Gestion du contenu client et des journaux de Citrix Cloud Services

Généralités

Cet article décrit les types de contenu client et de journaux que les services Citrix Cloud collectent. La politique de confidentialité Citrix, disponible à l’adresse http://www.citrix.fr/about/legal/privacy.html, décrit comment Citrix utilise et protège les données personnelles que Citrix recueille dans le cadre de ses opérations (par exemple, pour les services Marketing, Ventes, Finance et Partenaires). Cet article quant à lui traite de la collecte et de la gestion du contenu client et des journaux en relation avec les services Citrix Cloud. À ce titre, Citrix agit en tant que « processeur de données » pour ses clients en ce qui concerne le traitement du contenu client. Pour de plus amples informations, consultez le Contrat de traitement des données Citrix.

Cet article s’adresse aux responsables de la sécurité, aux responsables de la conformité et aux auditeurs d’information et ainsi qu’aux personnes dont le rôle inclut la gestion des données cloud dans leur organisation. Cet article s’applique uniquement aux régions de plate-forme Citrix Cloud, aux services Citrix Virtual Apps and Desktops, Citrix Endpoint Management et Citrix Content Collaboration. Les détails relatifs aux autres services seront inclus dans une prochaine version de cet article. Ces informations peuvent être modifiées sans préavis.

Les termes suivants sont utilisés dans cet article :

  • Contenu client désigne toutes les données chargées sur le compte du client pour le stockage ou les données de l’environnement informatique du client auquel Citrix a accès afin d’exécuter ses services.
  • Journal désigne un enregistrement des événements liés aux services, y compris les enregistrements qui mesurent les performances, la stabilité, l’utilisation, la sécurité et l’assistance.
  • Données à caractère personnel désigne toute information relative à une personne physique identifiée ou identifiable (telle que définie plus précisément dans l’article 4 du Règlement général sur la protection des données de l’UE) à laquelle Citrix a accès afin de fournir les services décrits dans le présent document.

Le contenu client et les journaux peuvent inclure des données personnelles, y compris, sans s’y limiter, les noms propres, les identifiants d’utilisateur, les numéros de téléphone, les adresses e-mail et IP.

Comment Citrix gère le contenu client stocké sur ses systèmes

Les clients déterminent le contenu client qu’ils choisissent de charger sur un service géré par Citrix et Citrix traite ces données en tant que processeur de données pour ses clients. Citrix n’a pas accès au contenu client qui peut contenir des données personnelles (par exemple, des fichiers Microsoft Office, des bases de données, etc.), sauf en cas de demande de support ou de dépannage, autre que celui décrit dans les sections spécifiques au service de cet article.

Emplacement géographique

Les services Citrix Cloud sont disponibles dans plusieurs régions (par exemple, UE, États-Unis ou Asie-Pacifique Sud). Cependant, le compte cloud d’un client ne peut être hébergé que dans une seule région. Une fois que le client choisit une région, le compte ne peut pas être déplacé d’une région à l’autre.

Les journaux peuvent être répliqués et accessibles globalement pour la prise en charge des services, y compris l’audit des performances des services, le support ou le dépannage, et l’authentification entre régions (par exemple, lorsqu’un administrateur basé dans l’UE doit accéder à un service basé aux États-Unis).

Pour plus d’informations, veuillez consulter la section Considérations géographiques.

Données collectées sur tous les services Citrix Cloud

La plate-forme Citrix Cloud collecte les données de journal suivantes dans le cadre des services basés sur le cloud Citrix.

Données du journal utilisateur en vol et stockées

  • Nom d’utilisateur administrateur
  • Nom et prénom de l’administrateur
  • Adresse e-mail de l’administrateur
  • Numéro de téléphone de l’administrateur
  • Adresse de l’administrateur
  • Pays de l’administrateur
  • Mot de passe administrateur
  • Principal utilisateur final utilisé pour ouvrir une session par les utilisateurs finaux (exemple : domaine\nom_utilisateur)
  • Nom de l’utilisateur final
  • Utilisateur final, prénom et nom
  • Propriétés Active Directory communes (AD) pour les utilisateurs finaux

Données du journal appareil en vol et stockées

  • Adresse IP côté Internet utilisée par l’administrateur pour accéder au service (non stockée)
  • Les attributs Active Directory peuvent également être vus en vol

Journalisation

Pour les administrateurs, Citrix enregistre :

  • Nom (prénom, nom, nom complet)
  • Adresse e-mail

Pour les utilisateurs finaux, Citrix enregistre :

  • Nom (prénom, nom, nom d’affichage et autres propriétés AD contenant le nom).
  • Propriétés AD qui contiennent généralement l’adresse e-mail.
  • Toutes les propriétés AD, y compris les propriétés personnalisées, dont les noms ne correspondent pas à « e-mail », « téléphone » ou « adresse ».

Sauvegarde

Pour tous les services, tous les journaux en vol ou stockés ou le contenu client répertoriés dans cet article peuvent être inclus dans les sauvegardes. Citrix effectue les types de sauvegardes suivants :

  • Des sauvegardes en ligne peuvent être effectuées sur l’un des services suivants, selon le service Citrix Cloud :
    • Stockage Blob Azure
    • AWS S3
    • AWS Elastic Block Store
    • Azure SQL
  • Réplication unidirectionnelle des données entre Microsoft Azure et Amazon AWS.
  • Les sauvegardes hors connexion ou hors site ne sont effectuées pour aucun service.

Les sauvegardes peuvent contenir les données décrites dans cet article et peuvent être stockées dans différentes régions à des fins de redondance.

Services tiers qui peuvent stocker ou traiter des journaux pour le compte de Citrix

Citrix peut choisir, le cas échéant, de stocker ou de traiter des journaux dans certains services. Ces services tiers sont susceptibles de changer, et tous les services tiers ne sont pas utilisés par tous les services Citrix Cloud. Un grand nombre de ces services sont basés aux États-Unis. Pour plus de détails, consultez Sous-processeurs Citrix Services.

Citrix Virtual Apps and Desktops

Le service Citrix Virtual Apps and Desktops ne collecte, n’inspecte ni ne transfère les fichiers de contenu client (par exemple les fichiers Microsoft Word et Excel) à partir des machines virtuelles auxquelles les utilisateurs finaux accèdent. Les machines virtuelles des utilisateurs finaux sont sous le contrôle du client.

Données stockées

Aucun contenu client ou journal autre que celui répertorié dans la section Données collectées sur tous les services Citrix Cloud de cet article n’est collecté.

Données en vol

En plus des éléments communs décrits ci-dessus, le service d’application et de bureau recueille :

  • Mot de passe de l’utilisateur final
  • Nom de la machine client

Citrix Managed Desktops

Le service Citrix Managed Desktops ne collecte, n’inspecte ni ne transfère les fichiers de contenu client (par exemple les fichiers Microsoft Word et Excel) à partir des machines virtuelles auxquelles les utilisateurs finaux accèdent. La responsabilité des machines virtuelles des utilisateurs finaux dans Citrix Managed Azure IaaS est partagée entre le client et Citrix. Pour de plus amples informations, consultez la section Vue d’ensemble de la sécurité technique de Managed Desktops.

Données stockées

Aucun contenu client ou journal autre que celui répertorié dans la section Données collectées sur tous les services Citrix Cloud de cet article n’est collecté.

Données en vol

En plus des éléments communs décrits ci-dessus, le service Managed Desktops recueille :

  • Mot de passe de l’utilisateur final
  • Nom de la machine client

Citrix Endpoint Management

Citrix Endpoint Management fournit des plans de contrôle régionaux pour les emplacements situés dans les régions des États-Unis, de l’UE et de l’Asie-Pacifique. Dans chaque région, il peut y avoir plusieurs emplacements. Certaines données telles que l’adresse e-mail peuvent être utilisées dans toutes les régions (p. ex., pour le service de découverte automatique).

Données en vol et stockées

Données utilisateur en vol et stockées :

  • Cookies Citrix Endpoint Management
  • Détails de la connexion
  • Adresse e-mail du propriétaire de Google Enterprise
  • Numéro de téléphone portable (le cas échéant)

Données appareil (stockées par région ; les sauvegardes de ces données peuvent être stockées dans d’autres régions) :

  • Numéro de série
  • IMEI
  • Adresse MAC Wi-Fi
  • Adresse MAC Bluetooth
  • Mémoire et stockage
  • Type de processeur et vitesse
  • Version de l’OS
  • Adresse IP
  • Résolution de l’écran
  • État du jailbreak
  • ID ActiveSync

Citrix Content Collaboration

Données stockées en vol

Données utilisateur :

  • Hachage de mot de passe utilisateur
  • Question de sécurité admin dans ses bases de données
  • Noms de fichiers et de dossiers dans les journaux

Les clients peuvent également fournir des données personnelles dans le cadre des données de champ de base de données (les champs Nom du fichier, Nom du dossier et Notes sont du texte libre).

Le moteur d’aperçu de document utilise Microsoft Office 365 lorsque les clients disposent de l’autorisation O365. L’aperçu natif Citrix est utilisé dans plusieurs fonctionnalités telles que Commentaires, Approbation et Afficher avec filigrane. Les fonctionnalités de signature et de workflow seront traitées de la même manière via Citrix RightSignature aux États-Unis. Les données personnelles contenues dans les noms de fichiers ou le contenu des fichiers peuvent être traitées par les technologies d’aperçu natives d’Office 365 ou Citrix ou par Citrix RightSignature.

Considérations régionales

Citrix fournit des instances américaines et européennes distinctes du plan de contrôle Citrix Content Collaboration ; Citrix ne transfère pas de contenu client entre ces régions ou en dehors de celles-ci. Pour plus d’informations, veuillez consulter la section Emplacements Content Collaboration et StorageZones.

Labs Services

Les services Labs Services ne sont pas pris en charge, peuvent évoluer au fil du temps et ne deviennent pas nécessairement des services Citrix Cloud. Pour de plus amples informations, consultez la section Citrix Cloud Labs.

Foire aux questions

Puis-je refuser la journalisation ou le stockage des journaux mentionnés dans cet article ? Non, il n’est pas possible de refuser la journalisation ou le stockage des journaux. Ils sont nécessaires pour assurer le fonctionnement optimal de nos services.

Les produits détaillés dans ce document sont-ils conformes au RGPD ? Les produits et services Citrix sont conçus pour faciliter votre conformité au RGPD en prenant en charge les exigences du RGPD en matière de gestion des données, d’accès et de sécurité. Citrix a effectué des évaluations d’impact sur la protection des données de ses produits et fournit autant que possible des fonctionnalités qui vous aideront à poursuivre vos efforts de conformité. Citrix propose un addenda sur la protection des données, y compris les clauses contractuelles types (sous-traitants) de l’UE qui sont disponibles sur https://www.citrix.com/buy/licensing/citrix-data-processing-agreement.html.

Qu’en est-il des autres services Citrix Cloud non mentionnés dans ce document ? Des services supplémentaires de Citrix Cloud seront inclus dans les futures révisions de cet article.