Account s’affiche si vous utilisez
l'application pour la première fois.
1. Cliquez sur Ajouter une licence pour ouvrir la fenêtre Licence. Si vous êtes un utilisateur régulier d'ESET
Business Account, accédez à l’onglet Licence et cliquez sur Ajouter une licence.
2. Saisissez votre clé de licence, puis cliquez sur Ajouter une licence.
3. Vous recevrez un e-mail contenant un lien de vérification. Cliquez sur le lien et saisissez les informations de
connexion au portail ESET Business Account lorsque vous y êtes invité. Pour plus d’informations sur la gestion
14
des licences, les utilisateurs et les sites, reportez-vous au Guide ESET Business Account .
Gérer ESET Business Account
Voici les activités courantes relatives aux licences :
Sites et groupe de licences
Les licences et les groupes de licences sont chargés depuis ESET Business Account. Les groupes de licences ne sont
disponibles que si des sites figurent dans ESET Business Account.
Créer un utilisateur dans ESET Business Account
Vous pouvez créer un utilisateur pour gérer un partage de vos licences.
1. Ouvrez ESET Business Account et connectez-vous.
2. Sélectionnez Gestion des utilisateurs, cliquez sur Nouvel utilisateur et saisissez les informations requises.
3. Sélectionnez les droits d'accès ESET Cloud Office Security pour un utilisateur :
• Lecture : l'utilisateur dispose d'un accès à ESET Cloud Office Security, peut afficher les utilisateurs, les
journaux et les détections, mais ne peut pas gérer de politique, protéger les utilisateurs ni sortir des
éléments de la quarantaine.
• Écrire : L’utilisateur dispose d’un accès complet à ESET Cloud Office Security, peut afficher et gérer les
utilisateurs, mettre des éléments en quarantaine et créer une politique.
• Aucun accès — L’utilisateur ne peut pas accéder à ESET Cloud Office Security
4. Définissez une langue dans les préférences utilisateur de la console ESET Cloud Office Security.
5. Cliquez sur Créer. L’utilisateur est alors créé.
Créer un site dans ESET Business Account
Les sites permettent de répartir ou fusionner vos licences dans des groupes de licences. Ce sont des groupes
individuels qui peuvent avoir leur propre emplacement et administrateurs.
1. Ouvrez ESET Business Account et connectez-vous.
2. Sélectionnez Détails, cliquez sur Créer un site et saisissez les informations personnelles requises.
3. Cliquez sur Ajouter un utilisateur, sélectionnez un utilisateur, puis cliquez sur Confirmer.
4. Dans le groupe de licences, cliquez sur Ajouter des unités et sélectionnez la licence ESET Cloud Office
Security. Vous pouvez modifier les sous-unités. Cliquez ensuite sur Confirmer.
5. Cliquez sur Créer. Le site est alors créé.
15
ESET MSP Administrator
ESET MSP Administrator est un système de gestion des licences qui permet aux utilisateurs MSP de créer plusieurs
clients MSP et de générer des licences spécifiques avec un nombre d'appareils. Le portail de licences ESET MSP
Administrator prend en charge la tarification sur volume et la facturation selon le nombre exact de jours/appareil
achetés.
ESET Cloud Office Security est disponible pour tous les MSP Managers, MSPs et managed MSPs. L'utilisateur ESET
MSP Administrator disposant d'un accès en écriture peut activer ESET Cloud Office Security. ESET Cloud Office
Security est accessible par les utilisateurs disposant des droits d'accès en écriture, en lecture ou personnalisés.
• Créer un client MSP (l'adresse e-mail du client est requise pour l'activation de la console ESET Cloud Office
Security)
• Activer ESET Cloud Office Security depuis ESET MSP Administrator.
Activation d'ESET Cloud Office Security
1. Connectez-vous à ESET Business Account ou ESET MSP Administrator et recherchez la vignette ESET Cloud
Office Security dans le tableau de bord.
2. Cliquez sur Activer dans le coin inférieur droit de la vignette ESET Cloud Office Security.
3. L’Assistant d’activation affiche les conditions d’utilisation ESET Cloud Office Security et indique
l’emplacement optimal du centre de données en fonction de votre localisation actuelle. Sélectionnez l’option
J’accepte les conditions d’utilisation, puis cliquez sur Activer. Nous vous recommandons de ne pas changer
l'emplacement du centre de données. En cas de besoin, vous pouvez choisir un autre emplacement.
Les centres de données sont entièrement séparés. Une fois que vous avez sélectionné l’emplacement du
centre de données, vous ne pouvez pas le modifier. De plus, vous n'êtes pas en mesure d'effectuer une
migration vers un autre emplacement. Pour modifier le centre de données, vous devez recommencer le
processus d’activation depuis le début.
16
4. Cliquez sur Ouvrir dans la vignette ESET Cloud Office Security. Le tableau de bord ESET Cloud Office Security
s’ouvre dans un nouvel onglet de navigateur.
Lorsque vous vous connectez à ESET Cloud Office Security pour la première fois, l'Assistant de démarrage d'
s'affiche. Cet Assistant vous guide tout au long du processus de déploiement initial.
1. Ajoutez votre tenant (Microsoft 365 ou Google Workspace).
17
2. Protéger les utilisateurs. Si vous choisissez d'ignorer cette étape, vous pourrez protéger les utilisateurs ou
les sociétés ultérieurement à l'aide de la gestion des licences pour ESET Cloud Office Security.
Gestion de vos tenants dans Paramètres
La page Paramètres contient une option qui permet de basculer entre les onglets Tenants et SysLogs.
18
Gérez les tenants connectés à ESET Cloud Office Security. Vous pouvez afficher tous les tenants enregistrés dans
un tableau comportant des détails sur chaque tenant. Utilisez le bouton Actualiser pour recharger le tableau
comportant les tenants.
Pour ajouter un nouveau tenant, cliquez sur Ajouter un tenant et choisissez Microsoft 365 ou Google Workspace
en fonction de la plate-forme cloud que vous souhaitez protéger. Une fois le processus d'inscription des tenants
terminé, Microsoft 365 ou Google Workspace est protégé par ESET Cloud Office Security.
Une fois que vous avez ajouté le tenant, l'écran affiche une liste des tenants associés à un site. Vous pouvez gérer
le tenant existant ou en ajouter d'autres. Le tableau indique le nom du tenant, le nombre d'utilisateurs, la date à
laquelle le tenant a été ajouté, le paramètre de langue, les utilisateurs sous licence Microsoft 365, le nom du site
et l'administrateur Google.
Langue
Ce paramètre détermine la langue des messages de notification envoyés par e-mail aux membres du tenant. Vous
pouvez définir séparément la langue de chaque tenant, dans le cas d’une gestion MSP de plusieurs sociétés.
Pour supprimer un tenant d'ESET Cloud Office Security, sélectionnez-le, puis cliquez sur Supprimer. Une fenêtre
de confirmation s’affiche pour que preniez une décision finale. Toutes les données de l'utilisateur seront
supprimées 30 jours après la suppression.
19
Utilisateurs avec licence Microsoft 365
Cette option est activée par défaut. Elle équivaut à la liste des utilisateurs du Centre d'administration
Microsoft 365 sous Utilisateurs > Utilisateurs actifs > Filtrer : Utilisateurs avec licence.
Si vous désactivez cette option, ESET Cloud Office Security affiche tous les utilisateurs, y compris ceux sans licence
Microsoft 365 (boîtes aux lettres partagées, par exemple). Si vous utilisez la protection automatique pour un
groupe ou un tenant contenant des utilisateurs sans licence Microsoft 365, ces utilisateurs deviennent visibles,
protégés et consomment des unités de licence ESET Cloud Office Security. L'état de la protection des utilisateurs
nouvellement visibles peut être En attente jusqu’à 1 heure. Une fois le processus de protection automatique
terminé, l'état de la protection devient Protégé ou un autre état dans la section Utilisateurs.
Si votre tenant ou groupe avec protection automatique contient un utilisateur sans boîte aux lettres et
espace OneDrive, ce dernier consommera une unité de licence ESET Cloud Office Security. L'état de la
protection Avertissement s’affichera pour cet utilisateur.
Lorsque vous réactivez l'option Utilisateurs avec licence Microsoft 365, seuls les utilisateurs disposant d'une
licence Microsoft 365 seront affichés. L’utilisateur sans licence Microsoft 365 ne s'affiche plus dans la section
Utilisateurs et les unités de licence ESET Cloud Office Security sont libérées. La prise en compte de la modification
peut prendre jusqu’à une heure.
Si vous avez protégé manuellement les utilisateurs sans licence Microsoft 365 (lorsque le paramètre
Utilisateurs avec licence Microsoft 365 était activé), ces utilisateurs resteront visibles et protégés même
après la désactivation du paramètre Utilisateurs avec licence Microsoft 365 (jusqu’à ce que les utilisateurs
ne soient plus protégés).
Site
Si vous souhaitez modifier le site auquel le tenant est associé, cliquez sur le nom du site pour ouvrir la fenêtre
Sélectionner un site à protéger et apportez les modifications requises.
Administrateur Google
L'administrateur Google doit être une adresse e-mail active de votre administrateur Google Workspace.
Si le rôle ou l'adresse e-mail de l'administrateur est sur le point de changer, mettez à jour les informations
d'administrateur Google en cliquant dessus. Faites-le à l'avance pour assurer la fonctionnalité du tenant et
la protection de votre site.
Mettre à jour le consentement
Si un bouton jaune s'affiche, vous pouvez mettre à jour votre consentement. La mise à jour du consentement
pour le tenant existant étend les autorisations ESET Cloud Office Security à votre compte Microsoft 365, ce qui
active une fonctionnalité qui fournit des informations sur le type d'utilisateur. Le type d'utilisateur est défini dans
Azure Active Directory et s'affiche dans une dans une colonne dédiée de la section Utilisateurs. Par exemple, vous
pouvez filtrer les utilisateurs Microsoft 365 selon leur type si vous souhaitez répertorier uniquement les boîtes
aux lettres partagées.
Cliquez sur le bouton Mettre à jour pour chaque tenant pour lequel vous souhaitez activer cette fonctionnalité. La
mise à jour du type d'utilisateur à partir d'Azure AD peut prendre jusqu'à 24 heures.
Si un bouton rouge s'affiche, cela signifie que le consentement a été révoqué ou qu'une autre modification
20
apportée a eu un impact sur l'intégration du tenant avec ESET Cloud Office Security. Cliquez sur le bouton Mettre
à jour si vous souhaitez continuer à protéger les utilisateurs.
Ajout de votre première tenant
Pour protéger votre plate-forme cloud, cliquez sur Ajouter un tenant pour connecter Microsoft 365 ou
Google Workspace à ESET Cloud Office Security.
Vous devriez voir une liste des sites disponibles dans la fenêtre Sélectionner un site à protéger. Utilisez la case à
cocher pour sélectionner le site que vous souhaitez associer à un tenant, puis cliquez sur Suivant.
21
Cliquez sur la vignette Microsoft 365 ou Google Workspace dans la fenêtre Sélectionnez le service cloud à
protéger, puis suivez les étapes suivantes.
22
Tenant Microsoft 365
Azure Active Directory (Azure AD) organise les objets tels que les utilisateurs et les applications en groupes
appelés tenants. Une méthode classique pour identifier un tenant consiste à utiliser un nom de domaine. Si
plusieurs utilisateurs partagent un nom de domaine, ils font partie d'un même tenant. Les tenants permettent de
définir des politiques pour les utilisateurs et les applications de votre entreprise afin de respecter les politiques de
sécurité et d’exploitation. Vous pouvez protéger et gérer plusieurs tenants Microsoft 365 à partir d’une seule
console ESET Cloud Office Security.
Pour plus d’informations, reportez-vous à l’article de Microsoft sur la location dans Azure Active Directory.
Ajouter un tenant
1. Accédez à Paramètres (ou à tout autre emplacement où vous voyez le bouton Ajouter un tenant) et cliquez
sur Ajouter un tenant.
2. Cliquez sur la vignette Microsoft 365.
3.Saisissez le nom du client ou le nom de domaine complet Microsoft 365, puis cliquez sur Ajouter un tenant.
Exemple de format de nom : mycompany ou mycompany.onmicrosoft.com
4.Vous serez alors redirigé vers la page d’autorisation Microsoft Online comportant la liste des autorisations
requises par ESET Cloud Office Security.
23
5. Saisissez vos informations d'identification de compte administrateur Microsoft 365 pour autoriser ESET
Cloud Office Security à accéder aux données figurant dans votre compte Microsoft, puis cliquez sur Accepter.
24
6. Votre tenant Microsoft 365 a été ajouté, y compris les utilisateurs.
25
7. Pour terminer la configuration, cliquez sur Suivant et sélectionnez les utilisateurs à protéger.
Tenant Google Workspace
Intégrez votre tenant Google Workspace à ESET Cloud Office Security pour activer la protection des utilisateurs de
Google Workspace.
Ajouter un tenant
1. Accédez à Paramètres (ou à tout autre emplacement où vous voyez le bouton Ajouter un tenant) et cliquez
sur Ajouter un tenant.
26
2. Cliquez sur la vignette Google Workspace.
3. Cliquez sur Ouvrir Google Workspace Marketplace, puis installez l'application ESET Cloud Office Security à
l'aide d'un compte administrateur. L'application ESET Cloud Office Security est actuellement disponible sur
Google Workspace Marketplace uniquement via le lien direct de cet assistant.
27
4. Cliquez sur Continue (Continuer) dans l'écran Admin install (Installation de l'administrateur).
28
5. Assurez-vous que l'option Everyone at your organization (Tout le monde dans votre organisation) est
sélectionnée dans l'écran des droits d'accès. En outre, vous devez cocher la case Conditions d'utilisation et
Politique de confidentialité avant de cliquer sur Terminer.
29
30
6. L'application ESET Cloud Office Security est installée ; cliquez sur Terminé.
7. Une fois l'installation de l'application ESET Cloud Office Security terminée, retournez dans la console ESET
Cloud Office Security. Cliquez sur Indiquer un compte Google et ajouter un tenant pour vérifier la propriété et
continuer.
8. Votre tenant Google Workspace a été ajouté, y compris les utilisateurs.
31
9. Pour terminer la configuration, cliquez sur Suivant et sélectionnez les utilisateurs à protéger. Vous avez
maintenant terminé.
Suppression d'un tenant d'ESET Cloud Office Security
1. Sélectionnez Paramètres.
2. Sélectionnez le tenant applicable, puis cliquez sur Supprimer.
3. Une fenêtre de notification avertit que ce processus supprimera les données comme indiqué dans Limites et
politique de rétention des données et que les utilisateurs ne seront plus protégés. Cliquez sur Supprimer pour
confirmer la suppression. Il s'agit de la dernière étape si vous avez supprimé le tenant Microsoft 365. Si vous
32
avez supprimé le tenant Google Workspace (GWS), passez à l'étape 4 pour supprimer l'application ESET Cloud
Office Security.
Lorsque vous supprimez un tenant de la console ESET Cloud Office Security, les données liées à l'analyse du
tenant (quarantaine, journaux d'analyse et statistiques) sont conservées pendant 30 jours. Passé ce délai,
elles sont définitivement supprimées.
Si vous rajoutez le tenant dans un délai de 30 jours, toutes les données seront restaurées. Les autres objets
(tenants, utilisateurs, groupes, sites, rapports, politiques) sont définitivement supprimés après 90 jours.
Pour plus d'informations, consultez Limites et politique de rétention des données.
Pour le tenant GWS uniquement : supprimez l'application ESET Cloud Office Security via la console
d'administration Google Workspace :
4. Connectez-vous à votre console d'administration GWS.
5. Accédez à Applications > Applications Google Workspace Marketplace > Liste des applications et cliquez
sur ESET Cloud Office Security dans la colonne Nom de l'application.
6. Cliquez sur DÉSINSTALLER L'APPLICATION et confirmez la désinstallation lorsque vous y êtes invité. Vous
avez maintenant effectué toutes les étapes.
33
Navigation dans ESET Cloud Office Security
Découvrez comment naviguer dans l'interface d'ESET Cloud Office Security. Vous pourrez rapidement vous
familiariser avec les éléments de navigation et les outils d'ESET Cloud Office Security, qui se veulent intuitifs et
faciles à utiliser tout en étant interactifs.
Utilisez la barre de navigation sur le côté gauche pour basculer entre les différentes parties de la console ESET
Cloud Office Security :
Tableau de bord
Utilisateurs
Équipes et sites
Détections
Quarantaine
Journaux de l'analyse
Rapports
34
Stratégies
Gestion des licences
Journal de vérification
Paramètres
Réduire : Permet de développer et de réduire le menu de navigation. La réduction du panneau permet
d’obtenir plus d'espace d’écran pour le tableau de bord. Pour développer le panneau de navigation, cliquez sur
l'icône
.
La barre d'outils en haut de l'écran est disponible en permanence :
Navigateur de produits : accès rapide aux consoles ESET et à d'autres liens utiles. (Vous pouvez voir les
produits respectifs en fonction de votre licence et de vos droits d'accès).
ESET Business Account et ESET MSP Administrator (compte de licences hybride) : si vous avez enregistré la
même adresse e-mail dans ESET MSP Administrator et ESET Business Account (authentification unique), vous
pouvez basculer entre les vues ESET Business Account et ESET MSP Administrator.
Afficher les notifications : Pour afficher toutes les notifications, cliquez sur l'icône de cloche
supérieure.
dans la barre
Liens rapides : Permet d’accéder facilement et rapidement aux options suivantes : Ajouter un tenant, Nouvelle
politique, ESET Business Account et ESET MSP Administrator.
Aide : Le premier lien de ce menu pointe toujours vers l'aide en ligne de l'écran actuel. Si vous ne parvenez pas
à résoudre un problème, effectuez des recherches dans la base de connaissances ESET ou sur le forum
d'assistance. Vous pouvez également envoyer des commentaires ou soumettre un échantillon pour analyse.
Ouvrez la page À propos qui contient des informations détaillées sur la version d'ESET Cloud Office Security et des
liens vers des documents juridiques.
Utilisateur (actuellement connecté) : Affiche le nom d'utilisateur. Cliquez sur Définir le thème et sélectionnez
celui souhaité dans le menu déroulant :
• Thème (clair) par défaut — ESET Cloud Office Security utilise un modèle de couleurs claires (standard).
• Thème sombre - ESET Cloud Office Security utilise un modèle de couleurs foncées (mode sombre).
• Thème du système d'exploitation — le modèle de couleurs ESET Cloud Office Security est basé sur les
paramètres de votre système d'exploitation.
Se déconnecter : Appuyez sur le pictogramme omniprésent pour quitter la console ESET Cloud Office Security.
35
Changement de langue du portail ESET Cloud Office Security
Connectez-vous à ESET Business Account ou ESET MSP Administrator, accédez à Gestion des utilisateurs et
modifiez l’utilisateur. Recherchez le paramètre linguistique ESET Cloud Office Security, choisissez la préférence
linguistique, puis cliquez sur Enregistrer avant de quitter l'écran Profil.
Tableau de bord
Le tableau de bord est un ensemble de widgets qui fournissent une vue d’ensemble des activités de sécurité de
Microsoft 365 et Google Workspace. Il fournit des informations essentielles dans chacun de ses onglets de vue
d'ensemble (Vue d'ensemble, Exchange Online, OneDrive, groupe de travail, sites SharePoint, Gmail, Google
Drive, ESET LiveGuard Advanced et vos onglets personnalisés). L'écran Vue d’ensemble est l'écran principal du
tableau de bord qui s'affiche à chaque connexion à la console ESET Cloud Office Security. Il affiche des
informations générales et statistiques.
Le tableau de bord se veut intuitif avec une interface interactive. Il utilise un design réactif. Vous pouvez le
personnaliser en modifiant sa disposition, en choisissant les widgets à afficher, en redimensionnant et en
réorganisant leur position, en modifiant l'ordre des onglets à votre convenance ou même en ajoutant des onglets
personnalisés.
Utilisez les filtres :
• Vous pouvez sélectionner Tous les tenants, un seul tenant ou plusieurs tenants spécifiques pour lesquels
vous souhaitez afficher des statistiques.
• Utilisez le filtre Période pour afficher uniquement les données de cette période. Sélectionnez Aujourd’hui,
Cette semaine, Ce mois, Dernier nombre de jours, Semaine précédente, Mois précédent ou Personnalisé.
Lorsque vous sélectionnez Personnalisé, vous pouvez spécifier une plage (date de début et date de fin).
L’intervalle d'actualisation du tableau de bord est de 10 minutes. Si votre tableau de bord ne comporte pas
les toutes dernières informations, utilisez l'icône d’actualisation en haut à droite, en regard du bouton
Mode d'édition, ou appuyez sur F5 pour l'actualiser manuellement.
Cliquez sur Mode d'édition pour commencer la personnalisation du tableau de bord. Ajoutez un widget à partir
36
du menu déroulant des widgets prédéfinis ou supprimez un widget existant en cliquant sur l'icône de la corbeille
dans le coin supérieur droit de celui-ci. Réorganisez les widgets en les déplaçant et en les redimensionnant (en les
étirant ou en les rétrécissant) selon vos préférences. Lorsque vous êtes satisfait de la nouvelle disposition, cliquez
sur Enregistrer les modifications.
Si vous souhaitez recommencer ou revenir à la disposition d'origine, cliquez sur Rétablir les valeurs par défaut.
Pour annuler les dernières modifications et conserver l'état précédent, cliquez sur Annuler les modifications tout
en restant en mode d'édition. La fonction Ignorer les modifications quitte automatiquement le mode d'édition,
tout comme l'option Annuler. Vous pouvez ainsi personnaliser chaque onglet du tableau de bord. Vous pouvez en
ajouter un personnalisé en cliquant sur le signe + à côté du dernier onglet. Après avoir ajouté un nouvel onglet
personnalisé, vous pouvez le renommer et y ajouter les widgets de votre choix, en les disposant comme vous le
souhaitez.
Le tableau de bord utilise un design réactif et comporte plusieurs points d'arrêt qui s'adaptent au type d'appareil
(téléphone portable, tablette, ordinateur portable ou ordinateur de bureau). Le point d'arrêt utilisé dépend de la
résolution de l'écran de l'appareil sur lequel le tableau de bord est affiché. Chaque point d'arrêt se souvient de sa
disposition, y compris de votre personnalisation. La disposition du tableau de bord change en fonction d'un point
d'arrêt pour votre appareil actuel.
D'autres statistiques et graphiques de détection sont visibles dans les onglets de vue d'ensemble Exchange
Online, OneDrive, Groupes de travail, Sites SharePoint, Gmail, Google Drive et ESET LiveGuard Advanced. Ces
statistiques comprennent le nombre d'e-mails et de fichiers analysés et le nombre de courriers indésirables,
d’hameçonnages et de logiciels malveillants détectés. Les graphiques montrent le trafic pour chaque type de
détection : courrier indésirable, logiciels malveillants et hameçonnage.
Il peut arriver que la barre d’annonce s'affiche. Les couleurs indiquent le type d’annonce (bleu = actualités, jaune
= sensibilisation, rouge = avertissement).
Utilisez les onglets du tableau de bord pour basculer entre les volets de vue :
Présentation
montre
• le nombre de tenant et les statistiques d'utilisation
• des licences par tenant :
oNombre total d'utilisateurs/Utilisateurs non protégés
oPrincipaux destinataires de courrier indésirable/d’hameçonnage/de logiciel malveillant
oPrincipaux comptes de lecteur suspects
oPrincipaux groupes de travail suspects
oPrincipaux sites SharePoint suspects
descendre dans la hiérarchie
• cliquez sur la vignette Nombre total d’utilisateurs pour ouvrir la section Utilisateurs
• cliquez sur un utilisateur dans la section des statistiques (courrier indésirable/hameçonnage/logiciel
malveillant/OneDrive) pour afficher les détections pertinentes ou cliquez sur un groupe ou un site pour afficher
les détections et obtenir des détails supplémentaires sur le groupe de travail ou le site SharePoint suspect.
Exchange Online
37
affiche
• le nombre total d’e-mails analysés
• les statistiques du courrier indésirable, des logiciels malveillants et des e-mail de hameçonnage détectés
• des graphiques dont chacun représente le trafic du courrier indésirable, des logiciels malveillants et du
hameçonnage
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
OneDrive
affiche
• le nombre d’utilisateurs protégés
• le nombre total de fichiers analysés
• les statistiques des logiciels malveillants détectés
• un graphique qui représente le trafic des logiciels malveillants
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
Groupes de travail
affiche
• le nombre de groupes protégés
• le nombre total de fichiers analysés
• les statistiques des logiciels malveillants détectés
• un graphique qui représente le trafic des logiciels malveillants
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
Sites SharePoint
affiche
• le nombre de sites protégés
• le nombre total de fichiers analysés
• les statistiques des logiciels malveillants détectés
• un graphique qui représente le trafic des logiciels malveillants
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
Gmail
affiche
• le nombre total d’e-mails analysés
• les statistiques du courrier indésirable, des logiciels malveillants et des e-mail de hameçonnage détectés
• des graphiques dont chacun représente le trafic du courrier indésirable, des logiciels malveillants et du
hameçonnage
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
Google Drive
38
affiche
• le nombre d’utilisateurs protégés
• le nombre total de fichiers analysés
• les statistiques des logiciels malveillants détectés
• un graphique qui représente le trafic des logiciels malveillants
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
ESET LiveGuard Advanced
affiche
• fichiers soumis (le nombre comprend les doublons et il peut être supérieur à celui des fichiers uniques)
• nombre de détections
• durée moyenne de l’analyse
• graphique représentant les fichiers soumis
• principaux propriétaires de fichiers soumis
• types de fichiers envoyés
Les vignettes sont interactives. Cliquez sur une vignette qui vous intéresse et accédez à la section correspondante
dans la console ESET Cloud Office Security. Par exemple, la section Journaux d'analyse avec des entrées
pertinentes s'ouvre.
Utilisateurs
L’entité centrale protégée par ESET Cloud Office Security est le compte d'utilisateur. Double-cliquez sur un
utilisateur pour rechercher des informations utiles, telles que la vue d’ensemble, les paramètres définis par des
politiques, la liste des politiques attribuées à l’utilisateur et les détections pour Gmail, Google Drive, Exchange
Online et OneDrive. Vous pouvez également choisir les utilisateurs qui seront protégés ou non protégés. Les
utilisateurs sont classés dans des groupes. Chaque groupe est un tenant Microsoft 365 contenant ses utilisateurs.
Pour simplifier la recherche d’un utilisateur spécifique dans un groupe, vous pouvez utiliser le filtrage avec
plusieurs critères.
Par défaut, les utilisateurs qui ne disposent pas d’une licence Microsoft 365 ne sont pas affichés dans la
console ESET Cloud Office Security. Cela comprend les boîtes aux lettres partagées sans licence
Microsoft 365.
Si vous souhaitez afficher et gérer tous les utilisateurs Microsoft 365, accédez à Paramètres, puis désactivez
Utilisateurs avec licence Microsoft 365.
État de la protection
État
Non protégé
Protection
automatique
39
Description
Un utilisateur n’est pas protégé actuellement.
Utilisateur protégé avec la protection automatique.
En attente
État transitoire qui a lieu pendant le processus de protection d’un utilisateur. Une fois
ce processus terminé, l’état de l’utilisateur devient Protégé.
Protégé
La boîte aux lettres et l'espace OneDrive de l'utilisateur sont protégés par la politique
par défaut ou une politique personnalisée.
État
Description
Avertissement
Le processus de protection d’un utilisateur a échoué. Une erreur s'est peut-être
produite pour les ressources, la boîte aux lettres ou OneDrive. Il est probable que les
deux ressources ne soient pas disponibles pour l’utilisateur. Vérifiez si l’utilisateur
dispose d’une licence Microsoft 365 valide.
Naviguez dans l’arborescence pour n'afficher des utilisateurs que pour un tenant ou un groupe spécifique. Pour
afficher tous les utilisateurs de tous les tenants et groupes, cliquez sur Tous.
Pour obtenir des informations plus détaillées, double-cliquez sur un utilisateur ou cliquez sur l'icône
et
sélectionnez une action (Afficher les détails, Protéger ou Annuler la protection). Cliquez sur un utilisateur pour
ouvrir la fenêtre Afficher les détails qui se compose de quatre parties :
Action
Utilisation
Présentation Affiche des informations de base sur l’utilisateur chargé à partir d’Microsoft 365 (e-mail,
groupe, profil de poste, etc.). L'état de la protection actuel de la boîte aux lettres et de l'espace
OneDrive s’affiche également.
Configuration Contient une liste en lecture seule des paramètres et de politique par défaut affectées pour cet
utilisateur. Passez d'un onglet à un autre pour afficher la configuration ou la liste des politiques
attribuées. Vous ne pouvez pas modifier les paramètres ni attribuer des politiques aux
utilisateurs. Retournez plutôt dans la section Politiques.
Détections
Affiche toutes les détections pour ce compte d'utilisateur (Gmail, Google Drive, Exchange
Online ou OneDrive).
Quarantaine Affiche tous les e-mails et les fichiers stockés dans la quarantaine de cet utilisateur. Vous
pouvez également utiliser une action : Libérer, Télécharger ou Supprimer des e-mails ou des
fichiers en quarantaine.
Vous pouvez filtrer des utilisateurs selon plusieurs critères. Cliquez sur Ajouter un filtre, sélectionnez un type de
filtre dans le menu déroulant ou saisissez une chaîne (répétez l’opération lorsque vous associez plusieurs
critères) :
Ajouter un filtre
État de la protection
Utilisation
Sélectionnez l’état Protégé, Non protégé, Avertissement ou En attente d’un utilisateur.
Protection automatique Affichez uniquement les utilisateurs protégés automatiquement.
Nom
Saisissez un nom d'utilisateur valide.
Adresse électronique
Saisissez une adresse e-mail d’utilisateur valide.
Type
Sélectionnez le type d'utilisateur (Inconnu, Utilisateur, Lié, Boîte aux lettres partagée,
Salle, Équipement, Autres).
Protéger les utilisateurs
1. Sélectionnez les utilisateurs qui seront protégés et cliquez sur Protéger.
2. Sélectionnez le groupe de licences chargé depuis ESET Business Account, puis cliquez sur OK. La politique par
défaut protège maintenant les utilisateurs sélectionnés.
3. Si nécessaire, spécifiez une politique personnalisée pour les utilisateurs dans la section Politique par défaut.
Annuler la protection des utilisateurs
Sélectionnez les utilisateurs qui ne seront plus protégés, puis cliquez sur Annuler la protection.
40
Équipes et sites
ESET Cloud Office Security protège les groupes de travail ou les sites SharePoint.
Basculez entre les groupes de travail et les sites SharePoint à l'aide des onglets. La liste des groupes de travail ou
des sites SharePoint est alors affichée pour chaque tenant.
Groupes de travail
affiche les objets qui sont du type de groupe Microsoft 365, notamment son site de l’équipe SharePoint par
défaut et OneDrive :
• nom
• état
• e-mail
• tenant
Pour protéger les groupes de travail, vérifiez qu'au moins un membre est protégé par ESET Cloud Office Security.
Chaque groupe Microsoft 365 possède un site d’équipe SharePoint par défaut et OneDrive qui sont également
protégés.
Sites SharePoint
affiche tous les sites racines SharePoint qui ne sont pas associés au groupe Microsoft 365 :
• nom
• état
• URL
• tenant
Les sites SharePoint sont protégés automatiquement, y compris leurs sous-sites (non illustré).
Pour obtenir des informations détaillées, cliquez sur un groupe de travail ou un site SharePoint pour ouvrir la
fenêtre Afficher les détails qui se compose de quatre parties :
Action
Utilisation
Présentation Affiche les informations nécessaires sur les groupes de travail ou les sites SharePoint chargés à
partir de Microsoft 365 (e-mail, propriétaire, membres, auteur, URL, etc.). L'état de la protection
actuel d'un groupe de travail ou d'un site SharePoint s’affiche également.
Configuration Contient une liste en lecture seule des paramètres et de politique par défaut affectées. Passez
d'un onglet à un autre pour afficher la configuration ou la liste des politiques attribuées. Vous ne
pouvez pas modifier les paramètres ni attribuer des politiques. Retournez plutôt dans la section
Politiques.
Détections
Affiche toutes les détections pour le groupe de travail ou le site SharePoint.
Quarantaine Affiche tous les fichiers en quarantaine. Vous pouvez également utiliser une action : Libérer,
Télécharger ou Supprimer les fichiers en quarantaine.
41
Cliquez sur Ajouter un filtre pour filtrer les groupes de travail ou les sites SharePoint.
Détections
Répertorie toutes les détections par ESET Cloud Office Security. Basculez entre Gmail, Google Drive, Exchange
Online, OneDrive, les groupes de travail et les sites SharePoint à l'aide des onglets. Consultez des informations sur
chaque détection, par exemple les fichiers détectés qui ont été chargés dans un groupe de travail dans l’onglet
Groupes de travail.
Cliquez sur l'icône
pour ouvrir une barre latérale contenant le résumé d'une entrée spécifique du journal
(détection). Pour obtenir des informations plus détaillées, cliquez sur l'icône représentant trois points
ou
cliquez avec le bouton droit sur un élément et sélectionnez Afficher les détails.
Cliquez sur l'icône
ou cliquez avec le bouton droit sur un élément et sélectionnez une action :
Action
Utilisation
Soumettre un
échantillon
La boîte de dialogue de soumission d'échantillons vous permet d'envoyer un fichier suspect de
logiciel malveillant, un courrier indésirable ou un hameçonnage aux laboratoires ESET pour
analyse. Vous pouvez également signaler les faux positifs en matière de logiciels malveillants,
de courrier indésirable ou d'hameçonnage. Sélectionnez un motif de soumission d'un
échantillon parmi les options actuellement disponibles dans le menu déroulant. Les options
actuellement disponibles peuvent varier en fonction de l'élément que vous soumettez à
l'analyse. Si l'option Bloquer l'expéditeur s'affiche (lors de l'envoi d'un courrier indésirable),
vous pouvez choisir de bloquer l'expéditeur par adresse e-mail, domaine ou adresse IP et
sélectionner votre politique personnalisée qui sera modifiée pour gérer le blocage de
l'expéditeur. Si vous n'avez pas de politique personnalisée, cliquez sur Créer une politique.
Mettre l'e-mail Mettez manuellement un e-mail en quarantaine. Cette fonctionnalité est connue sous le nom
en quarantaine de retrait des e-mails. Vous pouvez mettre n'importe quel e-mail en quarantaine. Cette
fonctionnalité s'avère par exemple utile pour les attaques avancées par harponnage qui sont
généralement difficiles à détecter. Déplacer un e-mail suspect de la boîte de réception d'un
utilisateur vers la quarantaine empêche l'utilisateur de l'ouvrir et vous permet de l'inspecter
manuellement. En outre, vous pouvez utiliser l'action Mettre l'e-mail en quarantaine sur un
élément dont seule la pièce jointe a été mise en quarantaine, ce qui vous permet de mettre
l'intégralité de l'e-mail en quarantaine.
Naviguez dans l’arborescence pour afficher les détections uniquement pour un tenant ou un groupe spécifique.
Pour afficher toutes les détections de tous les tenants et groupes, cliquez sur Tous. Pour faciliter la recherche
d’une détection spécifique, vous pouvez appliquer un filtre comportant plusieurs critères. Cliquez sur Ajouter un
filtre, sélectionnez le type de filtre dans le menu déroulant ou saisissez une chaîne (répétez l’opération lorsque
vous associez critères) :
Ajouter un filtre
Est survenu de
Utilisation
Indiquez une plage « date de début ».
Est survenu dans Indiquez une « date de fin ».
Objet
S'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression
régulière) dans l'objet.
Message-ID
Filtrez les e-mails par Message-ID unique lorsque vous recherchez un message spécifique,
notamment dans les journaux volumineux contenant de nombreux messages ou plusieurs
tentatives de remise.
De
Filtrez les messages par expéditeur spécifique.
42
Ajouter un filtre
À
Utilisation
Filtrez les messages par destinataires.
Boîte aux lettres S'applique aux messages situés dans une boîte aux lettres spécifique.
Résultat du scan Sélectionnez l'une des options suivantes : Logiciel malveillant,
Logiciel malveillant (détecté
par ESET LiveGuard Advanced), hameçonnage ou courrier indésirable.
Action
Sélectionnez l'une des actions disponibles.
Équipe
Saisissez un nom d’équipe valide.
Site
Saisissez un nom de site valide.
Type de fichier
Saisissez un nom d’objet valide.
Détection
Saisissez un nom de détection valide.
Hachage
Saisissez un hachage de détection valide.
Lecteur
Filtrez les fichiers par Google Drive ou OneDrive.
Expéditeur
Filtrez les messages envoyés par un expéditeur spécifique.
Raison anti-spam Filtrez les messages en fonction d'un motif marqué par le moteur antispam.
Lorsque vous cliquez sur l'icône , l'option Supprimer les éléments en liste blanche devient disponible si vous
avez précédemment mis un fichier en liste blanche en le libérant de la quarantaine pour le même utilisateur.
Utilisez cette option pour supprimer un fichier de la liste blanche. Tous ces prochains fichiers seront mis en
quarantaine.
La période de conservation des détections est de 90 jours. Les entrées datant de plus de 90 jours seront
définitivement supprimées.
Signaler un faux positif (FP)/faux négatif (FN)
Une alternative à l'action Soumettre un échantillon consiste à signaler manuellement les détections FP et FN
pour le courrier indésirable, l'hameçonnage ou les logiciels malveillants en envoyant un échantillon aux
laboratoires ESET pour analyse. Adresses e-mail auxquelles envoyer les échantillons :
Courrier indésirable : envoyez un e-mail à [email protected] pour les e-mails marqués incorrectement
comme courrier indésirable ou à [email protected] pour le courrier indésirable non détecté avec le message
d’origine en tant que pièce jointe au format .eml ou .msg.
Hameçonnage : pour signaler une classification fausse positive ou fausse négative du hameçonnage, rédigez un email à [email protected] en indiquant 'phishing email' dans la ligne d’objet et joignez l'e-mail de hameçonnage
en tant que pièce jointe au format .eml ou .msg.
Logiciels malveillants : pour signaler une classification fausse positive ou fausse négative des logiciels
malveillants, rédigez un e-mail à [email protected] en indiquant 'False positive' ou 'Suspected infection' dans la
ligne d’objet et joignez le ou les fichiers compressés au format .zip ou .rar en tant que pièce jointe.
Quarantaine
Gestion simple des objets (e-mails et fichiers) mis en quarantaine par ESET Cloud Office Security. Basculez entre
Gmail, Google Drive, Exchange Online, OneDrive, les groupes de travail et les sites SharePoint à l'aide des onglets.
Vous pouvez consulter de nombreuses informations sur chaque objet.
43
Cliquez sur l'icône
pour ouvrir une barre latérale contenant le résumé d'un objet spécifique. Pour obtenir des
informations plus détaillées, cliquez sur l'icône représentant trois points
ou cliquez avec le bouton droit sur un
élément et sélectionnez Afficher les détails.
Naviguez dans l’arborescence pour afficher les objets uniquement pour un tenant ou un groupe spécifique. Pour
afficher toutes les détections de tous les tenants et groupes, cliquez sur Tous.
Inspectez les e-mails ou les fichiers en quarantaine et exécutez une action (Supprimer ou Libérer). Vous pouvez
également télécharger le fichier d’origine ou l’archive protégée par mot de passe au format .zip.
Lorsque vous estimez qu'une détection n'est pas malveillante (faux positif), vous pouvez libérer un fichier
de la quarantaine. Le fichier libéré est automatiquement mis sur une liste blanche, selon le hachage. Toutes
les prochaines occurrences du même fichier, pour le même utilisateur, ne seront pas détectées comme
étant suspectes et ne seront pas mises en quarantaine. La mise sur liste blanche automatique est effectuée
par utilisateur. Pour les autres utilisateurs, le même fichier sera toujours détecté comme étant suspect et
mis en quarantaine.
Vous pouvez supprimer un fichier de la liste blanche dans la liste Détections à l’aide de l’option Supprimer
les éléments en liste blanche.
Cliquez sur l'icône
ou cliquez avec le bouton droit sur un élément et sélectionnez une action :
Action
Utilisation
Afficher les détails Affiche des informations détaillées sur l'e-mail en quarantaine.
Libérer (e-mails ou Envoie depuis la quarantaine l’e-mail à ou aux destinataires d’origine sous la forme d’un efichiers)
mail de notification avec le message d’origine en tant que pièce jointe. Dans le cas d’un
élément OneDrive, le fichier est téléchargé à son emplacement d’origine dans l'espace
OneDrive de l’utilisateur. Lors de la libération d'un fichier à partir d'un groupe de travail ou
d'un site SharePoint, le fichier apparaît de nouveau à son emplacement d'origine. Le fichier
libéré est automatiquement mis sur une liste blanche, selon le hachage. Cela évite que le
fichier soit remis en quarantaine.
Supprimer
Supprime l'élément de la quarantaine.
Télécharger le
fichier d’origine
Téléchargez le fichier non protégé dans sa forme d’origine.
Télécharger
l'archive protégée
par mot de passe
Téléchargez l'archive protégée par mot de passe.
Soumettre un
échantillon
La boîte de dialogue de soumission d'échantillons vous permet d'envoyer un fichier suspect
de logiciel malveillant, un courrier indésirable ou un hameçonnage aux laboratoires ESET
pour analyse. Vous pouvez également signaler les faux positifs en matière de logiciels
malveillants, de courrier indésirable ou d'hameçonnage. Sélectionnez un motif de
soumission d'un échantillon parmi les options actuellement disponibles dans le menu
déroulant. Les options actuellement disponibles peuvent varier en fonction de l'élément
que vous soumettez à l'analyse. Si l'option Bloquer l'expéditeur s'affiche (lors de l'envoi
d'un courrier indésirable), vous pouvez choisir de bloquer l'expéditeur par adresse e-mail,
domaine ou adresse IP et sélectionner votre politique personnalisée qui sera modifiée pour
gérer le blocage de l'expéditeur. Si vous n'avez pas de politique personnalisée, cliquez sur
Créer une politique.
Pour faciliter la recherche d’un objet particulier mis en quarantaine, vous pouvez appliquer un filtre comportant
plusieurs critères. Cliquez sur Ajouter un filtre, sélectionnez le type de filtre dans le menu déroulant ou saisissez
une chaîne (répétez l’opération lorsque vous associez critères) :
44
Ajouter un filtre
Est survenu de
Utilisation
Indiquez une plage « date de début ».
Est survenu dans Indiquez une « date de fin ».
Objet
S'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression
régulière) dans l'objet.
Message-ID
Filtrez les e-mails par Message-ID unique lorsque vous recherchez un message spécifique,
notamment dans les journaux volumineux contenant de nombreux messages ou plusieurs
tentatives de remise.
De
Filtrez les messages par expéditeur spécifique.
À
Filtrez les messages par destinataires.
Boîte aux lettres S'applique aux messages situés dans une boîte aux lettres spécifique.
Résultat du scan Sélectionnez l'une des options suivantes : Logiciel malveillant,
Logiciel malveillant (détecté
par ESET LiveGuard Advanced), hameçonnage ou courrier indésirable.
Équipe
Saisissez un nom d’équipe valide.
Type de fichier
Saisissez un nom d’objet valide.
Site
Saisissez un nom de site valide.
Lecteur
Filtrez les fichiers par Google Drive ou OneDrive.
Expéditeur
Filtrez les messages envoyés par un expéditeur spécifique.
Raison anti-spam Filtrez les messages en fonction d'un motif marqué par le moteur antispam.
La période de conservation des objets en quarantaine est de 30 jours. Les objets datant de plus de 30 jours
seront définitivement supprimés de la quarantaine.
Journaux de l'analyse
Répertorie tous les résultats d’analyse par ESET Cloud Office Security. Les journaux sont semblables aux
détections mais des objets nettoyés peuvent aussi être inclus dans la liste (activez le paramètre Consigner tous les
objets dans les stratégies). Basculez entre Gmail, Google Drive, Exchange Online, OneDrive, les groupes de travail,
les sites SharePoint et les fichiers soumis à l'aide des onglets. Vous pouvez consulter une grande quantité
d’informations pour chaque détection. Les fichiers soumis sont une liste de fichiers envoyés à ESET LiveGuard
Advanced pour analyse.
Cliquez sur l'icône
pour ouvrir une barre latérale contenant le résumé d'une entrée spécifique du journal.
Pour obtenir des informations plus détaillées, cliquez sur l'icône représentant trois points
ou cliquez avec le
bouton droit sur un élément et sélectionnez Afficher les détails.
Cliquez sur l'icône
45
ou cliquez avec le bouton droit sur un élément et sélectionnez une action :
Action
Utilisation
Soumettre un
échantillon
La boîte de dialogue de soumission d'échantillons vous permet d'envoyer un fichier suspect de
logiciel malveillant, un courrier indésirable ou un hameçonnage à ESET pour analyse. Vous
pouvez également signaler les faux positifs en matière de logiciels malveillants, de courrier
indésirable ou d'hameçonnage. Sélectionnez un motif de soumission d'un échantillon parmi les
options actuellement disponibles dans le menu déroulant. Les options actuellement disponibles
peuvent varier en fonction de l'élément que vous soumettez à l'analyse. Si l'option Bloquer
l'expéditeur s'affiche (lors de l'envoi d'un courrier indésirable), vous pouvez choisir de bloquer
l'expéditeur par adresse e-mail, domaine ou adresse IP et sélectionner votre politique
personnalisée qui sera modifiée pour gérer le blocage de l'expéditeur. Si vous n'avez pas de
politique personnalisée, cliquez sur Créer une politique.
Mettre l'e-mail La boîte de dialogue de soumission d'échantillons vous permet d'envoyer un fichier suspect de
en
logiciel malveillant, un courrier indésirable ou un hameçonnage aux laboratoires ESET pour
quarantaine
analyse. Vous pouvez également signaler les faux positifs en matière de logiciels malveillants,
de courrier indésirable ou d'hameçonnage. Sélectionnez un motif de soumission d'un
échantillon parmi les options actuellement disponibles dans le menu déroulant. Les options
actuellement disponibles peuvent varier en fonction de l'élément que vous soumettez à
l'analyse. Si l'option Bloquer l'expéditeur s'affiche (lors de l'envoi d'un courrier indésirable),
vous pouvez choisir de bloquer l'expéditeur par adresse e-mail, domaine ou adresse IP et
sélectionner votre politique personnalisée qui sera modifiée pour gérer le blocage de
l'expéditeur. Si vous n'avez pas de politique personnalisée, cliquez sur Créer une politique.
Naviguez dans l’arborescence pour n'afficher des entrées de journal que pour un tenant ou un groupe spécifique.
Pour afficher toutes les détections de tous les tenants et groupes, cliquez sur Tous.
Si un résultat d’analyse est Non analysé, le motif peut varier. Pour plus d’informations, consultez les
limites.
Lorsque vous cliquez sur l'icône d'engrenage
dans le coin supérieur droit pour accéder à l'option Exporter vers
le fichier CSV dans le menu contextuel, vous pouvez exporter la grille de la table au format CSV et l'utiliser dans
d'autres applications pour utiliser la liste.
Pour faciliter la recherche d’une entrée de journal spécifique, vous pouvez appliquer un filtre comportant
plusieurs critères. Cliquez sur Ajouter un filtre, sélectionnez le type de filtre dans le menu déroulant ou saisissez
une chaîne (répétez l’opération lorsque vous associez critères) :
Ajouter un filtre
Utilisation
Est survenu de
Indiquez une plage « date de début ».
Est survenu dans
Indiquez une « date de fin ».
Source de données Sélectionnez l'une des options suivantes : Exchange Online, OneDrive, groupe de travail et
site SharePoint.
Boîte aux lettres
S'applique aux messages situés dans une boîte aux lettres spécifique.
De
Filtrez les messages par expéditeur spécifique.
À
Filtrez les messages par destinataires.
Objet
S'applique aux messages qui contiennent ou non une chaîne spécifique dans l'objet.
Message-ID
Filtrez les e-mails par Message-ID unique lorsque vous recherchez un message spécifique,
notamment dans les journaux volumineux contenant de nombreux messages ou plusieurs
tentatives de remise.
46
Ajouter un filtre
Utilisation
Résultat du scan
Sélectionnez l'une des options suivantes : Logiciel malveillant,
Logiciel malveillant
(détecté par ESET LiveGuard Advanced) Hameçonnage, Courrier indésirable, Nettoyage,
Non analysé, Erreur ou Désactivé.
Action
Sélectionnez l'une des actions disponibles.
Lecteur
Filtrez les fichiers par Google Drive ou OneDrive.
Propriétaires
Saisissez un nom de propriétaire valide.
Type de fichier
Saisissez un nom d’objet valide.
Détection
Saisissez un nom de détection valide.
Hachage
Saisissez un hachage de détection valide.
Équipe
Saisissez un nom d’équipe valide.
Site
Saisissez un nom de site valide.
Expéditeur
Filtrez les messages envoyés par un expéditeur spécifique.
Raison anti-spam
Filtrez les messages en fonction d'un motif marqué par le moteur antispam.
Il existe une période de rétention de 90 jours pour les entrées de journaux. Les entrées datant de plus de
90 jours seront définitivement supprimées. Si vous disposez d’une politique qui utilise l'option Consigner
tous les objets, la conservation des entrées de journal avec des résultats d'analyse Non infecté est de
3 jours. Les résultats d’analyse Non infecté datant de plus de 3 jours seront définitivement supprimés.
Rapports
Les rapports ESET Cloud Office Security vous informent en vous donnant une vue d’ensemble des statistiques de
protection ESET Cloud Office Security. Vous pouvez choisir entre deux types de rapports : les rapports statistiques
et les rapports de quarantaine des messages.
Les rapports statistiques contiennent des informations sur la protection de Gmail, de Google Drive, d'Exchange
Online, de OneDrive, des groupes de travail et des sites SharePoint. Ils indiquent le nombre d'e-mails et de fichiers
analysés, ainsi que les logiciels malveillants, les tentatives d'hameçonnage et le courrier indésirable détectés
pendant la période spécifiée. Les rapports peuvent être générés manuellement et téléchargés au format PDF ou
CSV ou planifiés et envoyés par e-mail aux destinataires sélectionnés. Le format de sortie PDF présente les
données sous forme de graphique et montre la moyenne à long terme d’une comparaison. Il comprend des
informations sur le trafic pour chaque type de protection et les principaux destinataires de logiciels malveillants,
de tentatives d'hameçonnage et de courrier indésirable.
Le rapport sur la quarantaine des messages contient la liste des objets nouvellement mis en quarantaine. Il est
envoyé par e-mail aux destinataires sélectionnés. Les destinataires peuvent libérer le courrier indésirable (s'il est
considéré comme sûr ou légitime) en cliquant sur le lien Libérer. Cela s'applique uniquement au courrier
indésirable ; les autres types d’objets mis en quarantaine ne peuvent pas être libérés.
Vous pouvez accéder aux statistiques par e-mail. Il n’est pas donc pas nécessaire de vous connecter à la console
ESET Cloud Office Security. Configurez et planifiez les rapports récurrents et spécifiez les destinataires des e-mails.
En outre, vous pouvez générer des statistiques de rapport directement à partir de la console ESET Cloud Office
Security. Sélectionnez un rapport existant (il peut également s’agir d’un rapport planifié), puis cliquez sur Générer
& Télécharger. Vous pouvez aussi utiliser le menu contextuel. Vous pouvez facilement créer un modèle de
rapport avec des paramètres personnalisés.
Nouveau rapport
47
Cliquez sur Nouveau rapport pour ouvrir un assistant de modèle de rapport et spécifier des paramètres
personnalisés. Saisissez le nom et la description du rapport.
Langue
Sélectionnez la langue souhaitée dans le menu déroulant. Le rapport est généré dans la langue sélectionnée.
Type
Sélectionnez le type que vous souhaitez inclure dans les statistiques.
Rapports statistiques
Créez des rapports planifiés ou à la demande contenant des informations selon les options que vous choisissez.
Rapports de mise en quarantaine de messages
Pour informer les utilisateurs des e-mails nouvellement mis en quarantaine, envoyez des notifications par e-mail
aux utilisateurs sélectionnés. Vous pouvez attribuer un ou plusieurs destinataires ou un groupe. Sélectionnez un
intervalle pour les rapports et la date et l’heure de début. S'il s'agit d'un rapport répété, choisissez quand il doit se
terminer (à une date donnée, après plusieurs occurrences ou jamais). Le rapport sur la quarantaine des messages
n’est déclenché que lorsqu’il existe de nouveaux éléments. Les destinataires du rapport peuvent libérer le
courrier indésirable (s'il est considéré comme sûr ou légitime) en cliquant sur le lien Libérer (une fenêtre de
confirmation s'ouvre dans le navigateur web). Le courrier indésirable libéré est envoyé dans un e-mail distinct en
tant que pièce jointe.
Source de données
Sélectionnez des utilisateurs, des groupes et des Tenants
Cette option est disponible pour un environnement multiclient. Vous pouvez sélectionner plusieurs tenant pour
lesquels générer des statistiques. Le rapport est généré pour chaque tenant séparément. Il est diffusé dans un email de rapport ESET Cloud Office Security contenant plusieurs pièces jointes.
Options
Période
Définissez la période pour laquelle vous souhaitez afficher les résultats (dernières 24 heures, semaine, mois).
Lorsque vous sélectionnez Personnaliser, vous pouvez spécifier une plage (Date de début et Date de fin).
Résultat
Sélectionnez le format de fichier adéquat. Vous pouvez effectuer une sélection parmi les formats suivants : PDF
ou CSV. Le format PDF contient des données sous forme de graphique. Le format CSV, quant à lui, comporte des
données brutes. Les rapports sont collectés selon les options spécifiées. Si vous avez sélectionné (Exchange
Online, OneDrive, groupes de travail ou sites SharePoint, Gmail, Google Drive), le fichier de sortie est une archive
au format ZIP contenant des fichiers de rapport au format PDF ou CSV.
Marque blanche
Si vous avez besoin que le logo de votre société s’affiche sur le rapport, activez cette fonctionnalité. Vous avez la
possibilité d'avoir un en-tête de rapport montrant votre logo avec le logo ESET ou votre logo seulement. Chargez
le logo au format PNG ou JPEG.
Planifié
Utilisez le planificateur pour générer les rapports à la date et à l’heure spécifiées ou de façon récurrente. Les
rapports planifiés sont remis aux destinataires sélectionnés dans un e-mail de rapport ESET Cloud Office Security
contenant des pièces jointes.
Répéter
Choisissez si vous souhaitez générer le rapport une seule fois ou de manière répétée :
• Une fois : le rapport n’est généré qu’une seule fois.
• Quotidien : le rapport est généré et remis tous les jours de manière répétée (à moins que vous n’ayez spécifié
une récurrence qui se termine après un certain nombre d'occurrences).
• Hebdomadaire : le rapport est généré et remis de manière répétée le ou les jours sélectionnés de la semaine.
• Mensuel : le rapport est généré et remis une fois par mois, le jour sélectionné.
À partir du
Sélectionnez la date de début des rapports.
Fin
Sélectionnez la date de fin de l’intervalle de récurrence.
Destinataires
Indiquez l’adresse e-mail du destinataire du rapport, puis appuyez sur Entrée pour confirmer l’opération. Répétez
l’opération pour ajouter plusieurs destinataires.
48
Pour obtenir des informations détaillées ou afficher des actions, cliquez sur l'icône
Action
et sélectionnez une action :
Utilisation
Afficher les détails
Affiche des informations détaillées sur un rapport.
Générer &
Télécharger
Cliquez sur Générer & Télécharger), puis sélectionnez le format PDF ou CSV. Le format
PDF comprend des données sous forme de graphique. Le format CSV comporte des
données brutes. Les rapports sont collectés selon les options spécifiées. Si vous avez
sélectionné Exchange Online, OneDrive, groupes de travail ou sites SharePoint, le fichier
de sortie est une archive au format ZIP contenant des fichiers de rapport au format PDF
ou CSV.
Modifier
Permet de modifier la configuration d’un rapport existant.
Supprimer
Permet de supprimer entièrement le rapport sélectionné.
Pour filtrer les rapports, cliquez sur Ajouter un filtre, sélectionnez un type de filtre dans le menu déroulant ou
saisissez une chaîne (répétez l’opération lorsque vous associez plusieurs critères) :
Ajouter un filtre
Utilisation
Nom
Saisissez le nom partiel ou complet du rapport.
Planifié
Sélectionnez Non planifié, Une fois, Quotidien, Hebdomadaire ou Mensuel.
Données
Sélectionnez Exchange Online, OneDrive, groupes de travail ou sites SharePoint pour filtrer par
données.
Politique par défaut
Les grandes entreprises ont généralement plusieurs services et souhaitent configurer différents paramètres de
protection pour chaque unité d'organisation. ESET Cloud Office Security propose des paramètres de protection
basés sur des politiques qui peuvent être personnalisés et affectés à des utilisateurs et des groupes d'utilisateurs,
des tenants, des groupes de travail et des sites SharePoint sélectionnés.
Pour ajouter des critères de filtrage, cliquez sur Ajouter un filtre, sélectionnez le nom de l’élément applicable,
puis saisissez un nom de politique valide. L’arborescence des politiques montre les tenants et leurs groupes
d'utilisateurs, leurs groupes de travail et leurs sites SharePoint, notamment un groupe Non affecté qui contient
des politiques personnalisées qui ne sont attribuées à aucune cible.
Vous pouvez ajouter une politique ou modifier une politique existante et ses paramètres :
1. Cliquez sur Politiques > Nouvelle politique.
2. Saisissez le nom et la description de la nouvelle politique.
3. Sélectionnez une cible et configurez une politique pour les éléments suivants :
• Tenants : Configurer la protection Gmail, Google Drive, Exchange Online, OneDrive, des sites SharePoint et
des groupes de travail et l’attribuer aux tenants sélectionnés
• Groupes : Configurer la protection Gmail, Google Drive, Exchange Online et OneDrive et l'attribuer aux
groupes sélectionnés d'utilisateurs (sera également appliquée aux prochains membres)
• Utilisateurs : Configurer la protection Gmail, Google Drive, Exchange Online et OneDrive et l’attribuer aux
49
utilisateurs ou aux groupes d'utilisateurs sélectionnés
• Groupes de travail : Configurer la protection des groupes de travail et l'attribuer aux groupes de travail
sélectionnés (la politique n'est pas appliquée aux membres des groupes de travail)
• Sites SharePoint : Configurer la protection des sites SharePoint et l’attribuer aux sites sélectionnés
4. Personnalisez les paramètres de protection pour Exchange Online, Gmail, OneDrive, Google Drive, les
groupes de travail, les sites SharePoint ou ESET LiveGuard Advanced, puis cliquez sur Suivant.
5. Cliquez sur Affecter et choisissez une cible où la politique sera affectée.
6. Cliquez sur Enregistrer les modifications pour enregistrer le paramètre de politique.
Principes des politiques
Politique par défaut
• S’applique à tous les utilisateurs (protégés et non protégés)
• Ne peut pas être modifiée ni supprimée
Une politique personnalisée peut être attribuée aux éléments suivants :
• Utilisateurs : s'applique à des utilisateurs sélectionnés manuellement.
• Groupes : s'applique à tous les membres du groupe d'utilisateurs
• Tenants : politique qui s'applique à toutes les entités au sein du tenant
• Groupes de travail : s'applique à un groupe de travail
• Sites SharePoint : s'applique à un site SharePoint.
La politique personnalisée affectée à un tenant ou à un groupe est fusionnée avec la politique par défaut.
Une politique de tenant, de groupe, de groupes de travail ou de sites SharePoint personnalisée est prioritaire
par rapport à une politique par défaut.
Une politique personnalisée affectée à un utilisateur est fusionnée avec la politique de tenant, de groupe, de
groupes de travail, de sites SharePoint et la politique par défaut.
Une politique d'utilisateur personnalisée est prioritaire sur une politique de tenant ou de groupe et une
politique par défaut. Toutefois, lorsqu'un utilisateur télécharge un fichier vers le groupe de travail ou le site
SharePoint, une politique est appliquée pour le groupe de travail ou le site SharePoint.
Les utilisateurs et les tenants peuvent se voir attribuer plusieurs politiques personnalisées, mais la politique
effective est calculée en fonction de la priorité (ordre).
Configuration des listes Antispam lors de la fusion des politiques
50
L'option de fusion s'applique aux configurations listes antispam et Avertir l’administrateur (adresses des e-mails
de notification par la protection contre les programmes malveillants et l'anti-hameçonnage).
Lorsqu'il existe plusieurs politiques avec des listes antispam (listes d'adresses IP, de domaines ou d'adresses
électroniques approuvées, bloquées et ignorées) ou des adresses d'administrateur de protection contre les
programmes malveillants et anti-hameçonnage pour les e-mails de notification, choisissez la politique de fusion :
Remplacer : permet de conserver uniquement les nouvelles entrées de liste (option par défaut). Les nouvelles
entrées de liste de la politique actuelle remplacent toutes les listes des politiques précédentes.
Ajouter : permet d'étendre les listes des politiques précédentes en ajoutant de nouvelles entrées. Fusionnez les
listes des politiques précédentes avec les nouvelles entrées de la politique actuelle. Les nouvelles entrées sont
placées à la fin (en bas) des listes existantes des politiques précédentes.
Avant que l'option de fusion devienne disponible, le comportement par défaut était Remplacer. Si vous
utilisez déjà des politiques avec des listes antispam spécifiques, vous pouvez conserver l'option Remplacer
par défaut ou la remplacer par l'option Ajouter si vous le souhaitez.
Créez une politique avec une liste antispam définie, puis sélectionnez l'option de fusion (à condition qu'il
existe déjà des politiques avec des listes antispam).
1. Cliquez sur Politiques > Nouvelle politique.
2. Saisissez le nom et la description de la nouvelle politique, sélectionnez Tenant comme cible, puis
cliquez sur Suivant.
3. Développez Exchange Online – Anti-Spam, puis cliquez sur Modifier en regard de la liste des adresses IP
bloquées.
4. Cliquez sur Ajouter, saisissez l'adresse IP, appuyez sur la touche Entrée pour terminer l'action (vous
pouvez aussi importer la liste à partir d'un fichier), puis cliquez sur Enregistrer les modifications.
5. Sélectionnez Ajouter comme option de fusion dans le menu déroulant, puis cliquez sur Suivant.
6. Cliquez sur Affecter, sélectionnez Affecter aux tenants dans le menu déroulant, cochez la case en
regard du tenant, puis cliquez sur OK.
7. Cliquez sur Enregistrer les modifications pour terminer le processus.
Pour réorganiser la priorité des politiques, cliquez sur Modifier l’ordre. Sélectionnez une ou plusieurs
politiques, puis cliquez sur Appliquer plus tôt ou Appliquer ultérieurement pour modifier la priorité. Les
politiques sont appliquées globalement (indépendamment de l’affectation : client, groupe ou utilisateur)
dans l’ordre indiqué, du haut vers le bas. La politique par défaut est toujours appliquée en premier.
Pour effectuer les actions suivantes, sélectionnez la politique et cliquez sur l’icône
Action
:
Utilisation
Afficher les détails Affiche des informations détaillées sur une politique créée, les paramètres et à qui les
politiques sont attribuées.
Modifier
Permet de modifier la configuration d’une politique existante.
Affecter
Sélectionnez les utilisateurs, les tenants, les groupes de travail ou les sites SharePoint
auxquels la politique s'applique.
Dupliquer
Créez une politique à partir du modèle sélectionné. Un nouveau nom est requis pour la
politique dupliquée.
Supprimer
Permet de supprimer entièrement la politique sélectionnée.
51
Créez une politique de tenant personnalisée pour afficher tous les résultats d'analyse (y compris le
nettoyage) dans les journaux d'analyse. Une politique de tenant s’applique à tous les utilisateurs (protégés
et non protégés).
1. Cliquez sur Politiques > Nouvelle politique.
2. Saisissez le nom et la description de la nouvelle politique, sélectionnez Tenant comme cible, puis cliquez
sur Suivant.
3. Développez Exchange Online - Général, puis cliquez sur le bouton bascule pour activer l'option
Consigner tous les objets.
4. Développez OneDrive - Général, puis cliquez sur le bouton bascule pour activer l'option Consigner tous
les objets.
5. Développez la section Groupes de travail - Général, puis cliquez sur le bouton bascule pour activer
l'option Consigner tous les objets.
6. Développez la section Sites SharePoint - Général, puis cliquez sur le bouton bascule pour activer l’option
Consigner tous les objets et cliquez sur Suivant.
7. Cliquez sur Affecter, cochez la case située en regard du tenant, puis cliquez sur OK.
8. Cliquez sur Enregistrer les modifications pour terminer le processus.
Créez une politique personnalisée pour des utilisateurs spécifiques avec des paramètres avancés qui aura
un impact sur la manière dont les logiciels malveillants, le courrier indésirable et le hameçonnage sont
traités. Une fois cette politique en place, les pièces jointes aux e-mails qui contiennent des logiciels
malveillants seront supprimées, le courrier indésirable sera déplacé vers le dossier de courrier indésirable
de l’utilisateur, les e-mails d’hameçonnage feront l’objet d’un marquage et seront mis en quarantaine et le
contenu des fichiers de logiciels malveillants situé sur OneDrive sera remplacé par du texte brut.
1. Cliquez sur Politiques > Nouvelle politique.
2. Saisissez le nom et la description de la nouvelle politique, sélectionnez Utilisateurs comme cible, puis
cliquez sur Suivant.
3. Développez Exchange Online – Anti-Malware et utilisez le menu déroulant en regard de l’option Lorsque
des éléments sont signalés pour sélectionner Supprimer la pièce jointe.
4. Développez Exchange Online – Anti-Spam et utilisez le menu déroulant en regard de l’option Lorsque
des éléments sont signalés pour sélectionner Déplacer vers courrier indésirable.
5. Développez Exchange Online - Anti-hameçonnage, puis cliquez sur le bouton bascule pour activer
l'option Objet de la notification. Vous pouvez également modifier le texte de l’objet de la notification
pour le personnaliser.
6. Développez OneDrive Online – Anti-Malware, puis utilisez le menu déroulant en regard de l’option
Lorsque des éléments sont signalés pour sélectionner Remplacer et cliquez sur Suivant.
7. Cliquez sur Affecter, cochez les cases en regard des utilisateurs auxquels vous souhaitez appliquer la
politique, puis cliquez sur OK. Si une politique personnalisée est déjà appliquée à un utilisateur, elle est
remplacée par la nouvelle.
8. Cliquez sur Enregistrer les modifications pour terminer le processus.
Paramètres de protection d'Exchange Online
Cette section fournit des informations sur la modification des options et des paramètres généraux, protection
contre les programmes malveillants, anti-spam et anti-hameçonnage Exchange Online.
Exchange Online - Général
Commentaires sur ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ESET LiveGrid®,
consultez le glossaire .
Consigner tous les objets
Si cette option est sélectionnée, tous les résultats d'analyse (y compris Non infecté) sont affichés dans les
journaux d'analyse. La politique de conservation des résultats d'analyse qui ne sont pas infectés est de trois jours.
Les résultats d’analyse datant de plus de trois jours seront définitivement supprimés.
52
Exchange Online – Anti-Malware
Activer Exchange Online – Anti-Malware
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Rapports et protection par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour
les rapports ou la protection d'une catégorie :
Lorsque des éléments sont signalés
• Aucune action : aucune action n’est effectuée et l’e-mail est remis au destinataire.
• Déplacer vers le courrier indésirable : l’e-mail est déplacé vers le dossier Courrier indésirable.
• Déplacer vers la corbeille : l’e-mail est déplacé vers le dossier Corbeille.
• Supprimer le message : l’e-mail est supprimé.
• Message en quarantaine — L’e-mail d’origine est supprimé et une copie de celui-ci est stockée dans la
quarantaine. Si vous décidez de retirer l'e-mail de la quarantaine, il est envoyé en tant que pièce jointe dans un
nouvel e-mail et remis au destinataire.
• Supprimer la pièce jointe : la pièce jointe est supprimée. Le message sera remis au destinataire sans la pièce
jointe.
• Remplacer la pièce jointe : la pièce jointe est remplacée par un fichier texte contenant des informations
détaillées sur une action entreprise. Ensuite, le message sera remis au destinataire.
• Mettre en quarantaine la pièce jointe : La pièce jointe est supprimée de l'e-mail et placée dans la quarantaine
des fichiers. Ensuite, le message sera remis au destinataire sans la pièce jointe.
Texte de remplacement de la pièce jointe
Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise.
Objet de la notification
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés.
Texte de l'objet de la notification
Vous pouvez ajouter une notification personnalisée aux objets des messages affectés.
Avertir le propriétaire de la boîte aux lettres
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Langue
Sélectionnez la langue souhaitée dans le menu déroulant. Le propriétaire de la boîte aux lettres recevra les
notifications par e-mail dans la langue sélectionnée lorsqu’un objet sera libéré de la quarantaine Exchange Online.
Cette option remplace la langue du tenant par défaut dans les paramètres.
Avertir l’administrateur
Indiquez une adresse e-mail (appuyez sur Entrée pour ajouter plusieurs adresses) pour recevoir les e-mails de
notification quand un élément est détecté.
Exclusions de détection
Indiquez le nom de la détection ou le hachage du fichier du logiciel malveillant que vous souhaitez exclure du
traitement. Cette fonctionnalité vise à exclure les échantillons inoffensifs utilisés dans les exercices de formation à
la cybersécurité. Pour afficher les détections exclues dans les journaux d'analyse, vérifiez que le paramètre
Consigner tous les objets est activé.
Exchange Online – Anti-Spam
53
Activer Exchange Online – Anti-Spam
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Lorsque des éléments sont signalés
• Aucune action : aucune action n’est effectuée et l’e-mail est remis au destinataire.
• Déplacer vers le courrier indésirable : l’e-mail est déplacé vers le dossier Courrier indésirable.
• Déplacer vers la corbeille : l’e-mail est déplacé vers le dossier Corbeille.
• Supprimer le message : l’e-mail est supprimé.
• Message en quarantaine — L’e-mail d’origine est supprimé et une copie de celui-ci est stockée dans la
quarantaine. Si vous décidez de retirer l'e-mail de la quarantaine, il est envoyé en tant que pièce jointe dans un
nouvel e-mail et remis au destinataire.
Objet de la notification
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés.
Texte de l'objet de la notification
Vous pouvez ajouter une notification personnalisée aux objets des messages affectés.
Vous pouvez configurer des listes d'éléments approuvés, bloqués et ignorés en spécifiant des critères tels que
l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur
Modifier pour la liste à gérer. Vous pouvez aussi importer votre liste personnalisée à partir d'un fichier plutôt que
d'ajouter manuellement chaque entrée, cliquer sur Importer et accéder au fichier (.txt) contenant les entrées à
ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier (.txt), sélectionnez Exporter
dans le menu contextuel.
Liste des adresses IP
Met automatiquement en liste blanche les messages électroniques provenant des
approuvées
adresses IP spécifiées. Le contenu de l'e-mail ne sera pas vérifié.
Liste des adresses IP
bloquées
Bloque automatiquement les messages électroniques provenant des adresses IP
spécifiées.
Liste des adresses IP
ignorées
Liste des adresses IP qui sont ignorées pendant la classification. Le contenu de l'email sera vérifié.
Liste des expéditeurs
approuvés
Ajoute en liste blanche les e-mails provenant d'un expéditeur ou d'un domaine
spécifique. Une seule adresse d'expéditeur ou un domaine entier est utilisé pour la
vérification selon la priorité suivante :
1.Adresse SMTP 'MAIL FROM'
2.Champ d'en-tête d'e-mail "Return-Path:"
3.Champ d'en-tête d'e-mail "X-Env-Sender:"
4.Champ d'en-tête d'e-mail "From:"
5.Champ d'en-tête d'e-mail "Sender:"
6.Champ d'en-tête d'e-mail "X-Apparently-From:"
Liste des expéditeurs
bloqués
Bloque les e-mails provenant d'un expéditeur ou d'un domaine spécifique. Toutes les
adresses des expéditeurs identifiées ou des domaines entiers sont utilisés pour la
vérification :
Adresse SMTP 'MAIL FROM'
Champ d'en-tête d'e-mail "Return-Path:"
Champ d'en-tête d'e-mail "X-Env-Sender:"
Champ d'en-tête d'e-mail "From:"
Champ d'en-tête d'e-mail "Sender:"
Champ d'en-tête d'e-mail "X-Apparently-From:"
Exchange Online – Anti-hameçonnage
54
Activer Exchange Online – Anti-hameçonnage
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Lorsque des éléments sont signalés
• Aucune action : Aucune action n’est effectuée et l'e-mail comportant la pièce jointe malveillante est remis au
destinataire.
• Déplacer vers le courrier indésirable : l’e-mail est déplacé vers le dossier Courrier indésirable.
• Déplacer vers la corbeille : l’e-mail est déplacé vers le dossier Corbeille.
• Supprimer le message : l’e-mail est supprimé.
• Message en quarantaine — L’e-mail d’origine est supprimé et une copie de celui-ci est stockée dans la
quarantaine. Si vous décidez de retirer l'e-mail de la quarantaine, il est envoyé en tant que pièce jointe dans un
nouvel e-mail et remis au destinataire.
Objet de la notification
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés.
Texte de l'objet de la notification
Vous pouvez ajouter une notification personnalisée aux objets des messages affectés.
Avertir le propriétaire de la boîte aux lettres
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Avertir l’administrateur
Indiquez l’adresse e-mail (appuyez sur entrée pour ajouter plusieurs adresses) qui recevra les e-mails de
notification quand une détection est effectuée pour un utilisateur Exchange Online.
Paramètres de protection de Gmail
Cette section fournit des informations sur la modification des options et des paramètres généraux, protection
contre les programmes malveillants, anti-spam et anti-hameçonnage Gmail.
Gmail - Général
Commentaires sur ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ESET LiveGrid®,
consultez le glossaire .
Consigner tous les objets
Si cette option est sélectionnée, tous les résultats d'analyse (y compris Non infecté) sont affichés dans les
journaux d'analyse. La politique de conservation des résultats d'analyse qui ne sont pas infectés est de trois jours.
Les résultats d’analyse datant de plus de trois jours seront définitivement supprimés.
Gmail - Protection contre les programmes malveillants
55
Activer la protection contre les programmes malveillants de Gmail
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Rapports et protection par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour
les rapports ou la protection d'une catégorie :
Lorsque des éléments sont signalés
• Aucune action : aucune action n’est effectuée et l’e-mail est remis au destinataire.
• Déplacer vers le courrier indésirable : l’e-mail est déplacé vers le dossier Courrier indésirable.
• Déplacer vers la corbeille : l’e-mail est déplacé vers le dossier Corbeille.
• Supprimer le message : l’e-mail est supprimé.
• Message en quarantaine — L’e-mail d’origine est supprimé et une copie de celui-ci est stockée dans la
quarantaine. Si vous décidez de retirer l'e-mail de la quarantaine, il est envoyé en tant que pièce jointe dans un
nouvel e-mail et remis au destinataire.
• Supprimer la pièce jointe : la pièce jointe est supprimée. Le message sera remis au destinataire sans la pièce
jointe.
• Remplacer la pièce jointe : la pièce jointe est remplacée par un fichier texte contenant des informations
détaillées sur une action entreprise. Ensuite, le message sera remis au destinataire.
• Mettre en quarantaine la pièce jointe : La pièce jointe est supprimée de l'e-mail et placée dans la quarantaine
des fichiers. Ensuite, le message sera remis au destinataire sans la pièce jointe.
Texte de remplacement de la pièce jointe
Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise.
Objet de la notification
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés.
Texte de l'objet de la notification
Vous pouvez ajouter une notification personnalisée aux objets des messages affectés.
Avertir le propriétaire de la boîte aux lettres
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Langue
Sélectionnez la langue souhaitée dans le menu déroulant. Le propriétaire de la boîte aux lettres recevra les
notifications par e-mail dans la langue sélectionnée lorsqu'un objet sera libéré de la quarantaine. Cette option
remplace la langue du tenant par défaut dans les paramètres.
Avertir l’administrateur
Indiquez une adresse e-mail (appuyez sur Entrée pour ajouter plusieurs adresses) pour recevoir les e-mails de
notification quand un élément est détecté.
Exclusions de détection
Indiquez le nom de la détection ou le hachage du fichier du logiciel malveillant que vous souhaitez exclure du
traitement. Cette fonctionnalité vise à exclure les échantillons inoffensifs utilisés dans les exercices de formation à
la cybersécurité. Pour afficher les détections exclues dans les journaux d'analyse, vérifiez que le paramètre
Consigner tous les objets est activé.
Gmail - Anti-Spam
56
Activer l'antispam de Gmail
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Lorsque des éléments sont signalés
• Aucune action : aucune action n’est effectuée et l’e-mail est remis au destinataire.
• Déplacer vers le courrier indésirable : l’e-mail est déplacé vers le dossier Courrier indésirable.
• Déplacer vers la corbeille : l’e-mail est déplacé vers le dossier Corbeille.
• Supprimer le message : l’e-mail est supprimé.
• Message en quarantaine — L’e-mail d’origine est supprimé et une copie de celui-ci est stockée dans la
quarantaine. Si vous décidez de retirer l'e-mail de la quarantaine, il est envoyé en tant que pièce jointe dans un
nouvel e-mail et remis au destinataire.
Objet de la notification
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés.
Texte de l'objet de la notification
Vous pouvez ajouter une notification personnalisée aux objets des messages affectés.
Vous pouvez configurer des listes d'éléments approuvés, bloqués et ignorés en spécifiant des critères tels que
l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur
Modifier pour la liste à gérer. Vous pouvez aussi importer votre liste personnalisée à partir d'un fichier plutôt que
d'ajouter manuellement chaque entrée, cliquer sur Importer et accéder au fichier (.txt) contenant les entrées à
ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier (.txt), sélectionnez Exporter
dans le menu contextuel.
Liste des adresses IP
Met automatiquement en liste blanche les messages électroniques provenant des
approuvées
adresses IP spécifiées. Le contenu de l'e-mail ne sera pas vérifié.
Liste des adresses IP
bloquées
Bloque automatiquement les messages électroniques provenant des adresses IP
spécifiées.
Liste des adresses IP
ignorées
Liste des adresses IP qui sont ignorées pendant la classification. Le contenu de l'email sera vérifié.
Liste des expéditeurs
approuvés
Ajoute en liste blanche les e-mails provenant d'un expéditeur ou d'un domaine
spécifique. Une seule adresse d'expéditeur ou un domaine entier est utilisé pour la
vérification selon la priorité suivante :
1.Adresse SMTP 'MAIL FROM'
2.Champ d'en-tête d'e-mail "Return-Path:"
3.Champ d'en-tête d'e-mail "X-Env-Sender:"
4.Champ d'en-tête d'e-mail "From:"
5.Champ d'en-tête d'e-mail "Sender:"
6.Champ d'en-tête d'e-mail "X-Apparently-From:"
Liste des expéditeurs
bloqués
Bloque les e-mails provenant d'un expéditeur ou d'un domaine spécifique. Toutes les
adresses des expéditeurs identifiées ou des domaines entiers sont utilisés pour la
vérification :
Adresse SMTP 'MAIL FROM'
Champ d'en-tête d'e-mail "Return-Path:"
Champ d'en-tête d'e-mail "X-Env-Sender:"
Champ d'en-tête d'e-mail "From:"
Champ d'en-tête d'e-mail "Sender:"
Champ d'en-tête d'e-mail "X-Apparently-From:"
Gmail - Anti-hameçonnage
57
Activer l'anti-hameçonnage de Gmail
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Lorsque des éléments sont signalés
• Aucune action : Aucune action n’est effectuée et l'e-mail comportant la pièce jointe malveillante est remis au
destinataire.
• Déplacer vers le courrier indésirable : l’e-mail est déplacé vers le dossier Courrier indésirable.
• Déplacer vers la corbeille : l’e-mail est déplacé vers le dossier Corbeille.
• Supprimer le message : l’e-mail est supprimé.
• Message en quarantaine — L’e-mail d’origine est supprimé et une copie de celui-ci est stockée dans la
quarantaine. Si vous décidez de retirer l'e-mail de la quarantaine, il est envoyé en tant que pièce jointe dans un
nouvel e-mail et remis au destinataire.
Objet de la notification
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés.
Texte de l'objet de la notification
Vous pouvez ajouter une notification personnalisée aux objets des messages affectés.
Avertir le propriétaire de la boîte aux lettres
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Avertir l’administrateur
Indiquez une adresse e-mail (appuyez sur Entrée pour ajouter plusieurs adresses) pour recevoir les e-mails de
notification quand un élément est détecté.
Paramètres de protection de OneDrive
Cette section fournit des informations sur la modification des options et des paramètres généraux OneDrive ou
OneDrive – Protection contre les programmes malveillants.
OneDrive - Général
Commentaires sur ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ces applications,
consultez le glossaire.
Consigner tous les objets
Si cette option est sélectionnée, tous les résultats d'analyse (y compris Non infecté) sont affichés dans les
journaux d'analyse. La politique de conservation des résultats d'analyse qui ne sont pas infectés est de trois jours.
Les résultats d’analyse datant de plus de trois jours seront définitivement supprimés.
OneDrive – Anti-Malware
58
OneDrive – Anti-Malware
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Rapports et protection par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour
les rapports ou la protection d'une catégorie :
Lorsque des éléments sont signalés
• Aucune action : aucune action n’est effectuée et le fichier reste sur OneDrive.
• Déplacer vers la corbeille : le fichier est déplacé vers la Corbeille.
• Remplacer : le contenu du fichier d'origine est remplacé par le texte défini dans le champ Texte de
remplacement du fichier ci-dessous.
• Quarantaine : le fichier d’origine est déplacé vers la Corbeille et copié dans la quarantaine. Lorsque le fichier est
libéré, le fichier précédemment supprimé reste dans la corbeille et une nouvelle copie est chargée dans le dossier
OneDrive d’origine.
Texte de remplacement du fichier
Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise.
Avertir le propriétaire
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Avertir l’administrateur
Indiquez une adresse e-mail (appuyez sur Entrée pour ajouter plusieurs adresses) pour recevoir les e-mails de
notification quand un élément est détecté.
Exclusions de détection
Indiquez le nom de la détection ou le hachage du fichier du logiciel malveillant que vous souhaitez exclure du
traitement. Cette fonctionnalité vise à exclure les échantillons inoffensifs utilisés dans les exercices de formation à
la cybersécurité. Pour afficher les détections exclues dans les journaux d'analyse, vérifiez que le paramètre
Consigner tous les objets est activé.
Paramètres de protection de Google Drive
Cette section fournit des informations sur la modification des options et paramètres généraux ou de la protection
contre les programmes malveillants de Google Drive.
Google Drive - Général
Commentaires sur ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ces applications,
consultez le glossaire.
Consigner tous les objets
Si cette option est sélectionnée, tous les résultats d'analyse (y compris Non infecté) sont affichés dans les
journaux d'analyse. La politique de conservation des résultats d'analyse qui ne sont pas infectés est de trois jours.
Les résultats d’analyse datant de plus de trois jours seront définitivement supprimés.
Google Drive - Protection contre les programmes malveillants
59
Google Drive - Protection contre les programmes malveillants
Cette fonctionnalité est active lorsqu'elle est activée et vous pouvez configurer des options détaillées.
Rapports et protection par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour
les rapports ou la protection d'une catégorie :
Lorsque des éléments sont signalés
• Aucune action : aucune action n’est effectuée et le fichier reste sur Google Drive
• Déplacer vers la corbeille : le fichier est déplacé vers la Corbeille.
• Remplacer : le contenu du fichier d'origine est remplacé par le texte défini dans le champ Texte de
remplacement du fichier ci-dessous.
• Quarantaine : le fichier d’origine est déplacé vers la Corbeille et copié dans la quarantaine.
• Supprimer : le fichier d'origine est définitivement supprimé de Google Drive.
Texte de remplacement du fichier
Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise.
Avertir le propriétaire
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Avertir l’administrateur
Indiquez une adresse e-mail (appuyez sur Entrée pour ajouter plusieurs adresses) pour recevoir les e-mails de
notification quand un élément est détecté.
Exclusions de détection
Indiquez le nom de la détection ou le hachage du fichier du logiciel malveillant que vous souhaitez exclure du
traitement. Cette fonctionnalité vise à exclure les échantillons inoffensifs utilisés dans les exercices de formation à
la cybersécurité. Pour afficher les détections exclues dans les journaux d'analyse, vérifiez que le paramètre
Consigner tous les objets est activé.
Paramètres de protection des groupes de travail
Cette section fournit des informations sur la modification des options et des paramètres généraux des groupes de
travail ou Groupes de travail – Protection contre les programmes malveillants.
Groupes de travail - Général
Commentaires sur ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ces types d'applications,
consultez le glossaire.
Consigner tous les objets
Si cette option est sélectionnée, tous les résultats d'analyse (y compris Non infecté) sont affichés dans les
journaux d'analyse. La politique de conservation des résultats d’analyse qui sont Non infecté est de trois jours. Les
résultats d’analyse datant de plus de trois jours seront définitivement supprimés.
Groupes de travail – Anti-Malware
60
Groupes de travail – Anti-Malware
Lorsque cette fonctionnalité est activée, elle est active et vous pouvez configurer des options détaillées.
Rapports et protection par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour
les rapports ou la protection d'une catégorie :
Lorsque des éléments sont signalés
• Aucune action : aucune action n'est effectuée. Le fichier reste intact.
• Déplacer vers la corbeille : le fichier est déplacé vers la corbeille d'équipe.
• Remplacer : le contenu du fichier d'origine est remplacé par le texte défini dans le champ Texte de
remplacement du fichier ci-dessous.
• Quarantaine : le fichier d'origine est déplacé vers la corbeille d'équipe et copié dans la quarantaine. Lorsque le
fichier est libéré, le fichier précédemment supprimé reste dans la corbeille et une nouvelle copie est placée à
l'emplacement d’origine.
Texte de remplacement du fichier
Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise.
Avertir le propriétaire
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Avertir l’administrateur
Indiquez une adresse e-mail (appuyez sur Entrée pour ajouter plusieurs adresses) pour recevoir les e-mails de
notification quand un élément est détecté.
Exclusions de détection
Indiquez le nom de la détection ou le hachage du fichier du logiciel malveillant que vous souhaitez exclure du
traitement. Cette fonctionnalité vise à exclure les échantillons inoffensifs utilisés dans les exercices de formation à
la cybersécurité. Pour afficher les détections exclues dans les journaux d'analyse, vérifiez que le paramètre
Consigner tous les objets est activé.
Paramètres de protection des sites SharePoint
Cette section fournit des informations sur la modification des options et des paramètres généraux des sites
SharePoint ou Sites SharePoint - Protection contre les programmes malveillants.
Sites SharePoint - Général
Commentaires sur ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ces types d'applications,
consultez le glossaire.
Consigner tous les objets
Si cette option est sélectionnée, tous les résultats d'analyse (y compris Non infecté) sont affichés dans les
journaux d'analyse. La politique de conservation des résultats d’analyse qui sont Non infecté est de trois jours. Les
résultats d’analyse datant de plus de trois jours seront définitivement supprimés.
Sites SharePoint – Anti-Malware
61
Sites SharePoint – Anti-Malware
Lorsque cette fonctionnalité est activée, elle est active et vous pouvez configurer des options détaillées.
Rapports et protection par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour
les rapports ou la protection d'une catégorie :
Lorsque des éléments sont signalés
• Aucune action : aucune action n'est effectuée. Le fichier reste intact.
• Déplacer vers la corbeille : le fichier est déplacé vers la corbeille SharePoint.
• Remplacer : le contenu du fichier d'origine est remplacé par le texte défini dans le champ Texte de
remplacement du fichier ci-dessous.
• Quarantaine : le fichier d'origine est déplacé vers la corbeille SharePoint et copié dans la quarantaine. Lorsque
le fichier est libéré, le fichier précédemment supprimé reste dans la corbeille et une nouvelle copie est placée à
l'emplacement d’origine.
Texte de remplacement du fichier
Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise.
Avertir le propriétaire
Lorsque cette option est activée, l’utilisateur reçoit un e-mail de notification quand une détection est effectuée.
Avertir l’administrateur
Indiquez l'adresse e-mail (appuyez sur entrée pour ajouter plusieurs adresses) qui recevra les e-mails de
notification quand un élément est détecté.
Exclusions de détection
Indiquez le nom de la détection ou le hachage du fichier du logiciel malveillant que vous souhaitez exclure du
traitement. Cette fonctionnalité vise à exclure les échantillons inoffensifs utilisés dans les exercices de formation à
la cybersécurité. Pour afficher les détections exclues dans les journaux d'analyse, vérifiez que le paramètre
Consigner tous les objets est activé.
Paramètres de protection de ESET LiveGuard Advanced
Pour utiliser la fonctionnalité ESET LiveGuard Advanced, configurez une politique qui active l’analyse ESET
LiveGuard Advanced. Les utilisateurs ou les groupes auxquels cette politique a été attribuée bénéficieront d'une
protection supplémentaire. Les fichiers envoyés pour l'analyse ESET LiveGuard Advanced sont répertoriés dans
l’onglet Fichiers soumis. Cela s’applique aux échantillons suspects inconnus (nouveaux). Les fichiers malveillants
connus (selon l'hachage) ne sont pas envoyés pour l'analyse ESET LiveGuard Advanced.
Les résultats ESET LiveGuard Advanced sont disponibles dans les journaux d'analyse (Exchange Online, OneDrive,
groupes de travail ou sites SharePoint) et sont marqués comme étant des logiciels malveillants .
ESET LiveGuard Advanced
Lorsque cette fonctionnalité est activée, elle est active et vous pouvez configurer des options détaillées.
ESET LiveGuard Advanced active automatiquement les commentaires ESET LiveGrid®. Les données seront
envoyées au ESET Research Lab pour analyse. Pour en savoir plus sur ESET LiveGrid®, consultez le glossaire .
Seuil de détection
Les résultats avec un niveau de seuil sélectionné et un niveau supérieur seront considérés comme des menaces.
Soumission automatique des échantillons suspects (le menu déroulant)
Ce paramètre est associé à ESET LiveGrid® et permet les actions suivantes : Tout, Tout à l’exception des
documents, Aucun.
62
Soumission automatique des échantillons suspects (curseurs)
Choisissez les types de fichiers à soumettre à ESET LiveGuard Advanced s'ils contiennent un code suspect
ressemblant à des menaces ou présentent des caractéristiques ou un comportement inhabituels :
• Exécutables—.exe, .dll, .sys
• Archives—.zip, .rar, .7z, .arch, .arj, .bzip2, .gzip, .ace, .arc, .cab
• Scripts—.bat, .cmd, .hta, .js, .vbs, .js, .ps1
• Autre—.jar, .reg, .msi, .swf, .lnk
Supprimer les échantillons suspects des serveurs d’ESET
Choisissez quand supprimer les échantillons envoyés pour analyse. Supprimez les échantillons du cloud ESET
LiveGuard Advanced : Jamais, Après 30 jours, Immédiatement après analyse.
Documents
Utilisez le curseur pour autoriser les documents Microsoft Office, les PDF et d’autres types de documents à
envoyer pour l'analyse ESET LiveGuard Advanced.
Supprimer les documents des serveurs d'ESET
Supprimez les échantillons ayant le format de fichier de document du cloud ESET LiveGuard Advanced : Jamais,
Après 30 jours, Immédiatement après analyse.
Rapports et protection par apprentissage machine
Le moteur de détection vous protège des attaques malveillantes contre le système en analysant les échanges de
fichiers et d'e-mails, ainsi que les communications Internet. Si un objet classé en tant que logiciel malveillant est
détecté, la correction commencera. Le moteur de détection peut l'éliminer en le bloquant dans un premier
temps, puis en exécutant une action comme le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et par apprentissage machine
L'apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue une couche avancée de
protection qui améliore la détection. Pour en savoir plus sur ce type de protection, consultez le glossaire. Vous
pouvez configurer les niveaux des rapports pour les catégories suivantes :
Logiciel malveillant
Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Le
terme « virus » est souvent utilisé de manière incorrecte. Le terme « logiciel malveillant » (malware, en anglais)
est plus précis. La détection des logiciels malveillants est effectuée par le module du moteur de détection associé
au composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l’objectif n’est pas nécessairement malveillant. Il
peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique,
63
effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres
d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc.
Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection qui
est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable (pour
masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de compression et/ou
chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un
compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels malveillants.
Applications potentiellement dangereuses
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins
malveillantes. Les applications dangereuses sont des logiciels commerciaux authentiques susceptibles d'être
utilisés à des fins malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui
enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Rapports
La création de rapports est effectuée par le moteur de détection et le composant d'apprentissage machine. Vous
pouvez définir le seuil des rapports pour les adapter à votre environnement et à vos besoins. Il n'y a pas qu'une
seule configuration correcte. Il est donc recommandé de surveiller le comportement dans votre environnement et
de déterminer si une configuration différente des rapports est plus appropriée.
Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à une couche de
protection. C'est celle-ci qui prend des mesures en conséquence.
Offensif
Rapports configurés sur une sensibilité maximale. D’autres détections sont signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut souvent être trop
sensible, ce qui peut être contre-productif.
Le paramètre Offensif peut identifier à tort des objets comme étant malveillants. Des actions seront alors exécutées sur ces objets (selon les paramètres de protection).
Équilibré
Cette configuration offre un équilibre optimal entre les performances et la précision des taux de détection et le nombre d'objets signalés à tort.
Prudent
Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est
évidente et correspond à un comportement malveillant.
Désactivée
La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée.
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants.
Gestion des licences
La fenêtre principale donne une vue d'ensemble des licences qui figurent dans ESET Business Account ou ESET
MSP Administrator. Vous pouvez afficher l'ensemble des groupes de licences, des sites ou des sociétés disponibles
dans ESET Business Account ou sur le portail ESET MSP Administrator. La gestion des licences vous permet de
protéger ou d’annuler la protection des utilisateurs. Cliquez sur Afficher tout pour afficher l'état de toutes les
sociétés et de tous les sites.
Si vous avez enregistré la même adresse e-mail dans ESET MSP Administrator et ESET Business Account
(authentification unique), vous pouvez basculer entre les vues ESET Business Account et ESET MSP Administrator
(compte de licence hybride).
64
La licence ESET Cloud Office Security vous permet d'utiliser la fonctionnalité ESET LiveGuard Advanced sans frais
supplémentaires. Le libellé ELG se trouve en regard de l’ID de licence.
La gestion des licences dans ESET Cloud Office Security ne permet pas au client de choisir des licences
individuelles. Au contraire, l'utilisation des licences est basée sur le concept de groupes de licences. Un
groupe de licences (représenté par une société ou un site dans ESET Business Account ou ESET MSP
Administrator) contient une ou plusieurs licences. C'est le système de gestion des licences qui décide de
l'attribution d'un appareil. Le client ne doit donc pas s'en préoccuper.
Gestion des licences avec ESET Business Account
65
Affiche des informations sur les licences et leur utilisation (nom du groupe de licences, ID de licence, unités, validité et état).
Les licences et les groupes de licences sont chargés depuis ESET Business Account. Les groupes de licences ne sont disponibles
que si des sites figurent dans ESET Business Account (les sites sont utiles pour la classification). Une unité représente la
protection ESET Cloud Office Security d’un seul utilisateur pour Exchange Online et OneDrive.
Une unité de licence est utilisée par chaque utilisateur protégé. et ce, quels que soient les services Microsoft 365
utilisés. Un utilisateur disposant d'Exchange Online ou de OneDrive (ou les deux) consomme toujours une unité de
licence.
Une unité de licence n'est pas utilisée par les groupes de travail ou les sites SharePoint.
Chaque nouvel utilisateur apparaît comme Non protégé dans la section Utilisateurs. Si vous utilisez la protection automatique
par un tenant ou un groupe, les nouveaux utilisateurs sont automatiquement protégés et s’affichent comme Protégés.
Lors de la protection des utilisateurs, vous disposez de deux options :
• Protection automatique par un tenant ou un groupe (recommandé) : sans maintenance. Les utilisateurs nouvellement
ajoutés qui se trouvent dans un groupe Azure AD ou qui appartiennent à un tenant, sont automatiquement protégés. Pour
plus d’informations, consultez la remarque ci-dessous.
• Protection utilisateur individuelle : requiert une gestion. Vous devez protéger manuellement chaque nouvel utilisateur.
Protéger les utilisateurs (pas de groupe de licences)
1. Cliquez sur Protéger.
2. Sélectionnez le tenant ou le groupe pour la protection automatique des utilisateurs, puis cliquez sur Protéger. Pour la
protection utilisateur individuelle, sélectionnez les utilisateurs à protéger, puis cliquez sur Protéger. La politique par défaut
protège maintenant les utilisateurs.
3. Si nécessaire, spécifiez une politique personnalisée pour les utilisateurs dans la section Politique par défaut.
Protéger les utilisateurs (à l’aide d'un groupe de licences)
1. Sélectionnez un groupe de licences et cliquez sur l'icône représentant des points de suspension
> Afficher les détails en
regard de celui-ci.
2. Cliquez sur Protéger.
3. Sélectionnez le tenant ou le groupe pour la protection automatique des utilisateurs, puis cliquez sur Protéger. Pour la
protection utilisateur individuelle, sélectionnez les utilisateurs à protéger, puis cliquez sur Protéger. La politique par défaut
protège maintenant les utilisateurs.
4. Si nécessaire, spécifiez une politique personnalisée pour les utilisateurs dans la section Politique par défaut.
Veillez à disposer de suffisamment d'unités de licence, en particulier lorsque la protection automatique est activée
quand le nombre d'utilisateurs augmente. Une fois que toutes les unités de licence sont utilisées, les nouveaux
utilisateurs qui deviennent membres d'un tenant ou d'un groupe ne seront pas protégés. La protection des utilisateurs
existants n’est pas affectée.
Si vous êtes temporairement à court d'unités de licence et que vous souhaitez spécifier les utilisateurs à protéger,
utilisez des groupes non protégés (n'utilisez pas la protection automatique) et protégez manuellement les utilisateurs.
Lorsque vous augmentez les groupes de licences avec plus d’unités, vous pouvez revenir à la protection automatique
pour une gestion plus simple.
Déplacer
Pour déplacer des utilisateurs entre des groupes de licences et pour effectuer des opérations plus avancées sur les licences,
cliquez sur Ouvrir ESET Business Account .
Annuler la protection
1. Sélectionnez des utilisateurs individuels, un tenant ou un groupe, puis cliquez sur Annuler la protection.
2. Lors de la suppression de la protection automatique d'un tenant ou d'un groupe, un message vous demande si vous
souhaitez conserver les utilisateurs de ces tenants/groupes protégés. Si vous choisissez de ne pas utiliser cette option, les
utilisateurs ne sont plus protégés. Si vous cochez la case, la protection automatique du tenant ou du groupe est désactivée et
est remplacée par la protection utilisateur individuelle. Les utilisateurs sont toujours protégés. Vous devez toutefois protéger
manuellement tous les utilisateurs nouvellement ajoutés.
Gestion des licences avec ESET MSP Administrator
66
Affiche des informations sur les licences et leur utilisation (société du client, ID de licence, unités et état).
Une unité de licence est utilisée par chaque utilisateur protégé. et ce, quels que soient les services
Microsoft 365 utilisés. Un utilisateur disposant d'Exchange Online ou de OneDrive (ou les deux) consomme
toujours une unité de licence.
Une unité de licence n'est pas utilisée par les groupes de travail ou les sites SharePoint.
Chaque nouvel utilisateur apparaît comme Non protégé dans la section Utilisateurs. Si vous utilisez la protection
automatique par un tenant ou un groupe, les nouveaux utilisateurs sont automatiquement protégés et s’affichent
comme Protégés.
Lors de la protection des utilisateurs, vous disposez de deux options :
• Protection automatique par un tenant ou un groupe (recommandé) : sans maintenance. Les utilisateurs
nouvellement ajoutés qui sont membres du groupe Azure AD ou qui appartiennent à un client, sont
automatiquement protégés. Pour plus d’informations, consultez la remarque ci-dessous.
• Protection utilisateur individuelle : requiert une gestion. Vous devez protéger manuellement chaque nouvel
utilisateur.
Protéger les utilisateurs
1. Cliquez sur Protéger.
2. Sélectionnez le tenant ou le groupe pour la protection automatique des utilisateurs, puis cliquez sur Protéger.
Pour la protection utilisateur individuelle, sélectionnez les utilisateurs à protéger, puis cliquez sur Protéger. La
politique par défaut protège maintenant les utilisateurs.
3. Si nécessaire, spécifiez une politique personnalisée pour les utilisateurs dans la section Politique par défaut.
Veillez à disposer de suffisamment d'unités de licence, en particulier lorsque la protection automatique est
activée quand le nombre d'utilisateurs augmente. Une fois que toutes les unités de licence sont utilisées,
les nouveaux utilisateurs qui deviennent membres d'un tenant ou d'un groupe ne seront pas protégés. La
protection des utilisateurs existants n’est pas affectée.
Si vous êtes temporairement à court d'unités de licence et que vous souhaitez spécifier les utilisateurs à
protéger, utilisez des groupes non protégés (n'utilisez pas la protection automatique) et protégez
manuellement les utilisateurs. Lorsque vous augmentez les groupes de licences avec plus d’unités, vous
pouvez revenir à la protection automatique pour une gestion plus simple.
Annuler la protection
1. Sélectionnez des utilisateurs individuels, un tenant ou un groupe, puis cliquez sur Annuler la protection.
2. Lors de la suppression de la protection automatique d'un tenant ou d'un groupe, un message vous demande si
vous souhaitez conserver les utilisateurs de ces tenants/groupes protégés. Si vous choisissez de ne pas utiliser
cette option, les utilisateurs ne sont plus protégés. Si vous cochez la case, la protection automatique du tenant ou
du groupe est désactivée et est remplacée par la protection utilisateur individuelle. Les utilisateurs sont toujours
protégés. Vous devez toutefois protéger manuellement tous les utilisateurs nouvellement ajoutés.
ESET Cloud Office Security accès utilisateur à une
société spécifique
Dans un environnement multi-tenant, vous pouvez autoriser un utilisateur à accéder à ESET Cloud Office Security
pour une société spécifique uniquement (avec une autorisation de lecture ou d’écriture). Ceci est généralement
utilisé par les fournisseurs de services managés.
Configurez les droits d’accès utilisateur dans ESET MSP Administrator en attribuant à une société une autorisation
en écriture et un accès en écriture à ESET Cloud Office Security :
1. Connectez-vous à ESET MSP Administrator en tant qu’administrateur.
2. Modifiez un utilisateur et configurez les droits d’accès aux sociétés sous Autorisations, puis sélectionnez
l'accès en écriture. L’utilisateur ne peut voir que la société affectée avec son groupe de licences.
67
3. Définissez l'accès en écriture à ESET Cloud Office Security pour que l’utilisateur puisse protéger une société
en ajoutant un tenant. Un utilisateur ayant un accès en lecture ne peut pas ajouter ni supprimer un tenant.
Seul un type d’accès à ESET Cloud Office Security peut être configuré en tant que paramètre global et s’applique à
toutes les sociétés (si un utilisateur est affecté à plusieurs sociétés).
Journal de vérification
Permet de suivre les modifications dans la configuration ou de protection d'ESET Cloud Office Security. Les
entrées du journal de vérification constituent une preuve des activités et montrent l'ordre dans lequel elles se
sont déroulées. Les journaux de vérification stockent des informations sur une opération ou un événement
spécifique. Les journaux de vérification sont créés dès qu'un objet ESET Cloud Office Security (groupe de licences,
utilisateur, politique, rapport, élément en quarantaine comme une pièce jointe) est créé ou modifié.
Lorsque vous cliquez sur l'icône d'engrenage
dans le coin supérieur droit pour accéder à l'option Exporter vers
le fichier CSV dans le menu contextuel, vous pouvez exporter la grille de la table au format CSV et l'utiliser dans
d'autres applications pour utiliser la liste.
Cliquez sur l'icône
pour ouvrir une barre latérale contenant le résumé d'une entrée spécifique du Journal de
vérification. Pour obtenir des informations plus détaillées, cliquez sur l'icône
et sélectionnez Afficher les
détails.
68
Vignette
Détail
Informations de base Affiche des données générales du journal de vérification (Occurrence, Action, Gravité,
Résultat, Section).
utilisateur
Affiche des informations sur l'utilisateur qui a pris des mesures ou apporté une
modification, notamment ses adresses e-mail et IP.
Changements
Détails sur les modifications apportées.
Anciens paramètres
Affiche le ou les paramètres de politique précédents.
Nouveaux paramètres Affiche le ou les paramètres de politique actuels.
Objets
Répertorie les objets affectés par la modification ou l'action (utilisateur, politique, pièce
jointe, etc.).
Vous pouvez filtrer des utilisateurs selon plusieurs critères. Cliquez sur Ajouter un filtre, sélectionnez un type de
filtre dans le menu déroulant ou saisissez une chaîne (répétez l’opération lorsque vous associez plusieurs
critères) :
Ajouter un filtre
Utilisation
Action
Sélectionnez l'une des actions disponibles.
Type de fichier
Saisissez un nom d’objet valide.
État
Sélectionnez l'une des options suivantes : Réussi, échec, démarré ou partiellement
réussi
utilisateur
Saisissez le nom de l'utilisateur ayant apporté les modifications.
Gravité
Sélectionnez le niveau de gravité : Faible, moyen ou élevé
Est survenu de/Est
survenu dans
Filtrage par heure d’occurrence. Utilisez Est survenu de, puis cliquez sur la date pour
afficher uniquement les entrées plus récentes que la date spécifiée. Utilisez Est
survenu pour les entrées antérieures à, ou utilisez les deux pour la période souhaitée.
Système lancé
Filtre les enregistrements effectués par le système.
Exportation de sysLogs
ESET Cloud Office Security peut exporter les événements consignés répertoriés dans Détections et de les envoyer
à votre serveur Syslog. Vous pouvez exporter les événements qui concernent Exchange Online/Gmail,
OneDrive/Google Drive, les groupes de travail et SharePoint Online. Configurez plusieurs exportations SysLog si
nécessaire ; par exemple, vous pouvez avoir un SysLog pour chaque tenant ou toute combinaison de tenants et
d'événements. Vous pouvez activer/désactiver les exportations de Syslog existantes en les modifiant.
Vous pouvez ajouter un nouveau Syslog ou modifier un Syslog existant et ses paramètres.
1. Cliquez sur Ajouter un Syslog pour ouvrir un modèle et spécifier des paramètres personnalisés. Saisissez le
nom du rapport.
2. Cliquez sur Syslog activé.
3. Sélectionnez l'un des formats suivants pour les messages d'événement :
• CEF (Common Event Format)
• LEEF (Log Event Extended Format) : format utilisé par l'application QRadar d'IBM.
69
• JSON (JavaScript Object Notation)
IP/Nom d'hôte
Saisissez les détails de connexion à votre serveur Syslog.
Port
Le port prédéfini pour la connexion au serveur Syslog est 6514. Vous pouvez modifier le numéro de port dans la
plage 6400-6600 pour qu'il corresponde au port de votre serveur Syslog s'il est différent de 6514.
• Protocole de transport : TLS (nécessite un certificat SSL/TLS de serveur valide émis par une autorité de
certification approuvée)
• Port TCP par défaut : 6514
En raison des exigences de sécurité pour la connexion au serveur Syslog, le serveur Syslog récepteur doit
répondre à des exigences supplémentaires :
• Adresse IP : Adresse IPv4 routable globalement
• Noms IDN : Doivent utiliser la représentation ASCII ("xn--")
• FQDN Doit se traduire par une seule adresse IPv4 fixe
Sélectionner des tenants
Cliquez sur Sélectionner et utilisez les cases à cocher pour sélectionner les tenants pour lesquels vous souhaitez
recevoir les événements.
Détections de journaux
Sélectionnez les événements de journal que vous souhaitez exporter vers votre serveur Syslog.
Champs facultatifs pour les journaux d'analyse
Sélectionnez les champs à inclure dans les messages syslog.
Envoyer les journaux de vérification
Les journaux de vérification seront envoyés dans les journaux d'analyse. En outre, vous pouvez utiliser l'option
Envoyer le journal de test pour vérifier la fonctionnalité.
Paramètres de sécurité supplémentaires
Assurez-vous que les paramètres du pare-feu de votre serveur Syslog autorisent la connexion à partir des
adresses IP suivantes :
• Adresse IP sortante de ESET Cloud Office Security dans la région des États-Unis : 40.83.165.184
• Adresse IP sortante de ESET Cloud Office Security dans la région de l'UE : 51144165221
• Adresse IP sortante de ESET Cloud Office Security dans la région CA : 52.228.24.113
70
Envoyer les commentaires
Pour envoyer vos commentaires, dans la console ESET Cloud Office Security, utilisez la barre d’outils dans le coin
supérieur droit, pointez sur Aide, cliquez sur Envoyer vos commentaires, puis sélectionnez Faites-nous part de
vos commentaires (pour partager des idées et des expériences) ou Signalez un problème ou un bug.
ESET LiveGuard Advanced
ESET LiveGuard Advanced offre une autre couche de sécurité en utilisant une technologie avancée basée sur le
cloud ESET afin de détecter les nouveaux types de menaces. ESET LiveGuard Advanced vous offre la possibilité
d'être protégé contre les conséquences possibles causées par les nouvelles menaces. Si ESET LiveGuard Advanced
détecte du code ou un comportement suspect, il empêche toute activité de la menace en la plaçant
temporairement dans la quarantaine .
Un échantillon suspect (fichier ou e-mail) est automatiquement soumis au cloud ESET, où le serveur ESET
LiveGuard Advanced l'analyse à l'aide des moteurs de détection de logiciels malveillants sophistiqués. Pendant
que les fichiers ou les e-mails sont dans la quarantaine , ESET Cloud Office Security attend les résultats du serveur
ESET LiveGuard Advanced.
Une fois l'analyse terminée, ESET Cloud Office Security reçoit un rapport comportant un résumé du
comportement de l'échantillon observé. Si l’échantillon s’avère inoffensif, il est libéré de la quarantaine. Sinon, il
est conservé en quarantaine.
Les résultats ESET LiveGuard Advanced pour les échantillons sont généralement donnés en quelques minutes
pour les e-mails. Toutefois, l'intervalle d'attente par défaut est défini sur 5 minutes. Dans de rares cas, lorsque les
résultats ESET LiveGuard Advanced ne sont pas donnés dans l'intervalle, le message est libéré.
La licence ESET Cloud Office Security vous permet d’utiliser la fonctionnalité ESET LiveGuard Advanced sans frais
supplémentaires. Le libellé ELG se trouve en regard de l’ID de licence dans la gestion des licences.
Lorsqu’une petite fenêtre contextuelle apparaît, vous pouvez activer ESET LiveGuard Advanced en créant une
politique ou en mettant à jour une politique existante.
Pour plus d’informations sur ESET LiveGuard Advanced, consultez Fonctionnement des couches de détection ESET
LiveGuard Advanced .
Disponibilité du service
Disponibilité
Chez ESET, nous nous attachons à fournir des services cloud de la plus haute qualité et, à ce titre, nous nous
efforçons de déployer le maximum d'efforts commercialement viables pour maintenir une disponibilité mensuelle
71
de ESET Cloud Office Security de 99,5 %. La notion de disponibilité signifie que le produit est accessible et
utilisable sur Internet.
Pour ESET Cloud Office Security, le temps d'arrêt est défini comme toute période pendant laquelle
l'administrateur informatique du client ou les utilisateurs autorisés par le client ne peuvent pas se connecter avec
les identifiants appropriés. De plus, toute période pendant laquelle les objets désignés pour être analysés ne le
sont pas.
La disponibilité est mesurée à l'aide d'outils de surveillance qui ont été mis en œuvre conformément aux
meilleures pratiques de l'industrie.
L'indisponibilité du produit due à des limitations techniques du côté du client (telles que la violation de la
politique d'utilisation équitable, une mauvaise configuration, la résiliation du droit d'utilisation du produit) et les
événements de force majeure ne sont pas considérés comme des temps d'arrêt. Le niveau de disponibilité
indiqué ne s'applique pas aux versions préliminaires, aux pré-versions, aux versions bêta, aux versions non
destinées à la vente, aux versions d'essai ou aux versions à accès anticipé.
Maintenance
Les interruptions planifiées sont des interruptions liées au réseau, au matériel, à la maintenance des services
et/ou aux mises à niveau qui peuvent dépasser 15 minutes et sont annoncées par une notification publiée sur
ESET Status Portal au moins trois (3) jours ouvrables avant le début de l'interruption planifiée. Les interruptions
planifiées ne sont pas considérées comme des temps d'arrêt.
Le portail ESET Status Portal affiche l'état actuel des services cloud ESET, les pannes planifiées et les incidents
passés. Si vous rencontrez un problème avec un service ESET pris en charge, mais ne le voyez pas répertorié dans
le portail d'état, contactez l'assistance technique ESET.
Les équipes de surveillance vérifient les problèmes potentiels en interne. Les incidents confirmés sont affichés et
mis à jour manuellement afin qu'une crédibilité et une précision élevées soient garanties. Par conséquent, ils
apparaissent sur le portail d'état avec un léger retard. Les incidents de courte durée ne sont pas nécessairement
publiés s'ils sont résolus avant d'être confirmés manuellement.
Assistance technique
Utilisez les liens suivants vers des informations d'assistance qui vous aideront à résoudre les problèmes que vous
pouvez rencontrer :
Rechercher la Base de connaissances ESET
Base de connaissances ESET Contient des réponses aux questions les plus fréquentes et les solutions
recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques
d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes.
Visiter le forum ESET Security
Forum d'assistance Le forum ESET permet aux utilisateurs d'ESET d'obtenir facilement de l'aide et d'aider les
autres. Vous pouvez publier un problème ou une question concernant vos produits ESET.
72
Contacter l'assistance technique
Formulaire d'assistance technique ESET Remplissez le formulaire en fournissant vos coordonnées, ainsi que la
description du problème.
Contacter votre partenaire ESET local pour obtenir de l'aide
Contactez votre assistance ESET locale Vous trouverez les coordonnées de l'assistance ESET dans votre région
dans l'e-mail de votre licence ESET.
Envoyer des commentaires
Envoyer vos commentaires Faites-nous part de vos commentaires (partagez des idées et des expériences) ou
signalez un problème ou un bug.
Suggérer une amélioration de l'aide en ligne
Vous pouvez publier votre évaluation et fournir des commentaires sur un sujet spécifique dans l'aide en ligne.
Pour ce faire, cliquez sur le lien Ces informations vous ont-elles été utiles ? dans la partie inférieure de la page
d'aide. Indiquez-nous si le contenu vous a aidé ou ce que peut faire le rédacteur technique pour l'améliorer.
ESET Connect (API)
ESET Connect est une passerelle API REST entre un client et un ensemble de services backend ESET. ESET Connect
agit comme un proxy inverse pour accepter tous les appels d'interface de programmation d'application (API),
agréger les services requis pour satisfaire ces appels et renvoyer le résultat approprié. ESET Connect permet
d'automatiser les activités de surveillance, de sécurité et d'administration.
L'API est disponible pour la quarantaine et les détections ESET Cloud Office Security (gestion des incidents).
Les étapes suivantes sont nécessaires pour commencer à utiliser l'API ESET Connect :
1. Vérifiez que votre environnement répond aux prérequis du réseau.
2. Connectez-vous au portail ESET Business Account ou ESET MSP Administrator et créez un compte
d'utilisateur dédié à l'utilisation de l’API. Dans la section Droits d'accès, activez Intégrations à l'aide du
bouton bascule.
3. Authentifiez votre compte d'utilisateur API auprès du fournisseur d'identité (IDS) et obtenez le jeton web
JSON (JWT).
4. Ajoutez un en-tête Authorization contenant le JWT à un appel API.
Swagger
Utiliser l'interface utilisateur de Swagger pour interagir avec l'API, ce qui permet d'établir des connexions directes
avec des API actives par l'intermédiaire d'une page web. Pour plus d'informations sur Swagger, reportez-vous à
l'aide en ligne d'ESET Connect.
73
Documents juridiques
Voici un ensemble de documents juridiques :
• Sécurité pour ESET Cloud Office Security
• Conditions d'utilisation
• Contrat de licence de l'utilisateur final
• Accord sur le traitement des données
• Clauses contractuelles types
• Politique de confidentialité
Security for ESET Cloud Office Security
Introduction
Ce document a pour but de résumer les pratiques et les contrôles de sécurité appliqués dans ESET Cloud Office
Security. Les pratiques et les contrôles de sécurité sont conçus pour protéger la confidentialité, l'intégrité et la
disponibilité des informations des clients. Notez que les pratiques et les contrôles de sécurité peuvent changer.
Portée
Ce document a pour but de résumer les pratiques et les contrôles de sécurité pour l'infrastructure ESET Cloud
Office Security, ESET Business Account (ci-après dénommé « EBA »), ESET Data Framework, ESET LiveGrid, les
mises à jour, l'antispam, l'infrastructure ESET Dynamic Threat Defense, l'organisation, le personnel et les
processus opérationnels. Les pratiques et contrôles de sécurité comprennent :
1. Politiques de sécurité des informations
2. Organisation de la sécurité des informations
3. Sécurité des ressources humaines
4. Gestion des ressources
5. Contrôle d'accès
6. Chiffrement
7. Sécurité physique et environnementale
8. Sécurité des opérations
9. Sécurité des communications
10. Acquisition, développement et maintenance des systèmes
11. Relation avec les fournisseurs
12. Gestion des incidents de sécurité des informations
13. Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
14. Conformité
Notion de sécurité
La société ESET s.r.o. est certifiée ISO 27001:2013 avec une portée de système de gestion intégrée couvrant
74
explicitement les services ESET Cloud Office Security, EBA et d'autres services.
Par conséquent, la notion de sécurité des informations utilise le cadre de la norme ISO 27001 pour mettre en
place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de
la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des
processus opérationnels. Les pratiques et les contrôles de sécurité appliqués sont censés se superposer et se
compléter.
Pratiques et contrôles de sécurité
1. Politiques de sécurité des informations
ESET utilise des politiques de sécurité des informations pour couvrir tous les aspects de la norme ISO 27001, y
compris la gouvernance de la sécurité des informations et les contrôles et pratiques de sécurité. Les politiques
sont révisées chaque année et mises à jour après des changements significatifs afin de s'assurer qu'elles restent
adaptées, adéquates et efficaces.
ESET effectue des révisions annuelles de cette politique et des contrôles de sécurité internes pour assurer la
cohérence avec cette politique. Le non-respect des politiques de sécurité des informations est sujet à des actions
disciplinaires pour les employés d'ESET ou à des pénalités contractuelles allant jusqu'à la résiliation du contrat
pour les fournisseurs.
2. Organisation de la sécurité des informations
L'organisation de la sécurité des informations pour ESET Cloud Office Security est composée de plusieurs équipes
et personnes impliquées dans la sécurité des informations et l'informatique, notamment :
Direction générale d'ESET
Équipes de sécurité internes d'ESET
Équipes informatiques chargées des applications métier
Autres équipes de soutien
Les responsabilités en matière de sécurité des informations sont attribuées conformément aux politiques de
sécurité des informations en vigueur. Les processus internes sont identifiés et évalués pour tout risque de
modification non autorisée ou non intentionnelle ou de mauvaise utilisation des ressources ESET. Les activités
risquées ou sensibles des processus internes adoptent le principe de la séparation des tâches pour limiter le
risque.
L'équipe juridique d'ESET est responsable des contacts avec les autorités gouvernementales, notamment les
régulateurs slovaques en matière de cybersécurité et de protection des données à caractère personnel. L'équipe
de sécurité interne d'ESET est chargée de contacter les groupes d'intérêt spéciaux tels que ISACA. L'équipe du
laboratoire de recherche d'ESET est responsable de la communication avec les autres entreprises de sécurité et la
communauté de la cybersécurité.
La sécurité des informations est prise en compte dans la gestion de projets en utilisant le cadre de gestion de
projets appliqué, de la conception à l'achèvement d'un projet.
Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique appliquée aux appareils mobiles
qui inclut l'utilisation d'une protection cryptographique forte des données sur les appareils mobiles utilisant des
réseaux non approuvés lors des déplacements. Les contrôles de sécurité sur les appareils mobiles sont conçus
pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.
75
3. Sécurité des ressources humaines
ESET utilise des pratiques standard en ce qui concerne les ressources humaines, y compris des politiques conçues
pour maintenir la sécurité des informations. Ces pratiques couvrent l'ensemble du cycle de vie des employés, et
elles s'appliquent à toutes les équipes qui accèdent à l'environnement ESET Cloud Office Security.
4. Gestion des ressources
L'infrastructure ESET Cloud Office Security est incluse dans les inventaires de ressources d'ESET avec une
propriété stricte et des règles appliquées selon le type et la sensibilité des ressources. ESET possède un modèle de
classification interne défini. Toutes les données et configurations d'ESET Cloud Office Security sont classées
confidentielles.
5. Contrôle d'accès
La politique de contrôle d'accès d'ESET régit chaque accès dans ESET Cloud Office Security. Le contrôle d'accès est
défini au niveau de l'infrastructure, des services réseau, du système d'exploitation, de la base de données et des
applications. La gestion complète des accès des utilisateurs au niveau des applications est autonome.
L'authentification unique ESET Cloud Office Security et ESET Business Account est régie par un fournisseur
d'identité central, qui garantit qu'un utilisateur ne peut accéder qu'au tenant autorisé. L'application utilise des
autorisations ESET Cloud Office Security standard pour appliquer le contrôle d’accès basé sur les rôles au tenant.
L'accès au back-end d'ESET est strictement limité aux personnes et aux rôles autorisés. Les processus standard
d'ESET pour l'inscription/la désinscription, l'attribution/l'annulation de l'attribution des utilisateurs, la gestion des
privilèges et la révision des droits d'accès des utilisateurs sont utilisés pour gérer l'accès des employés d'ESET aux
infrastructures et aux réseaux d'ESET Cloud Office Security.
Une authentification forte est en place pour protéger l'accès à toutes les données d'ESET Cloud Office Security.
6. Chiffrement
Pour protéger les données d'ESET Cloud Office Security, un chiffrement fort est utilisé pour chiffrer les données
au repos et en transit. Une autorité de certification de confiance est généralement utilisée pour émettre des
certificats pour les services publics. L'infrastructure interne de clés publiques ESET est utilisée pour gérer les clés
au sein de l'infrastructure d'ESET Cloud Office Security. Les données stockées dans la base de données sont
protégées par des clés de chiffrement générées par le cloud. Toutes les données de sauvegarde sont protégées
par des clés gérées par ESET.
7. Sécurité physique et environnementale
Comme ESET Cloud Office Security et ESET Business Account sont basés sur le cloud, nous nous appuyons sur
Microsoft Azure pour la sécurité physique et environnementale. Microsoft Azure utilise des centres de données
certifiés dotés de solides mesures de sécurité physique. L'emplacement physique du centre de données dépend
du choix de la région du client.
8. Sécurité des opérations
Le service ESET Cloud Office Security est exploité par des moyens automatisés basés sur des procédures
opérationnelles et des modèles de configuration stricts. Toutes les modifications, y compris les changements de
configuration et le déploiement de nouveaux packages, sont approuvées et testées dans un environnement de
test dédié avant d'être déployées en production. Les environnements de développement, de test et de
production sont séparés les uns des autres. Les données d'ESET Cloud Office Security sont situées uniquement
76
dans l’environnement de production.
L’environnement ESET Cloud Office Security est supervisé à l'aide d'une surveillance opérationnelle pour identifier
rapidement les problèmes et fournir les capacités suffisantes à tous les services au niveau du réseau et des hôtes.
Toutes les données de configuration sont stockées dans nos répertoires régulièrement sauvegardés afin de
permettre une récupération automatisée de la configuration d'un environnement. Les sauvegardes de données
d'ESET Cloud Office Security sont stockées à la fois sur site et hors site..
Les sauvegardes sont chiffrées et leur capacité de récupération est régulièrement testée dans le cadre des tests
de continuité de l'activité.
L'audit des systèmes est réalisé conformément aux normes et directives internes. Les journaux et les événements
de l'infrastructure, du système d'exploitation, de la base de données, des serveurs d'applications et des contrôles
de sécurité sont collectés en permanence. Les journaux sont ensuite traités par les équipes informatiques et de
sécurité internes afin d'identifier les anomalies opérationnelles et de sécurité et les incidents de sécurité des
informations.
ESET utilise un processus général de gestion des vulnérabilités techniques pour traiter l'apparition de
vulnérabilités dans l'infrastructure ESET, notamment ESET Cloud Office Security et d'autres produits ESET. Ce
processus comprend une analyse proactive des vulnérabilités et des tests de pénétration répétés de
l'infrastructure, des produits et des applications.
ESET donne des directives internes pour la sécurité de l'infrastructure interne, des réseaux, des systèmes
d'exploitation, des bases de données, des serveurs d'applications et des applications. Ces directives sont vérifiées
par le biais d'un contrôle de conformité technique et de notre programme interne d'audit de sécurité des
informations.
9. Sécurité des communications
L'environnement ESET Cloud Office Security est segmenté par le biais d'une segmentation cloud native, l'accès au
réseau étant limité uniquement aux services nécessaires entre les segments réseau. La disponibilité des services
réseau est assurée par des contrôles natifs du cloud, tels que les zones de disponibilité, l'équilibrage des charges
et la redondance. Des composants d'équilibrage de charge dédiés sont déployés pour fournir des endpoints
spécifiques pour le routage des instances ESET Cloud Office Security qui appliquent l'autorisation du trafic et
l'équilibrage de charge. Le trafic réseau est surveillé en permanence pour détecter les anomalies opérationnelles
et de sécurité. Les attaques potentielles peuvent être résolues en utilisant des contrôles natifs du cloud ou des
solutions de sécurité déployées. Toutes les communications réseau sont chiffrées par des techniques
généralement disponibles, notamment IPsec et TLS.
10. Acquisition, développement et maintenance des systèmes
Le développement des systèmes ESET Cloud Office Security est réalisé conformément à la politique de
développement de logiciels sécurisés d'ESET. Les équipes de sécurité internes sont incluses dans le projet de
développement d'ESET Cloud Office Security dès la phase initiale et supervisent toutes les activités de
développement et de maintenance. L'équipe de sécurité interne définit et vérifie le respect des exigences de
sécurité à différents stades du développement du logiciel. La sécurité de tous les services, y compris ceux
nouvellement développés, est testée en permanence après leur mise en service.
11. Relation avec les fournisseurs
Une relation pertinente avec les fournisseurs est entretenue selon les directives valides d'ESET, qui couvrent
l'ensemble de la gestion de la relation et les exigences contractuelles du point de vue de la sécurité des
77
informations et de la confidentialité. La qualité et la sécurité des services fournis par les fournisseurs de services
critiques sont évaluées régulièrement.
12. Gestion de la sécurité des informations
La gestion des incidents de sécurité des informations dans ESET Cloud Office Security est effectuée de manière
similaire aux autres infrastructures ESET et s'appuie sur des procédures définies de réponse aux incidents. Les
rôles au sein de la réponse aux incidents sont définis et répartis entre plusieurs équipes, notamment le service
informatique, le service de sécurité, le service juridique, les ressources humaines, les relations publiques et la
direction générale. L'équipe de réponse à un incident est établie en fonction du triage de l'incident par l'équipe de
sécurité interne. Cette équipe assurera la coordination des autres équipes chargées de l'incident. L'équipe de
sécurité interne est également responsable de la collecte des preuves et des enseignements tirés. L'occurrence et
la résolution des incidents sont communiquées aux parties concernées. L'équipe juridique d'ESET est chargée de
notifier les organismes de réglementation si nécessaire, conformément au règlement général sur la protection
des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de
l'information (NIS).
13. Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
La continuité opérationnelle du service ESET Cloud Office Security est codifiée dans l'architecture robuste utilisée
pour maximiser la disponibilité des services fournis. Une restauration complète à partir des données de
sauvegarde et de configuration hors site est possible en cas de défaillance catastrophique de tous les nœuds
redondants des composants ESET Cloud Office Security ou du service ESET Cloud Office Security. Le processus de
restauration est testé régulièrement.
14. Conformité
La conformité aux exigences réglementaires et contractuelles d'ESET Cloud Office Security est régulièrement
évaluée et examinée de la même manière que les autres infrastructures et processus d'ESET, et les mesures
nécessaires sont prises pour assurer la conformité de manière continue. ESET est enregistré en tant que
fournisseur de services numériques pour le service numérique de cloud computing couvrant plusieurs services
ESET, notamment ESET Cloud Office Security. Notez que les activités de conformité d'ESET ne signifient pas
nécessairement que les exigences de conformité globales des clients sont satisfaites en tant que telles.
Conditions d'utilisation
En vigueur à compter du 23 octobre 2023. | Consulter une version précédente des Conditions d’utilisation |
Comparer les modifications
Le présent Contrat d'ESET Cloud Office Security (« Conditions ») constitue un accord spécial entre ESET, spol. s r.
o., dont le siège social est sis Einsteinova 24, 85101 Bratislava, Slovak Republic, inscrite au registre du commerce
administré par le Tribunal de première instance de Bratislava I, Section Sro, entrée n° 3586/B, immatriculation au
registre du commerce : 31333532 (« ESET » ou « Fournisseur ») et vous, une personne physique ou morale
(« Vous » ou « Utilisateur ») qui accède à un compte pour l'administration d'ESET Cloud Office Security et qui
accède au portail web contrôlé par ESET (« Compte ») afin d'utiliser ESET Cloud Office Security. Si vous utilisez le
Compte et ESET Cloud Office Security (ci-après dénommés conjointement « Produit ») au nom d’une société, cela
signifie que vous acceptez ces conditions au nom de cette société et que vous garantissez que vous disposez de
l’autorité requise pour l’engager à respecter ces conditions. Dans ce cas, les termes « Utilisateur » et « Vous »
désigneront cette société. Lisez attentivement les présentes conditions. Celles-ci concernent également les
services fournis par ESET par l'intermédiaire du Produit ou en relation avec celui-ci. Les conditions spécifiques
d'utilisation de services individuels au-delà des limites des présentes Conditions sont mentionnées avec chaque
78
service, leur acceptation faisant partie du processus d'activation du service. Les annexes ci-jointes complètent ces
Conditions.
Sécurité et protection des données
Le Compte permet l'accès aux services fournis par ESET. Le nom complet de l'utilisateur, le nom de la société, le
pays, l'adresse électronique valide, le numéro de téléphone, les statistiques et les données de licence de
l'utilisateur sont nécessaires à l'enregistrement et à l'utilisation du Compte, ainsi qu'à la fourniture et à la
maintenance des services accessibles via le Compte. Vous acceptez par la présente que les données soient
collectées et transférées aux serveurs du Fournisseur ou à ceux de ses partenaires, dans le but d'assurer le
fonctionnement du Compte, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur. Après la
conclusion du présent Contrat, le Fournisseur et ses partenaires sont autorisés à transférer, à traiter et à stocker
des données essentielles vous identifiant, aux fins d'assistance et d'exécution du présent Contrat. Vous n'êtes
autorisé à utiliser le Compte que de la manière et aux fins prévues dans les présentes Conditions, les conditions
de chaque service et la documentation.
Vous êtes responsable de la sécurité de votre Compte et des identifiants nécessaires pour la connexion. ESET ne
sera pas tenue pour responsable de toute perte ou de tout dommage résultant de votre incapacité à remplir cette
obligation de maintien de la sécurité. L'Utilisateur est également responsable de toute activité relative à
l'utilisation du Compte, que celle-ci soit autorisée ou non. Si l'intégrité du Compte est compromise, vous devez en
avertir le Fournisseur immédiatement.
Afin de fournir un service d'administration de Compte, la collecte de données concernant les appareils
administrés est nécessaire avec les informations d'administration (ci-après, « Données »). Vous fournissez les
Données à ESET uniquement aux fins de la prestation du service d'administration du Compte. Les Données seront
traitées et stockées conformément aux politiques et aux pratiques de sécurité d'ESET, ainsi qu'en accord avec la
politique de confidentialité.
Des informations détaillées sur la vie privée, la protection des données personnelles et vos droits en tant que
personne concernée figurent dans la Politique de confidentialité.
Politique d'utilisation équitable
Vous êtes obligé de respecter les limites techniques stipulées dans la documentation. Vous acceptez d'utiliser le
Compte et ses fonctions uniquement de façon à ne pas entraver la possibilité des autres Utilisateurs à accéder à
ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services fournis à chacun des Utilisateurs
individuels, pour permettre l'utilisation des services au plus grand nombre possible d'Utilisateurs. Le fait de limiter
l'étendue des services impliquera aussi la résiliation totale de la possibilité d'utiliser toute fonction du Compte
ainsi que la suppression des données et des informations.
Vous trouver des informations détaillées sur les limites techniques dans Limites.
Emplacement
Le Fournisseur peut vous autoriser à choisir un emplacement d'hébergement parmi ceux disponibles pour le
compte, y compris l'emplacement recommandé choisi par le Fournisseur. Vous reconnaissez que le choix d'un
autre emplacement que celui recommandé peut avoir un impact sur l'expérience utilisateur. Selon l'emplacement
choisi, le Contrat sur la protection des données inclus dans l'Annexe n° 2 du présent contrat et les Clauses
contractuelles types incluses dans l'annexe n° 3 du présent Contrat peuvent s'appliquer. ESET se réserve le droit
de modifier, à tout moment et sans préavis, un emplacement spécifique en vue d'améliorer les services fournis
par ESET conformément à Vos préférences d'emplacement (par exemple, l'Union européenne).
79
Logiciel
ESET ou ses fournisseurs respectifs possèdent ou exercent un droit de propriété sur tous les logiciels disponibles
dans le cadre du Produit (ci-après, le « Logiciel »). Le Logiciel ne peut être utilisé que conformément au Contrat de
licence de l'Utilisateur final inclus dans l'Annexe n° 1 du présent Accord. D'autres informations relatives à l'octroi
de licence, aux droits de propriété intellectuelle, à la documentation et aux marques de commerce sont stipulées
dans les Informations juridiques.
Restrictions
Vous ne pouvez pas copier, distribuer, extraire des composants, ni créer des travaux dérivés basés sur le Compte.
Vous devez respecter les restrictions suivantes lorsque vous utilisez le Compte :
(a) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du
Compte ou de ses composants d’aucune manière autre que celles prévues dans les présentes Conditions.
(b) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ni louer ou utiliser le Compte pour offrir des
services commerciaux.
(c) Vous ne pouvez pas rétroconcevoir, décompiler, désassembler le Compte ni tenter de toute autre façon de
découvrir le code source du Compte, sauf dans la mesure où cette restriction est expressément interdite par la loi.
(d) Vous acceptez de n’utiliser le Compte que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Compte, y compris, mais sans s'y limiter, les restrictions applicables relatives aux droits
d’auteur et aux droits de propriété intellectuelle.
Clause de non-responsabilité
EN TANT QU’UTILISATEUR, VOUS RECONNAISSEZ QUE LE COMPTE AINSI QUE LES SERVICES SONT FOURNIS « EN
L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE
PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI LES
DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU N’ACCORDENT DE GARANTIE
EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE CONFORMITÉ À UN
OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE COMPTE OU LES SERVICES NE PORTENT PAS ATTEINTE À DES
BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI
AUCUN AUTRE TIERS NE GARANTISSENT QUE LE COMPTE OU LES SERVICES RÉPONDRONT À VOS ATTENTES OU
QUE LE FONCTIONNEMENT DU COMPTE OU DES SERVICES SERA CONTINU OU EXEMPT D'ERREURS. VOUS
ASSUMEZ L'ENTIÈRE RESPONSABILITÉ ET L'ENSEMBLE DES RISQUES LIÉS À LA SÉLECTION DU COMPTE ET DES
SERVICES ET À LEUR UTILISATION EN VUE D'OBTENIR LES RÉSULTATS ATTENDUS, TOUT COMME VOUS ASSUMEZ
LES RÉSULTATS DÉCOULANT DE LEUR UTILISATION.
À l’exception des obligations mentionnées explicitement dans le présent Contrat, aucune obligation
supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
Limitation de responsabilité
DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES
CONTRACTANTS NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE
PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE
DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES,
OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU
80
CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DLE D’UNE RESPONSABILITÉ CONTRACTUELLE,
DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L’INSTALLATION,
À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE COMPTE, MÊME SI LE FOURNISSEUR OU SES
CONTRACTANTS ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS
N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA
RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONTRACTANTS SERA LIMITÉE AU MONTANT
QUE VOUS AVEZ PAYÉ POUR LE SERVICE OU LE COMPTE EN QUESTION.
Conformité aux contrôles à l'exportation
(a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le
Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner
ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités
contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences
négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent :
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la
réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées
par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre des présentes conditions doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou
mène ses activités et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction
d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou
mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout
pays dans lequel les obligations au titre des présentes conditions doivent être exécutées, ou dans lequel ESET ou
l'une de ses filiales est établie ou mène ses activités (les actes juridiques mentionnés aux points i, et ii. ci-dessus
étant appelés ensemble « Lois sur le contrôle à l'exportation »).
(b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet
immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de la
section (a) de la présente clause de conformité aux contrôles à l'exportation des présentes conditions ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent,
ESET estime raisonnablement que l'exécution continue de ses obligations en vertu des présentes conditions
pourrait entraîner ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des
Lois sur le contrôle à l'exportation.
(c) Rien dans les présentes conditions ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une
des parties à agir ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit
incompatible, pénalisée ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable.
Régime juridique et linguistique
Les présentes Conditions sont régies par les lois de la République slovaque et interprétée conformément à cellesci. L'Utilisateur Final et le Fournisseur conviennent que les dispositions relatives aux conflits de la loi applicable et
la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s'appliquent
pas. Si vous êtes un consommateur ayant sa résidence habituelle dans l'UE, Vous bénéficiez également d'une
81
protection supplémentaire qui Vous est accordée par les dispositions légales obligatoires applicables dans votre
pays de résidence.
Vous acceptez expressément que le Tribunal de première instance de Bratislava I, Slovaquie, constitue la
juridiction exclusive pour tout conflit ou litige avec le Fournisseur, ou en relation avec votre utilisation du Logiciel,
du Compte ou des Services ou découlant des présentes Conditions ou des Conditions spéciales (le cas échéant).
Vous reconnaissez et acceptez l’exercice de la juridiction personnelle du Tribunal de première instance de
Bratislava I en ce qui concerne la résolution de tels conflits ou litiges. Si Vous êtes un consommateur et que vous
avez votre résidence habituelle dans l'UE, Vous pouvez également introduire une action pour faire valoir vos
droits de consommateur dans le lieu de la juridiction exclusive ou dans le pays de l'UE dans lequel Vous vivez. En
outre, vous pouvez également utiliser une plateforme de résolution des litiges en ligne, accessible à l'adresse
suivante : https://ec.europa.eu/consumers/odr/. Toutefois, pensez à nous contacter d'abord avant de présenter
une réclamation officielle.
En cas de divergence entre les versions linguistiques des présentes Conditions, la version en langue anglaise
disponible ici prévaut toujours.
Dispositions générales
ESET se réserve le droit de réviser ces Conditions et la documentation ou toute partie de celles-ci à tout moment,
en mettant à jour le contenu approprié afin de refléter les modifications apportées à une loi ou au Compte. Vous
serez averti de toute révision des présentes Conditions par l'intermédiaire du Compte. Si vous n'êtes pas d'accord
avec les modifications de ces Conditions d'utilisation, vous pouvez annuler votre Compte. À moins que Vous
n'annuliez votre Compte après avoir été informé des modifications, Vous êtes lié par toute modification ou
révision des présentes Conditions. Nous vous conseillons de consulter régulièrement cette page afin de vérifier les
CDU s’appliquant actuellement à l’utilisation du Compte.
Avis
Tous les avis doivent être adressés à : ESET, spol. s r. o., Einsteinova 24, 85101 Bratislava, Slovak Republic.
Annexe n° 1
Contrat de licence de l'utilisateur final
Annexe n° 2
Accord sur le traitement des données
Annexe n° 3
Clauses contractuelles types
Contrat de licence de l'utilisateur final
IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit stipulés ci-dessous
avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, EN INSTALLANT, EN
COPIANT OU EN UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ
AVOIR PRIS CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
82
Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par et entre ESET, spol. s
r. o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au Registre du
Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises :
31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »),
vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités
indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un support de
données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur
ou obtenu à partir d'autres sources.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le
Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage
commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent
Contrat.
En cliquant sur « J’accepte » ou « J’accepte ...» lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel,
vous acceptez les termes et conditions du présent Contrat. Si vous n’êtes pas d’accord avec tous les termes et
conditions du présent Contrat, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou
l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture
au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE
PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS.
1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous
ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces
jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni
sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents
explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses
caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système
d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de
l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du
Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si
elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent
Contrat. Le Logiciel est fourni exclusivement sous la forme d'un code objet exécutable.
2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier
électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources
nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au
moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la
Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel
susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les
ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils
électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera
installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes
spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de
l'extension de la durée de la Licence conformément au présent Contrat.
3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les
termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants
(« Licence ») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le
disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de
83
stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On
entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue
de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui
reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du
courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre
d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier
électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre
d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des
services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par
l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du
côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas
utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la
Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite
découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez
pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou
le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur.
c) Version Business Edition. Une version Business Edition du Logiciel est requise pour utiliser le Logiciel sur des
serveurs de courrier, relais de courrier, passerelles de courrier ou passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel acheté à un fabricant
d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel vous l’avez obtenu. Elle ne peut pas être
transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou
comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou
d’évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été
accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au
Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas
d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le
Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des
fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers.
4.Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner
correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs
du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de confidentialité.
Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé à publier des mises à jour du Logiciel (« Mises à jour ») de
temps à autre, mais n’en a pas l’obligation. Cette fonction est activée dans la configuration standard du Logiciel ;
les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé l’installation
automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la
Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la plate-forme sur
lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité.
b) Réacheminement des infiltrations et des données au Fournisseur. Le Logiciel contient des fonctions qui
84
collectent des échantillons de virus, d'autres programmes informatiques également nuisibles et d'objets
problématiques, suspects, potentiellement indésirables ou dangereux tels que des fichiers, des URL, des paquets
IP et des trames Ethernet (« Infiltrations »), puis les envoient au Fournisseur, en incluant, sans s'y limiter, des
informations sur le processus d'installation, l'Ordinateur ou la plateforme hébergeant le Logiciel et des
informations sur les opérations et fonctions du Logiciel (« Informations »). Les Informations et les Infiltrations
sont susceptibles de contenir des données (y compris des données personnelles obtenues par hasard ou
accidentellement) concernant l’Utilisateur final et/ou d’autres usagers de l’ordinateur sur lequel le Logiciel est
installé et les fichiers affectés par les Infiltrations et les métadonnées associées. Les informations et les
infiltrations peuvent être collectées pat les fonctions suivantes du Logiciel :
i. La fonction Système de réputation LiveGrid collecte et envoie les hachages unidirectionnelles liés aux
Infiltrations au Fournisseur. Cette fonction est activée dans les paramètres standard du Logiciel.
ii. La fonction Système de commentaires LiveGrid collecte et envoie les Infiltrations avec les Informations et les
métadonnées associées au Fournisseur.
Le Fournisseur utilisera les Informations et Infiltrations reçues uniquement pour effectuer des analyses et des
recherches sur les Infiltrations et améliorer le Logiciel et la vérification de l'authenticité de la Licence. Il prendra
en outre les mesures adéquates afin de protéger les Infiltrations et Informations reçues. Si vous activez cette
fonction du Logiciel, les Infiltrations et Informations peuvent être collectées et traitées par le Fournisseur, comme
stipulé dans la Politique de confidentialité et conformément aux réglementations en vigueur. Vous pouvez
désactiver ces fonctions à tout moment.
Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au
Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur
vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent
Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées
pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses
partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir
les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur.
Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau
de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données
essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de
notifications sur votre Ordinateur. Vous acceptez de recevoir des notifications et des messages, notamment des
informations commerciales.
Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que
personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et
directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du
Logiciel.
5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou par
l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos
opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence.
6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux
dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à
condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes
les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat.
85
b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel
ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat.
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour
offrir des services commerciaux.
d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de
découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits
de propriété intellectuelle.
f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres
Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services
fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible
d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité
d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les
serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux
termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à
utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de
licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une
source autre que le Fournisseur).
7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété
intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions
des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La
structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations
confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel,
sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent
Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel.
Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le
code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi
obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès
que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du
présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous
sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs
plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le
Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une
Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous
pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos
frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou
ses partenaires commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées aux
articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée.
86
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE
LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU
IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE
LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION
OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE
VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE
À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR
NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE
LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE
RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET
POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent
Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR,
SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE
QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU
SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE
DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE
GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE
D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE
RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME
SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE.
CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA
LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES
CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant
comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur
discrétion, sans garantie ni déclaration solennelle. L’Utilisateur Final devra peut-être sauvegarder toutes les
données, logiciels et programmes existants avant que l’assistance technique ne soit fournie. ESET et/ou les tiers
mandatés par ESET ne seront en aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque
perte de données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison de la
fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si
l’assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre
l’assistance technique ou d’y mettre fin à sa discrétion. Des informations de licence, d'autres informations et des
données conformes à la Politique de confidentialité peuvent être requises en vue de fournir une assistance
technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins
d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer
de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec
l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i)
l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire
qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final
assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final
d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du
Logiciel, conformément à l’article 17.
87
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de
l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par
le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un
courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur
et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la
Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs
publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans
le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le
Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner
ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités
contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences
négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la
réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées
par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses
activités (« Lois sur le contrôle des exportations ») et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction
d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou
mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout
pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses
filiales est établie ou mène ses activités (« Lois sur les sanctions »).
b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet
immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de
l'Article 19.a du Contrat ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent,
ESET estime raisonnablement que l'exécution continue de ses obligations en vertu de l'accord pourrait entraîner
ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle
à l'exportation.
c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une des parties à agir
ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit incompatible, pénalisée
ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o.,
Einsteinova 24, 851 01 Bratislava, Slovak Republic.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à
celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable
88
et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent
pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur
ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction
pour de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas
la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu
des conditions stipulées dans le présent Contrat. En cas de discordance entre les versions linguistiques du présent
Contrat, seule la version en langue anglaise fait foi. Le présent Contrat ne pourra être modifié que par un avenant
écrit et signé par un représentant autorisé du Fournisseur ou une personne expressément autorisée à agir à ce
titre en vertu d’un contrat de mandat.
Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel, et il remplace toute
représentation, discussion, entreprise, communication ou publicité antérieure en relation avec le Logiciel.
EULA ID: BUS-ECOS-20-01
Data Processing Agreement
En vigueur à partir du 29 septembre 2023 | Consultez une version précédente de l'Accord sur le traitement des
données. | Comparer les modifications
Conformément aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
sur la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et
la libre circulation de ces données, et abrogeant la Directive 95/46/CE (ci-après « RGPD »), le Fournisseur (ci-après
dénommé le « Sous-traitant ») et Vous (ci-après dénommé « Responsable du traitement ») entrez en relation
contractuelle aux fins du traitement des données pour définir les modalités et conditions du traitement des
données à caractère personnel, les modalités de sa protection, ainsi que d'autres droits et obligations des deux
parties en ce qui concerne le traitement des données à caractère personnel des personnes concernées pour le
compte du Responsable du traitement pendant la durée de l'exécution de l'objet des présents Termes en tant que
contrat principal.
1. Traitement des Données à caractère personnel. Les services fournis conformément aux présentes Conditions
comprennent le traitement d'informations relatives à une personne physique identifiée ou identifiable
répertoriée dans la Politique de confidentialité (ci-après dénommées les « Données à caractère personnel »).
2. Autorisation. Le Responsable du traitement autorise le Sous-traitant à traiter les Données à caractère
personnel, y compris les instructions suivantes :
(i) « Finalité du traitement » signifie la fourniture des services conformément aux présents Termes ; Le Soustraitant n'est autorisé à traiter les Données à caractère personnel pour le compte du Responsable du traitement
que dans le cadre de la fourniture des services demandés par ce dernier. Toutes les informations recueillies à des
fins supplémentaires sont traitées en dehors de la relation contractuelle Responsable du traitement/Soustraitant.
(ii) période de traitement signifie la période allant de la coopération prévue par les présents Termes à la cessation
des services ;
(iii) champ d'application et catégories des données à caractère personnel. Les Services sont destinés uniquement
au traitement des données à caractère personnel générales. Le Responsable du traitement est toutefois seul
responsable de la détermination du champ d'application des données à caractère personnel.
89
(iv) « Personne concernée » signifie la personne physique en tant qu'utilisateur autorisé des appareils du
Responsable du traitement ;
(v) traitement désigne toute opération ou tout ensemble d'opérations nécessaires au traitement ;
(vi) « Instructions documentées » signifie les instructions décrites dans les présents Termes, leurs Annexes, la
Politique de confidentialité et la documentation du service. Le Responsable du traitement est chargé de
l'admissibilité juridique du traitement des Données à caractère personnel par le Sous-traitant au regard des
dispositions applicables respectives à la loi sur la protection des données.
3. Obligations du Sous-traitant. Le Sous-traitant s'engage à :
(i) traiter les Données à caractère personnel conformément aux instructions documentées et aux fins définies
dans les Conditions, ses Annexes, la Politique de confidentialité, et la documentation du service ;
Informer les personnes autorisées à traiter les Données à caractère personnel (ci-après dénommées « Personnes
autorisées ») de leurs droits et devoirs conformément au GDPR, de leur responsabilité en cas de manquement à
leurs devoirs et s'assurer que les Personnes autorisées à traiter les Données à caractère personnel se sont
engagées à respecter la confidentialité et à suivre les instructions Documentées.
(iii) mettre en place et suivre les mesures décrites dans les Conditions, ses Annexes, la Politique de confidentialité,
et la documentation du service ;
(iv) aider le Responsable du traitement à répondre aux demandes des Personnes concernées en ce qui concerne
leurs droits. Le Sous-traitant ne doit pas corriger, supprimer ou limiter le traitement des Données à caractère
personnel sans les instructions du Responsable du traitement. Toutes les demandes de la Personne concernée
relatives aux Données à caractère personnel traitées pour le compte du Responsable du traitement doivent être
transmises à ce dernier sans délai.
(v) aider le Responsable du traitement à notifier la violation de données à caractère personnel à l'autorité de
contrôle et à la Personne concernée ; Le Sous-traitant notifie au Responsable du traitement toute violation du
traitement des données à caractère personnel ou de la sécurité des données à caractère personnel
immédiatement après sa découverte. Le Sous-traitant coopère dans une mesure raisonnable à l'enquête et à la
réparation d'une telle violation et prend des mesures raisonnables pour limiter les conséquences négatives
ultérieures.
(vi) selon le choix du Responsable du traitement, supprimer ou renvoyer toutes les Données à caractère personnel
au Responsable du traitement après la fin de la Période de traitement ; Le Responsable du traitement s'engage à
informer le Sous-traitant de sa décision dans les dix (10) jours suivant la fin de la Période de traitement. Cette
disposition n'affecte pas le droit du Sous-traitant de conserver les données à caractère personnel dans la mesure
nécessaire à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique, à des fins statistiques
ou à des fins de constatation, d'exercice ou de défense d'un droit en justice.
(vii) tenir un registre à jour de toutes les catégories d'activités de traitement effectuées pour le compte du
Responsable du traitement.
(viii) mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la
conformité dans le cadre des Conditions, de ses Annexes, de la Politique de confidentialité et de la documentation
du service. En cas d'audit ou de contrôle du traitement des Données à caractère personnel par le Responsable du
traitement, ce dernier est tenu d'informer le Sous-traitant par écrit au moins dix (30) jours avant l'audit ou le
contrôle prévu.
4. Recrutement d'un autre Sous-traitant. Le Sous-traitant est autorisé à faire appel à un autre sous-traitant pour
90
mener des activités de traitement spécifiques, telles la fourniture d'un espace de stockage dans le cloud et de
l'infrastructure pour le service, conformément aux Conditions, à ses Annexes, à la Politique de confidentialité et à
la documentation du service. Actuellement, Microsoft fournit un stockage et une infrastructure cloud dans le
cadre du service cloud Azure. Même dans ce cas, le Sous-traitant demeure le seul point de contact et la partie
responsable du respect des obligations prévues dans les présents Termes, leurs Annexes, la Politique de
confidentialité et la documentation du service. Le Sous-traitant s'engage à informer le Responsable du traitement
de l'ajout ou du remplacement d'un autre Sous-traitant afin de pouvoir s'opposer à ce changement.
5. Territoire du traitement. Le Sous-traitant mettra tout en œuvre pour s’assurer que le traitement ait lieu dans
l’Espace économique européen ou un pays désigné comme étant sûr par décision de la Commission européenne
d’après la décision du Responsable du traitement. Les Clauses contractuelles types s'appliquent aux transferts et
traitements effectués hors de l'Espace économique européen ou d'un pays désigné comme étant sûr par décision
de la Commission européenne à la demande du Responsable du traitement.
6. Sécurité. Le Sous-traitant est certifié ISO 27001:2013 et utilise le cadre de la norme ISO 27001 pour mettre en
place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de
la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des
processus opérationnels. La conformité aux exigences réglementaires et contractuelles est régulièrement évaluée
et examinée de la même manière que les autres infrastructures et opérations du Sous-traitant, et les mesures
nécessaires sont prises pour assurer la conformité de manière continue. Le Sous-traitant a organisé la sécurité des
données en utilisant le système ISMS basé sur ISO 27001. La documentation sur la sécurité comprend
principalement des documents de politique pour la sécurité des informations, la sécurité physique et la sécurité
des équipements, la gestion des incidents, le traitement des fuites de données et des incidents de sécurité, etc.
7. Mesures techniques et organisationnelles. Le Sous-traitant protège les Données à caractère personnel contre
les dommages et la destruction accidentels et illicites, la perte accidentelle, la modification, l'accès non autorisé
et la divulgation. À cette fin, le Sous-traitant adopte les mesures techniques et organisationnelles adéquates
correspondant au mode de traitement et au risque que présente le traitement pour les droits des Personnes
concernées, conformément aux exigences du RGPD. Une description détaillée des mesures techniques et
organisationnelles figure dans la Politique de sécurité.
8. Coordonnées du Sous-traitant. Toutes les notifications, requêtes, demandes et autres communications
relatives à la protection des données à caractère personnel doivent être adressées à ESET, spol. s.r.o., à
l'attention de : Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: [email protected].
Standard Contractual Clauses
SECTION I
Clause 1 Finalités et champ d'application
(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement
général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.
(b) Les Parties :
(i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s)
organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à
91
l’annexe I.A. (ci-après l’«exportateur de données»), et
(ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données,
directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses,
mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)
sont convenues des présentes clauses contractuelles types (ci-après: les «clauses»).
(c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
(d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des
présentes clauses.
Clause 2 Effet et invariabilité des clauses
(a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la
personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46,
paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de
responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles
types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas
modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations
dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les
présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à
condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne
portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
(b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en
vertu du règlement (UE) 2016/679.
Clause 3 Tiers bénéficiaire
(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers
bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:
clause 1, clause 2, clause 3, clause 6, clause 7;
(ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe
b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes
a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);
(iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);
(iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);
(v) clause 13;
(vi) clause 15.1, paragraphes c), d) et e);
(vii) clause 16, paragraphe e);
(viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.
(b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.
92
Clause 4 Interprétation
(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la
même signification que dans ledit règlement.
(b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le
règlement (UE) 2016/679.
Clause 5 Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties
existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses
prévalent.
Clause 6 Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont
transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7 — Facultative Clause d’adhésion
(a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment,
soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en
signant l’annexe I.A.
(b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a
les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans
l’annexe I.A.
(c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à
son adhésion à celles-ci.
SECTION II — OBLIGATIONS DES PARTIES
Clause 8 Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur
de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de
satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
8.1. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques
du transfert, telles que précisée(s) à l’annexe I.B. Il ne peut traiter les données à caractère personnel pour une
autre finalité que:
(i) s’il a obtenu le consentement préalable de la personne concernée;
93
(ii) si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le
contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
(iii) si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique.
8.2. Transparence
(a) Afin de permettre aux personnes concernées d’exercer effectivement leurs droits en vertu de la clause 10,
l’importateur de données les informe, soit directement soit par l’intermédiaire de l’exportateur de données:
(i) de son identité et de ses coordonnées;
(ii) des catégories de données à caractère personnel traitées;
(iii) du droit d’obtenir une copie des présentes clauses;
(iv) lorsqu’il a l’intention de transférer ultérieurement les données à caractère personnel à un ou plusieurs tiers,
du destinataire ou des catégories de destinataires (selon le cas, en fonction de ce qui est nécessaire pour fournir
des informations utiles), ainsi que de la finalité de transfert ultérieur et de son motif conformément à la clause
8.7.
(b) Le paragraphe (a) ne s’applique pas lorsque la personne concernée dispose déjà de ces informations,
notamment lorsque ces informations ont déjà été communiquées par l’exportateur de données ou lorsque la
communication de ces informations se révèle impossible ou exigerait des efforts disproportionnés de la part de
l’importateur de données. Dans ce dernier cas, l’importateur de données met, dans la mesure du possible, ces
informations à la disposition du public.
(c) Sur demande, les parties mettent gratuitement à la disposition de la personne concernée une copie des
présentes clauses, notamment de l’appendice tel qu’elles l’ont rempli. Dans la mesure nécessaire pour protéger
les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, les
parties peuvent occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournissent
un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou
d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des
occultations, dans la mesure du possible sans révéler les informations occultées.
(d) Les paragraphes (a) à (c) sont sans préjudice des obligations qui incombent à l’exportateur de données en
vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.3. Exactitude et minimisation des données
(a) Chaque partie veille à ce que les données à caractère personnel soient exactes et, si nécessaire, tenues à jour.
L’importateur de données prend toutes les mesures raisonnables pour que les données à caractère personnel qui
sont inexactes, eu égard à la ou aux finalités du traitement, soient effacées ou rectifiées sans tarder.
(b) Si une des parties se rend compte que les données à caractère personnel qu’elle a transférées ou reçues sont
inexactes, ou sont obsolètes, elle en informe l’autre partie dans les meilleurs délais.
(c) L’importateur de données veille à ce que les données à caractère personnel soient adéquates, pertinentes et
limitées à ce qui est nécessaire au regard de la ou des finalités du traitement.
8.4. Limitation de la conservation
L’importateur de données ne conserve pas les données à caractère personnel plus longtemps que ce qui est
94
nécessaire à la ou les finalités pour lesquelles elles sont traitées. Il met en place des mesures techniques ou
organisationnelles appropriées pour garantir le respect de cette obligation, notamment l’effacement ou
l’anonymisation (2) des données et de toutes leurs sauvegardes à la fin de la période de conservation.
8.5. Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures
techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel,
notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la
destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la «violation de données à
caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état
des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du
traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en
particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la
finalité du traitement peut être atteinte de cette manière.
(b) Les parties sont convenues des mesures techniques et organisationnelles énoncées à l’annexe II. L’importateur
de données procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de
sécurité approprié.
(c) L’importateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(d) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées
par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour
remédier à la violation desdites données, y compris des mesures visant à en atténuer les effets négatifs
potentiels.
(e) En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et
libertés des personnes physiques, l’importateur de données en informe sans tarder tant l’exportateur de données
que l’autorité de contrôle compétente au sens de la clause 13. Cette notification contient i) une description de la
nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et
d’enregistrements de données à caractère personnel concernés), ii) une description de ses conséquences
probables, iii) une description des mesures prises ou proposées pour remédier à la violation et iv) les
coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations. Dans la mesure où
l’importateur de données n’a pas la possibilité de fournir toutes les informations en même temps, il peut le faire
de manière échelonnée sans autre retard indu.
(f) En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et
libertés des personnes physiques, l’importateur de données informe également sans tarder les personnes
concernées de la violation de données à caractère personnel et de sa nature, si nécessaire en coopération avec
l’exportateur de données, en leur communiquant les informations mentionnées au paragraphe e), points ii)) à iv),
à moins qu’il n’ait mis en œuvre des mesures visant à réduire de manière significative le risque pour les droits ou
libertés des personnes physiques ou que cette notification n’exige des efforts disproportionnés. Dans ce dernier
cas, l’importateur de données publie, à la place, une communication ou prend une mesure similaire pour
informer le public de la violation de données à caractère personnel.
(g) L’importateur de données répertorie tous les faits pertinents relatifs à la violation de données à caractère
personnel, notamment ses effets et les mesures prises pour y remédier, et en garde une trace.
8.6. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les
95
opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données
génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des
données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des
données relatives à des condamnations pénales ou à des infractions (ci-après les «données sensibles»),
l’importateur de données applique des restrictions particulières et/ou des garanties supplémentaires adaptées à
la nature spécifique des données et aux risques encourus. Cela peut inclure une restriction du personnel autorisé
à accéder aux données à caractère personnel, des mesures de sécurité supplémentaires (telles que la
pseudonymisation) et/ou des restrictions supplémentaires concernant une divulgation ultérieure.
8.7. Transferts ultérieurs
L’importateur de données ne divulgue pas les données à caractère personnel à un tiers situé en dehors de l’Union
européenne (3) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert
ultérieur»), sauf si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié.
Dans le cas contraire, un transfert ultérieur par l’importateur de données ne peut avoir lieu que si:
(i) il est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE)
2016/679 qui couvre le transfert ultérieur;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement
(UE) 2016/679 en ce qui concerne le traitement en question;
(iii) le tiers conclut un acte contraignant avec l’importateur de données garantissant le même niveau de
protection des données que les présentes clauses, et l’importateur de données fournit une copie de ces garanties
à l’exportateur de données;
(iv) il est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de
procédures administratives, réglementaires ou judiciaires spécifiques;
(v) si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique.
(vi) lorsque aucune des autres conditions ne s’applique, l’importateur de données a obtenu le consentement
explicite de la personne concernée pour un transfert ultérieur dans une situation particulière, après l’avoir
informée de la ou des finalités de ce transfert ultérieur, de l’identité du destinataire et des risques éventuels que
ce transfert lui fait courir en raison de l’absence de garanties appropriées en matière de protection des données.
Dans ce cas, l’importateur de données informe l’exportateur de données et, à la demande de ce dernier, lui
transmet une copie des informations fournies à la personne concernée.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au
titre des présentes clauses, en particulier de la limitation des finalités.
8.8. Traitement effectué sous l’autorité de l’importateur de données
L’importateur de données veille à ce que toute personne agissant sous son autorité, notamment un sous-traitant,
ne traite les données que sur ses instructions.
8.9. Documentation et conformité
(a) Chaque partie est en mesure de démontrer le respect des obligations qui lui incombent en vertu des présentes
clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de
traitement menées sous sa responsabilité.
(b) L’importateur de données met ces documents à la disposition de l’autorité de contrôle compétente si celle-ci
96
en fait la demande.
MODULE 2: transfert de responsable du traitement à sous-traitant
8.1. Instructions
(a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de
l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du
contrat.
(b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement
l’exportateur de données.
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques
du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de
données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie
des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour
protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à
l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de
l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait
autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les
parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure
du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent
à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes,
ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de
données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la
prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données,
efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve,
ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes.
Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect
des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou
l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes
clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette
législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à
l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la
durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui
ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6. Sécurité du traitement
97
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures
techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger
d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la
divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors
de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances,
des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi
que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de
recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du
traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires
permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la
mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui
incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures
techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces
mesures continuent d’offrir le niveau de sécurité approprié.
(b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel
que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que
les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou
soient soumises à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées
par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour
remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données
informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu
connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible
d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les
catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère
personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y
compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il
n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les
informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs
délais, à mesure qu’elles deviennent disponibles.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter
les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de
contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à
la disposition de l’importateur de données.
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données
génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des
données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des
données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»),
l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à
l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions
documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en
dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers,
98
ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du
module approprié, ou si:
(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45
du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement
(UE) 2016/679 en ce qui concerne le traitement en question;
(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le
contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une
autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au
titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de
l’exportateur de données concernant le traitement au titre des présentes clauses.
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de
données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de
l’exportateur de données.
(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires
pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de
données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et
contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide
d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues
par l’importateur de données.
(d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur
indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations
physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les
informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
MODULE 3 : transfert de sous-traitant à sous-traitant
8.1. Instructions
(a) L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur
instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de
données avant le traitement.
(b) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du
responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur
instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne
sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou
l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données
99
pendant toute la durée du contrat.
(c) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement
l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du
responsable du traitement, l’exportateur de données en informe immédiatement ce dernier.
(d) L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en
matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de
l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données (5).
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques
du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires du responsable du
traitement, telle qu’elles lui ont été communiquées par l’exportateur de données, ou de l’exportateur de
données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie
des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour
protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère
personnel, l’exportateur de données peut occulter une partie du texte de l’appendice avant d’en communiquer
une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en
comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de
celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes,
ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de
données coopère avec l’exportateur de données pour rectifier ou effacer les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la
prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données,
efface toutes les données à caractère personnel traitées pour le compte du responsable du traitement et en
apporte la preuve à l’exportateur de données, ou lui restitue toutes les données à caractère personnel traitées
pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées,
l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale
applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel,
ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère
personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de
la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e),
d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est
devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14,
paragraphe a).
8.6. Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures
techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger
100
d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la
divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors
de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des
coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que
des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir
au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement
peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant
d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du
possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter
des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en
œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers
pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
(b) L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure
strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes
autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises
à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées
par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour
remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données
informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du
possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les
coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une
description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de
personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences
probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les
effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en
même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres
informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter
les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son
responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les
personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de
l’importateur de données.
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données
génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des
données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des
données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»),
l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à
l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions
documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de
données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (6)
(dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que
101
si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:
(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45
du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement
(UE) 2016/679;
(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le
contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une
autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au
titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de
l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes
clauses.
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de
données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du
responsable du traitement.
(c) L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations
prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du
traitement.
(d) L’importateur de données permet la réalisation, par l’exportateur de données, d’audits des activités de
traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe
des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur
instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir
compte des certifications pertinentes détenues par l’importateur de données.
(e) Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les
résultats à la disposition de ce dernier.
(f) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur
indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations
physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(g) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les
informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
8.1. Instructions
(a) L’exportateur de données ne traite les données à caractère personnel que sur instructions documentées de
l’importateur de données agissant en tant que son responsable du traitement.
102
(b) S’il n’est pas en mesure de suivre ces instructions, notamment si elles constituent une violation du règlement
(UE) 2016/679 ou d’autres dispositions législatives de l’Union ou d’un État membre en matière de protection des
données, l’exportateur de données en informe immédiatement l’importateur de données.
(c) L’importateur de données s’abstient de tout acte susceptible d’empêcher l’exportateur de données de
s’acquitter des obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment dans le cadre
d’une sous-traitance ultérieure ou en ce qui concerne la coopération avec les autorités de contrôle compétentes.
(d) Au terme de la prestation des services de traitement, l’exportateur de données, à la convenance de
l’importateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier
et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et
efface les copies existantes.
8.2. Sécurité du traitement
(a) Les parties mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la
sécurité des données, notamment pendant la transmission, et pour les protéger d’une violation de la sécurité
entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non
autorisé (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité
approprié, elles tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature
des données à caractère personnel (7), de la nature, de la portée, du contexte et de la ou des finalités du
traitement ainsi que des risques inhérents au traitement pour les personnes concernées, et envisagent en
particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la
finalité du traitement peut être atteinte de cette manière.
(b) L’exportateur de données aide l’importateur de données à garantir une sécurité appropriée des données
conformément au paragraphe a). En cas de violation de données à caractère personnel concernant les données à
caractère personnel traitées par l’exportateur de données au titre des présentes clauses, ce dernier en informe
l’importateur de données dans les meilleurs délais après avoir eu connaissance de la violation et l’aide à y
remédier.
(c) L’exportateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
8.3. Documentation et conformité
(a) Les parties sont en mesure de démontrer le respect des présentes clauses.
(b) L’exportateur de données met à la disposition de l’importateur de données toutes les informations
nécessaires pour démontrer le respect des obligations qui lui incombent au titre des présentes clauses et pour
permettre la réalisation d’audits et y contribuer.
Clause 9 Recours à des sous-traitants ultérieurs
MODULE 2: transfert de responsable du traitement à sous-traitant
(a) L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs
sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe
expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de
sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins [précisez le délai] à l’avance, donnant
ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces
changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit à
l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre
103
des objections.
(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement
spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en
substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de
données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les
personnes concernées. (8) Les parties conviennent qu’en respectant la présente clause, l’importateur de données
satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le
sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
(c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat
avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour
protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère
personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une
copie.
(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution
des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur
de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui
incombent en vertu dudit contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu
de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est
devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner
instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs
sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe
expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement
de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins [précisez le délai] à l’avance, donnant
ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces
changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au
responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre
des objections. L’importateur de données informe l’exportateur de données du recrutement du ou des soustraitants ultérieurs.
(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement
spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en
substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de
données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les
personnes concernées. (9) Les parties conviennent qu’en respectant la présente clause, l’importateur de données
satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le
sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
(c) L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement,
une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la
mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les
données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en
communiquer une copie.
(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution
104
des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur
de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui
incombent en vertu dudit contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu
de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est
devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner
instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
Clause 10 Droits des personnes concernées
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
(a) L’importateur de données, si nécessaire avec l’aide de l’exportateur de données, traite, dans les meilleurs
délais et au plus tard dans un délai d’un mois à compter de leur réception, toutes les demandes de
renseignements ainsi que les autres demandes émanant d’une personne concernée et portant sur le traitement
de ses données à caractère personnel et l’exercice de ses droits au titre des présentes clauses. (10) L’importateur
de données prend des mesures appropriées pour faciliter ces demandes de renseignements, ces autres demandes
et l’exercice des droits de la personne concernée. Toute information fournie à la personne concernée est
présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.
(b) En particulier, à la demande de la personne concernée et gratuitement, l’importateur de données:
(i) confirme à la personne concernée si des données à caractère personnel la concernant sont traitées et, si tel est
le cas, lui transmet une copie desdites données et les informations figurant à l’annexe I; si les données à caractère
personnel ont fait ou feront l’objet d’un transfert ultérieur, lui fournit des informations sur les destinataires ou
catégories de destinataires (selon le cas, en fonction de ce qui est nécessaire pour fournir des informations utiles)
auxquels les données à caractère personnel ont été ou seront transférées ainsi que sur la finalité de ces transferts
ultérieurs et leur motif conformément à la clause 8.7; et lui communique des informations sur le droit
d’introduire une réclamation auprès d’une autorité de contrôle conformément à la clause 12, paragraphe c), point
i);
rectifie les données inexactes ou incomplètes relatives à la personne concernée;
(iii) efface les données à caractère personnel relatives à la personne concernée si ces données sont ou ont été
traitées en violation d’une des présentes clauses garantissant les droits du tiers bénéficiaire, ou si la personne
concernée retire le consentement sur lequel le traitement est fondé.
(c) Si l’importateur de données traite les données à caractère personnel à des fins de prospection directe, il cesse
de les traiter à de telles fins si la personne concernée s’y oppose.
(d) L’importateur de données ne prend pas de décision fondée exclusivement sur le traitement automatisé des
données à caractère personnel transférées (ci-après la «décision automatisée») qui produirait des effets
juridiques à l’égard de la personne concernée ou l’affecterait de manière significative de façon similaire, sauf avec
le consentement explicite de celle-ci ou s’il y est autorisé par la législation du pays de destination, à condition que
cette législation prévoie des mesures appropriées pour la sauvegarde des droits et des intérêts légitimes de la
personne concernée. Dans ce cas, l’importateur de données, si nécessaire en coopération avec l’exportateur de
données:
(i) informe la personne concernée de la décision automatisée envisagée, des conséquences prévues et de la
logique sous-jacente; et
(ii) met en œuvre des garanties appropriées, permettant au moins à la personne concernée de contester la
105
décision, d’exprimer son point de vue et d’obtenir un examen par un être humain.
(e) Lorsque les demandes d’une personne concernée sont excessives, du fait, notamment, de leur caractère
répétitif, l’importateur de données peut soit exiger le paiement de frais raisonnables qui tiennent compte des
coûts administratifs liés à l’acceptation de la demande, soit refuser de donner suite à cette dernière.
(f) L’importateur de données peut refuser une demande d’une personne concernée si ce refus est autorisé par la
législation du pays de destination et est nécessaire et proportionné dans une société démocratique pour protéger
un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679.
(g) Si l’importateur de données a l’intention de refuser la demande d’une personne concernée, il informe cette
dernière des motifs du refus et de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle
compétente et/ou de former un recours juridictionnel.
MODULE 2: transfert de responsable du traitement à sous-traitant
(a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une
personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur
de données.
(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux
demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet
égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu
de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide
requise.
(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de
données se conforme aux instructions de l’exportateur de données.
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du
traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été
autorisé par le responsable du traitement.
(b) L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du
traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses
d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet
égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu
de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide
requise.
(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de
données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par
l’exportateur de données.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Les parties se prêtent mutuellement assistance pour répondre aux demandes de renseignements et aux autres
demandes formulées par les personnes concernées en vertu de la législation locale applicable à l’importateur de
données ou, en cas de traitement par l’exportateur de données dans l’Union, en vertu du règlement (UE)
2016/679.
106
Clause 11 Voies de recours
(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément
accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter
les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
(b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses,
cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se
tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
(c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de
données accepte la décision de la personne concernée:
(i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa
résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause
13;
(ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.
(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation
ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE)
2016/679.
(e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de
l’Union ou d’un État membre.
(f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause
le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12 Responsabilité
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 4 : Transfert de sous-traitant à responsable du traitement
(a) Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux
autres parties du fait d’un manquement aux présentes clauses.
(b) Chaque partie est responsable à l’égard de la personne concernée, et la personne concernée a le droit
d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par une partie du fait d’une violation
des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de
l’exportateur de données en vertu du règlement (UE) 2016/679.
(c) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une
violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la
personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
107
(d) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe c),
celle-ci est en droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à
sa/leur part de responsabilité dans le dommage.
(e) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ou d’un sous-traitant
ultérieur pour échapper à sa propre responsabilité.
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux
autres parties du fait d’un manquement aux présentes clauses.
(b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le
droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou
son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
(c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et
celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de
données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers
bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de
données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du
traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE)
2018/1725, selon le cas.
(d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c),
du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès
de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le
dommage.
(e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une
violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la
personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
(f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e),
celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à
sa/leur responsabilité dans le dommage.
(g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa
propre responsabilité.
Clause 13 Supervision
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) [Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de
garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de
données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
108
[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application
territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en
vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le
représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à
l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application
territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un
représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des
États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont
transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement
fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.
(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de
coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En
particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à
des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures
correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été
prises.
SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS
DES AUTORITÉS PUBLIQUES
Clause 14 Législations et pratiques locales ayant une incidence sur le
respect des clauses
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine
les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère
personnel qu’il a collectées dans l’Union)
(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers
de destination applicables au traitement des données à caractère personnel par l’importateur de données,
notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant
l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations
qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les
pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire
et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23,
paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
(b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu
compte, en particulier, des éléments suivants:
(i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre
d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire;
la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur
109
économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;
(ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de
données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard
des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12);
(iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les
garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au
traitement des données à caractère personnel dans le pays de destination.
(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les
efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il
continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de
mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
(a) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux
présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une
législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite
d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation)
indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).
[Pour le module 3: L’exportateur de données transmet la notification au responsable du traitement.]
(f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de
croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des
présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures
techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui
doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3:, si nécessaire
en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données
s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3: le
responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3: donnent]
l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne
le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux
parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à
moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente
clause, la clause 16, paragraphes d) et e), s’applique.
Clause 15 Obligations de l’importateur de données en cas d’accès des
autorités publiques
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine
les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère
personnel qu’il a collectées dans l’Union)
15.1. Notification
110
(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne
concernée (si nécessaire avec l’aide de l’exportateur de données):
(i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de
la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au
titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel
demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou
(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel
transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification
comprend toutes les informations dont l’importateur de données dispose.
[Pour le module 3: L’exportateur de données transmet la notification au responsable du traitement.]
(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de
données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir
une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs
délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de
pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à
l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que
possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les
autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). [Pour le module
3: L’exportateur de données transmet les informations au responsable du traitement.]
(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c)
pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en
fait la demande.
(e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de
la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en
mesure de respecter les présentes clauses.
15.2. Contrôle de la légalité et minimisation des données
(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de
vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si,
après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale
en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des
principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans
les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures
provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se
prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas
obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations
incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de
toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le
permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à
la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. [Pour le module 3:
L’exportateur de données met l’évaluation à la disposition du responsable du traitement.]
111
(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une
demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV — DISPOSITIONS FINALES
Clause 16 Non-respect des clauses et résiliation
(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter
les présentes clauses, quelle qu’en soit la raison.
(b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les
respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de
données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci
est sans préjudice de la clause 14, paragraphe f).
(c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de
données à caractère personnel au titre des présentes clauses, lorsque:
(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données
en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et,
en tout état de cause, dans un délai d’un mois à compter de la suspension;
(ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou
(iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité
de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.
Dans ces cas, il informe l’autorité de contrôle compétente [pour le module 3: et le responsable du traitement] de
ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de
résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.
[Pour les modules 1, 2 et 3: Les données à caractère personnel qui ont été transférées avant la résiliation du
contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans
leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données.] [Pour le module 4:
Les données à caractère personnel collectées par l’exportateur de données dans l’Union qui ont été transférées
avant la résiliation du contrat au titre du paragraphe c), ainsi que toute copie de celles-ci, sont immédiatement
effacées dans leur intégralité.] L’importateur de données apporte la preuve de l’effacement des données à
l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données
continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de
données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit
qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi
longtemps que cette législation locale l’exige.
(e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission
européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le
transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE)
2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont
transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du
règlement (UE) 2016/679.
112
Clause 17 Droit applicable
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce
droit reconnaisse des droits au tiers bénéficiaire. Les Parties conviennent qu'il s'agit du droit tel que défini dans
les Conditions particulières.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Les présentes clauses sont régies par le droit d’un pays qui reconnaît des droits au tiers bénéficiaire. Les Parties
conviennent qu'il s'agit du droit tel que défini dans les Conditions particulières.
Clause 18 Élection de for et juridiction
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union
européenne.
(b) Les Parties conviennent qu'il s'agit des tribunaux tels que définis dans les Conditions particulières.
(c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les
juridictions de l’État membre dans lequel elle a sa résidence habituelle.
(d) Les parties acceptent de se soumettre à la compétence de ces juridictions.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Tout litige découlant des présentes Clauses doit être résolu par les tribunaux, comme défini dans les Conditions
particulières.
APPENDICE
NOTE EXPLICATIVE : Il doit être possible de distinguer clairement les informations applicables à chaque transfert
ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant
qu’exportateur(s) et/ou importateur(s) de données. Il n’est pas forcément nécessaire de remplir et de signer des
appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, si cette
transparence peut être garantie au moyen d’un seul appendice. Toutefois, si cela est nécessaire pour garantir une
clarté suffisante, il convient d’utiliser des appendices distincts.
ANNEXE I
A. LISTE DES PARTIES
113
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Exportateur(s) de données: [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de
leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]
1. Responsable du traitement comme défini dans l'Accord sur le traitement des données
2. Sous-traitant comme défini dans l'Accord sur le traitement des données
(selon le flux des données)
Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute
personne de contact chargée de la protection des données]
1. Responsable du traitement comme défini dans l'Accord sur le traitement des données
2. Sous-traitant comme défini dans l'Accord sur le traitement des données
(selon le flux des données)
B. DESCRIPTION DU TRANSFERT
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Catégories de personnes concernées dont les données à caractère personnel sont transférées : comme défini
dans l'Accord sur le traitement des données.
Catégories de données à caractère personnel transférées : comme défini dans l'Accord sur le traitement des
données et la Politique de confidentialité.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement
compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les
restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un
registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité
supplémentaires : comme défini dans l'Accord sur le traitement des données et la Politique de confidentialité.
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou
continue) : base continue.
Nature du traitement : Automatisé.
Finalité(s) du transfert et du traitement ultérieur des données : Fourniture du service comme défini dans les
Conditions particulières, ses Annexes, la Politique de confidentialité et la documentation du service.
114
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour
déterminer cette durée : comme défini dans l'Accord sur le traitement des données.
Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du
traitement : comme défini dans l'Accord sur le traitement des données.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13 : comme défini dans la
Politique de confidentialité
ANNEXE II MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS
LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À
GARANTIR LA SÉCURITÉ DES DONNÉES
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
NOTE EXPLICATIVE : Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et
non généraux). Voir également le commentaire général à la première page de l’appendice, en particulier en ce qui
concerne la nécessité d’indiquer clairement les mesures qui s’appliquent à chaque transfert/ensemble de
transferts.
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données
(y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la
nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés
des personnes physiques : comme défini dans la Politique de sécurité
Pour les transferts vers des sous-traitants (ultérieurs), veuillez également décrire les mesures techniques et
organisationnelles que le sous-traitant (ultérieur) doit prendre pour être en mesure d’aider le responsable du
traitement et, pour les transferts d’un sous-traitant à un sous-traitant ultérieur, l’exportateur de données
ANNEXE III LISTE DES SOUS-TRAITANTS ULTÉRIEURS
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
NOTE EXPLICATIVE : La présente annexe doit être remplie pour les modules 2 et 3, en cas d’autorisation
spécifique de sous-traitants ultérieurs [clause 9, paragraphe a), option 1].
Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants : comme défini dans
l'Accord sur le traitement des données
115
Références :
(1) Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte
d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes
clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement
(UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du
Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre
circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295
du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des
données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant
conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le
cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui
figurent dans la décision 2021/915.
(2) Cela nécessite de rendre les données anonymes de telle manière que la personne ne soit plus identifiable par
qui que ce soit, conformément au considérant 26 du règlement (UE) 2016/679, et que ce processus soit
irréversible.
(3) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union
européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en
matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a
été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé
dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(4) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union
européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en
matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a
été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé
dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(5) Voir l’article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une
institution ou un organe de l’Union, l’article 29, paragraphe 4, du règlement (UE) 2018/1725.
(6) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union
européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en
matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a
été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé
dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(7) Il s’agit notamment de savoir si le transfert et le traitement ultérieur portent sur des données à caractère
personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins
d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie
sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à
des infractions.
(8) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du
module approprié, conformément à la clause 7.
(9) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du
module approprié, conformément à la clause 7.
116
(10) Ce délai peut être prolongé de deux mois maximum, dans la mesure nécessaire compte tenu de la complexité
des demandes et de leur nombre. L’importateur de données informe dûment et rapidement la personne
concernée de cette prolongation.
(11) L’importateur de données ne peut proposer un règlement des litiges indépendant par une instance
d’arbitrage que s’il est établi dans un pays qui a ratifié la convention de New York pour la reconnaissance et
l’exécution des sentences arbitrales étrangères.
(12) En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents
éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure
une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant
d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il
peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe
de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent
être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que
l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par
d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris
dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour
soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée
et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur
l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la
jurisprudence et les rapports d’organes de contrôle indépendants.
Politique de confidentialité
En vigueur à partir du 21er mars 2023 | Consulter une version précédente de la Politique de confidentialité |
Comparer les modifications
La protection des données personnelles revêt une importance particulière pour ESET, spol. s r.o., dont le siège
social est établi au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au registre du commerce administré
par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise :
31333532 en tant que Responsable du traitement des données ("ESET" ou « Nous"). Nous souhaitons nous
conformer à l'exigence de transparence telle qu'elle est légalement normalisée par le Règlement général sur la
protection des données de l'UE ("RGPD"). Pour atteindre cet objectif, nous publions la présente Politique de
confidentialité dans le seul but d'informer notre client ("Utilisateur final" ou "Vous"), en tant que personne
concernée, des sujets suivants relatifs à la protection des données personnelles :
Base juridique du traitement des données personnelles,
Partage des données et confidentialité,
Sécurité des données,
Vos Droits en tant que Personne concernée,
Traitement de Vos données personnelles
Coordonnées.
Base juridique du traitement des données personnelles
Il n'existe que quelques bases juridiques en matière de traitement des données que nous utilisons conformément
au cadre législatif applicable en ce qui concerne la protection des données à caractère personnel. Le traitement
des données personnelles chez ESET est principalement nécessaire pour l'exécution du Conditions d'utilisation
("Conditions") avec l'Utilisateur final (Article 6 (1) (b) RGPD), qui sont applicables pour la fourniture des produits
ou des services ESET, sauf indication contraire explicite, par exemple :
117
La base juridique de l'intérêt légitime (Article 6 (1) (f) RGPD), qui nous permet de traiter les données sur la
façon dont nos clients utilisent nos Services et leur satisfaction afin de fournir à nos utilisateurs les
meilleures protection, assistance et expérience possibles. Puisque le marketing est également reconnu
comme un intérêt légitime par la législation applicable, Nous nous appuyons généralement sur celui-ci
pour nos communications marketing avec nos clients.
Le consentement (Article 6 (1) (a) RGPD), que Nous pouvons vous demander dans des situations
spécifiques lorsque nous estimons que cette base juridique est la plus appropriée ou si la loi l'exige.
Le respect des obligations légales (Article 6 (1) (c) RGPD), par exemple en stipulant des exigences en
matière de communication électronique, de conservation pour les documents de facturation.
Partage des données et confidentialité
Nous ne partageons pas vos données avec des tiers. Cependant, ESET est une entreprise présente dans le monde
entier par le biais de sociétés affiliées et de partenaires du réseau de vente, de service et d'assistance ESET. Les
informations relatives aux licences, à la facturation et à l'assistance technique traitées par ESET peuvent être
transférées depuis et vers les sociétés affiliées ou les partenaires dans le but de respecter le Contrat de licence
pour l'utilisateur final (pour la fourniture de services ou l'assistance, par exemple).
ESET préfère traiter ses données dans l’Union européenne (EU). Toutefois, en fonction de votre localisation
(utilisation de nos produits et/ou services en dehors de l'UE) et/ou du service que vous choisissez, il peut être
nécessaire de transférer vos données vers un pays situé en dehors de l'UE. Nous utilisons par exemple des
services tiers dans le cadre du cloud computing. Dans ces cas, nous sélectionnons soigneusement nos fournisseurs
de services et garantissons un niveau approprié de protection des données par des mesures contractuelles,
techniques et organisationnelles. En règle générale, nous nous mettons d'accord sur les clauses contractuelles
types de l'UE et, si nécessaire, sur des dispositions contractuelles complémentaires.
Pour certains pays hors de l'UE, comme le Royaume-Uni et la Suisse, l'UE a déjà déterminé un niveau comparable
de protection des données. En raison du niveau comparable de protection des données, le transfert de données
vers ces pays ne nécessite aucune autorisation ou accord particulier.
Nous nous appuyons sur des services tiers liés au cloud computing fournis par Microsoft en tant que fournisseur
de services cloud.
Sécurité des données
ESET met en place des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité
adapté aux risques potentiels. Nous faisons tout notre possible pour garantir la confidentialité, l'intégrité, la
disponibilité et la résilience constantes des systèmes et des services de traitement. Toutefois, en cas de violation
des données entraînant un risque pour vos droits et libertés, Nous sommes prêts à informer l'autorité de contrôle
compétente ainsi que les utilisateurs finaux concernés en tant que personnes concernées.
Droits des personnes concernées
Les droits de chaque Utilisateur final sont importants et Nous aimerions vous informer que tous les Utilisateurs
finaux (de n'importe quel pays de l'UE ou hors de l'UE) ont les droits ci-après garantis chez ESET. Pour exercer les
droits de la personne concernée, vous pouvez nous contacter par le biais du formulaire d'assistance ou par e-mail
à l'adresse suivante : [email protected]. À des fins d'identification, nous vous demandons les informations suivantes :
Nom, adresse e-mail et - le cas échéant - clé de licence ou numéro de client et affiliation à la société. Veuillez vous
abstenir de nous envoyer d'autres données personnelles, telles que votre date de naissance. Nous tenons à
souligner que pour pouvoir traiter votre demande, ainsi qu'à des fins d'identification, nous traiterons vos données
personnelles.
118
Droit de retirer le consentement. Le droit de retirer le consentement est applicable en cas de traitement fondé
sur le consentement uniquement. Si Nous traitons vos données personnelles sur la base de votre consentement,
vous avez le droit de retirer ce consentement à tout moment sans donner de raisons. Le retrait de votre
consentement n'est effectif que pour l'avenir et n'affecte pas la légalité des données traitées avant le retrait.
Droit d'opposition. Le droit de s'opposer au traitement est applicable en cas de traitement fondé sur l'intérêt
légitime d'ESET ou d'un tiers. Si Nous traitons vos données personnelles pour protéger un intérêt légitime, Vous,
en tant que personne concernée, avez le droit de vous opposer à l'intérêt légitime nommé par nous et au
traitement de vos données personnelles à tout moment. Votre opposition n'a d'effet que pour l'avenir et
n'affecte pas la licéité des données traitées avant l'opposition. Si nous traitons vos données personnelles à des
fins de marketing direct, il n'est pas nécessaire de motiver votre objection. Il en est de même pour le profilage,
dans la mesure où il est lié au marketing direct. Dans tous les autres cas, nous vous demandons de nous informer
brièvement de vos plaintes contre l'intérêt légitime d'ESET à traiter vos données personnelles.
Veuillez noter que dans certains cas, malgré le retrait de votre consentement, nous avons le droit de traiter
ultérieurement vos données personnelles sur la base d'une autre base juridique, par exemple, pour l'exécution
d'un contrat.
Droit d'accès. En tant que personne concernée, vous avez le droit d'obtenir gratuitement et à tout moment des
informations sur vos données stockées par ESET.
Droit à la rectification. Si nous traitons par inadvertance des données personnelles incorrectes vous concernant,
vous avez le droit de les faire corriger.
Droit à l'effacement et droit à la restriction du traitement. En tant que personne concernée, vous avez le droit
de demander la suppression ou la restriction du traitement de vos données personnelles. Si nous traitons vos
données personnelles, par exemple avec votre consentement, que vous le retirez et qu'il n'existe pas d'autre base
juridique, par exemple un contrat, nous supprimons immédiatement vos données personnelles. Vos données
personnelles seront également supprimées dès qu'elles ne seront plus nécessaires aux fins énoncées à la fin de
notre période de conservation.
Si nous utilisons vos données personnelles dans le seul but de marketing direct et que vous avez révoqué votre
consentement ou que vous vous êtes opposé à l'intérêt légitime sous-jacent d'ESET, Nous limiterons le traitement
de vos données personnelles dans la mesure où nous inclurons vos coordonnées dans notre liste noire interne
afin d'éviter tout contact non sollicité. Dans le cas contraire, vos données personnelles seront supprimées.
Veuillez noter que Nous pouvons être tenus de conserver vos données jusqu'à l'expiration des obligations et
périodes de conservation émises par le législateur ou les autorités de contrôle. Les obligations et les périodes de
conservation peuvent également résulter de la législation slovaque. Par la suite, les données correspondantes
seront systématiquement supprimées.
Droit à la portabilité des données. Nous sommes heureux de vous fournir, en tant que personne concernée, les
données personnelles traitées par ESET au format xls.
Droit de porter plainte. En tant que personne concernée, Vous avez le droit de déposer une plainte auprès d'une
autorité de contrôle à tout moment. ESET est soumise à la réglementation des lois slovaques et est tenue de
respecter la législation en matière de protection des données de l'Union européenne. L'autorité de contrôle des
données compétente est l'Office pour la protection des données personnelles de la République slovaque, situé à
Hraničná 12, 82007 Bratislava 27, Slovak Republic.
119
Traitement de Vos données personnelles
Les services ESET qui sont implémentés dans le produit Web sont fournis selon les termes des Conditions
d'utilisation (« CU »), mais certains d'entre eux peuvent nécessiter une attention particulière. Nous souhaitons
Vous donner plus de détails sur le traitement des données lié à la fourniture de nos produits et services. Nous
proposons différents services qui sont décrits dans les Conditions particulières et la documentation. Pour que
tous ces services soient fonctionnels, Nous devons collecter les informations suivantes :
Données de licence et de facturation. Le nom, l'adresse e-mail, la clé de licence et (si applicable) l'adresse,
l'affiliation de la société et les données de paiement sont collectées et traitées par ESET afin de faciliter
l'activation de la licence, la remise de la clé de licence, les rappels sur l'expiration, les demandes d'assistance, la
vérification de l'authenticité de la licence, la fourniture de notre service et d'autres notifications, y compris les
messages marketing, conformément à la législation applicable ou à votre consentement. ESET est légalement
obligé de conserver les informations de facturation pour une période de 10 ans, mais les informations de licence
seront rendues anonymes au plus tard 12 mois après l'expiration de la licence.
Mise à jour et autres statistiques. Les informations traitées comprennent des informations concernant
l'installation et votre ordinateur, notamment la plate-forme sur laquelle notre produit est installé, et des
informations sur les opérations et fonctionnalités de nos produits (système d'exploitation, informations
matérielles, identifiants d'installation, identifiants de licence, adresse IP, adresse MAC, paramètres de
configuration du produit) qui sont traitées dans le but de fournir des services de mise à jour et de mise à niveau et
d'assurer la maintenance, la sécurité et l'amélioration de notre infrastructure dorsale.
Ces informations sont séparées des informations d'identification requises pour l'octroi de licences et la
facturation, car elles ne nécessitent pas l'identification de l'Utilisateur final. La durée de conservation est de 4 ans
maximum.
Système de réputation ESET LiveGrid®. Les hachages unidirectionnels liés à l'infiltration sont traités aux fins du
système de réputation ESET LiveGrid® qui améliore l'efficacité de nos solutions de protection contre les
programmes malveillants en comparant les fichiers analysés à une base de données d'éléments en liste blanche et
liste noire dans le cloud. L'Utilisateur final n'est pas identifié au cours de ce processus.
Système de commentaires ESET LiveGrid®. Échantillons suspects et métadonnées génériques dans le cadre du
système de commentaires ESET LiveGrid® qui permet à ESET de réagir immédiatement face aux besoins des
utilisateurs finaux et de rester réactifs face aux dernières menaces. Nous dépendons de Vous pour l'envoi
D'infiltrations (échantillons potentiels de virus et d'autres programmes malveillants et suspects), d'objets
problématiques, potentiellement indésirables ou potentiellement dangereux (fichiers exécutables), de
messages électroniques que Vous avez signalés comme spam ou détectés par notre produit ;
D'informations concernant l'utilisation d'Internet, telles que l'adresse IP et des informations
géographiques, les paquets IP, les URL et les trames Ethernet ;
De fichiers de vidage sur incident et des informations qu'ils contiennent.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère parfois impossible. Des
données collectées accidentellement peuvent être incluses dans des logiciels malveillants (informations collectées
à votre insu ou sans votre consentement) ou dans des noms de fichier ou des URL. Nous ne souhaitons pas que
ces données fassent partie de nos systèmes ni qu'elles soient traitées dans le but déclaré dans la présente
Politique de confidentialité.
Toutes les informations obtenues et traitées par le système de commentaires ESET LiveGrid® sont destinées à
être utilisées sans l'identification de l'Utilisateur final.
120
Assistance technique. Les informations et données de contact et de licence contenues dans vos demandes
d'assistance peuvent être requises pour fournir le service d'assistance. Selon le canal que Vous choisissez pour
nous contacter, Nous pouvons collecter votre adresse e-mail, votre numéro de téléphone, des informations sur la
licence, des détails sur le produit et la description de votre demande d'assistance. Nous pouvons Vous demander
de nous fournir d'autres informations pour faciliter la fourniture du service d'assistance. Les données traitées
pour l'assistance technique sont conservées pendant 4 ans.
Veuillez noter que si la personne utilisant nos produits et services n'est pas l'Utilisateur final qui a acheté le
produit ou le service et conclu les Conditions avec Nous, (par exemple un employé de l'Utilisateur final, un
membre de la famille ou une personne autrement autorisée à utiliser le produit ou le service par l'Utilisateur final
conformément aux Conditions, le traitement des données est effectué dans l'intérêt légitime d'ESET au sens de
l'Article 6 (1) f) du RGPD pour permettre à l'utilisateur autorisé par l'Utilisateur final d'utiliser les produits et
services fournis par Nous conformément aux Conditions.
Coordonnées
Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute,
envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
[email protected]
121
">