ESET LiveGuard Advanced (Dynamic Threat Defense) Manuel du propriétaire

ESET LiveGuard Advanced
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2023 d'ESET, spol. s r.o.
ESET LiveGuard Advanced a été développé par ESET, spol. s r.o.
Pour plus d’informations, consultez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique,
photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis.
Assistance technique : https://support.eset.com
RÉV. 18/03/2023
1 Bienvenue ......................................................................................................................................... 1
2 Présentation du produit ..................................................................................................................... 2
2.1 Fonctionnement des couches de détection .................................................................................... 4
2.2 Exigences et produits pris en charge ............................................................................................ 9
2.3 Utilisation d’un proxy avec ESET LiveGuard Advanced .................................................................. 11
2.3 Proxy HTTP Apache ................................................................................................................... 12
2.3 Configuration du proxy Linux ........................................................................................................ 13
2.3 Configuration du proxy Windows ..................................................................................................... 15
3 Achat du service ............................................................................................................................. 18
4 Activation d'ESET LiveGuard Advanced .......................................................................................... 18
4.1 Importation des licences dans EBA ............................................................................................. 20
4.2 Synchronisation EBA avec ESMC ................................................................................................. 23
4.3 Synchronisation EBA avec ESET PROTECT .................................................................................... 25
4.4 Ajouter une licence dans ESET MSP Administrator ........................................................................ 27
4.5 Synchronisation ESET MSP Administrator avec ESMC .................................................................... 33
4.6 Synchronisation ESET MSP Administrator avec ESET PROTECT ....................................................... 35
4.7 Activation d'un groupe d'ordinateurs .......................................................................................... 36
4.8 Activation des ordinateurs sélectionnés ...................................................................................... 41
4.9 Installation et activation à distance ............................................................................................ 43
5 Activation et configuration du service ESET LiveGuard Advanced .................................................. 45
5.1 Configuration du produit de sécurité ESET ................................................................................... 45
5.2 Gestion des politiques ............................................................................................................... 48
6 Utilisation d'ESET LiveGuard Advanced ........................................................................................... 52
6.1 ESET Mail Security .................................................................................................................... 54
6.2 ESET Endpoint Security et ESET Server Security ........................................................................... 58
6.3 ESET Cloud Office Security ......................................................................................................... 62
6.4 Protection proactive ................................................................................................................. 64
6.5 Liste des fichiers soumis ........................................................................................................... 68
6.6 Créer un rapport ....................................................................................................................... 72
6.7 Résultats de l'analyse ............................................................................................................... 77
6.7 Rapport sur le comportement ........................................................................................................ 79
6.8 Téléchargement manuel d'un fichier pour analyse ........................................................................ 80
6.8 Soumission d'un fichier depuis ESET PROTECT ...................................................................................... 81
6.8 Soumission d'un fichier depuis ESET Endpoint Security ............................................................................ 83
6.8 Soumission d'un fichier depuis ESET Server Security ............................................................................... 84
6.8 Soumission d'un fichier depuis ESET Mail Security .................................................................................. 87
6.9 Ajouter une exclusion ............................................................................................................... 88
6.10 Utilisation d'exclusions pour améliorer les performances ............................................................ 91
6.10 Examen de la liste des fichiers soumis ............................................................................................. 92
6.10 Exclusion de dossiers ............................................................................................................... 98
6.10 Exclusion d'un processus ......................................................................................................... 102
6.10 Consultation du nombre de fichiers envoyés .................................................................................... 104
6.11 Notification pour les menaces détectées ................................................................................. 108
7 FAQ ............................................................................................................................................... 111
8 Test de la fonctionnalité ESET LiveGuard Advanced ..................................................................... 114
9 Dépannage .................................................................................................................................... 118
9.1 Diagnostics ............................................................................................................................ 126
9.2 Résolution des problèmes liés au proxy HTTP Apache ................................................................. 130
10 Sécurité pour ESET LiveGuard Advanced .................................................................................... 132
11 Politique d'utilisation équitable ................................................................................................... 136
12 Politique de confidentialité ..........................................................................................................
13 Conditions d'utilisation ................................................................................................................
13.1 Contrat de licence pour l'utilisateur final ESET Management Agent ............................................
13.2 Accord sur le traitement des données .....................................................................................
13.3 Clauses contractuelles types ..................................................................................................
137
140
144
151
153
Bienvenue
Bienvenue dans le guide de l'utilisateur ESET LiveGuard Advanced. Ce document explique comment utiliser et
gérer ESET LiveGuard Advanced. Il présente également en détail le lien entre ESET LiveGuard Advanced et les
autres produits professionnels ESET.
Un ensemble uniforme de symboles est utilisé pour souligner des informations importantes. Les rubriques de ce
guide sont divisées en plusieurs chapitres et sous-chapitres. Vous trouverez des informations pertinentes en
utilisant le champ Rechercher dans la partie supérieure.
L'aide en ligne est la principale source de contenu d'aide. La dernière version de l'aide en ligne s'affiche
automatiquement lorsque vous disposez d'une connexion Internet.
• La base de connaissances ESET contient des réponses aux questions les plus fréquentes et les solutions
recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques
d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes.
• Le forum ESET permet aux utilisateurs ESET d'obtenir facilement de l'aide et d'aider les autres utilisateurs.
Vous pouvez publier tout problème ou toute question relative aux produits ESET.
Zones d'informations utilisées dans ce guide :
Les remarques peuvent fournir des informations précieuses (fonctionnalités spécifiques ou lien vers une
rubrique connexe, par exemple).
Ces informations requièrent votre attention et ne doivent pas être ignorées. Il s'agit généralement
d'informations importantes mais qui ne sont pas critiques.
Informations critiques qui requièrent toute votre attention. Les avertissements ont pour but de vous
empêcher de commettre des erreurs préjudiciables. Veuillez lire attentivement le texte des avertissements
car il fait référence à des paramètres système très sensibles ou à des actions présentant des risques.
L'exemple a pour objectif de décrire un cas pratique en relation avec le thème abordé. Il sert notamment à
expliquer des thèmes plus complexes.
Styles de texte utilisés
Convention
Signification
Bold type
Noms des éléments de l'interface (boutons d'option ou boîtes de dialogue, par exemple).
Code
Exemples de code ou commandes.
Lien hypertexte Permet d'accéder facilement et rapidement à des références croisées ou à une adresse
Internet externe. Les liens hypertexte sont mis en surbrillance en bleu et peuvent être
soulignés.
%ProgramFiles% Répertoire du système Windows dans lequel sont stockés les programmes installés sous
Windows.
1
Présentation du produit
À propos du service
ESET LiveGuard Advanced (sandbox cloud) est un service payant proposé par ESET. Son objectif est d'ajouter une
couche de protection spécialement conçue pour atténuer les nouvelles menaces.
Changement du nom du service
Le 23 mars 2022, ESET Dynamic Threat Defense a été renommé ESET LiveGuard Advanced. Dans les produits ESET
pour les entreprises, vous pouvez également le voir sous le nom d'ESET LiveGuard. Les deux noms font référence
au même service.
Disponibilité du service
Le portail d’état ESET donne une vue à jour de la disponibilité des services ESET. Il fournit une vue des services
ESET et des rapports sur les états du service, y compris les incidents passés. Si vous êtes utilisateur ESET et
rencontrez des problèmes avec votre service ESET qui ne sont pas indiqués dans le portail d’état ESET, contactez
l’assistance technique ESET.
Fonctionnement
Les échantillons suspects qui ne sont pas encore confirmés comme étant malveillants et qui peuvent
potentiellement transporter des logiciels malveillants sont automatiquement envoyés dans le cloud ESET. Les
échantillons soumis sont exécutés dans un sandbox et évalués par des moteurs avancés de détection des logiciels
malveillants. Les échantillons malveillants et les courriers indésirables suspects sont envoyés à ESET LiveGrid®. Les
pièces jointes aux e-mails sont gérées séparément et peuvent être envoyées à ESET LiveGuard Advanced. Les
administrateurs ou les utilisateurs peuvent définir la portée des fichiers envoyés, ainsi que la période de rétention
du fichier dans le cloud ESET. Par défaut, les documents et les fichiers PDF comportant du contenu actif (macros,
javascript) ne sont pas envoyés. Consultez une description détaillée du fonctionnement des couches de détection.
Dans la section Fichiers envoyés de la console de gestion à distance, les administrateurs peuvent consulter un
rapport succinct sur le comportement de l’échantillon observé pour chacun des fichiers envoyés. Si un fichier est
malveillant, il est bloqué en tant qu'objet suspect pour tous les utilisateurs participant à ESET LiveGrid®. S'il est
évalué comment étant suspect, il est bloqué sur tous les ordinateurs de l’entreprise de l’utilisateur, selon le seuil
de sensibilité.
Les fichiers peuvent êtes soumis manuellement ou automatiquement selon la configuration des politiques. Dans
la console web ESET PROTECT Web Console, l’utilisateur peut soumettre des fichiers. exe signalés à partir
d'ordinateurs clients.
Quelles sont les différences entre ESET LiveGuard Advanced, ESET LiveGrid® et ESET Threat Intelligence ?
Architecture
Produits de sécurité ESET et console de gestion
Dès qu'un échantillon est téléchargé dans ESET LiveGuard Advanced pour analyse, les métadonnées de cet
échantillon sont téléchargées dans la console de gestion, si le client peut s'y connecter. L'administrateur de la
console obtient ainsi la liste des échantillons téléchargées dans le cloud ESET.
2
Produits de sécurité ESET et ESET LiveGuard Advanced
Lorsqu'un produit de sécurité ESET configuré et activé décide qu'un échantillon doit être analysé, il le télécharge
dans ESET LiveGuard Advanced. Une fois l'échantillon analysé par ESET LiveGuard Advanced, les résultats sont
envoyés à tous les ordinateurs de la société (ou client MSP) et aussi à toutes les sociétés ayant déjà soumis ce
fichier. Le produit de sécurité exécute ensuite l'action adéquate en fonction de la politique mise en place. Dans les
version 7.2 et ultérieures des produits endpoint et serveur ESET, vous pouvez sélectionner une action à exécuter
sur les fichiers suspects téléchargés par les navigateurs et les clients de messagerie.
ESET signe tous les paquets transférés afin de limiter le risque d’attaque. Lorsque vous utilisez une connexion
HTTP dans le réseau interne, le produit vérifie toujours si la connexion est mise à niveau vers HTTPS derrière un
proxy. Si le proxy n'est pas configuré correctement, la connexion HTTPS est également utilisée dans le réseau
interne.
Consoles de gestion ESET et ESET LiveGuard Advanced
ESET LiveGuard Advanced Est disponible dans les consoles de gestion sur site et cloud (ESET Security Management
Center, ESET PROTECT, ESET PROTECT Cloud). Lorsqu'ESET LiveGuard Advanced reçoit un échantillon du produit
de sécurité ESET, le service informe automatiquement la console de gestion sur l'état de l'analyse. Une fois
l'analyse terminée, les résultats sont transférés à la console de gestion.
Terminaux itinérants et ESET LiveGuard Advanced
Un terminal itinérant est un client doté d'un produit de sécurité ESET qui est utilisé en dehors de votre société
sans connexion à ESET PROTECT. Il s'agit généralement d'un ordinateur utilisé à domicile ou pendant un
déplacement professionnel sans VPN. Un client itinérant tire pleinement parti d'ESET LiveGuard Advanced. Il
n'informe toutefois pas ESET PROTECT à propos des échantillons soumis pour analyse. Lorsque le client revient
dans votre périmètre et se connecte à ESET PROTECT, les métadonnées du client sont synchronisées et la liste des
fichiers soumis est mise à jour. D'autres clients du réseau peuvent recevoir des mises à jour issues des menaces
détectées pendant l'itinérance d'un client, même avant sa synchronisation avec ESET PROTECT.
ESET Cloud Office Security et ESET LiveGuard Advanced
ESET LiveGuard Advanced analyse les fichiers soumis en exécutant le code suspect dans un environnement isolé
afin d'évaluer son comportement. ESET Cloud Office Security soumet à ESET LiveGuard Advanced des pièces
jointes à des e-mails et des fichiers suspects provenant de Microsoft Exchange Online, OneDrive, de groupes
d'équipes et de sites SharePoint pour analyse. ESET Cloud Office Security ne nécessite pas ou ne charge pas de
données sur une console de gestion ESET. Les informations sur les dossiers soumis et leurs résultats sont
présentes dans ESET Cloud Office Security.
Base de données globale
ESET LiveGuard Advanced utilise deux centres de données Azure (aux États-Unis et en Europe) pour stocker les
hachages des fichiers et les résultats de leur analyse. Les centres de données donnent des résultats plus rapides
pour les fichiers déjà analysés. Le siège d'ESET (situé en Slovaquie) stocke tous les fichiers soumis et effectue
l'analyse. Les données de chaque client (entreprise) sont stockées séparément dans une base de données globale.
ESET redirige les connexions des utilisateurs vers le centre de données le plus proche.
Il est vivement recommandé d'utiliser un proxy pour les réponses de mise en cache des serveurs ESET, tout
particulièrement pour les utilisateurs disposant d'un grand nombre de machines clientes (des centaines ou
plus), car l'utilisation d'un proxy peut diminuer le trafic réseau.
Vous pouvez exclure des processus et des dossiers sélectionnés pour réduire le nombre de fichiers soumis
et accroître les performances globales.
3
Fonctionnement des couches de détection
ESET LiveGuard Advanced utilise 4 couches de détection distinctes pour garantir le taux de détection le plus élevé.
Chaque couche utilise une approche différente et donne son verdict sur l'échantillon. L’évaluation finale est le
résultat de toutes les informations sur l’échantillon. Découvrez la vue d’ensemble du processus dans le schéma
suivant :
Cliquez sur l'image pour l'agrandir.
Couche 1 : Décompression et analyse avancées
En entrant dans la couche initiale d'ESET LiveGuard Advanced, appelée couche de décompression et d’analyse
avancées, les échantillons statiques sont comparés à la base des menaces d’ESET : enrichie de détections
expérimentales et encore à distribuer, ainsi qu'à une liste complète d'éléments non infectés, potentiellement
indésirables (PUA) et potentiellement dangereux (PUsA). Les logiciels malveillants tentent souvent de déjouer la
détection en cachant leur noyau malveillant derrière une série de couches diverses ; ainsi, pour une analyse
correcte, cette enveloppe doit être supprimée. ESET LiveGuard Advanced utilise la décompression et l'analyse
avancées pour y parvenir en utilisant des outils hautement spécialisés basés sur les décompresseurs que les
4
chercheurs d'ESET ont trouvés dans les codes malveillants. Ces décompresseurs spécialisés retirent la couche de
protection des logiciels malveillants, ce qui permet à ESET LiveGuard Advanced de faire correspondre à nouveau
l’échantillon par rapport à la base enrichie des menaces. La couche de décompression et d'analyse avancées
classe l’échantillon comme logiciel malveillant, non infecté, PUA ou PUsA. En raison des risques de sécurité et des
besoins matériels associés aux décompresseurs, ainsi que d’autres procédures intégrées, un environnement
performant et sécurisé est nécessaire. Cet environnement unique est fourni par l'infrastructure cloud robuste et
résiliente d'ESET LiveGuard Advanced.
Couche 2 : Détection par l'apprentissage machine avancé
Chaque élément soumis à ESET LiveGuard Advanced est également soumis à une analyse statique via une
détection par apprentissage machine avancé, produisant les caractéristiques de base de l’échantillon. Comme
l'analyse d'un code compressé ou chiffré sans autre traitement ne classerait que du bruit, l'objet soumis subit
simultanément une autre analyse, plus dynamique, qui extrait ses instructions et ses gènes d'ADN. En décrivant
les caractéristiques et les comportements actifs d'un échantillon, les caractéristiques malveillantes des objets
compressés ou obfusqués sont découvertes même sans les exécuter. Les informations extraites de toutes les
étapes précédentes sont ensuite traitées par des modèles de classification et d'algorithmes d'apprentissage
approfondi soigneusement choisis. Enfin, toutes ces informations sont consolidées par un réseau neuronal qui
renvoie l'un des quatre niveaux de probabilité suivants : malveillant, hautement suspect, suspect et non infecté. Si
cette couche ou toute autre couche ESET LiveGuard Advanced n’est pas utilisée, le message « analyse non
nécessaire » s’affiche. En raison de la complexité et des besoins matériels de ces procédures, une infrastructure
5
nettement plus puissante que celle fournie par l'endpoint de l'utilisateur est nécessaire. Pour gérer les tâches
demandant beaucoup de calculs, les ingénieurs d'ESET ont conçu un ensemble supérieur et complexe de
systèmes : ESET LiveGuard Advanced.
Couche 3 : Moteur de détection expérimental
Pour analyser davantage chaque échantillon, une analyse plus approfondie et axée sur le comportement est
nécessaire pour compléter les résultats précédents. Pour recueillir ce type de renseignement sur les menaces,
une autre couche ESET LiveGuard Advanced intervient, à savoir, le moteur de détection expérimental. Il insère
l'élément suspect dans un ensemble de systèmes configurés avec précision, qui ressemblent beaucoup à des
machines grandeur nature utilisant divers systèmes d'exploitation, une sorte de « sandbox sur stéroïdes ». Ces
environnements hautement contrôlés servent de cellules de surveillance équipées d'un grand nombre
d'algorithmes de détection d'ESET qui enregistrent chaque action dans un journal. Pour identifier les
comportements malveillants cachés, le moteur de détection expérimental produit également une grande quantité
de vidages de mémoire. Ceux-ci sont ensuite analysés et comparés à la base de données de menaces enrichie
6
d'ESET, qui comprend des détections inédites et expérimentales, ce qui garantit des résultats de détection très
précis et un nombre extrêmement faible de faux positifs. Les renseignements recueillis par le moteur de
détection expérimental sont également compilés dans une liste complète d'événements détectés par le sandbox,
qui est ensuite utilisée pour une analyse plus approfondie dans la couche de détection finale d'ESET LiveGuard
Advanced : analyse comportementale approfondie.
Couche 4 : Analyse comportementale approfondie
Dans la dernière couche ESET LiveGuard Advanced, appelée analyse comportementale approfondie, toutes les
sorties du sandbox, y compris les fichiers créés ou supprimés sur le disque dur, les entrées ajoutées au registre du
système Windows ou supprimées de celui-ci, toutes les tentatives de communication externe et les scripts en
cours d'exécution, sont soumises à une analyse comportementale approfondie. À ce stade, ESET LiveGuard
Advanced se concentre sur les actions malveillantes et suspectes telles que les tentatives de connexion à des sites
web de mauvaise réputation, l'utilisation d'objets malveillants connus et l'utilisation de chaînes uniques générées
par des familles de logiciels malveillants spécifiques. L'analyse comportementale approfondie décompose
également les résultats du sandbox en blocs logiques, qui sont ensuite comparés à une base de données étendue
et périodiquement révisée de modèles et de chaînes d'actions précédemment analysés afin d'identifier le
moindre comportement malveillant.
7
Résultat final
ESET LiveGuard Advanced combine tous les verdicts disponibles des couches de détection et évalue le statut de
l'échantillon. Le résultat est remis en priorité au produit de sécurité ESET de l'utilisateur et à l'infrastructure de
son entreprise.
8
Exigences et produits pris en charge
Exigences pour les utilisateurs de produits sur site
Votre environnement doit remplir les conditions préalables suivantes pour le bon fonctionnement d'ESET
LiveGuard Advanced :
• Un compte ESET Business Account ou ESET MSP Administrator est synchronisé avec une console de
gestion ESET.
• Une console de gestion ESET prise en charge
• Installation de la version 7.x ou d'une version ultérieure des produits de sécurité ESET
• Vous disposez d'une licence valide pour ESET LiveGuard Advanced.
• Les produits de sécurité sont activés avec la licence d'ESET LiveGuard Advanced.
• ESET LiveGuard Advanced est activé dans les politiques pour les produits de sécurité compatibles.
• Les exigences réseau sur les ports ouverts sont les mêmes que pour ESET LiveGrid®.
oAccès aux serveurs en ligne ESET LiveGuard Advanced
Exigences pour les utilisateurs d'ESET Cloud Office Security
Pour utiliser ESET LiveGuard Advanced dans ESET Cloud Office Security, l'utilisateur doit disposer des éléments
suivants :
• Un compte ESET Business Account ou ESET MSP Administrator connecté à ESET Cloud Office Security
• Vous disposez d'une licence valide pour ESET LiveGuard Advanced
9
ESET Cloud Office Security ne partage aucune information sur les fichiers soumis avec les consoles de gestion
ESET.
Droits d’accès dans les consoles de gestion
Dans la console Web, les fichiers soumis et les résultats d'analyse ne sont visibles que par un utilisateur disposant
de droits d'accès sur l'appareil ayant envoyé ce fichier. Vous pouvez soumettre manuellement depuis la console
web un fichier exécutable signalé dans ESET Inspect. Vous devez disposer de l’autorisation d'utilisation pour
l’ordinateur ayant signalé la détection et de l'autorisation d'écriture pour la fonctionnalité Envoyer le fichier à
ESET LiveGuard sur votre groupe parent.
Terminaux itinérants : si un périphérique ne peut pas joindre ESET PROTECT / ESMC Server, mais qu'il peut joindre
les serveurs du cloud ESET, les fichiers envoyés par celui-ci ne sont visibles que lorsqu'il est à nouveau connecté à
Server.
Performances
Vous pouvez utiliser le ESET Bridge pour mettre en cache les résultats provenant d'ESET LiveGuard Advanced. La
mise en cache permet de réduire le trafic provenant d'Internet sur votre réseau.
Il est recommandé d’utiliser un serveur ESET Bridge dédié dans les environnements d’entreprise (plus de 1.000
ordinateurs gérés). La mise en cache de grandes quantités de fichiers réduit les performances du serveur. Dans les
environnements à haute disponibilité, il est recommandé d'installer chaque composant sur un ordinateur distinct
(ESET Security Management Center/ESET PROTECT Server, ESET Bridge, serveur de base de données). Il est
également déconseillé d'exécuter d'autres applications consommatrices de ressources en plus d'ESET Security
Management Center/ESET PROTECT sur le même ordinateur.
Une autre façon d'améliorer les performances globales consiste à réduire le nombre de fichiers soumis. Vous
pouvez exclure des fichiers, des dossiers ou des processus pour empêcher l'envoi de vos fichiers privés à des fins
d'analyse ou pour réduire la charge. Pour plus d'informations, reportez-vous à Utilisation d'exclusions pour
améliorer les performances.
Licences prises en charge
ESET LiveGuard Advanced peut être activé par :
• Licences par abonnement ou d'un, de deux ou de trois ans depuis EBA
• Licences MSP de type abonnement depuis ESET MSP Administrator
Produits pris en charge
La soumission de fichiers pour analyse dans ESET LiveGuard Advanced n'est prise en charge que dans certains
produits. La liste des fichiers soumis n'est disponible que dans la version prise en charge de la console
d'administration.
Produits de sécurité
Produit
ESET Endpoint Antivirus pour Windows*
ESET Endpoint Security pour Windows
10
Version
version 7 et ultérieure
Produit
Version
ESET Mail Security pour Microsoft Exchange
version 7 et ultérieure
ESET File Security pour Windows Server
version 7.x
ESET Server Security pour Windows Server
(anciennement ESET File Security pour Windows Server)
version 8 et ultérieure
ESET Endpoint Antivirus pour Linux
version 8.1 et ultérieure
ESET Server Security pour Linux
version 8.1 et ultérieure
ESET Cloud Office Security
(à compter de décembre 2021)
* La fonctionnalité ESET LiveGuard Advanced est identique pour ESET Endpoint Antivirus et ESET Endpoint
Security. Dans ce manuel, il est fait uniquement référence à ESET Endpoint Security pour faciliter la
compréhension du texte. Les utilisateurs d'ESET Endpoint Antivirus doivent suivre les instructions pour ESET
Endpoint Security présentées dans ce guide.
Consoles d'administration
Produit et version
Prise en charge
ESET PROTECT 8 et versions ultérieures
ESET Security Management Center 7.0 et 7.1
La prise en charge des consoles est terminée.
ESET Security Management Center 7.2
ESET Remote Administrator 6.x et versions antérieures
ESET PROTECT Cloud
Systèmes d'exploitation non pris en charge
ESET LiveGuard Advanced n'est pas pris en charge sur les machines clientes qui s'exécutent sous
Windows XP et Microsoft Windows Server 2003. Ces systèmes ne prennent pas en charge la norme TLS 1.2,
qui est nécessaire pour le transfert sécurisé des exemples de fichiers.
Proxy pris en charge
ESET Bridge a été publié avec ESET PROTECT 10.0 comme substitut du proxy HTTP Apache et est inclus dans le
programme d’installation tout-en-un de la console de gestion. Vous pouvez également le télécharger en tant que
programme d’installation autonome à partir du site de téléchargement ESET. Apache HTTP Proxy reste
fonctionnel, mais il est recommandé d’utiliser ESET Bridge.
Utilisation d’un proxy avec ESET LiveGuard Advanced
ESET LiveGuard Advanced peut utiliser le ESET Bridge pour transférer la connexion aux serveurs ESET et mettre en
cache les données transférées. La mise en cache réduit le trafic réseau. L'utilisation du proxy n'est nécessaire que
si l'ordinateur client n'a pas de visibilité réseau sur les serveurs ESET. Si vous utilisez ESET Bridge pour transférer
les communications entre ESET PROTECT Server et les ESET Management Agents, vous pouvez l'utiliser pour
mettre en cache les résultats provenant d'ESET LiveGuard Advanced. ESET Bridge prend également en charge le
chaînage de proxy.
11
Paramètres du proxy sur les ordinateurs clients
Il est nécessaire de définir les configurations du proxy (Paramètres > Outils > Serveur proxy) dans le
produit de sécurité ESET sur l'ordinateur client. Vous pouvez le faire à distance par le biais d’une politique.
Utilisateurs d'ESET PROTECT Cloud
Vous devez utiliser ESET Bridge pour la mise en cache des résultats des détections, si un seul réseau comporte au
moins 10 ordinateurs, comme dans un bureau. Si les ordinateurs clients ne partagent pas de réseau interne ou de
VPN, n’utilisez pas de proxy. En savoir plus sur le ESET Bridge dans la documentation d'ESET PROTECT Cloud.
Utilisateurs du proxy HTTP Apache
À partir d'ESET PROTECT Cloud 4.0 et d'ESET PROTECT 10.0 (publiés en novembre 2022), ESET Bridge
remplace le proxy HTTP Apache. Apache HTTP Proxy a une prise en charge limitée. Si vous utilisez Apache
HTTP Proxy, il est recommandé de migrer vers ESET Bridge.
Utilisateurs de l’appliance virtuelle ESET PROTECT
L'appliance est basée sur CentOS 7 qui n’est pas pris en charge par ESET Bridge. Les utilisateurs de l’appliance
virtuelle ESET PROTECT peuvent choisir l’une des solutions suivantes :
• Utiliser ESET Bridge installé sur un ordinateur distinct (voir la liste des exigences ESET Bridge).
• Utiliser la solution de proxy HTTP Apache intégrée dans l'appliance.
Installation de ESET Bridge
Vous pouvez installer ESET Bridge de plusieurs manières différentes. Il est recommandé d’utiliser le dernier
programme d’installation tout-en-un d'ESET PROTECT.
Mise en cache des résultats fournis par ESET LiveGuard Advanced
La configuration de ESET Bridge permet la mise en cache des résultats par défaut. La mise en cache des résultats
commence une fois que vous avez configuré ESET Bridge pour utiliser une solution de proxy pour la mise en cache
et activé ESET LiveGuard Advanced.
Proxy HTTP Apache
Recommandation
Le proxy HTTP Apache est fonctionnel, mais sa prise en charge est dorénavant limitée. Il est recommandé
d'utiliser ESET Bridge à la place.
Fichier de configuration du proxy
Linux et Windows stockent les fichiers de configuration Apache à différents emplacements. Reportez-vous au
tableau ci-dessous pour connaître l'emplacement habituel.
12
Système
d’exploitation
Fichiers de configuration
Windows
C:\Program Files\Apache HTTP Proxy\conf\httpd.conf
Linux (Debian)
/etc/apache2/mods-available/proxy.conf
Appliance virtuelle
(Linux)
/etc/httpd/conf.d/proxy.conf
Chaînage du proxy
Vous pouvez configurer d'autres proxys pour la chaîne. Ajoutez ProxyRemote * AddressOfNextProxy à la
configuration du proxy. Tous les proxys qui se connectent au proxy suivant doivent avoir cette configuration.
Exemple dans lequel 10.1.1.2 est l'adresse du proxy suivant :
ProxyRemote * http://10.1.1.2:3128
Pour appliquer la nouvelle configuration, redémarrez le service proxy.
Proxys tiers (autres qu'Apache)
Les autres solutions proxy ne sont pas prises en charge par ESET. Dans certaines conditions, d'autres proxys
peuvent fonctionner, mais ESET ne fournit ni la configuration ni la prise en charge pour ces scénarios.
Dépannage
Pour obtenir des journaux détaillés du proxy, modifiez/ajoutez le paramètre LogLevel debug dans votre
configuration du proxy et redémarrez le service proxy. Vous pouvez utiliser les journaux pour rechercher le
problème ou les faire parvenir à l'assistance ESET pour obtenir une aide supplémentaire.
Lorsque vous utilisez ESET LiveGuard Advanced dans un environnement d'entreprise (des centaines de
machines ou davantage), il est recommandé de déployer un proxy HTTP sur un serveur dédié. L'exécution
du service proxy HTTP sur un serveur fortement utilisé (en plus d'ESMC Server ou de la base de données)
peut entraîner des problèmes de connexion d'ESET LiveGuard Advanced.
Vous pouvez exclure des processus et des dossiers sélectionnés pour réduire le nombre de fichiers soumis
et accroître les performances globales.
Configuration du proxy Linux
Cette configuration est pour Apache HTTP Proxy uniquement. Si vous utilisez ESET Bridge, effectuez la
configuration par le biais de la console web ESET PROTECT.
Vérifiez si le fichier de configuration du proxy contient les lignes ci-après. Si ce n'est pas le cas, ajoutez-les.
1. Activez la mise en cache, les connexions à l'agent et HTTPS et définissez le fichier journal.
CacheEnable disk http://
CacheDirLevels 4
13
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 500000000
CacheMaxExpire 604800
CacheQuickHandler Off
CacheRoot /var/cache/httpd/proxy
AllowCONNECT 443 2222 53535
ProxyRequests On
ProxyVia On
CacheLock on
CacheLockMaxAge 10
ProxyTimeOut 900
SetEnv proxy-initial-not-pooled 1
ErrorLog "|/usr/sbin/rotatelogs -n 10 /var/log/httpd/error_log 1M"
Les paramètres CacheRoot et ErrorLog peuvent être ajustés pour votre système en cas de besoin.
2. Ajoutez le segment de code ci-après à la suite de la dernière ligne de code indiquée ci-dessous. Il permet la
mise en cache d'ESET LiveGuard Advanced sur le proxy :
<VirtualHost *:3128>
ProxyRequests On
</VirtualHost>
<VirtualHost *:3128>
ServerName r.edtd.eset.com
<If "%{REQUEST_METHOD} == 'CONNECT'">
14
Require all denied
</If>
ProxyRequests Off
CacheEnable disk /
SSLProxyEngine On
RequestHeader set Front-End-Https "On"
ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=10
0 smax=10
ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On
</VirtualHost>
3. Enregistrez la configuration et redémarrez le service proxy.
Activez les modules nécessaires du proxy
Lorsque vous utilisez le proxy Linux Apache proxy avec ESET LiveGuard Advanced, vérifiez que vous avez
activé les modules : headers ssl alias.
Par exemple, pour les distributions Debian, utilisez :
1. Chargement des modules :
sudo a2enmod headers ssl alias
2. Redémarrage du service :
service apache2 restart
Configuration du proxy Windows
Cette configuration est pour Apache HTTP Proxy uniquement. Si vous utilisez ESET Bridge, effectuez la
configuration par le biais de la console web ESET PROTECT.
Si vous utilisez votre propre proxy Apache HTTP pour la mise en cache des fichiers d'ESET LiveGuard Advanced,
vous devez modifier le fichier httpd.conf. Il est généralement situé dans le dossier conf d'Apache.
Ajoutez les segments de configuration dans l'ordre indiqué ci-après.
1. ESET LiveGuard Advanced requiert que les modules SSL, d'en-têtes et d'alias soient disponibles et activés
dans le proxy. Vérifiez que les modules sont présents et ajoutez les lignes suivantes au fichier de configuration
du proxy pour charger les modules requis :
LoadModule alias_module ..\modules\mod_alias.dll
15
LoadModule ssl_module ..\modules\mod_ssl.dll
LoadModule headers_module ..\modules\mod_headers.dll
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
LoadModule proxy_module ..\modules\mod_proxy.dll
LoadModule proxy_http_module
..\modules\mod_proxy_http.dll
LoadModule proxy_connect_module ..\modules\mod_proxy_connect.dll
LoadModule cache_module ..\modules\mod_cache.dll
LoadModule cache_disk_module ..\modules\mod_cache_disk.dll
2. Activez la mise en cache, les connexions à l'agent et HTTPS et définissez le fichier journal.
CacheEnable disk http://
CacheDirLevels 4
CacheDirLength 2
CacheDefaultExpire 3600
CacheMaxFileSize 200000000
CacheMaxExpire 604800
CacheQuickHandler Off
AllowCONNECT 443 563 2222 8883
ProxyRequests On
ProxyVia On
SetEnv proxy-initial-not-pooled 1
ErrorLog "logs/error.log"
16
LogLevel warn
ErrorLog et LogLevel peuvent être ajustés pour votre système en cas de besoin.
3. Ajoutez le segment de code ci-après à la suite de la dernière ligne de code indiquée ci-dessous. Il permet la
mise en cache des données d'ESET LiveGuard Advanced sur le proxy :
AcceptFilter https none
AcceptFilter http none
EnableSendfile Off
EnableMMAP off
<VirtualHost *:3128>
ProxyRequests On
</VirtualHost>
<VirtualHost *:3128>
ServerName r.edtd.eset.com
<If "%{REQUEST_METHOD} == 'CONNECT'">
Require all denied
</If>
ProxyRequests Off
CacheEnable disk /
SSLProxyEngine On
RequestHeader set Front-End-Https "On"
ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=10
0 smax=10
ProxyPassReverse / http://r.edtd.eset.com/ keepalive=On
</VirtualHost>
17
4. Enregistrez le fichier de configuration, puis redémarrez le service proxy.
Achat du service
Utilisateurs MSP
Vous pouvez acheter une licence ESET LiveGuard Advanced par le biais du programme MSP ESET.
ESET MSP Administrator version 1 n’est pas pris en charge.
Si vous utilisez ESET MSP Administrator, vérifiez que vous utilisez la version 2 (disponible à l'adresse
msp.eset.com). ESET MSP Administrator version 1 était disponible à l'adresse ema.eset.com. L’adresse
effectue maintenant une redirection vers ESET MSP Administrator 2. La version 1 ne prend pas en charge
ESET LiveGuard Advanced.
ESET Business Account utilisateurs
Achetez une licence auprès de votre revendeur et importez-la dans votre compte ESET Business Account. ESET
PROTECT synchronise la licence importée et est prêt à l’emploi.
ESET Cloud Office Security utilisateurs
Toutes les licences groupées ESET Cloud Office Security comprennent la fonctionnalité ESET LiveGuard Advanced.
Vous pouvez voir le libellé ESET LiveGuard en regard de l’ID de licence. Si vous disposez de la licence ESET Cloud
Office Security autonome, ESET en effectue automatiquement la migration.
Essayer gratuitement ESET LiveGuard Advanced dans ESET PROTECT Cloud
Les utilisateurs ESET PROTECT Cloud peuvent demander une licence d’essai gratuite de 30 jours pour ESET
LiveGuard Advanced dans la console cloud.
Nous contacter
Trouvez votre partenaire ESET pour toute question concernant les licences et l'achat du service. Vous pouvez
contacter l'assistance ESET par e-mail, par messagerie instantanée ou par téléphone. Pour plus d'informations,
consultez la page d’informations de contact.
Activation d'ESET LiveGuard Advanced
ESET Cloud Office Security utilisateurs
ESET LiveGuard Advanced est actif si vous utilisez une licence ESET Cloud Office Security éligible. Il n'est pas
nécessaire de l'activer séparément. Le libellé ESET LiveGuard Advanced se trouve en regard de l'ID de licence dans
la gestion des licences ESET Cloud Office Security.
18
Utilisateurs d'ESET PROTECT et d'ESET PROTECT Cloud
Selon votre environnement, il existe différentes méthodes pour déployer ESET LiveGuard Advanced dans le
réseau. Suivez les étapes ci-dessous :
I. Obtenir la licence ESET LiveGuard Advanced
• ESET Business Account utilisateurs : Obtenez une licence ESET LiveGuard Advanced. Vous recevrez alors la
clé de licence par e-mail.
• ESET MSP Administrator utilisateurs : Ajoutez une licence ESET LiveGuard Advanced à votre client dans
ESET MSP Administrator.
II. Importer la licence
• ESET Business Account utilisateurs : Synchronisez ESET PROTECT avec votre compte EBA.
• ESET MSP Administrator utilisateurs : Synchronisez ESET PROTECT avec votre compte ESET MSP
Administrator. (Les licences cloud des utilisateurs d'ESET PROTECT Cloud sont synchronisées
automatiquement.)
Seule une licence provenant d'EBA ou d'ESET MSP Administrator peut activer ESET LiveGuard Advanced.
III. Installer un produit de sécurité ESET
Sélectionnez votre cas, puis suivez les étapes suivantes :
Un produit de sécurité ESET compatible est installé et activé sur mes appareils.
1. Exécutez la tâche d'activation avec la licence ESET LiveGuard Advanced sélectionnée.
2. Créez des politiques et affectez-les pour activer ESET LiveGuard Advanced.
Seul ESET Management Agent est installé sur mes appareils.
Suivez les étapes dans Installation et activation à distance.
J'utilise ESET PROTECT Cloud et aucun produit ESET n'installé sur mes appareils.
1.Suivez le guide de déploiement local pour installer l’agent et le produit de sécurité sur vos endpoints.
2.Exécutez la tâche d'activation avec la licence ESET LiveGuard Advanced sélectionnée.
3.Créez des politiques et affectez-les pour activer ESET LiveGuard Advanced.
J'utilise ESET PROTECT et aucun produit ESET n'installé sur mes appareils.
1.Suivez le guide de déploiement local pour installer l’agent et les produits de sécurité sur vos endpoints.
2.Exécutez la tâche d'activation avec la licence ESET LiveGuard Advanced sélectionnée.
19
3.Créez des politiques et affectez-les pour activer ESET LiveGuard Advanced.
ESET Security Management Center utilisateurs
Activation d'ESET LiveGuard Advanced à l’aide d'EBA dans ESMC
Pour pouvoir activer le service, vous devez au préalable acheter une licence ESET LiveGuard Advanced. Vous
recevrez alors la clé de licence par e-mail.
Pour activer votre produit de sécurité ESET, procédez comme suit :
1.Importez votre licence ESET LiveGuard Advanced dans EBA.
2.Synchronisez ESMC avec votre compte EBA.
3.Exécutez la tâche d'activation avec la licence ESET LiveGuard Advanced sélectionnée.
Une fois le produit activé, créez des politiques et affectez-les pour activer ESET LiveGuard Advanced.
Obtention et activation d'ESET LiveGuard Advanced à l’aide d'ESET MSP Administrator dans
ESMC.
Pour obtenir la licence et activer les produits de sécurité ESET, procédure comme suit :
1.Ajoutez une licence ESET LiveGuard Advanced à votre client dans ESET MSP Administrator.
2.Synchronisez ESMC avec votre compte ESET MSP Administrator.
3.Exécutez la tâche d'activation ESMC avec la licence ESET LiveGuard Advanced sélectionnée.
Une fois le produit activé, créez des politiques et affectez-les pour activer ESET LiveGuard Advanced.
Importation des licences dans EBA
Conditions préalables requises :
• Licence d'ESET LiveGuard Advanced
• Compte d'utilisateur dans ESET Business Account.
Remarque
Vous pouvez importer une licence ESET LiveGuard Advanced à l'aide des licences suivantes :
• Licence groupée ESET LiveGuard Advanced
• Offre groupée de plusieurs licences, par exemple ESET PROTECT Advanced
20
Importer
1. Connectez-vous à votre compte EBA.
2. Accédez à Licences > Ajouter une licence > Clé de licence.
3.Saisissez votre clé de licence ESET LiveGuard Advanced, puis cliquez sur Ajouter une licence pour
importer la licence.
21
4. Acceptez les termes du Contrat de Licence de l’Utilisateur Final si vous êtes d'accord avec derniers. Si
l'importation s'est effectuée correctement, un nouvel élément de licence apparaît dans la liste des licences.
La licence ESET LiveGuard Advanced peut être groupée avec d’autres produits ou appareils ESET LiveGuard
Advanced pour divers produits ESET :
• ESET LiveGuard Advanced pour ESET Endpoint Security
• ESET LiveGuard Advanced pour ESET Server Security
• ESET LiveGuard Advanced pour ESET Mail Security
Offre groupée ESET LiveGuard Advanced :
22
Offre groupée de plusieurs licences :
Synchronisation EBA avec ESMC
Conditions préalables requises :
• Licence d'ESET LiveGuard Advanced importée dans le compte EBA
• ESMC 7.x déployé
• Connexion opérationnelle entre ESMC Server et le portail EBA
Remarque
Si vous avez déjà importé votre compte EBA dans la console web ESMC Web Console, cliquez sur
Synchroniser dans la section Gestion des licences pour forcer la mise à jour des informations de licence
dans la console web. Il n’est pas nécessaire de refournir vos informations d’identification EBA.
Synchronisation
1.Connectez-vous à ESMC Web Console en tant qu'administrateur ou tout autre utilisateur disposant
d'autorisations suffisantes.
2.Accédez à Autres > Gestion de licences > Actions > Ajouter une licence.
23
3.Sélectionnez Connexion au compte ESET Business Account ou ESET MSP, puis saisissez vos informations
de compte EBA.
4.Cliquez sur Ajouter une licence pour ajouter toutes les licences de votre compte à ESMC.
24
Si vous importez la clé de licence d'ESET LiveGuard Advanced directement dans la console Web, l'erreur
suivante s'affiche :
« Échec de l'ajout de la licence par une clé de licence : la licence est émise pour un produit ne pouvant pas
être géré par ESET Security Management Center. Entrez une autre licence. »
Importez toujours la licence d'ESET LiveGuard Advanced via EBA ou ESET MSP Administrator.
Synchronisation EBA avec ESET PROTECT
Utilisez-vous ESET Security Management Center ?
Conditions préalables requises :
• Licence d'ESET LiveGuard Advanced importée dans le compte EBA
• ESET PROTECT déployé
• Connexion opérationnelle entre ESET PROTECT Server et le portail EBA
25
Remarque
Si vous avez déjà importé votre compte EBA dans la console web ESET PROTECT, cliquez sur Synchroniser
dans la section Gestion des licences pour forcer la mise à jour des informations de licence dans la console
web. Il n’est pas nécessaire de refournir vos informations d’identification EBA.
Synchronisation
1.Connectez-vous à ESET PROTECT Web Console en tant qu'administrateur ou tout autre utilisateur
disposant d'autorisations suffisantes.
2.Accédez à Autres > Gestion de licences > Actions > Ajouter une licence.
3.Sélectionnez Connexion au compte ESET Business Account ou ESET MSP, puis saisissez vos informations
de compte EBA.
4.Cliquez sur Ajouter une licence pour ajouter toutes les licences de votre compte à ESET PROTECT.
26
Si vous importez la clé de licence d'ESET LiveGuard Advanced directement dans la console Web, l'erreur
suivante s'affiche :
« Échec de l'ajout de la licence par une clé de licence : la licence est émise pour un produit ne pouvant pas
être géré par ESET Security Management Center. Entrez une autre licence. »
Importez toujours la licence d'ESET LiveGuard Advanced via EBA ou ESET MSP Administrator.
Ajouter une licence dans ESET MSP Administrator
Remarque
ESET MSP Administrator fournit une licence ESET LiveGuard Advanced contenant des appareils pour :
• ESET LiveGuard Advanced pour Endpoint Security et Server Security
• ESET LiveGuard Advanced pour Mail Security
Il existe également des licences groupées pour ESET PROTECT Cloud contenant également des appareils
pour ESET LiveGuard Advanced :
• ESET PROTECT Complete
• ESET PROTECT Mail Plus
• ESET PROTECT Advanced
27
Vérification de la disponibilité du produit ESET LiveGuard Advanced
1.Connectez-vous à votre compte ESET MSP Administrator.
2.Cliquez sur Sociétés, sélectionnez le client, puis cliquez sur Détails.
3.Dans la section Produits disponibles, recherchez ESET LiveGuard Advanced ou une offre groupée
contenant ESET LiveGuard Advanced.
Acceptation des conditions d’utilisation
Avant de pouvoir ajouter la licence, vous devez accepter les conditions d’utilisation (pour ESET LiveGuard
Advanced) sur le portail ESET MSP Administrator. Si cette option n’est pas disponible, les conditions
d’utilisation doivent être acceptées par votre société mère, MSP Manager ou un utilisateur disposant d’une
autorisation en écriture pour votre société racine.
Si votre client ne dispose pas de l’une des offres groupées éligibles dans la section Produits disponibles, vous
28
devez la faire ajouter à votre compte par votre distributeur (ou le responsable MSP).
Ajout du produit ESET LiveGuard Advanced
Si le produit ESET LiveGuard Advanced n’est pas disponible dans la section Détails du client, demandez au
distributeur ou au responsable MSP de l'ajouter à votre compte ESET MSP Administrator.
Pour ajouter un produit à la section Produits disponibles depuis un compte de distributeur, procédez comme
suit :
1.Connectez-vous à votre Compte ESET MSP Administrator.
2.Cliquez sur Sociétés, sélectionnez un client MSP, puis Détails.
3.Cliquez sur Modifier.
4.Cliquez sur Suivant, puis dans l'écran Sélectionner des produits, sélectionnez ESET LiveGuard Advanced
ou une autre licence éligible.
5.Cliquez sur Suivant.
29
6.Passez en revue les modifications dans le résumé,, puis cliquez sur Enregistrer.
Ajout de la ESET LiveGuard Advanced à votre client MSP
Si le client dispose de la licence ESET LiveGuard Advanced, vous pouvez l'ajouter au client.
1.Connectez-vous à votre Compte ESET MSP Administrator.
2.Cliquez sur Sociétés, sélectionnez un client MSP, puis Licences.
3.Cliquez sur Ajouter une licence (ou Demander une licence).
4.Activez la case à cocher en regard de ESET LiveGuard Advanced et définissez le nombre d'unités.
5.Cliquez sur Ajouter.
30
ESET LiveGuard Advanced détails de la licence
La licence ESET LiveGuard Advanced est une licence groupée. Vous pouvez consulter les détails sur votre compte
ESET MSP Administrator.
1.Connectez-vous à votre Compte ESET MSP Administrator.
2.Cliquez sur Sociétés, sélectionnez un client MSP, puis Licences.
3.Cliquez sur l'icône
31
située en regard de la licence ESET LiveGuard Advanced pour la développer.
Une fois la licence ESET LiveGuard Advanced ajoutée, synchronisez la licence avec ESMC ou ESET PROTECT.
Unités et sous-unités
Le nombre d'unités est le nombre d'appareils commandés et facturés de la licence (offre groupée). Chaque offre
groupée de licences peut avoir un ratio différent entre les unités et les sous-unités pour chaque produit inclus.
Exemple de distribution de sous-unités
Licence groupée ESET PROTECT Complete
32
Synchronisation ESET MSP Administrator avec ESMC
Conditions préalables requises :
• une licence ESET LiveGuard Advanced doit avoir été ajoutée dans votre compte ESET MSP Administrator
• ESMC 7.x déployé
• une connexion active doit être établie entre ESMC Server et le portail ESET MSP Administrator
Remarque
Si vous avez déjà importé votre compte ESET MSP Administrator dans la console web ESMC Web Console,
cliquez sur Synchroniser dans la section Gestion des licences pour forcer la mise à jour des informations de
licence dans la console web. Il n’est pas nécessaire de refournir vos informations d’identification ESET MSP
Administrator.
Synchronisation
1.Connectez-vous à ESMC Web Console en tant qu'administrateur ou tout autre utilisateur disposant
d'autorisations suffisantes.
2.Accédez à Autres > Gestion de licences > Actions > Ajouter une licence.
33
3.Sélectionnez Connexion au compte ESET Business Account ou ESET MSP, puis saisissez vos informations
de compte ESET MSP Administrator.
4.Cliquez sur Ajouter une licence pour ajouter toutes les licences de votre compte à ESMC.
Si vous importez la clé de licence d'ESET LiveGuard Advanced directement dans la console Web, l'erreur
suivante s'affiche :
« Échec de l'ajout de la licence par une clé de licence : la licence est émise pour un produit ne pouvant pas
être géré par ESET Security Management Center. Entrez une autre licence. »
Importez toujours la licence d'ESET LiveGuard Advanced via EBA ou ESET MSP Administrator.
Synchronisation ESET MSP Administrator avec ESET
34
PROTECT
Utilisez-vous ESET Security Management Center ?
Conditions préalables requises :
• une licence ESET LiveGuard Advanced se trouve dans votre compte ESET MSP Administrator
• ESET PROTECT déployé
• une connexion active doit être établie entre ESET PROTECT Server et le portail ESET MSP Administrator
Remarque
Si vous avez déjà importé votre compte EBA dans la console web ESET PROTECT, cliquez sur Synchroniser
dans la section Gestion des licences pour forcer la mise à jour des informations de licence dans la console
web. Il n’est pas nécessaire de refournir vos informations d’identification ESET MSP Administrator.
Synchronisation
1.Connectez-vous à ESET PROTECT Web Console en tant qu'administrateur ou tout autre utilisateur
disposant d'autorisations suffisantes.
2.Cliquez sur Autres > Gestion de licences > Actions > Ajouter une licence.
3.Sélectionnez Connexion au compte ESET Business Account ou ESET MSP, puis saisissez vos informations
de compte ESET MSP Administrator.
35
4.Cliquez sur Ajouter une licence pour ajouter toutes les licences de votre compte à ESET PROTECT.
Si vous importez la clé de licence d'ESET LiveGuard Advanced directement dans la console Web, l'erreur
suivante s'affiche :
« Échec de l'ajout de la licence par une clé de licence : la licence est émise pour un produit ne pouvant pas
être géré par ESET Security Management Center. Entrez une autre licence. »
Importez toujours la licence d'ESET LiveGuard Advanced via EBA ou ESET MSP Administrator.
Activation d'un groupe d'ordinateurs
Lorsque vous activez une sélection d'ordinateurs sur ESET PROTECT ou ESET PROTECT Cloud, utilisez le processus
d'activation simplifié.
Conditions préalables requises pour les utilisateurs d'ESET Security
36
Management Center et ESET PROTECT.
• Licence d'ESET LiveGuard Advanced importée dans ESET PROTECT (ou ESMC)
• Ordinateurs clients dont la version d’ESET Management Agent n’est pas antérieure à celle du composant
serveur
• Produit de sécurité ESET activé avec prise en charge d' ESET LiveGuard Advanced
Conditions préalables requises pour les utilisateurs d'ESET PROTECT Cloud
• Licence d'ESET LiveGuard Advanced importée dans EBA.
• ESET Management Agent est la dernière version sur tous les ordinateurs clients.
• Les produits de sécurité ESET sont installés et activés sur les ordinateurs clients (avec la prise en charge
d'ESET LiveGuard Advanced)).
Tâche d'activation
1.Connectez-vous à Web Console.
2.Cliquez sur Tâches > Nouveau > Tâche client.
J’utilise ESMC
37
J’utilise ESET PROTECT Cloud
38
3.Saisissez un nom pour la tâche d'activation, puis sélectionnez Activation du produit comme type de
tâche.
4.Cliquez sur Continuer.
5.Cliquez sur la licence pour accéder à la liste des licences, puis sélectionnez la licence ESET LiveGuard
Advanced.
6.La licence ESET LiveGuard Advanced fait partie d'une licence groupée. Développez la licence groupée et
sélectionnez la licence de produit à utiliser.
7.Cliquez sur OK.
39
8.Cliquez sur Synthèse pour obtenir une vue d'ensemble des paramètres de la tâche.
9.Si la tâche est correcte, cliquez sur Terminer.
10. Une fois la tâche créée, vous devez la planifier. Cliquez sur Créer un déclencheur dans la fenêtre
contextuelle.
11. Saisissez une description du déclencheur, puis cliquez sur Continuer.
12. Cliquez sur Ajouter des ordinateurs ou Ajouter des groupes pour ajouter des machines à activer.
Vérifiez que les clients sélectionnés sont dotés de produits compatibles avec la licence sélectionnée à
l'étape 6. Cliquez sur OK, puis sur Continuer.
13. Vous pouvez sélectionner un type de déclencheur. ESET recommande d’utiliser l’option par défaut :
Dès que possible, qui exécute la tâche immédiatement après le déclencheur. Si vous sélectionnez un autre
paramètre, l'option Paramètres avancés - Limitation devient disponible.
14. Cliquez sur Terminer pour planifier la tâche d'activation.
40
Une fois l'activation terminée, la licence devient visible dans les détails de l'ordinateur. Dans la console web,
cliquez sur Ordinateurs, sélectionnez un ordinateur, puis cliquez sur Afficher les détails > Détails > Produits et
licences.
Activation des ordinateurs sélectionnés
Conditions préalables requises pour les utilisateurs d'ESET PROTECT et
ESET PROTECT Cloud.
• Licence ESET LiveGuard Advanced ou licence groupée importée dans ESET PROTECT
• Ordinateurs clients dont la version d’ESET Management Agent n’est pas antérieure à celle du composant
serveur
• Produit de sécurité ESET activé avec prise en charge d' ESET LiveGuard Advanced
Conditions préalables requises pour les utilisateurs d'ESET PROTECT Cloud
• Licence ESET LiveGuard Advanced ou licence groupée importée dans EBA.
• ESET Management Agent est la dernière version sur tous les ordinateurs clients.
• Les produits de sécurité ESET sont installés et activés sur les ordinateurs clients (avec la prise en charge
d'ESET LiveGuard Advanced)).
• N'utilisez jamais de licence d'ESET LiveGuard Advanced importée dans une console de gestion à distance
à l'aide d'une clé de licence. Si vous possédez une licence de ce type, supprimez-la et réimportez-la à l'aide
d'EBA ou ESET MSP Administrator.
• Vérifiez toujours qu'un produit pris en charge et activé se trouve sur l'ordinateur cible avant d'utiliser
une licence d'ESET LiveGuard Advanced.
Activation d'ESET LiveGuard Advanced dans ESET PROTECT et ESET
PROTECT Cloud
ESET PROTECT et ESET PROTECT Cloud proposent une activation simplifiée. L'activation de la version précédente
de la console de gestion, ESMC, est décrite ci-dessous.
1.Connectez-vous à Web Console.
41
2.Cliquez sur l’icône de menu Ordinateurs.
3.Cochez les cases en regard des ordinateurs à activer, puis cliquez sur Actions > Activer ESET LiveGuard.
4.Si vous devez modifier le nom de la politique, cliquez sur la politique de configuration prédéfinie dans la
boîte de dialogue qui permet d'activer ESET LiveGuard Advanced sur l’ordinateur sélectionné.
5.Vérifiez que la licence présélectionnée sous Licence est correcte (si vous gérez plusieurs utilisateurs,
utilisez différentes licences groupées par exemple), puis cliquez sur la licence pour la modifier en cas de
besoin.
6.Cliquez sur Activer ESET LiveGuard pour exécuter la tâche.
42
La console de gestion envoie la tâche d’activation et la politique à l’ordinateur sélectionné. ESET LiveGuard
Advanced est activé après la prochaine connexion d’ESET Management Agent, généralement après quelques
minutes.
Installation et activation à distance
La tâche d'installation d'ESET PROTECT ou d'ESET PROTECT Cloud peut installer le produit de sécurité ESET,
l'activer et activer ESET LiveGuard Advanced dans une seule action.
1.Connectez-vous à la console web ESET PROTECT (ou ESET PROTECT Cloud).
2.Cliquez sur Tâches > Nouveau > Tâche client.
3.Tapez le nom de la tâche et sélectionnez Installer un logiciel dans le menu déroulant Tâche.
4.Cliquez sur Continuer.
5.Cliquez sur <Choose package> et sélectionnez le produit ESET adéquat.
6.Sélectionnez une licence ESET pour activer le produit.
7.Cochez la case en regard de l'option Activer ESET LiveGuard.
8.Sélectionnez la licence ESET LiveGuard Advanced adéquate.
43
9.Cochez la case en regard de J’accepte si vous êtes d’accord avec les termes du contrat de licence de
l'utilisateur final et la politique de confidentialité du produit de sécurité.
10. Cliquez sur Terminer.
11. Cliquez sur Créer un déclencheur.
12. Tapez le nom du déclencheur, puis cliquez sur Continuer.
13. Cliquez sur Ajouter des cibles et sélectionnez les ordinateurs ou les groupes appropriés. Cliquez sur OK.
14. Cliquez sur Terminer pour exécuter immédiatement la tâche d'installation.
44
Activation et configuration du service ESET LiveGuard
Advanced
Conditions préalables requises pour l’activation
• Un compte ESET Business Account ou ESET MSP Administrator est associé à une console de gestion prise
en charge
• Une console de gestion prise en charge est installée ou déployée
• Produits de sécurité ESET compatibles installés
• Licence ESET LiveGuard Advanced valide
• Les produits de sécurité sont activés avec la licence d'ESET LiveGuard Advanced
• ESET LiveGuard Advanced est activé dans les politiques pour les produits de sécurité compatibles
Activation d'ESET LiveGuard Advanced sur votre produit de sécurité
• ESET Endpoint Security
• Fonctionnement des politiques et création d’une politique
Activation d'ESET LiveGuard Advanced sur ESET Cloud Office Security
Consultez l'aide en ligne ESET Cloud Office Security ou le guide étape par étape.
Configuration du produit de sécurité ESET
ESET Cloud Office Security utilisateurs
Pour utiliser ESET LiveGuard Advanced dans ESET Cloud Office Security, créez une politique ou configurez une
politique existante. Les utilisateurs ou les groupes affectés à cette politique auront une protection
supplémentaire. Pour plus d’informations, consultez Paramètres de protection d'ESET LiveGuard Advanced.
Configuration de la politique d'ESET Cloud Office Security
1.Connectez-vous à ESET Cloud Office Security.
2.Cliquez sur Politiques, sélectionnez une politique, puis cliquez sur Modifier.
3.Cliquez sur Paramètres.
45
4.Consultez la section ESET LiveGuard.
Utilisateurs de la console de gestion ESET
Pour activer le service ESET LiveGuard Advanced sur une machine cliente, un utilisateur doit remplir les conditions
requises et créer une politique pour configurer le service.
Dans ESET PROTECT / ESMC / ESET PROTECT Cloud Web Console, créez une politique ou modifiez une politique
existante et affectez-la aux machines sur lesquelles vous souhaitez utiliser ESET LiveGuard Advanced.
Remarque
Si vous activez ESET LiveGuard Advanced sur une machine sur laquelle le service n'est pas activé par la
licence, le paramètre ne sera pas appliqué. Les autres paramètres de la politique s'appliqueront.
Paramètres d'ESET LiveGuard Advanced
1.Connectez-vous à le console web de la console de gestion ESET et créez ou modifiez une politique.
2.Dans la section Paramètres, sélectionnez votre produit et accédez à :
46
Politique
Paramètre
ESET Endpoint pour Windows.
Moteur de détection > Protection dans le cloud
ESET Mail Security pour Microsoft Exchange (V6+) Ordinateur > Protection dans le cloud
ESET Server Security pour Microsoft Server (V6+) Moteur de détection > Protection dans le cloud
ESET Endpoint for Linux (V7+)
Moteur de détection > Protection dans le cloud
ESET Server/File Security for Linux (V7+)
Moteur de détection > Protection dans le cloud
3.Pour activer ESET LiveGuard Advanced, vous devez activer les trois paramètres dans la section Protection
dans le cloud.
Section : Protection dans le cloud
Description
Activer le système de réputation ESET LiveGrid®
(recommandé)
Utilisation des informations de réputation d'ESET
LiveGrid®.
Activer le système de commentaires ESET LiveGrid®
Soumission des fichiers au cloud ESET.
Activer ESET LiveGuard Advanced
Soumission des fichiers pour analyse dans ESET
LiveGuard Advanced.
4.Vous pouvez préciser les fichiers à envoyer au cloud ESET lorsqu’ils sont détectés ou identifiés comme
étant suspects.
Section : Soumission des échantillons
Description et recommandation
Soumission manuelle des échantillons
Permet à l'option de soumettre manuellement des échantillons à ESET
(produits Windows uniquement).
Soumission automatique des
échantillons infectés
Sélectionnez les types d'échantillons qui sont automatiquement
soumis à ESET pour analyse lors de leur détection par le moteur de
détection.
Exécutables, archives, scripts, autre
Sélectionnez les types de fichiers qui sont automatiquement soumis au
cloud ESET pour analyse si le moteur de détection local ne les détecte
pas. Il est recommandé d’autoriser la soumission de tous les types de
fichiers.
E-mail indésirable possible
Soumission des e-mails indésirables possibles. (ESET Endpoint pour
Windows uniquement)
Supprimer les exécutables, les archives, Action après analyse.
les scripts, les autres échantillons et le
courrier indésirable possible des
serveurs d'ESET
Documents
Soumission des documents.
Supprimer les documents des serveurs
d'ESET
Action après analyse.
47
Section : Soumission des échantillons
Description et recommandation
Exclusions
Liste des extensions de fichier qui exclut des fichiers de la soumission.
Les extensions sont ajouté au format suivant : *.ext? où :
* correspond au nom du fichier
ext correspond à l'extension du type de fichier
? correspond à un caractère facultatif. Ceci est facultatif.
Taille maximale des échantillons (Mo)
Taille maximale d'un fichier soumis.
5.Configurez le seuil de détection et les actions à entreprendre lorsqu'un fichier a un résultat positif audessus du seuil.
Section : ESET LiveGuard
Advanced
Description et recommandation
Seuil de détection
État du résultat de l'analyse qui déclenche l'Action après détection.
Action après détection
Action exécutée par le produit de sécurité ESET si le résultat du fichier analysé
est égal ou supérieur au seuil de détection.
Durée d'attente maximale
pour l'analyse (min)
Durée d'attente maximale pour le résultat de l'analyse avant la remise de l'e-mail
ou de la disponibilité du fichier téléchargé.
Protection proactive
Paramètre de protection proactive. Vous pouvez autoriser l’exécution des
fichiers dont l’analyse n'a pas encore été terminée.
6.Finalisez la politique en sélectionnant des ordinateurs ou des groupes auxquels l'affecter. Les nouveaux
paramètres sont appliqués après la prochaine réplication entre le serveur et les Agents (généralement,
quelques minutes).
Gestion des politiques
Les politiques permettent d'appliquer aux machines clientes certains paramètres ou tous les paramètres clients à
distance depuis une console de gestion. Chaque politique est spécifique à un produit professionnel ESET. Vous
pouvez l'appliquer à des groupes ou des machines clientes individuelles. Lorsque plusieurs politiques sont
appliquées à une seule machine, celles-ci sont combinées.
ESET Management Agent doit être installé et configuré pour se connecter à la console de gestion afin que les
politiques soient prises en compte sur les clients.
Créer une politique
1.Connectez-vous à Web Console.
2.Cliquez sur Politiques > Nouvelle politique.
48
J’utilise ESET Security Management Center
49
J’utilise ESET PROTECT Cloud
50
3.Saisissez le nom et la description d'une politique, puis cliquez sur Continuer.
4.Sélectionnez le produit de sécurité ESET applicable pour la politique, puis cliquez sur Continuer.
5.Sélectionnez les ordinateurs ou les groupes d'ordinateurs applicables auxquels vous souhaitez affecter la
politique, puis cliquez sur Continuer.
6.La section Synthèse donne une vue d'ensemble des paramètres de la politique. Cliquez sur Terminer
pour appliquer la politique.
Configuration de la politique d'ESET LiveGuard Advanced
Fonctionnement des politiques
Dans l'assistant des politiques, sélectionnez le produit ESET pour lequel vous souhaitez créer une politique.
Chaque (ligne de) paramètre contient :
• État
51
• Titre
• Une limite de version (facultative)
• Une valeur de paramètre
• Une info-bulle (tous les paramètres n'ont pas une info-bulle)
L'état d'un paramètre est affiché si ce dernier est défini dans cette politique et s'il est forcé par rapport à d'autres
politiques. Voici des exemples d'indicateur d'état :
: paramètre inactif
: paramètre activé
: paramètre forcé
Si d'autres politiques sont appliquées à une seule machine ou si leurs paramètres sont hérités, les politiques sont
fusionnées (selon leur ordre). Lisez des informations supplémentaires sur les politiques dans la documentation
d'ESET PROTECT.
Utilisation d'ESET LiveGuard Advanced
Processus d'ESET LiveGuard Advanced pour ESET Mail Security
Chaque e-mail reçu et détecté par ESET Mail Security est scanné et remis. Si l'e-mail est évalué comme suspect, il
est conservé pendant une période prédéfinie puis envoyé pour analyse utilisant les couches de détection.
ESET LiveGuard Advanced analyse les fichiers et fournit les résultats au produit de sécurité ESET. Le produit
effectue un nettoyage local en fonction des résultats de l’analyse et des paramètres de politique de chaque
machine.
Reportez-vous au processus d'ESET Mail Security détaillé ci-dessous.
52
Processus d'ESET LiveGuard Advanced pour ESET Endpoint Security / ESET
Server Security
Les fichiers nouveaux ou entrants des formats sélectionnés détectés par ESET Endpoint Security/ESET Server
Security sont analysés et ouverts. Si le fichier est évalué comme suspect, il est envoyé pour analyse. Cela fait
partie de la protection proactive. Vous pouvez configurer la période d’attente pendant laquelle le fichier est
bloqué et l’utilisateur doit attendre le résultat de l’analyse. Le cloud ESET stocke les résultats de l'analyse dans
une base de données dans le cloud. Le produit de sécurité ESET effectue un nettoyage local en fonction des
résultats de l'analyse et des paramètres de politique de chaque machine (le processus est immédiatement arrêté
ou à la prochaine exécution).
Reportez-vous au processus détaillé ci-dessous pour ESET Endpoint Security/ESET Server Security.
53
Processus d'ESET LiveGuard Advanced pour ESET Cloud Office Security
Chaque fichier détecté par l'ESET Cloud Office Security est scanné et ouvert. Si l’analyseur estime que le fichier est
suspect, il l’envoie pour analyse. Le cloud ESET stocke les résultats de l’analyse dans une base de données dans le
cloud. ESET Cloud Office Security effectue des actions de nettoyage en fonction des résultats de l’analyse et des
paramètres de la politique de sécurité. Pour plus d’informations sur les politiques d'ESET Cloud Office Security,
consultez Paramètres de protection d'ESET LiveGuard Advanced.
ESET Mail Security
Chaque e-mail détecté par ESET Mail Security avec le service ESET LiveGuard Advanced activé suit le processus de
soumission présenté ci-dessous. Les paramètres des politiques définissent les éléments suivants :
• durée de conservation (uniquement pour la protection des boîtes aux lettres) ;
• niveaux de sécurité spécifiques ;
• action après détection (uniquement pour la protection du serveur hôte).
ESET Mail Security protège le serveur hôte et aussi les boîtes aux lettres.
ESET Mail Security avec ESET LiveGuard Advanced protège les boîtes aux lettres comme décrit ci-après. La
protection de la machine hôte est la même que celle décrite pour ESET Server Security.
54
L'analyse d'un e-mail suit un processus en quatre étapes :
1. Scan de l'e-mail
L'e-mail est téléchargé depuis Internet ou une autre source non approuvée. Le produit de sécurité ESET traite et
effectue un scan de l'e-mail.
2. Analyse et remise de l'e-mail
Si votre produit de sécurité de messagerie marque un e-mail pour analyse, celui-ci est conservé pendant une
période prédéfinie. Pendant la conservation de l'e-mail, ESET LiveGuard Advanced analyse la pièce jointe. Si le
55
résultat de l'analyse indique que l'e-mail ne pose aucun problème, ce dernier est immédiatement remis. Dans le
cas contraire, une action de nettoyage est exécutée. Si le résultat de l'analyse ne parvient pas pendant la période
d'attente prédéfinie, le produit de sécurité remet l'e-mail au destinataire. Lorsque le résultat devient disponible,
tous les ordinateurs bloquent en 2 minutes cette pièce jointe.
• Les e-mails conservés sont répertoriés dans ESET Mail Security. Accédez à ESET Mail Security > Outils >
ESET LiveGuard Advanced pour consulter la liste des e-mails conservés.
• Le délai d'attente maximal est défini dans la politique d'ESET Mail Security, dans Ordinateur > Protection
dans le cloud > ESET LiveGuard > Délai d'attente maximal pour les résultats de l'analyse.
56
3. Partage des résultats de l'analyse
ESET LiveGuard Advanced utilise quatre couches de détection distinctes et les résultats de l'analyse sont
enregistrés dans une base de données dans le cloud ESET. Cette base de données est synchronisée toutes les
minutes avec ESET PROTECT. Toutes les machines avec ESET LiveGuard Advanced et un produit de sécurité activés
sont également synchronisées avec le cloud ESET toutes les 2 minutes.
57
4. Évaluation et nettoyage
Les résultats de l'analyse sont également envoyés au produit de sécurité ESET et l'e-mail fait l'objet d'un nouveau
scan. Si l'e-mail est nettoyé, il est remis (à moins que la période de conservation ne soit déjà dépassée).
Les configurations pour les actions de nettoyage et la détection sont définies dans la catégorie Serveur de la
politique d'ESET Mail Security.
ESET Endpoint Security et ESET Server Security
Chaque fichier détecté par ESET LiveGuard Advanced par le biais d'ESET Endpoint Security ou ESET Server Security
suit le processus de soumission présenté ci-dessous. Utilisez les paramètres de politique pour définir les niveaux
de sécurité et les actions de nettoyage pour les groupes ou les machines individuelles.
58
L'analyse d'un fichier suit un processus en quatre étapes :
1. Scan du fichier
Le fichier est téléchargé depuis Internet, copié sur l'ordinateur ou créé. Le produit de sécurité ESET traite et
effectue un scan du fichier.
59
2. Analyse du fichier
Si le produit ESET décide que le fichier doit être analysé, il l’envoie pour analyse. Quatre couches de détection
distinctes traitent le fichier et donnent un résultat. Les résultats sont signalés à ESET PROTECT. Si aucune analyse
n'est nécessaire, le processus se termine.
3. Partage des résultats de l'analyse
Les résultats de l'analyse sont enregistrés dans une base de données dans le cloud ESET. La base de données est
synchronisée toutes les deux minutes avec ESET PROTECT. Toutes les machines sur lesquelles ESET LiveGuard
Advanced est actif ont des informations à jour du cloud ESET.
60
4. Évaluation de la politique locale
Les résultats de l'analyse sont également envoyés au produit de sécurité ESET. Ce dernier décide de
n'entreprendre aucune action, de nettoyer le fichier ou de le supprimer selon les paramètres de nettoyage définis
dans la politique de sécurité.
• Le seuil de détection est défini dans la politique d'ESET Endpoint Security/ESET Server Security, dans
Moteur de détection > Protection dans le cloud > ESET LiveGuard Advanced > Seuil de détection.
• L'action entreprise après la détection d'une menace est définie dans la politique d'ESET Endpoint
Security/ESET Server Security, dans Moteur de détection > Protection dans le cloud > ESET LiveGuard
Advanced > Action après détection.
61
Exemple de notification
Si ESET LiveGuard Advanced évalue un fichier comme n'étant pas nettoyé, ESET Endpoint Security exécute
l’action de nettoyage. Après la suppression du fichier, le système affiche la notification suivante pour un
utilisateur :
ESET Cloud Office Security
ESET Cloud Office Security utilise ESET LiveGuard Advanced pour analyser les nouvelles menaces. Une console de
gestion ESET (ESET PROTECT) n'est pas nécessaire. Des informations comme la liste de tous les fichiers soumis et
leurs résultats ne sont présentes que dans ESET Cloud Office Security.
62
• ESET Cloud Office Security ne fait pas de rapport à une console de gestion ESET, même si celle-ci est
connectée au même compte de licence.
• ESET Cloud Office Security partage des informations sur les détections avec des endpoints connectés au
même compte de licence.
• ESET Cloud Office Security peut soumettre des pièces jointes d'emails et des échantillons suspects
partagés dans Microsoft SharePoint, Teams et d'autres parties d'Office 365.
L’analyse d’un fichier d'ESET Cloud Office Security suit un processus en quatre étapes :
1. Scan du fichier
Un nouveau fichier est détecté dans le stockage sur le cloud. L’analyseur ESET traite et analyse le fichier.
2. Analyse du fichier
Si l'analyseur ESET décide que le fichier doit être analysé, il l’envoie pour analyse. Quatre couches de détection
distinctes traitent le fichier et donnent un résultat. Ce résultat est signalé à ESET Cloud Office Security. Si aucune
analyse n'est nécessaire, le processus se termine.
3. Partage des résultats de l'analyse
Les résultats de l'analyse sont enregistrés dans une base de données dans le cloud ESET. Les résultats sont
immédiatement communiqués à tous les ordinateurs activés à l'aide du même compte de licence et où ESET
LiveGuard Advanced est actif.
4. La politique d'ESET Cloud Office Security décide de l’action
Les résultats de l’analyse sont renvoyés à ESET Cloud Office Security. Ce dernier décide de n'entreprendre aucune
action, de nettoyer le fichier ou de le supprimer selon les paramètres de nettoyage définis dans la politique. Pour
plus d’informations, consultez Paramètres de protection d'ESET LiveGuard Advanced.
63
Protection proactive
La protection proactive détecte les fichiers à partir des sources suivantes :
• Fichiers téléchargés à l’aide d’un navigateur web pris en charge
• Fichiers téléchargés à partir d’un client de messagerie
• Fichiers extraits d’une archive non chiffrée ou chiffrée à l’aide de l’un des utilitaires d’archivage pris en
charge.
• Fichiers exécutés et ouverts situés sur un appareil amovible
Si un fichier est suspect, la protection proactive bloque son exécution jusqu’à ce que les couches de détection
terminent l’analyse.
Applications et appareils pris en charge
Cette fonction n’est disponible que pour les produits et les appareils s’exécutant sous :
• Windows : tous les produits ESET Endpoint pris en charge, ESET Server Security 7.2 et versions ultérieures
et ESET Mail Security 7.2 et versions ultérieures.
• Linux : tous les produits pris en charge.
Applications prises en charge sous Windows
Navigateurs Web Clients de messagerie
Utilitaires d'archivage
Appareils amovibles
Internet Explorer Microsoft Outlook
WinRAR
Clé USB
MS Edge
Mozilla Thunderbird
WinZIP
Disque dur USB
Chrome
Microsoft Mail
Décompresseur intégré de Microsoft
Explorer
CD/DVD
7zip
Disquette
Firefox
Opera
Lecteur de carte intégré
Navigateur Brave
Remarque
Les fichiers copiés à l'aide de Microsoft Explorer depuis un emplacement exclu vers un emplacement
protégé sont bloqués par la protection proactive car ESET LiveGuard Advanced reconnaît explorer.exe
comme étant un utilitaire d’archivage.
Applications prises en charge sous Linux
Navigateurs Web Clients de messagerie
Utilitaires d'archivage
Appareils amovibles
Chrome
Mozilla Thunderbird
Firefox
Evolution
Disque dur USB
Opera
Mailspring
CD/DVD
Brave Browser
KMail
Disquette
64
Non pris en charge sous Linux Clé USB
Navigateurs Web Clients de messagerie
Vivaldi
Utilitaires d'archivage
Geary
Appareils amovibles
Lecteur de carte intégré
Mutt
claws mail
Alpine
ESET Cloud Office Security utilisateurs
La protection proactive n’est pas disponible dans ESET Cloud Office Security.
Configuration d'ESET Endpoint Antivirus
Configurez les paramètres de protection proactive à l’aide d’une politique.
Dans la console web, accédez aux politiques > créez une politique ou modifier une politique existante >
sélectionnez le produit ESET cible > Moteur de détection > Protection dans le cloud > ESET LiveGuard Advanced
> Protection proactive.
• Autoriser l’exécution immédiatement : l’utilisateur peut exécuter le fichier même s’il est toujours en
cours d’analyse. Lors de la remise du résultat de l’analyse, le produit ESET répond en conséquence.
• Bloquer l’exécution jusqu’à la réception du résultat de l’analyse : l’utilisateur doit attendre la fin de
l’analyse du fichier pour l'exécuter.
Utilisation de la protection proactive
Lorsqu'un fichier suspect est détecté, votre système d'exploitation peut afficher un avertissement lors de la
première exécution du fichier. Le produit ESET affiche des informations sur le fichier en cours d’analyse. Si
l’analyse est terminée avant l’exécution du fichier pour la première fois, l’avis Fichier en analyse n'est pas affiché.
Utilisateurs Windows
Selon vos paramètres de configuration, Windows autorise ou refuse l’exécution du fichier pendant l’analyse.
65
Utilisateurs Linux
Les produits ESET Server Security sous Linux n’affichent pas l'avertissement concernant l’analyse en cours. Si vous
essayez d’exécuter un fichier verrouillé par la protection proactive :
• Le système Linux affiche des informations d'accès refusé.
• Le terminal Linux renvoie le message Operation not permitted.
ESET Endpoint Security affiche un avertissement graphique lorsque la solution est utilisée sous Linux avec une
interface graphique :
Résultats de l'analyse
Le résultat est remis dans les temps
Dans la configuration, vous pouvez définir le temps d'attente maximal pour l'analyse. Les résultats remis pendant
cette période sont affichés à l'écran :
• Le fichier est sécurisé :
66
• Le fichier est malveillant et bloqué :
Le résultat n’a pas pu être remis dans les temps
Si l'analyse prend plus de temps que le temps d'attente maximal, le fichier est libéré en vue de son utilisation.
Vous serez informé de l'analyse en cours.
Si l’analyse montre que le fichier est malveillant, le produit ESET affiche un avertissement et répond en
conséquence.
67
Affichage d'une liste de fichiers soumis
Dans la section Fichiers soumis, vous pouvez voir la liste des fichiers envoyés à ESET pour analyse par le biais
d'ESET LiveGuard Advanced, d'ESET LiveGrid® ou d'un scan des e-mails. L'administrateur de la console web peut
consulter la liste complète des fichiers envoyés. Cette fonctionnalité fonctionne également lorsqu’un client n’a
pas activé ESET LiveGuard Advanced. Par défaut, seules les soumissions à ESET LiveGrid® sont présentes.
Remarque
Dans le menu Fichiers soumis, un utilisateur peut uniquement afficher les fichiers envoyés à partir des
ordinateurs sur lesquels l’utilisateur dispose au moins d’une autorisation en lecture.
• Premier envoi le : cette colonne indique l'heure à laquelle un utilisateur a soumis le fichier pour la
première fois.
• Dernier traitement le : un fichier peut être soumis pour analyse plusieurs fois, à partir de plusieurs
ordinateurs et sociétés.Cette colonne indique la dernière soumission du fichier par une société.
J’utilise ESET PROTECT
J’utilise ESET Security Management Center
68
J’utilise ESET PROTECT Cloud
69
J’utilise ESET Cloud Office Security
Détails des fichiers analysés
Les détails du fichier analysé figurent dans la section Fichiers soumis de la console web.
Utilisateurs de la console de gestion (ESET PROTECT)
Sélectionnez le fichier et cliquez sur Afficher les détails.
ESET Cloud Office Security utilisateurs
Dans l’écran Fichiers soumis, cliquez sur l’icône bleue dans la ligne des fichiers pour afficher les détails des fichiers
dans la barre latérale.
70
Utilisateurs Linux
ESET Server Security pour Linux
Les utilisateurs peuvent répertorier les fichiers envoyés à l'aide des commandes suivantes exécutées en tant
qu’utilisateur avec privilèges dans une fenêtre de terminal :
/opt/eset/efs/bin/lslog -n
ou
/opt/eset/efs/bin/lslog --sent-files
Lisez des informations supplémentaires dans la documentation d'ESET Server Security.
Si vous utilisez l'interface Web :
1.Connectez-vous à l'interface web.
2.Cliquez sur Fichiers envoyés.
ESET Endpoint Antivirus pour Linux
Les utilisateurs peuvent répertorier les fichiers envoyés à l'aide des commandes suivantes exécutées en tant
qu’utilisateur avec privilèges dans une fenêtre de terminal :
/opt/eset/eea/sbin/lslog -n
71
ou
/opt/eset/eea/sbin/lslog --sent-files
Créer un rapport
Vous pouvez créer un rapport sur les données d'ESET LiveGuard Advanced dans la console de gestion à distance.
Vous pouvez utiliser un des rapports prédéfinis ou créer un rapport personnalisé.
Le processus ci-après est valide pour ESET Security Management Center, ESET PROTECT et ESET PROTECT Cloud.
Rapports intégrés
1.Connectez-vous à la console Web.
2.Cliquez sur Rapports > ESET LiveGuard.
3.Sélectionnez le rapport concerné, puis cliquez sur l’icône d’engrenage > Générer maintenant.
Création d'un rapport personnalisé
Pour créer un rapport personnalisé afin d’afficher le score, la destination et le type des fichiers envoyés :
1.Connectez-vous à Web Console.
2.Cliquez sur Rapports > Nouveau modèle de rapport.
72
3.Entrez le nom du modèle et sélectionnez ESET LiveGuard en tant que Catégorie.
73
4.Cliquez sur Continuer.
5.Sélectionnez Afficher la table et Continuer.
74
6.Cliquez sur Ajouter une colonne et sélectionnez ESET LiveGuard > Score > Score. Pour confirmer, cliquez
sur OK.
75
7.Cliquez sur Ajouter une colonne et sélectionnez ESET LiveGuard > Catégorie de fichiers. Pour confirmer,
cliquez sur OK.
8.Cliquez sur Ajouter une colonne et sélectionnez ESET LiveGuard > Destination de la soumission. Pour
confirmer, cliquez sur OK.
9.Cliquez sur Terminer pour enregistrer le modèle.
10. Pour exécuter le rapport, cliquez sur Rapports, puis sur l’icône d'engrenage du nouveau modèle de
rapport > Générer maintenant.
76
Résultats de l'analyse
Une fois qu'un fichier a été analysé, le cloud ESET l'envoie à la console de gestion ESET (ou ESET Cloud Office
Security) où le statut du fichier analysé passe de Inconnu à l'un des statuts répertoriés ci-dessous. Des
informations sur le fichier et des résultats résumés peuvent être consultés dans la fenêtre Détails du fichier.
Les utilisateurs d'ESET Cloud Office Security peuvent trouver la liste des fichiers soumis et leurs résultats dans les
journaux.
77
Paramètres du fichier
Description
Ordinateur
Nom de l'ordinateur ayant soumis le fichier.
Utilisateur
Utilisateur de l'ordinateur source ayant soumis le fichier. Dans certains cas, il
peut s'agir d'un utilisateur système.
Motif
Motif de la soumission (automatique, manuelle).
Envoyé à
Partie du cloud ESET ayant reçu le fichier.
Hachage
Hachage SHA1 du fichier soumis.
Nom du fichier
Nom du fichier et chemin d'accès complet dans le système de fichiers de
l'utilisateur.
Taille
Taille du fichier.
Catégorie
Catégorie (type de fichier) du fichier. La catégorie est utilisée dans la
configuration des soumissions.
Chaque échantillon possède deux paramètres essentiels : État et Statut.
L'état indique l'étape à laquelle se trouve le fichier au cours du processus d'analyse.
État
Description
Envoyé à LiveGrid(R)
Le fichier a été envoyé au cloud ESET, mais le résultat ne sera pas disponible.
Envoyé à ESET LiveGuard
Le fichier a été envoyé au cloud ESET en vue de son analyse par ESET
LiveGuard Advanced.
Analyse en cours
L'analyse est en cours.
Terminé
Le fichier a été analysé.
Nouvelle analyse
Le résultat précédent est disponible, mais le fichier est à nouveau analysé.
Le statut indique le résultat de l'analyse comportementale ou l'absence d'un résultat.
Icône
État
Score
Inconnu
Description
Le fichier n'a pas été analysé.
Non infecté
1 - 74
Aucun moteur de détection n'a identifié l'échantillon comme étant malveillant.
Suspect
Très suspect
75 - 89
90 - 99
Le moteur de détection a évalué le comportement du fichier comme étant suspect mais
pas véritablement malveillant.
Malveillant
100
Le comportement du fichier est considéré comme malveillant.
Recommandations pour les utilisateurs disposant d'échantillons suspects
Si votre fichier est évalué comme étant suspect ou très suspect, vous devez effectuer les tâches suivantes :
• Si votre licence le permet, examinez le rapport sur le comportement pour obtenir des informations
détaillées sur les activités du fichier.
• Inspectez la source du fichier (origine du fichier). Est-elle digne de confiance ?
• Chargez le fichier dans un outil d’analyse antivirus externe, par exemple, VirusTotal.
• Si vous pensez que le risque d'attaque de votre entreprise est élevé, définissez le seuil de détection sur
Suspect.
78
Rapport sur le comportement
Limite d'appareils
Le rapport sur le comportement n’est disponible que pour les fichiers soumis par un utilisateur disposant d’une
licence avec 100 appareils ou plus. Le nombre d'appareils correspond à la somme de tous les appareils des
licences ESET LiveGuard Advanced dans EBA. La limite d'appareils n’est pas appliquée aux utilisateurs disposant
d'une licence provenant d'ESET MSP Administrator. Les utilisateurs disposant de 99 appareils ou moins ont une
expérience différente, en fonction de la version de l'outil de gestion à distance qu'ils utilisent :
Console ESET
Rapport disponible pour les utilisateurs disposant de 99 appareils
ou moins
ESET Security Management Center 7.0 - 7.2 Rapport limité
ESET PROTECT 8.0 - 8.1
Pas de rapport sur le comportement
ESET PROTECT 9.0
Rapport limité
ESET PROTECT Cloud
Rapport limité
ESET Cloud Office Security
Rapport limité
Rapport sur le comportement des fichiers
Dans la console web, accédez à Fichiers soumis. Sélectionnez le fichier et cliquez sur Afficher les détails > Afficher
le comportement pour afficher le rapport sur le comportement des fichiers. Ce rapport contient des données
importantes sur le fichier inspecté et le comportement observé à partir de l'analyse en sandbox. Chaque
échantillon peut avoir plusieurs comportements observés.
Le rapport contient les éléments suivants :
1.Résultat : évaluation finale du fichier
2.Moteurs d’analyse avancés : résultats de la couche d'analyse
3.Sandbox d'analyse comportementale : résultats de la couche comportementale
4.Comportements analysés : liste des comportements analysés et de leurs résultats
79
Exemple de rapport sur le comportement
Téléchargement manuel d'un fichier pour analyse
Les fichiers suspects sont téléchargés automatiquement sur le cloud ESET selon la configuration de la politique de
votre produit de sécurité ESET. Un utilisateur ne peut pas soumettre manuellement un fichier depuis n'importe
quel produit de sécurité ESET prenant en charge ESET LiveGuard Advanced. Cliquez sur les liens ci-dessous pour
afficher les instructions pour votre produit.
• Soumission depuis ESMC 7.2 et ESET PROTECT
80
• Soumission depuis ESET Endpoint Security
• Soumission depuis ESET Server Security
• Téléchargement depuis ESET Mail Security
Liste des fichiers soumis localement
Vous pouvez voir la liste des fichiers soumis depuis la machine cliente dans votre produit de sécurité ESET
compatible avec ESET LiveGuard Advanced.
Pour afficher les fichiers dans ESET Server Security et ESET Mail Security, cliquez sur Fichiers journaux et
sélectionnez Fichiers envoyés dans le menu déroulant.
Pour afficher les fichiers dans ESET Endpoint Security, cliquez sur Outils > Fichiers journaux et sélectionnez
Fichiers envoyés dans le menu déroulant.
Soumission d'un fichier depuis ESET PROTECT
Dans ESMC 7.1 et 7.2 et dans ESET PROTECT, vous pouvez soumettre des fichiers bloqués signalés par ESET
Inspect. Pour soumettre des fichiers pour analyset :
1.Connectez-vous à Web Console.
81
Remarque
Les utilisateurs ne peuvent accéder et télécharger que les détections des ordinateurs sur lesquels ils
disposent d'autorisations.
2.Cliquez sur Détections, puis sélectionnez la détection que vous souhaitez soumettre. Vous pouvez
soumettre uniquement les fichiers de la catégorie de détection : Fichiers bloqués.
3.Sélectionnez un fichier, puis cliquez sur Envoyer le fichier à ESET LiveGuard pour planifier la tâche client
envoyant le fichier de l'ordinateur client vers le cloud ESET.
Remarque
• Vous pouvez également soumettre un échantillon depuis des machines sur lesquelles ESET LiveGuard
Advanced n'est pas actif.
• Les résultats de ces fichiers ne sont pas envoyés à l'utilisateur mais distribués par le biais d'ESET
LiveGrid®.
• Le chargement manuel n’est disponible que lorsque le système ESET LiveGrid® est activé sur l’ordinateur.
82
Soumission d'un fichier depuis ESET Endpoint Security
Pour soumettre un fichier pour analyse depuis ESET Endpoint Security, procédez comme suit :
Utilisateurs Windows
1.Ouvrez ESET Endpoint Security.
2.Accédez à Outils > Soumettre un échantillon pour analyse.
3.Saisissez les informations requises dans le formulaire Sélectionner un échantillon pour analyse et cliquez
sur Suivant.
4.Ajoutez éventuellement d'autres informations sur le fichier, puis cliquez sur Envoyer.
Utilisateurs Linux
Les fichiers suspects sont soumis automatiquement. Les utilisateurs ne peuvent pas soumettre manuellement un
fichier depuis ESET Endpoint Security pour Linux.
83
Remarque
• Vous pouvez également soumettre un échantillon depuis des machines sur lesquelles ESET LiveGuard
Advanced n'est pas actif.
• Les résultats de ces fichiers ne sont pas envoyés à l'utilisateur mais distribués par le biais d'ESET
LiveGrid®.
• Le chargement manuel n’est disponible que lorsque le système ESET LiveGrid® est activé sur l’ordinateur.
Soumission d'un fichier depuis ESET Server Security
Pour télécharger un fichier depuis ESET Server Security pour une analyse ESET LiveGuard Advanced, procédez
comme suit.
Utilisateurs Windows
1.Ouvrez ESET Server Security.
2.Accédez à Outils > Soumettre un échantillon pour analyse.
3.Saisissez les informations requises dans le formulaire Sélectionner un échantillon pour analyse et cliquez
sur Suivant.
84
4.Ajoutez éventuellement d'autres informations sur le fichier, puis cliquez sur Envoyer.
Utilisateurs Linux
Pour soumettre un échantillon pour analyse depuis l'interface web :
1.Connectez-vous à l'interface web.
2.Cliquez sur Fichiers envoyés.
3.Cliquez sur Soumettre un échantillon pour analyse.
85
4.Sélectionnez un Motif de soumission de l'échantillon.
5.Saisissez l’adresse du site ou le chemin d’accès au fichier.
6.Saisissez votre adresse e-mail ou sélectionnez Envoyer de manière anonyme.
7.Cliquez sur Suivant.
8.Saisissez d'autres informations.
9.Cliquez sur Envoyer.
86
Remarque
• Vous pouvez également soumettre un échantillon depuis des machines sur lesquelles ESET LiveGuard
Advanced n'est pas actif.
• Les résultats de ces fichiers ne sont pas envoyés à l'utilisateur mais distribués par le biais d'ESET
LiveGrid®.
• Le chargement manuel n’est disponible que lorsque le système ESET LiveGrid® est activé sur l’ordinateur.
Soumission d'un fichier depuis ESET Mail Security
Pour télécharger un fichier depuis ESET Mail Security pour une analyse ESET LiveGuard Advanced, procédez
comme suit :
1.Ouvrez ESET Mail Security.
2.Accédez à Outils > Soumettre un échantillon pour analyse.
3.Saisissez les informations requises dans le formulaire Sélectionner un échantillon pour analyse et cliquez
sur Suivant.
4.Ajoutez éventuellement d'autres informations sur le fichier, puis cliquez sur Envoyer.
87
Remarque
• Vous pouvez également soumettre un échantillon depuis des machines sur lesquelles ESET LiveGuard
Advanced n'est pas actif.
• Les résultats de ces fichiers ne sont pas envoyés à l'utilisateur mais distribués par le biais d'ESET
LiveGrid®.
• Le chargement manuel n’est disponible que lorsque le système ESET LiveGrid® est activé sur l’ordinateur.
Ajouter une exclusion
En règle générale, lorsqu'un fichier est analysé et évalué comme étant infecté, votre produit de sécurité ESET
exécute automatiquement l'action définie dans les paramètres de votre politique. Si la mise en quarantaine est
activée sur l'ordinateur, le fichier est mis en quarantaine (Outils > Quarantaine). Vous pouvez toutefois créer une
exclusion pour un fichier spécifique si vous savez qu'il est fiable ou si vous devez veiller à ce qu'il ne soit pas
nettoyé pour d'autres raisons. Les exclusions de fichiers créées par les agents itinérants ne seront pas ajoutées à
la console web tant que les agents ne seront pas connectés au serveur de gestion à distance.
Les exclusions peuvent créer un risque.
Tant que la politique d'exclusion est en place, les produits de sécurité ESET ne scannent jamais le fichier.
Faites preuve de prudence lors de la création des exclusions.
Conditions préalables requises pour la mise en liste blanche d'un fichier :
• Le fichier est envoyé pour analyse dans ESET LiveGuard Advanced.
• Ces informations sont synchronisées avec le serveur de gestion à distance.
Pour mettre en liste blanche un fichier devant faire l'objet d'un scan :
1.L'administrateur d'une console de gestion ajoute le hachage du fichier en tant qu'exclusion à une politique.
2.La politique est appliquée aux ordinateurs sélectionnés. Le fichier peut être utilisé librement sur ces machines.
Vous pouvez créer une politique distincte pour les exclusions. Créez la politique avant d'ajouter l'exclusion.
Créez une politique de gestion.
Ajouter aux exclusion
Pour créer une exclusion pour un fichier qui a été détecté et répertorié dans la fenêtre Fichiers soumis de la
console web Web Console, procédez comme suit :
1.Connectez-vous à Web Console en tant qu'administrateur ou tout autre utilisateur disposant
d'autorisations suffisantes sur l'ordinateur cible.
2.Accédez à Fichiers soumis, sélectionnez le hachage du fichier à exclure du scan, puis cliquez sur Créer une
exclusion.
88
J’utilise ESET Security Management Center
J’utilise ESET PROTECT Cloud
89
3. Sélectionnez un ou des ordinateurs cibles pour l’exclusion. Le groupe Tous correspond à la cible
prédéfinie. L’exclusion sera appliquée à tous les produits ESET pris en charge sur l’ordinateur cible.
90
4.Cliquez sur Terminer pour enregistrer et appliquer l'exclusion. Deux intervalles de réplication peuvent
être nécessaires pour que l'exclusion soit prise en compte. Vous pouvez voir la liste des exclusions dans le
menu Exclusions.
Utilisation d'exclusions pour améliorer les
performances
ESET LiveGuard Advanced peut effectuer des analyses automatiques. Un utilisateur peut décider d'exclure des
fichiers et des emplacements du processus de soumission pour des données sensibles, des fichiers ou des
emplacements approuvés. En excluant des fichiers et des emplacements, vous pouvez réduire la charge de vos
composants réseau. Un nombre élevé de fichiers soumis peut entraîner un ralentissement des composants du
réseau (par exemple, un proxy) et retarder la diffusion des résultats d'analyse. Suivez le guide en 3 étapes cidessous pour réduire le nombre total de fichiers soumis et améliorer les performances de votre système.
Soyez toujours vigilant lorsque vous excluez un emplacement des soumissions ESET LiveGuard Advanced.
L'exclusion peut entraîner un risque de sécurité dans votre système. Envisagez toujours les implications
possibles et les vecteurs d'attaque.
91
I.Examen des fichiers soumis
II.Exclusion de dossiers
III.Exclusion d'un processus
Examen de la liste des fichiers soumis
Création d'une liste des principaux ordinateurs effectuant des soumissions
1.Cliquez sur Rapports > ESET LiveGuard.
2.Recherchez le modèle de rapport 10 premiers ordinateurs avec des soumissions de fichiers à ESET
LiveGuard et ESET Live Grid au cours des 30 derniers jours.
92
Remarque
Vous pouvez d'abord modifier le modèle et remplacer ensuite le nombre d'ordinateurs (10) ou la période
(les 30 derniers jours) par une autre valeur. Vous devrez peut-être apporter ces changements si la situation
de votre réseau l'exige.
3.Cliquez sur Générer maintenant et enregistrez le rapport (liste des principaux ordinateurs).
Création de la liste des fichiers soumis pour les principaux ordinateurs
Pour effectuer les étapes ci-après, vous avez besoin de la liste ci-dessus des principaux ordinateurs effectuant des
soumissions.
1.Dans la console web, cliquez sur Rapports > Nouveau modèle de rapport.
2.Attribuez un nom et une catégorie au modèle.
3.Passez à la section Diagramme.
93
4.Dans la section Diagramme, sélectionnez uniquement la case à cocher Afficher la table et passez à la
section Données.
94
5.Dans la section Données, cliquez sur Ajouter une colonne et ajoutez les colonnes suivantes :
Ordinateur - Nom de l'ordinateur
ESET LiveGuard - URI de l'objet
6.Cliquez sur Filtrer.
95
7.Cliquez sur Ajouter une colonne, puis sélectionnez ESET LiveGuard. Intervalle de temps relatif (date de
l’occurrence).
8.Définissez l'intervalle sur les 30 derniers jours ou toute autre valeur appropriée pour votre système.
9.Cliquez de nouveau sur Ajouter une colonne, puis ajoutez l'élément Ordinateur. Nom de l'ordinateur.
10. Ajoutez tous les noms des principaux ordinateurs de la procédure précédente (10 premiers ordinateurs
de substitution).
11. Cliquez sur Terminer pour enregistrer le modèle de rapport.
96
12. Recherchez nouveau modèle de rapport and générez un fichier CSV.
Analyse des données
La procédure ci-dessous nécessite un logiciel tiers (un éditeur de tableur et des compétences de base en analyse
de données).
1.Ouvrez le fichier exporté au format CSV dans un éditeur de feuille de calcul, par exemple, MS Excel.
2.Séparez les données en deux colonnes. Dans MS Excel, sélectionnez la première colonne, puis accédez à
Données > Texte en colonnes.
3.Sélectionnez Délimité > Suivant.
4.Sélectionnez uniquement le séparateur Point-virgule, puis cliquez sur Suivant > Terminer.
97
Analysez les données.
Recherchez une tendance dans les fichiers soumis et leurs emplacements. Recherchez une tendance,
généralement un dossier, à partir duquel la grande majorité des fichiers est soumise. Lorsque vous trouvez
une tendance, un ordinateur suspect ou une application, vous devez l'examiner.
Recherchez les réponses aux questions suivantes :
• Quelle application utilise ce dossier ?
• Quelle est l'utilité de cet ordinateur, qu'est-ce qui le distingue des autres ?
• Quelle est l'origine de ces fichiers ?
L'objectif de l'enquête est de trouver un modèle d’exclusion.
Lorsque vous avez trouvé le modèle, passez à la section Exclusion de dossiers.
Exclusion de dossiers
Prise en compte des dossiers de projet
Les utilisateurs dotés d'un logiciel de développement (Visual Studio, par exemple) peuvent exclure les dossiers
dans lesquels ils compilent leurs projets. La compilation crée de nombreux fichiers qu'ESET LiveGuard Advanced
peut soumettre pour analyse. Vous pouvez empêcher l'envoi d'un nombre excessif de fichiers à ESET LiveGuard
Advanced. Pour cela, vous pouvez par exemple exclure votre dossier de projet D:\Projects\*
Processus d'exclusion de dossiers
Tenez toujours compte de la sécurité lorsque vous ajoutez une exclusion. Déterminez quelles applications
peuvent écrire à l'emplacement exclu et comment l'exclusion de cet emplacement peut être
incorrectement utilisée par d'autres utilisateurs.
1.Connectez-vous à la console web, puis cliquez sur Politiques > Nouvelle politique.
98
2.Dans la section Général, attribuez un nom à la politique.
3.Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows (ou un produit compatible).
4.Cliquez sur Moteur de détection > Protection dans le cloud
5.Activez ESET LiveGrid et les barres du curseur ESET LiveGuard Advanced.
99
6.Sous la section Exclusions, activez Exclusions, puis cliquez sur Modifier.
7.Cliquez sur Ajouter et saisissez l'exclusion. Pour confirmer, cliquez sur OK > Enregistrer.
Exemples d'exclusion :
C:\MyProjects\*
*\DEVtool\debug\*
• Vous pouvez utiliser * et ? dans les exclusions. (* - pour n’importe quelle chaîne, ? - pour un caractère)
• Les exclusions ne respectent pas la casse.
• Les exclusions n'acceptent pas les variables système et les expressions RegEx.
100
8.Cliquez sur Affecter > Affecter, puis sélectionnez les ordinateurs ou les groupes applicables.
9.Cliquez sur OK > Terminer pour enregistrer la politique et l'appliquer.
Vous pouvez également effectuer des recherches et exclure des processus.
101
Exclusion d'un processus
Dans certains cas, vous ne pouvez pas spécifier de modèle fiable pour les emplacements et les noms de fichiers,
mais vous pouvez exclure un nom de processus à la place.
Lorsque vous excluez le processus, les fichiers créés ou manipulés par celui-ci ne sont pas analysés pour
rechercher des menaces ni soumis.
1.Connectez-vous à la console web, puis cliquez sur Politiques > Nouvelle politique.
2.Dans la section Général, attribuez un nom à la politique.
3.Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows (ou un produit compatible).
4.Cliquez sur Moteur de détection > Protection en temps réel du système de fichiers > Général >
Processus à exclure de l'analyse > Modifier.
5.Cliquez sur Ajouter, saisissez le nom d'un processus (adresse complète de l'exécutable), puis cliquez sur
OK > Enregistrer.
102
6.Cliquez sur Affecter > Affecter, puis sélectionnez les ordinateurs ou les groupes applicables.
7.Cliquez sur OK > Terminer pour enregistrer la politique et l'appliquer.
103
Consultation du nombre de fichiers envoyés
Utilisez l'outil de création de rapports de la console de gestion pour comptabiliser les fichiers que vous
téléchargez vers les serveurs ESET LiveGuard Advanced.
I. Création de la liste des fichiers envoyés
1.Dans la console web, accédez à Rapports > Nouveau modèle de rapport.
2.Attribuez un nom et une catégorie au modèle.
3.Passez à la section Diagramme.
104
4.Dans la section Diagramme, sélectionnez uniquement la case à cocher Afficher la table et passez à la
section Données.
105
5.Dans la section Données, cliquez sur Ajouter une colonne et ajoutez les colonnes suivantes :
• Ordinateur - Nom de l'ordinateur
• ESET LiveGuard - URI de l'objet
• ESET LiveGuard - Heure de l'occurrence
• ESET LiveGuard - Le contenu du fichier a été envoyé
6.Cliquez sur Terminer pour enregistrer le modèle de rapport.
7.Dans le menu Rapports, accédez aux rapports ESET LiveGuard.
8.Recherchez nouveau modèle de rapport and générez un fichier CSV.
106
Analyse des données
La procédure ci-dessous nécessite un logiciel tiers (un éditeur de tableur et des compétences de base en analyse
de données).
1.Ouvrez le fichier exporté au format CSV dans un éditeur de feuille de calcul, par exemple, MS Excel.
2.Séparez les données en deux colonnes. Dans MS Excel, sélectionnez la première colonne, puis accédez à
Données > Texte en colonnes.
3.Sélectionnez Délimité > Suivant.
4.Sélectionnez uniquement le séparateur Point-virgule, puis cliquez sur Suivant > Terminer.
107
Analysez les données.
Étapes suggérées pour l’analyse
1.Supprimez les lignes dans lesquelles Le contenu du fichier a été envoyé a la valeur Non.
2.Triez les données par ordre décroissant en fonction de la colonne Heure de l’occurrence.
3.Sélectionnez la période souhaitée, par exemple les 30 derniers jours, et copiez la date dans la feuille
suivante.
4.Dans la feuille suivante, triez les données en fonction de la colonne Nom de l'ordinateur.
5.Comptez le nombre de lignes (fichiers envoyés) pour chaque nom distinct.
Notification pour les menaces détectées
Dans la console de gestion à distance, vous pouvez créer une notification pour être averti lorsque ESET LiveGuard
Advanced marque un fichier comme étant une menace.
1.Connectez-vous à Web Console.
2.Cliquez sur Notifications > Nouvelle notification.
108
3.Saisissez un nom et éventuellement une description pour la nouvelle notification.
4.Cliquez sur le curseur situé en dessous pour activer la notification, puis sur Continuer.
109
5.Dans la section Configuration, sélectionnez Événements sur les ordinateurs administrés dans le menu
déroulant Événement. Sélectionnez ensuite Détection virale dans le menu déroulant Catégorie.
6.Vous pouvez modifier éventuellement le groupe statique surveillé. Seuls les ordinateurs de ce groupe et
de ses sous-groupes, sur lesquels l'utilisateur dispose d'autorisations, sont surveillés pour cette notification.
7.Conservez l'opérateur ET, cliquez sur Ajouter un filtre et sélectionnez Nom de la détection.
8.Définissez l'opérateur du filtre sur est un des, saisissez la chaîne ESET LiveGuard dans le champ de texte
et cliquez sur Continuer.
110
9.Dans Paramètres avancés de la limitation, vous pouvez définir la planification avancée de la notification
distribution.
10. Dans la fenêtre Distribution, définissez le canal de distribution adapté.
11. Enregistrez la notification.
ESET File Security pour utilisateurs Windows
Avant juin 2021, le nom de la détection signalé à partir d'ESET Server Security était : EDTD bloqué. Il a
depuis été unifié en Dynamic Threat Defense et ensuite renommé ESET LiveGuard.
FAQ
Quels fichiers sont envoyés au sandbox ?
Si un fichier est soumis manuellement en vue de son analyse par ESET LiveGuard Advanced, le système envoie le
fichier sélectionné sans tenir compte du type de fichier. Pour les soumissions de fichiers automatiques, le produit
de sécurité ESET ne soumet que les fichiers qui n'ont pas été auparavant analysés et dont le type de fichier est
défini. Le type de fichier est déterminé en fonction du contenu d'un fichier et non de son extension, car un
utilisateur ou un logiciel malveillant peut facilement modifier l'extension du fichier.
111
ESET Mail Security et ESET Endpoint Security utilisent une approche différente. Différents types de fichiers sont
traités différemment dans chacun d'eux.
• ESET Mail Security : le traitement est synchronisé ; le système attend le résultat.
• ESET Endpoint Security et ESET Server Security : le traitement est asynchrone. Le système n'attend pas le
résultat.
La soumission ou non d'un fichier dépend de la source du fichier (web/messagerie/HTTPS).
Tableau des actions disponibles en fonction du type de fichier
Légende
- Envoyer
- Ne pas envoyer
Type de fichier
Action (ESET Mail
Security)
Action (ESET
Endpoint Security,
ESET Server Security)
Envoyer uniquement
Archives (.zip, .rar,
.7z, .bzip2, etc.)
• Si l’archive n’est pas chiffrée
• Si le contenu de l'archive est soumis pour
un scan (dans ce cas, l'archive complète est
envoyée)
Sécurité de la messagerie uniquement
Documents (.docm,
.xlsm, .pdf, etc.)
S'il est actif (contient du code JavaScript ou
tout autre élément actif)
Documents RTF (.rtf)
Exécutables (fichiers
.exe, .dll, .sys, .elf,
.so, etc.)
• Seuls les produits Linux envoient les
formats de fichier suivants :
oExécutable Linux (.elf)
oBibliothèques Linux (.so)
Autres (.jar, .lnk, .reg,
.msi, .swf et autres)
Scripts (.bat, .cmd,
.js, .vbs, .ps, .py, .sh,
.pl etc.)
• Seuls les produits Linux envoient les
formats de fichier suivants :
oScripts Perl (.pl)
oScripts Python (.py)
oScripts Shell (.sh)
oTous les fichiers texte exécutables
(marqués avec « x »)
Images
Ole2
.hta
112
S'il est actif (contient du code JavaScript ou
tout autre élément actif) - Sécurité de la
messagerie uniquement
Quelle est la taille maximale d'un fichier pouvant être envoyé ?
Les produits de sécurité ESET peuvent envoyer des fichiers dont la taille est de 64 Mo au maximum. Vous pouvez
définir une taille maximale dans la politique d'ESET LiveGuard Advanced.
Que signifient les états d'analyse et les statuts de fichier ?
Consultez le chapitre associé.
Comment empêcher un produit de sécurité ESET de supprimer un fichier ?
Vous pouvez ajouter une exclusion sur le hachage d'un fichier et, après l'application de l'exclusion, restaurer le
fichier. Un tel fichier ne sera plus scanné par le produit de sécurité ESET.
Comment ESET LiveGuard Advanced est-il mis à jour ?
ESET LiveGuard Advanced est mis à jour à distance sur le cloud ESET. Il n'est pas nécessaire de mettre à jour le
service manuellement. Mettez à jour les produits de sécurité installés lorsqu'une nouvelle version est disponible
afin de bénéficier des nouvelles fonctionnalités.
Que deviennent les paramètres du produit lorsque ESET LiveGuard
Advanced licence arrive à expiration?
Tous les paramètres restent inchangés et la console web affiche un avertissement concernant la licence arrivée à
expiration. Appliquez une autre politique pour désactiver les paramètres.
Quelle est la durée de l'analyse d'un échantillon ?
En règle générale, l’analyse d’un échantillon qui n’a jamais été analysé par ESET LiveGuard Advanced prend
jusqu’à 5 minutes. Si un échantillon a déjà été analysé, l’utilisateur recevra le résultat dans le prochain cycle de
demande du produit, dont la durée est de 2 minutes.
Un ordinateur peut-il tirer parti d'ESET LiveGuard Advanced sans envoyer
de fichiers ?
Vous pouvez configurer une politique distincte pour un ordinateur (ou des ordinateurs) avec des exigences de
sécurité plus élevées, qui ne soumet aucun fichier. Si ESET LiveGuard Advanced est activé sur cet ordinateur,
celui-ci reçoit des résultats prioritaires d'analyse d'autres fichiers soumis par son entreprise. Les fichiers évalués
comme étant malveillants sont également détectés par ESET LiveGrid® qui permet de protéger d’autres
ordinateurs connectés.
Vous trouverez d'autres questions et réponses dans le FAQ.
Le programme ESET LiveGuard Advanced partage-t-il les résultats de
113
l'analyse avec mes comptes ou mes clients ?
• Le programme ESET LiveGuard Advanced partage immédiatement les résultats sur tous les ordinateurs
activés à partir d’un seul compte ESET Business Account, même si ce dernier comprend plusieurs licences.
• Lorsque vous utilisez un compte ESET MSP Administrator, le programme ESET LiveGuard Advanced
partage les résultats immédiatement dans un client MSP uniquement. Les clients d’un seul MSP ne
partagent pas leurs résultats.
Quand les résultats des détections d'ESET LiveGuard Advanced sont-ils
disponibles dans ESET LiveGrid® ?
Les détections les plus graves sont disponibles plusieurs heures après le résultat. Les autres, moins graves, le sont
plus tard.
Test de la fonctionnalité ESET LiveGuard Advanced
Pour tester la fonctionnalité ESET LiveGuard Advanced et ses possibilités, procédez comme suit :
Utilisateurs avec la console de gestion ESET
I. Conditions préalables requises
Vérifiez qu'ESET LiveGuard Advanced est activé, sélectionné et que la fonctionnalité s'exécute correctement.
II. Préparation du fichier de test
1.Créez un dossier sur votre ordinateur.
2.Excluez ce dossier à l’aide d'exclusions de performances.
3.Téléchargez le fichier de test dans un dossier exclu :
oFichier de test Windows
oFichier de test Linux
4.Extrayez l’archive téléchargée dans le dossier exclu. L’archive est protégée par mot de passe. Le mot de
passe est le suivant : infected
5.Utilisateurs Windows : Pour rendre le fichier unique, ouvrez la ligne de commande en appuyant sur
Win+R, puis tapez la commande powershell. Accédez au dossier avec le fichier de test exclu. Exécutez la
114
commande ci-dessous. Elle ajoute l'horodatage actuel à la fin du fichier. Le fichier obtient un nouveau
hachage :
Add-Content .\EdtdTestFile.exe $(date)
Utilisateurs Linux : Pour rendre le fichier unique, accédez au dossier comportant le fichier de test exclus,
puis tapez date >> create_eicar.bin (vous pouvez éventuellement renommer le fichier). Cette
commande ajoute l'horodatage actuel à la fin du fichier. Le fichier obtient un nouveau hachage.
III. Test d'ESET LiveGuard Advanced
1.Copiez le fichier préparé dans la section II. dans un dossier non exclu. Le fichier est immédiatement
envoyé à ESET LiveGuard Advanced, car il s’agit d’un nouveau fichier exécutable.
2.Vous pouvez éventuellement vérifier si le fichier a été soumis :
oDans le produit de sécurité ESET : Cliquez sur Outils > Fichiers journaux > Fichiers envoyés.
oDans la console web ESET PROTECT : Cliquez sur Autre > Fichiers soumis.
3.Après quelques instants, le fichier est supprimé de l’ordinateur. Vous recevez alors une notification
concernant la suppression du logiciel malveillant. Vous pouvez voir les informations suivantes :
oDans le produit de sécurité ESET : Cliquez sur Fichiers journaux > Détections.
oDans la console web ESET PROTECT : Cliquez sur Autre > Fichiers soumis.
4.Si vous exécutez le fichier de test avant la fin de l’analyse, vous êtes informé que le fichier de test ESET
LiveGuard Advanced a été exécuté. Le fichier de test dépose Eicar (fichier de test de logiciels malveillants
standard) qui est immédiatement supprimé. Une fois l’analyse terminée, le fichier de test est nettoyé.
IV. Test de plusieurs fichiers
Une fois que le fichier de test a été détecté, son hachage est enregistré localement. Si vous le copiez depuis un
dossier exclu, il est détecté immédiatement. Vous pouvez rendre le fichier unique en répétant l’étape II. 5 pour
qu'il soit renvoyé pour analyse. Vous pouvez ensuite suivre les instructions de la section III.
V. Test de la protection proactive
1.Vérifiez que la protection proactive est activée. Dans le produit de sécurité ESET, (appuyez sur F5 ou)
accédez à Configuration avancée > Moteur de détection > Protection dans le cloud > ESET LiveGuard
Advanced > Protection proactive = Bloquer l'exécution jusqu'à la réception du résultat de l'analyse.
115
2.Vérifiez que les dialogues de communication appropriés sont activés. Dans le produit de sécurité ESET,
appuyez sur F5 ou cliquez sur Préférences avancées > Outils > Notifications > Notifications d'application,
puis activez :
Fichier analysé
Fichier en analyse
Fichier non analysé
3.Téléchargez le second fichier de test sur un chemin non exclu et exécutez-le.
oFichier de test Windows
oFichier de test Linux
4.Vous recevez une notification concernant une opération interdite. Vous ne pouvez pas exécuter de fichier
pendant l’analyse.
5.Une fois l’analyse terminée et le fichier nettoyé, vous pouvez exécuter le fichier.
ESET Cloud Office Security utilisateurs
I. Conditions préalables requises
Vérifiez que la politique d'ESET LiveGuard Advanced dans ESET Cloud Office Security est activée.
II. Préparation du fichier de test
1.Téléchargez le fichier de test à un emplacement (ou sur un ordinateur) non protégé par une politique
ESET LiveGuard Advanced.
2.Extrayez le fichier téléchargé. Le fichier est une archive protégée par mot de passe. Votre mot de passe
est le suivant : infected
3.Pour rendre le fichier unique, ouvrez la ligne de commande en appuyant sur Win+R, puis tapez la
commande powershell.
4.Accédez au dossier avec le fichier de test.
5.Exécutez la commande ci-dessous. Cette commande ajoute l'horodatage actuel à la fin du fichier. Le
116
fichier obtient un nouveau hachage.
Add-Content .\EdtdTestFile.exe $(date)
III. Test d'ESET LiveGuard Advanced
1.Utilisez le fichier de l’étape II de l’une des façons suivantes :
• Déplacez le fichier vers OneDrive
• Créez un brouillon d'e-mail (dans MS Outlook) avec le fichier de test en tant que pièce jointe.
• Enregistrez le fichier à un emplacement protégé sur Sharepoint.
2.Le fichier est immédiatement envoyé à ESET LiveGuard Advanced.
3.Pour vérifier que le fichier a été soumis dans ESET Cloud Office Security, cliquez sur Journaux > Fichiers
soumis.
4.Après quelques instants, le fichier est supprimé. Vous pouvez voir le résultat de l’analyse dans Fichiers
soumis.
FAQ
S’agit-il réellement d’un logiciel malveillant ?
Non, ce fichier EdtdTestFile.exe n'est qu’un dropper Eicar (fichier de test de logiciel malveillant standard).
Cet événement est détecté au cours de l’analyse dans un sandbox dans ESET LiveGuard Advanced.
Comment puis-je en être certain ?
Voici les codes source des fichiers de test :
• Exécutable Windows
#include <fstream>
#include "tchar.h"
#include "windows.h"
int main()
{
std::ofstream dropped;
117
dropped.open(_T("eicar.com"));
dropped << "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H*";
dropped.close();
::MessageBox(nullptr, _T("EDTD test file has been executed.\n2020.4.15 10:34"),
_T("EDTD test file"), MB_OK);
return 0;
}
• Binaire Linux
#include <fstream>
#include <iostream>
#include <stdio.h>
int main()
{
std::ofstream dropped;
dropped.open("eicar.com");
dropped << "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H*";
dropped.close();
std::cout << "EDTD test file has been executed." << std::endl;
getchar();
return 0;
}
Dépannage
• Le service ne fonctionne pas.
• J'ai configuré ESET LiveGuard Advanced, mais le service ne fonctionne toujours pas.
• Comment obtenir des journaux ?
• Je ne vois pas les fichiers soumis dans ESET PROTECT Web Console.
118
• Les indicateurs de comportement ne semblent pas corrects.
• Comment empêcher un fichier détecté d'être mis en quarantaine ?
• Que se passe-t-il lorsque la licence arrive à expiration ?
• Que se passe-t-il si le champ État de la fenêtre Fichiers soumis est vide ?
• ESMC ne télécharge pas les données d'ESET LiveGuard Advanced.
• Que se passe-t-il si l'état Envoyé à LiveGrid s'affiche pour les fichiers envoyés à ESET LiveGuard Advanced ?
• Le produit refuse ma licence d'ESET LiveGuard Advanced.
• L'un des messages d'erreur ci-dessous s'affiche sous Détails de l'ordinateur > Alertes.
• Les fichiers envoyés à ESET LiveGuard Advanced ne s'affichent pas dans la console web.
• L’erreur suivante s'affiche : Votre licence n'inclut pas de rapport sur le comportement des fichiers
• J’ai un échantillon suspect, que dois-je faire ?
• Échec de l'activation d'ESET LiveGuard Advanced
Le service ne fonctionne pas.
Vérifiez qu'ESET LiveGuard Advanced est activé et configuré.
Vérifiez également les points suivants :
• La licence d'ESET LiveGuard Advanced est-elle utilisée ?
• La politique d'ESET LiveGuard Advanced est-elle appliquée ?
J'ai configuré ESET LiveGuard Advanced, mais le service ne fonctionne
toujours pas.
Vérifiez s'il existe une connexion réseau fonctionnelle entre ESET Management Agent et ESET PROTECT Server.
Déterminez les problèmes de connexion entre le serveur de gestion à distance et ESET LiveGuard Advanced
directement dans la console web, dans Tableaux de bord > ESET PROTECT Server > Homologues réseau ESET
PROTECT présentant des problèmes.
Vous pouvez également vérifier les configurations du proxy HTTP dans les configurations d'ESET PROTECT Server.
119
Collecte des fichiers journaux
Vous pouvez consulter la section des fichiers journaux dans le ESET PROTECT guide d’aide en ligne.
Je ne vois pas les fichiers soumis dans Web Console.
Il s'agit d'un comportement classique si vous utilisez un terminal itinérant.
Les indicateurs de comportement ne semblent pas corrects.
Si l'indicateur de comportement signalé ne semble pas correct, vous pouvez :
• le signaler à l'assistance ESET ou envoyer l'échantillon à samples@eset.com ; consulter l'article sur la
soumission d’échantillons ;
• Consulter le Forum de sécurité ESET et rechercher dans la communauté ESET des informations sur les
problèmes que vous pouvez rencontrer.
Comment empêcher un fichier détecté d'être mis en quarantaine ?
Si vous êtes sûr que le fichier détecté est fiable, vous pouvez le mettre en liste blanche.
Que se passe-t-il lorsque la licence arrive à expiration ?
Lorsque la licence d'ESET LiveGuard Advanced arrive à expiration, vous pouvez toujours soumettre des fichiers
suspects pour analyse. Vous ne recevrez toutefois pas les résultats de l'analyse des fichiers ni le rapport sur les
comportements des fichiers.
Que se passe-t-il si le champ État de la fenêtre Fichiers soumis est vide ?
Vous êtes un utilisateur d'ESET PROTECT Cloud ?
Cette méthode de dépannage est destinée aux utilisateurs des consoles de gestion à distance sur site : ESET
Security Management Center et ESET PROTECT.
1. Consultez le Tableau de bord (dans votre console de gestion à distance) comme décrit ci-dessous : J'ai
configuré ESET LiveGuard Advanced, mais le service ne fonctionne toujours pas.
2. Cliquez sur Rapports > Gestion de Security Management Center > Journal d'audit > Télécharger > PDF.
Vous pouvez joindre ce journal lors d'une demande d'assistance auprès du support technique d'ESET ou le
consulter vous-même.
120
En cas d'erreurs ou de problèmes liés à ESET LiveGuard Advanced, procurez-vous les journaux de suivi et
contactez le support technique d'ESET (voir les étapes ci-après). Sinon, vous pouvez redémarrer le processus de
récupération des résultats sur le serveur de gestion à distance.
Comment obtenir le journal de suivi ?
1.Pour activer le niveau de détail du journal de suivi dans la console web Web Console, cliquez sur
Autres... > Paramètres du serveur > Paramètres avancés > Journalisation > Niveau de détail du journal
de suivi > Suivi.
2.Redémarrez le service ESET PROTECT / ESMC ou l'ordinateur et patientez 15 à 20 minutes.
3.Les journaux figurent sur l'ordinateur ESET PROTECT / ESMC Server :
i.Windows : C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs
ii.Linux : /var/log/eset/RemoteAdministrator/Server/
J’utilise ESMC
121
Comment recommencer le téléchargement des résultats ESET LiveGuard
Advanced
Redémarrez le processus de récupération des données sur ESET PROTECT (ou ESMC)) Server. Le redémarrage
peut être utile lorsque Serveur ne télécharge pas de nouvelles données depuis le cloud ESET ou que le
téléchargement est trop lent.
1.Désactivez le service de serveur ESET PROTECT (ou ESMC)).
2.Connectez-vous à la base de données ESET PROTECT (ou ESMC)) à l'aide de SQL Server Management
Studio ou du client MySQL sur les systèmes Linux.
3.Modifiez la table tbl_key_value_pairs dans la base de données ESET PROTECT (ou ESMC)) :
Lorsque vous utilisez SSMS, ouvrez la table et supprimez la ligne contenant la chaîne eset-dynamicthreat-detection-customers
Lorsque vous utilisez MySQL, ouvrez la base de données et exécutez la commande delete from
tbl_key_value_pairs where pair_key = 'eset-dynamic-threat-detection-customers';
Lorsque vous utilisez l'applicance virtuelle ESET PROTECT (ou ESMC) :
a)Connectez-vous au terminal sur la machine virtuelle sur laquelle s'exécute l'appliance.
b)Connectez-vous à la base de données : mysql -u root -p era_db
122
c)Saisissez le mot de passe. Il s'agit généralement du même mot de passe que celui de l'administrateur
de la console Web.
d)Exécutez la commande suivante :
delete from tbl_key_value_pairs where pair_key = 'eset-dynamic-threatdetection-customers';
4.Démarrez ESET PROTECT (ou ESMC)) Server et n'effectuez ni redémarrage ni arrêt pendant 24 heures.
Que se passe-t-il si l'état Envoyé à LiveGrid s'affiche pour les fichiers
envoyés à ESET LiveGuard Advanced ?
Causes possibles :
• Le fichier ou le courrier indésirable que vous avez envoyé a déjà été détecté.
• La licence d'ESET LiveGuard Advanced n'a pas été importée à l'aide d'EBA mais directement dans le
produit de sécurité ou la console de gestion à distance.
Pour activer l'envoi des fichiers à ESET LiveGuard Advanced :
1.Supprimez la licence de la gestion des licences.
2.Importez votre licence dans EBA.
3.Synchronisez EBA avec le serveur de gestion à distance (ESMC ou ESET PROTECT).
4.Certains modules doivent être rechargés sur les machines clientes. Vous avez deux options pour
rechercher les modules :
• Patientez quelques heures jusqu'à ce que les modules soient rechargés.
123
• Pour un rechargement immédiat, vous pouvez redémarrer ESET LiveGuard Advanced sur les clients.
Pour redémarrer, envoyez une politique de désactivation pour ESET LiveGuard Advanced. Lorsque la
politique est appliquée, envoyez une autre politique pour l'activation.
Le produit refuse ma licence d'ESET LiveGuard Advanced.
• Après avoir saisi la clé de licence d'ESET LiveGuard Advanced dans la console web Web Console, le
message d'erreur suivant s'affiche :
Échec de l'ajout de la licence par une clé de licence : la licence est émise pour un produit ne pouvant pas être
géré par ESET Security Management Center. Entrez une autre licence.
ou
Échec de l'ajout de la licence par une clé de licence : La licence est émise pour un produit ne pouvant pas être
géré par ESET PROTECT. Entrez une autre licence.
• Après avoir saisi la clé de licence d'ESET LiveGuard Advanced directement dans le produit de sécurité, le
message d'erreur suivant s'affiche :
Échec de l'activation. La licence et le produit ne correspondent pas.
La licence doit être saisie uniquement par le biais d'EBA. Informations supplémentaires sur l'importation de la
licence.
L'un des messages d'erreur ci-dessous s'affiche sous Détails de
l'ordinateur > Alertes.
Problème
Détail du problème
Cause et solution
ESET LiveGuard
Advanced n’est pas
accessible.
ESET LiveGuard Advanced ne
fonctionne pas. La connexion aux
serveurs d'authentification a
échoué.
Les serveurs de licences ESET ne sont pas accessibles.
• Le pare-feu (une autre configuration) bloque les
communications.
• Le service est indisponible temporairement.
Vérifiez les configurations du pare-feu.
ESET LiveGuard
Advanced n’est pas
accessible.
ESET LiveGuard Advanced la
licence a expiré.
Votre licence ESET LiveGuard Advanced était
fonctionnelle et arrive maintenant à expiration.
Renouvelez la licence ou désactivez la configuration
ESET LiveGuard Advanced dans la politique.
ESET LiveGuard
Advanced n’est pas
activé ou la licence
n’est pas valide.
ESET LiveGuard Advanced n’est
pas activé ou la licence n’est pas
valide.
Vous avez activé ESET LiveGuard Advanced sur
l'ordinateur cible, mais ce dernier n'est pas activé à
l'aide d'une licence adéquate. Désactivez la
configuration ESET LiveGuard Advanced dans la
politique ou activez l'ordinateur à l'aide de la licence
ESET LiveGuard Advanced.
124
Problème
Détail du problème
Cause et solution
ESET LiveGuard
Advanced n’est pas
accessible.
Les serveurs ESET LiveGuard
Advanced ne sont pas accessibles.
Le problème peut provenir d'une
panne ou de la connexion réseau.
Votre ordinateur ne parvient pas à joindre les serveurs
ESET LiveGuard Advanced. Ce problème est
généralement dû à une défaillance du service proxy.
Essayez de redémarrer le service proxy. Si le problème
persiste, il est possible que le proxy soit surchargé.
Vous pouvez :
• Répartir la charge des agents sur d'autres proxys
• Mettre à niveau le matériel sur l'ordinateur proxy
• Utiliser la version 64 bits du proxy HTTP Apache (si
vous utilisez la version 32 bits et que l'architecture de
votre système est x64)
• Arrêter temporairement d'utiliser le proxy pour
vérifier qu'il est la source du problème.
• Si vous utilisez le proxy HTTP Apache, vous pouvez
passer à ESET Bridge.
La console web
n'affiche aucun
résultat.
Les résultats des analyses ne sont Il est possible que le proxy HTTP soit surchargé.
pas remis à ESET PROTECT Server. Essayez de déplacer le proxy HTTP vers un autre
serveur et/ou d'ajouter des ressources. Lorsque vous
déplacez le proxy HTTP vers une nouvelle adresse,
vous devez également mettre à jour la politique des
endpoints.
ESET LiveGuard
Advanced n’est pas
accessible.
Erreur de la licence hors ligne
ESET LiveGuard Advanced.
ESET LiveGuard Advanced ne prend pas en charge
l’activation de licence hors ligne. Vérifiez votre licence.
ESET LiveGuard
Advanced n’est pas
accessible.
ESET LiveGuard Advanced ne
fonctionne pas. Erreur
d’authentification inconnue.
Les serveurs d’authentification ESET ne sont pas
accessibles depuis l’ordinateur client. Vérifiez que
edf.eset.com est accessible.
Remarque
ERA 6.x ne prend pas en charge ESET LiveGuard Advanced. La console web affiche uniquement la colonne
Problème et non la colonne Détail du problème. Si une des erreurs d'ESET LiveGuard Advanced s'affichent
toujours dans ERA 6.x, vous avez probablement activé ESET LiveGuard Advanced dans une politique.
Les fichiers envoyés àESET LiveGuard Advanced ne s'affichent pas dans la console web
• Si votre système d'exploitation, généralement un ancien serveur Windows Server, n'approuve pas le
certificat de ts.eset.com, les fichiers ne sont pas envoyés aux serveurs ESET LiveGuard Advanced. Pour
résoudre ce problème de confiance, importez les certificats racines DigiCert Global Root G2 et Thawte TLS
RSA CA G1 dans votre système d'exploitation.
• La console web peut afficher les fichiers envoyés uniquement lorsque Management Agent du client se
connecte (réplication) à ESMC Server. Les fichiers envoyés à partir des endpoints itinérants sont affichés une
fois que l’Agent s'est reconnecté au serveur.
Lorsque vous utilisez ESET LiveGuard Advanced dans un environnement d'entreprise (des centaines de
machines ou davantage), il est recommandé de déployer un proxy HTTP sur un serveur dédié. L'exécution
du service proxy HTTP sur un serveur fortement utilisé (en plus d'ESMC Server ou de la base de données)
peut entraîner des problèmes de connexion d'ESET LiveGuard Advanced.
Vous pouvez exclure des processus et des dossiers sélectionnés pour réduire le nombre de fichiers soumis
et accroître les performances globales.
125
L’erreur suivante s'affiche : Votre licence n'inclut pas de rapport sur le
comportement des fichiers
Si vous utilisez EBA pour gérer vos licences et que le nombre total d'appareils pour les licences ESET LiveGuard
Advanced est inférieur à 100, vous n'êtes pas éligible pour le rapport comportemental. Certaines versions de la
console de gestion ne fournissent pas du tout le rapport sur le comportement. Vous devez augmenter le nombre
d'appareils jusqu'à 100 ou plus pour obtenir le rapport.
J’ai un échantillon suspect, que dois-je faire ?
Reportez-vous aux recommandations pour les utilisateurs disposant d'échantillons suspects.
Échec de l'activation d'ESET LiveGuard Advanced
Si vous avez ajouté une licence via une clé de licence et que vous l'avez ensuite convertie en offre groupée cloud,
la licence ESET LiveGuard Advanced apparaît dans la console, mais l'activation échoue. Vous devez supprimer
l'offre groupée de la gestion des licences et l’ajouter via EBA.
Réalisation de diagnostics
Si ESET LiveGuard Advanced ne fonctionne pas :
• Vérifiez que toutes les exigences sont satisfaites.
• Dans la console web, recherchez une cause en suivant les instructions ci-après.
Licence d'ESET LiveGuard Advanced
1.Connectez-vous à Web Console.
2.Cliquez sur Autre > Gestion de licences.
3.Vérifiez si votre licence ESET LiveGuard Advanced est répertoriée. Si la licence n'est pas présente,
ajoutez-la à l'aide de votre compte ESET Business Account ou ESET MSP Administrator. Si vous obtenez vos
licences dans ESET Business Account, vérifiez que l’icône affichée est la suivante : Cette icône indique le
compte EBA.
126
Les utilisateurs exécutant des produits Linux pris en charge peuvent vérifier leur licence et leur ID d'appareil
localement à l’aide d’un terminal Linux.
• Vérifiez la licence dans ESET Server Security pour Linux.
• Vérifiez la licence dans ESET Endpoint Security pour Linux.
Rapport du tableau de bord de ESET Security Management Center
Accédez à Tableau de bord > Security Management Center Server et recherchez le rapport Homologues réseau
Security Management Center présentant des problèmes. S'il existe des entrées associées à ESET LiveGuard
Advanced, le service peut être temporairement indisponible.
Activation du produit
1.Accédez au menu Ordinateurs.
2.Cliquez sur l’ordinateur > Afficher les détails.
127
3.Ouvrez la section Détails en, puis cliquez sur l'onglet Produit et licences.
4.Recherchez la licence ESET LiveGuard Advanced. Si la licence n'est pas présente, activez le produit.
Configuration du produit
1.Accédez à Ordinateurs, cliquez sur l'ordinateur, sur Afficher les détails, Configuration et Demander la
configuration.
128
2.Lorsque la configuration est reçue (cliquez sur le bouton de rechargement (
) pour actualiser la vue),
cliquez sur Produit de sécurité > Ouvrir la configuration, sur Moteur de détection > Protection dans le
cloud et vérifiez si ESET LiveGrid® et ESET LiveGuard Advanced sont activés. Pour les produits serveur,
accédez à Ordinateur > Protection dans le cloud En cas de besoin, configurez la politique pour activer ESET
LiveGuard Advanced sur votre machine.
129
3.Si aucun produit de sécurité ne figure dans l'onglet Configuration après la réception de la configuration,
installez un produit de sécurité pris en charge par ESET sur la machine cible.
Résolution des problèmes liés au proxy HTTP Apache
ESET Bridge est la solution de proxy préférée pour les produits ESET.
ESET distribue ESET Bridge avec ESET PROTECT 10.0 (et version ultérieure) comme composant de proxy qui
remplace l’ancien proxy HTTP Apache. Consultez la comparaison entre ESET Bridge et le proxy HTTP
Apache.
Si ESET LiveGuard Advanced rencontre un problème et que le proxy HTTP Apache est utilisé pour mettre en cache
les communications, vous pouvez activer la journalisation des données de diagnostic pour que le proxy HTTP
Apache examine le problème. Vous pouvez fournir les journaux au support technique d'ESET pour une analyse
plus approfondie.
La journalisation des données de diagnostic est un processus qui exige un système très performant. Sachez que
vous risquez une perte de performances et utilisez-la seulement temporairement. Activez la journalisation
uniquement pendant la période nécessaire.
130
Activation de la journalisation des données de diagnostic pour le proxy
HTTP Apache
1.Arrêtez le service du proxy HTTP Apache à l'aide de la commande suivante : sc stop ApacheHttpProxy
2.Sauvegardez le fichier de configuration httpd.conf. Il se trouve généralement à l'emplacement suivant :
C:\Program Files\Apache HTTP Proxy\conf
3.Modifiez le fichier de configuration comme décrit ci-dessous.
a)Supprimez les marques de commentaires (supprimez le # au début) :
LoadModule log_config_module modules/mod_log_config.dll
b)Ajoutez la ligne suivante au début de la section <IfModule log_config_module> :
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"
\"%{cache-status}e\"" combined-cache
c)Commentez la ligne (ajoutez # au début) :
CustomLog "logs/access.log" common
d)Remplacez la ligne CacheLockMaxAge 10par CacheLockMaxAge 15
e)Remplacez la ligne ProxyTimeOut 900par ProxyTimeOut 1200
f)Dans la section <VirtualHost *:3128>, sous la ligne ServerName r.edtd.eset.com, ajoutez les
lignes suivantes :
<If "%{REQUEST_METHOD} == 'CONNECT'">
Require all denied
</If>
g)Remplacez la ligne :
ProxyPass / https://r.edtd.eset.com/ timeout=300 keepalive=On ttl=100 max=10
smax=10
par la ligne suivante :
ProxyPass / https://r.edtd.eset.com/ timeout=300 enablereuse=On keepalive=On
ttl=100 max=100 smax=10
h)Ajoutez les lignes suivantes à la fin du fichier :
ErrorLog '|"C:/Program Files/Apache HTTP Proxy/bin/rotatelogs.exe" n 10 "C:/Program Files/Apache HTTP Proxy/logs/error.log" 1M'
CustomLog '|"C:/Program Files/Apache HTTP Proxy/bin/rotatelogs.exe" n 10 "C:/Program Files/Apache HTTP Proxy/logs/access.log" 100M' combined-cache
4. Enregistrez le fichier httpd.conf, puis démarrez le service Apache HTTP Proxy :
sc start ApacheHttpProxy
Étapes suivantes
Conservez la journalisation activée uniquement pendant la période nécessaire et copiez les journaux après sa
désactivation. Les journaux sont situés aux emplacements suivants :
131
C:/Program Files/Apache HTTP Proxy/logs/error.log
C:/Program Files/Apache HTTP Proxy/logs/access.log
Pour désactiver la journalisation des données de diagnostic :
1.Arrêtez le service Apache HTTP Proxy.
2.Rétablissez le fichier de configuration à partir de la sauvegarde.
3.Démarrez le service Apache HTTP Proxy.
Sécurité pour ESET LiveGuard Advanced
Introduction
Ce document a pour but de résumer les pratiques et les contrôles de sécurité appliqués dans ESET LiveGuard
Advanced. Les pratiques et les contrôles de sécurité sont conçus pour protéger la confidentialité, l'intégrité et la
disponibilité des informations des clients. Notez que les pratiques et les contrôles de sécurité peuvent changer.
Portée
Ce document a pour but de résumer les pratiques et les contrôles de sécurité pour l'infrastructure ESET LiveGuard
Advanced, l'organisation, le personnel et les processus opérationnels. Les pratiques et contrôles de sécurité
comprennent :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Politiques de sécurité des informations
Organisation de la sécurité des informations
Sécurité des ressources humaines
Gestion des ressources
Contrôle d'accès
Chiffrement
Sécurité physique et environnementale
Sécurité des opérations
Sécurité des communications
Acquisition, développement et maintenance des systèmes
Relation avec les fournisseurs
Gestion des incidents de sécurité des informations
Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
Conformité
Notion de sécurité
La société ESET, spol. s r.o. est certifiée ISO 27001:2013 avec une portée de système de gestion intégrée couvrant
explicitement les services ESET LiveGuard Advanced.
Par conséquent, la notion de sécurité des informations utilise le cadre de la norme ISO 27001 pour mettre en
place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de
la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des
processus opérationnels. Les pratiques et les contrôles de sécurité appliqués sont censés se superposer et se
compléter.
132
Pratiques et contrôles de sécurité
1. Politiques de sécurité des informations
ESET utilise des politiques de sécurité des informations pour couvrir tous les aspects de la norme ISO 27001, y
compris la gouvernance de la sécurité des informations et les contrôles et pratiques de sécurité. Les politiques
sont révisées chaque année et mises à jour après des changements significatifs afin de s'assurer qu'elles restent
adaptées, adéquates et efficaces.
ESET effectue des révisions annuelles de cette politique et des contrôles de sécurité internes pour assurer la
cohérence avec cette politique. Le non-respect des politiques de sécurité des informations est sujet à des actions
disciplinaires pour les employés d'ESET ou à des pénalités contractuelles allant jusqu'à la résiliation du contrat
pour les fournisseurs.
2. Organisation de la sécurité des informations
L'organisation de la sécurité des informations pour ESET LiveGuard Advanced est composée de plusieurs équipes
et personnes impliquées dans la sécurité des informations et l'informatique, notamment :
Direction générale d'ESET
Équipes de sécurité internes d'ESET
Équipes informatiques chargées des applications métier
Autres équipes de soutien
Les responsabilités en matière de sécurité des informations sont attribuées conformément aux politiques de
sécurité des informations en vigueur. Les processus internes sont identifiés et évalués pour tout risque de
modification non autorisée ou non intentionnelle ou de mauvaise utilisation des ressources ESET. Les activités
risquées ou sensibles des processus internes adoptent le principe de la séparation des tâches pour limiter le
risque.
L'équipe juridique d'ESET est responsable des contacts avec les autorités gouvernementales, notamment les
régulateurs slovaques en matière de cybersécurité et de protection des données à caractère personnel. L'équipe
de sécurité interne d'ESET est chargée de contacter les groupes d'intérêt spéciaux tels que ISACA. L'équipe du
laboratoire de recherche d'ESET est responsable de la communication avec les autres entreprises de sécurité et la
communauté de la cybersécurité.
La sécurité des informations est prise en compte dans la gestion de projets en utilisant le cadre de gestion de
projets appliqué, de la conception à l'achèvement d'un projet.
Le travail à distance et le télétravail sont couverts par l'utilisation d'une politique appliquée aux appareils mobiles
qui inclut l'utilisation d'une protection cryptographique forte des données sur les appareils mobiles utilisant des
réseaux non approuvés lors des déplacements. Les contrôles de sécurité sur les appareils mobiles sont conçus
pour fonctionner indépendamment des réseaux internes et des systèmes internes d'ESET.
3. Sécurité des ressources humaines
ESET utilise des pratiques standard en ce qui concerne les ressources humaines, y compris des politiques conçues
pour maintenir la sécurité des informations. Ces pratiques couvrent l'ensemble du cycle de vie des employés, et
elles s'appliquent à toutes les équipes qui accèdent à l'environnement ESET LiveGuard Advanced.
133
4. Gestion des ressources
L'infrastructure ESET LiveGuard Advanced est incluse dans les inventaires de ressources d'ESET avec une propriété
stricte et des règles appliquées selon le type et la sensibilité des ressources. ESET possède un modèle de
classification interne défini. Toutes les données et configurations d'ESET LiveGuard Advanced sont classées
confidentielles.
5. Contrôle d'accès
La politique de contrôle d'accès d'ESET régit chaque accès dans ESET LiveGuard Advanced. Le contrôle d'accès est
défini au niveau de l'infrastructure, des services réseau, du système d'exploitation, de la base de données et des
applications. La gestion complète des accès des utilisateurs au niveau des applications est autonome.
L'accès au back-end d'ESET est strictement limité aux personnes et aux rôles autorisés. Les processus standard
d'ESET pour l'inscription/la désinscription, l'attribution/l'annulation de l'attribution des utilisateurs, la gestion des
privilèges et la révision des droits d'accès des utilisateurs sont utilisés pour gérer l'accès des employés d'ESET aux
infrastructures et aux réseaux d'ESET LiveGuard Advanced.
Une authentification forte est en place pour protéger l'accès à toutes les données d'ESET LiveGuard Advanced.
6. Chiffrement
Un chiffrement fort (SSL) est en place pour chiffrer les données en transit afin de protéger les données d'ESET
LiveGuard Advanced.
7. Sécurité physique et environnementale
ESET LiveGuard Advanced est basé sur le cloud. ESET s'appuie sur un cloud privé et le cloud Microsoft Azure.
L'emplacement physique du centre de données du cloud privé est exclusivement dans l'Union européenne (UE).
Microsoft Azure ne se limite pas au territoire de l'Union européenne ; toutefois, il ne sert qu'à stocker des
hachages à sens unique créés à partir de fichiers soumis sans inclure de données à caractère personnel. Un
chiffrement fort est en place pour protéger les données des clients pendant le transport.
8. Sécurité des opérations
Le service ESET LiveGuard Advanced est exploité par des moyens automatisés basés sur des procédures
opérationnelles et des modèles de configuration stricts. Toutes les modifications, y compris les changements de
configuration et le déploiement de nouveaux packages, sont approuvées et testées dans un environnement de
test dédié avant d'être déployées en production. Les environnements de développement, de test et de
production sont séparés les uns des autres. Les données d'ESET LiveGuard Advanced sont situées uniquement
dans l’environnement de production.
L’environnement ESET LiveGuard Advanced est supervisé à l'aide d'une surveillance opérationnelle pour identifier
rapidement les problèmes et fournir les capacités suffisantes à tous les services au niveau du réseau et des hôtes.
Toutes les données de configuration sont stockées dans nos répertoires régulièrement sauvegardés afin de
permettre une récupération automatisée de la configuration d'un environnement. Les sauvegardes de données
d'ESET LiveGuard Advanced sont stockées à la fois sur site et hors site..
Les sauvegardes sont chiffrées et leur capacité de récupération est régulièrement testée dans le cadre des tests
de continuité de l'activité.
L'audit des systèmes est réalisé conformément aux normes et directives internes. Les journaux et les événements
134
de l'infrastructure, du système d'exploitation, de la base de données, des serveurs d'applications et des contrôles
de sécurité sont collectés en permanence. Les journaux sont ensuite traités par les équipes informatiques et de
sécurité internes afin d'identifier les anomalies opérationnelles et de sécurité et les incidents de sécurité des
informations.
ESET utilise un processus général de gestion des vulnérabilités techniques pour traiter l'apparition de
vulnérabilités dans l'infrastructure ESET, notamment ESET LiveGuard Advanced et d'autres produits ESET. Ce
processus comprend une analyse proactive des vulnérabilités et des tests de pénétration répétés de
l'infrastructure, des produits et des applications.
ESET donne des directives internes pour la sécurité de l'infrastructure interne, des réseaux, des systèmes
d'exploitation, des bases de données, des serveurs d'applications et des applications. Ces directives sont vérifiées
par le biais d'un contrôle de conformité technique et de notre programme interne d'audit de sécurité des
informations.
9. Sécurité des communications
L'environnement ESET LiveGuard Advanced est segmenté par le biais d'une segmentation cloud native, l'accès au
réseau étant limité uniquement aux services nécessaires entre les segments réseau. La disponibilité des services
réseau est assurée par des contrôles natifs du cloud, tels que les zones de disponibilité, l'équilibrage des charges
et la redondance. Des composants d'équilibrage de charge dédiés sont déployés pour fournir des endpoints
spécifiques pour le routage des instances ESET LiveGuard Advanced qui appliquent l'autorisation du trafic et
l'équilibrage de charge. Le trafic réseau est surveillé en permanence pour détecter les anomalies opérationnelles
et de sécurité. Les attaques potentielles peuvent être résolues en utilisant des contrôles natifs du cloud ou des
solutions de sécurité déployées. Toutes les communications réseau sont chiffrées par des techniques
généralement disponibles, notamment IPsec et TLS.
10. Acquisition, développement et maintenance des systèmes
Le développement des systèmes ESET LiveGuard Advanced est réalisé conformément à la politique de
développement de logiciels sécurisés d'ESET. Les équipes de sécurité internes sont incluses dans le projet de
développement d'ESET LiveGuard Advanced dès la phase initiale et supervisent toutes les activités de
développement et de maintenance. L'équipe de sécurité interne définit et vérifie le respect des exigences de
sécurité à différents stades du développement du logiciel. La sécurité de tous les services, y compris ceux
nouvellement développés, est testée en permanence après leur mise en service.
11. Relation avec les fournisseurs
Une relation pertinente avec les fournisseurs est entretenue selon les directives valides d'ESET, qui couvrent
l'ensemble de la gestion de la relation et les exigences contractuelles du point de vue de la sécurité des
informations et de la confidentialité. La qualité et la sécurité des services fournis par les fournisseurs de services
critiques sont évaluées régulièrement.
En outre, ESET utilise le principe de portabilité pour ESET LiveGuard Advanced afin d'éviter le verrouillage des
fournisseurs.
12. Gestion de la sécurité des informations
La gestion des incidents de sécurité des informations dans ESET LiveGuard Advanced est effectuée de manière
similaire aux autres infrastructures ESET et s'appuie sur des procédures définies de réponse aux incidents. Les
rôles au sein de la réponse aux incidents sont définis et répartis entre plusieurs équipes, notamment le service
informatique, le service de sécurité, le service juridique, les ressources humaines, les relations publiques et la
135
direction générale. L'équipe de réponse à un incident est établie en fonction du triage de l'incident par l'équipe de
sécurité interne. Cette équipe assurera la coordination des autres équipes chargées de l'incident. L'équipe de
sécurité interne est également responsable de la collecte des preuves et des enseignements tirés. L'occurrence et
la résolution des incidents sont communiquées aux parties concernées. L'équipe juridique d'ESET est chargée de
notifier les organismes de réglementation si nécessaire, conformément au règlement général sur la protection
des données (RGPD) et à la loi sur la cybersécurité transposant la directive sur la sécurité des réseaux et de
l'information (NIS).
13. Aspects de la gestion de la continuité d'activité liés à la sécurité des informations
La continuité opérationnelle du service ESET LiveGuard Advanced est codifiée dans l'architecture robuste utilisée
pour maximiser la disponibilité des services fournis. Une restauration complète à partir des données de
sauvegarde et de configuration hors site est possible en cas de défaillance catastrophique de tous les nœuds
redondants des composants ESET LiveGuard Advanced ou du service ESET LiveGuard Advanced. Le processus de
restauration est testé régulièrement.
14. Conformité
La conformité aux exigences réglementaires et contractuelles d'ESET LiveGuard Advanced est régulièrement
évaluée et examinée de la même manière que les autres infrastructures et processus d'ESET, et les mesures
nécessaires sont prises pour assurer la conformité de manière continue. ESET est enregistré en tant que
fournisseur de services numériques pour le service numérique de cloud computing couvrant plusieurs services
ESET, notamment ESET LiveGuard Advanced. Notez que les activités de conformité d'ESET ne signifient pas
nécessairement que les exigences de conformité globales des clients sont satisfaites en tant que telles.
Politique d'utilisation équitable
Description de la politique d’utilisation équitable
La politique d’utilisation équitable indique une limite pour le nombre de fichiers téléchargés depuis un client. La
limite de fichiers s’applique à des licences groupées ESET LiveGuard Advanced. Pour plus d’informations,
reportez-vous au tableau ci-dessous.
La limite de fichiers est la suivante : 50 fichiers/appareil/mois. Le nombre de fichiers est comptabilisé pour tous
les ordinateurs. Un ordinateur peut donc envoyer plus de fichiers si un autre en envoie moins.
Par exemple :
• Un client disposant de 500 appareils peut télécharger jusqu’à 25 000 échantillons par mois.
• Un client disposant de 10 000 appareils peut télécharger jusqu’à 500 000 échantillons par mois.
Propriétés des offres groupées ESET LiveGuard Advanced
Reportez-vous au tableau ci-dessous pour obtenir la liste des offres groupées ESET LiveGuard Advanced et de
leurs propriétés.
136
Nom de l’offre
groupée
Nombre
minimal
d'appareils
Disponible
pour ESMC /
ESET
PROTECT
Disponible
pour ESET
PROTECT
Cloud
La licence
permet à
l’utilisateur de
créer une
instance ESET
PROTECT
Cloud.
Disponible dans
ESET MSP
Administrator 2
Limite de
fichiers
ESET LiveGuard
Advanced
5
Non
ESET PROTECT
Complete
5
Oui
ESET PROTECT Mail
Plus
ESET PROTECT
Advanced
Oui
5
Oui
ESET Dynamic
5
Endpoint Protection
Oui
ESET Dynamic
5
Endpoint Protection
- Antivirus Level
Oui
ESET Targeted
Attack Protection
Oui
250
Ne pas avoir de limite de fichiers
Contactez votre partenaire ESET pour obtenir des informations supplémentaires sur les licences groupées sans
limite de fichiers.
Vérification du nombre de fichiers envoyés
Utilisez le rapport dans la console de gestion pour obtenir le nombre de fichiers téléchargés.
Exclusion de certains fichiers de l’envoi
Si vous dépassez la limite de téléchargement de fichiers, examinez les fichiers que vous envoyez et envisagez
d'exclure les dossiers contenant un nombre excessif de fichiers envoyés et pour lesquels vous n'avez aucun doute
quant à la fiabilité. Certaines applications ou certains outils de développeur peuvent générer un nombre excessif
de fichiers qui ne constituent pas une menace ou n’ont pas besoin d’être envoyés. Diminuez le nombre de fichiers
téléchargés en analysant les statistiques de téléchargement et en ajoutant des exclusions.
Politique de confidentialité
La protection des données personnelles revêt une importance particulière pour ESET, spol. s r.o., dont le siège
social est établi au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au registre du commerce administré
par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise :
31333532 en tant que Responsable du traitement des données ("ESET" ou « Nous"). Nous souhaitons nous
conformer à l'exigence de transparence telle qu'elle est légalement normalisée par le Règlement général sur la
protection des données de l'UE ("RGPD"). Pour atteindre cet objectif, nous publions la présente Politique de
confidentialité dans le seul but d'informer notre client ("Utilisateur final" ou "Vous"), en tant que personne
concernée, des sujets suivants relatifs à la protection des données personnelles :
137
• Base juridique du traitement des données personnelles,
• Partage des données et confidentialité,
• Sécurité des données,
• Vos Droits en tant que Personne concernée,
• Traitement de Vos données personnelles
• Coordonnées.
Traitement de Vos données personnelles
Les services ESET qui sont implémentés dans le produit Web sont fournis selon les termes des Conditions
d'utilisation (« CU »), mais certains d'entre eux peuvent nécessiter une attention particulière. Nous souhaitons
Vous donner plus de détails sur le traitement des données lié à la fourniture de nos produits et services. Nous
proposons différents services qui sont décrits dans les Conditions particulières et la documentation. Pour que
tous ces services soient fonctionnels, Nous devons collecter les informations suivantes :
• Des échantillons tels que les fichiers prédéfinis et sélectionnés par l'Utilisateur final sont téléchargés vers
le service ESET pour analyse. Le résultat vous est renvoyé. Des métadonnées sont collectées dans votre
console de gestion installée localement. Celles-ci doivent être répertoriées comme étant prises en charge.
• Des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le
nom, le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de
l'authenticité de la licence et la fourniture de nos services.
• Des coordonnées et des données contenues dans vos demandes d'assistance sont requises pour la
fourniture du service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons
collecter votre adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur le
produit et la description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir
d'autres informations pour faciliter la fourniture du service d'assistance.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère parfois impossible. Des
données collectées accidentellement peuvent être incluses dans des logiciels malveillants (informations collectées
à votre insu ou sans votre consentement) ou dans des documents. Nous ne souhaitons pas que ces données
fassent partie de nos systèmes ni qu'elles soient traitées dans le but déclaré dans la présente Politique de
confidentialité.
Partage des données et confidentialité
Nous ne partageons pas vos données avec des tiers. Cependant, ESET est une entreprise présente dans le monde
entier par le biais de sociétés affiliées et de partenaires du réseau de vente, de service et d'assistance ESET. Les
informations relatives aux licences, à la facturation et à l'assistance technique traitées par ESET peuvent être
transférées depuis et vers les sociétés affiliées ou les partenaires dans le but de respecter le Contrat de licence
pour l'utilisateur final (pour la fourniture de services ou l'assistance, par exemple).
ESET préfère traiter ses données dans l’Union européenne (EU). Toutefois, en fonction de votre localisation
(utilisation de nos produits et/ou services en dehors de l'UE) et/ou du service que vous choisissez, il peut être
nécessaire de transférer vos données vers un pays situé en dehors de l'UE. Nous utilisons par exemple des
services tiers dans le cadre du cloud computing. Dans ces cas, nous sélectionnons soigneusement nos fournisseurs
138
de services et garantissons un niveau approprié de protection des données par des mesures contractuelles,
techniques et organisationnelles. En règle générale, nous nous mettons d'accord sur les clauses contractuelles
types de l'UE et, si nécessaire, sur des dispositions contractuelles complémentaires.
Pour certains pays hors de l'UE, comme le Royaume-Uni et la Suisse, l'UE a déjà déterminé un niveau comparable
de protection des données. En raison du niveau comparable de protection des données, le transfert de données
vers ces pays ne nécessite aucune autorisation ou accord particulier.
Nous nous appuyons sur des services tiers liés au cloud computing fournis par Microsoft en tant que fournisseur
de services cloud.
Droits des personnes concernées
Les droits de chaque Utilisateur final sont importants et Nous aimerions vous informer que tous les Utilisateurs
finaux (de n'importe quel pays de l'UE ou hors de l'UE) ont les droits ci-après garantis chez ESET. Pour exercer les
droits de la personne concernée, vous pouvez nous contacter par le biais du formulaire d'assistance ou par e-mail
à l'adresse suivante : dpo@eset.sk. À des fins d'identification, nous vous demandons les informations suivantes :
Nom, adresse e-mail et - le cas échéant - clé de licence ou numéro de client et affiliation à la société. Veuillez vous
abstenir de nous envoyer d'autres données personnelles, telles que votre date de naissance. Nous tenons à
souligner que pour pouvoir traiter votre demande, ainsi qu'à des fins d'identification, nous traiterons vos données
personnelles.
Droit de retirer le consentement. Le droit de retirer le consentement est applicable en cas de traitement fondé
sur le consentement uniquement. Si Nous traitons vos données personnelles sur la base de votre consentement,
vous avez le droit de retirer ce consentement à tout moment sans donner de raisons. Le retrait de votre
consentement n'est effectif que pour l'avenir et n'affecte pas la légalité des données traitées avant le retrait.
Droit d'opposition. Le droit de s'opposer au traitement est applicable en cas de traitement fondé sur l'intérêt
légitime d'ESET ou d'un tiers. Si Nous traitons vos données personnelles pour protéger un intérêt légitime, Vous,
en tant que personne concernée, avez le droit de vous opposer à l'intérêt légitime nommé par nous et au
traitement de vos données personnelles à tout moment. Votre opposition n'a d'effet que pour l'avenir et
n'affecte pas la licéité des données traitées avant l'opposition. Si nous traitons vos données personnelles à des
fins de marketing direct, il n'est pas nécessaire de motiver votre objection. Il en est de même pour le profilage,
dans la mesure où il est lié au marketing direct. Dans tous les autres cas, nous vous demandons de nous informer
brièvement de vos plaintes contre l'intérêt légitime d'ESET à traiter vos données personnelles.
Veuillez noter que dans certains cas, malgré le retrait de votre consentement, nous avons le droit de traiter
ultérieurement vos données personnelles sur la base d'une autre base juridique, par exemple, pour l'exécution
d'un contrat.
Droit d'accès. En tant que personne concernée, vous avez le droit d'obtenir gratuitement et à tout moment des
informations sur vos données stockées par ESET.
Droit à la rectification. Si nous traitons par inadvertance des données personnelles incorrectes vous concernant,
vous avez le droit de les faire corriger.
Droit à l'effacement et droit à la restriction du traitement. En tant que personne concernée, vous avez le droit
de demander la suppression ou la restriction du traitement de vos données personnelles. Si nous traitons vos
données personnelles, par exemple avec votre consentement, que vous le retirez et qu'il n'existe pas d'autre base
juridique, par exemple un contrat, nous supprimons immédiatement vos données personnelles. Vos données
personnelles seront également supprimées dès qu'elles ne seront plus nécessaires aux fins énoncées à la fin de
notre période de conservation.
139
Si nous utilisons vos données personnelles dans le seul but de marketing direct et que vous avez révoqué votre
consentement ou que vous vous êtes opposé à l'intérêt légitime sous-jacent d'ESET, Nous limiterons le traitement
de vos données personnelles dans la mesure où nous inclurons vos coordonnées dans notre liste noire interne
afin d'éviter tout contact non sollicité. Dans le cas contraire, vos données personnelles seront supprimées.
Veuillez noter que Nous pouvons être tenus de conserver vos données jusqu'à l'expiration des obligations et
périodes de conservation émises par le législateur ou les autorités de contrôle. Les obligations et les périodes de
conservation peuvent également résulter de la législation slovaque. Par la suite, les données correspondantes
seront systématiquement supprimées.
Droit à la portabilité des données. Nous sommes heureux de vous fournir, en tant que personne concernée, les
données personnelles traitées par ESET au format xls.
Droit de porter plainte. En tant que personne concernée, Vous avez le droit de déposer une plainte auprès d'une
autorité de contrôle à tout moment. ESET est soumise à la réglementation des lois slovaques et est tenue de
respecter la législation en matière de protection des données de l'Union européenne. L'autorité de contrôle des
données compétente est l'Office pour la protection des données personnelles de la République slovaque, situé à
Hraničná 12, 82007 Bratislava 27, Slovak Republic.
Nous pensons que toutes les informations que nous traitons sont utiles et nécessaires pour fournir les services et
produits à nos clients.
Coordonnées
Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute,
envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
dpo@eset.sk
Conditions d'utilisation
Les présentes Conditions d'utilisation (« Conditions ») constituent un accord spécial entre ESET, spol. s r. o., dont
le siège social est sis Einsteinova 24, 85101 Bratislava, Slovak Republic, inscrite au registre du commerce
administré par le Tribunal de première instance de Bratislava I, Section Sro, entrée n° 3586/B, immatriculation au
registre du commerce : 31333532 (« ESET » ou « Fournisseur ») et vous, une personne physique ou morale
(« Vous » ou « Utilisateur ») qui utilise le service en ligne ESET LiveGuard Advanced détenu, contrôlé et fourni par
ESET (« ESET LiveGuard Advanced »). Si vous utilisez ESET LiveGuard Advanced au nom d’une société, cela signifie
que vous acceptez ces conditions au nom de cette société et que vous garantissez que vous disposez de l’autorité
requise pour l’engager à respecter ces conditions. Dans ce cas, les termes « Utilisateur » et « Vous » désigneront
cette société. Lisez attentivement les présentes conditions. Celles-ci concernent également les services fournis
par ESET par l'intermédiaire d'ESET LiveGuard Advanced ou en relation avec celui-ci. Les conditions spécifiques
d'utilisation de services individuels au-delà des limites des présentes Conditions sont mentionnées avec chaque
service, leur acceptation faisant partie du processus d'activation du service.
140
Sécurité et protection des données
ESET LiveGuard Advanced permet l'accès aux services fournis par ESET. Le nom complet de l'utilisateur, le nom de
la société, le pays, l'adresse e-mail valide, le numéro de téléphone, les statistiques et données de licence de
l'utilisateur sont nécessaires à l'enregistrement et à l'utilisation d'ESET LiveGuard Advanced, ainsi qu'à la
fourniture et à la maintenance des services ESET LiveGuard Advanced. Vous acceptez par la présente que les
données soient collectées et transférées aux serveurs du Fournisseur ou à ceux de ses partenaires, dans le but
d'assurer le fonctionnement du Compte, l'autorisation d'utiliser le Logiciel et la protection des droits du
Fournisseur. Après la conclusion du présent Contrat, le Fournisseur et ses partenaires sont autorisés à transférer,
à traiter et à stocker des données essentielles vous identifiant, aux fins d'assistance et d'exécution du présent
Contrat. Vous n'êtes autorisé à utiliser ESET LiveGuard Advanced que de la manière et aux fins prévues dans les
présentes Conditions, les conditions de chaque service et la documentation.
Pour fournir le service ESET LiveGuard Advanced, l'envoi de fichiers est nécessaire (ci-après, les « Données »). Les
Données sont fournies par Vous à ESET uniquement dans le but de fournir le service ESET LiveGuard Advanced.
Les Données seront traitées et stockées conformément aux politiques et aux pratiques de sécurité d'ESET, ainsi
qu'en accord avec la politique de confidentialité.
Des informations détaillées sur la vie privée, la protection des données personnelles et vos droits en tant que
personne concernée figurent dans la Politique de confidentialité.
Politique d'utilisation équitable
Vous êtes obligé de respecter les limites techniques stipulées dans la documentation. Vous acceptez d'utiliser le
Compte et ses fonctions uniquement de façon à ne pas entraver la possibilité des autres Utilisateurs à accéder à
ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services fournis à chacun des Utilisateurs
individuels, pour permettre l'utilisation des services au plus grand nombre possible d'Utilisateurs. Le fait de limiter
l'étendue des services impliquera aussi la résiliation totale de la possibilité d'utiliser toute fonction du Compte
ainsi que la suppression des données et des informations.
Des informations sur la Politique d'utilisation équitable figurent dans la Politique d'utilisation équitable.
Logiciel
ESET ou ses fournisseurs respectifs possèdent ou peuvent exercer un droit de propriété sur les sites Web du
Compte (ci-après, le « Logiciel »). Le Logiciel ne peut être utilisé que conformément au Contrat de licence de
l'Utilisateur final (ci-après, le « CLUF »). Le CLUF est fourni avec le Logiciel, ou fait partie de celui-ci. Le Logiciel
fourni avec le CLUF ne peut pas être installé sans le consentement de l'utilisateur au CLUF. D'autres informations
relatives à l'octroi de licence, aux droits de propriété intellectuelle, à la documentation et aux marques de
commerce sont stipulées dans les Informations juridiques.
Restrictions
Vous ne pouvez pas copier, distribuer, extraire des composants, ni créer des travaux dérivés basés sur le Compte.
Vous devez respecter les restrictions suivantes lorsque vous utilisez le Compte :
(a) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du
Compte ou de ses composants d’aucune manière autre que celles prévues dans les présentes Conditions.
(b) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ni louer ou utiliser le Compte pour offrir des
services commerciaux.
141
(c) Vous ne pouvez pas rétroconcevoir, décompiler, désassembler le Compte ni tenter de toute autre façon de
découvrir le code source du Compte, sauf dans la mesure où cette restriction est expressément interdite par la loi.
(d) Vous acceptez de n’utiliser le Compte que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Compte, y compris, mais sans s'y limiter, les restrictions applicables relatives aux droits
d’auteur et aux droits de propriété intellectuelle.
Clause de non-responsabilité
EN TANT QU’UTILISATEUR, VOUS RECONNAISSEZ QUE LE COMPTE AINSI QUE LES SERVICES SONT FOURNIS « EN
L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE
PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI LES
DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU N’ACCORDENT DE GARANTIE
EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE CONFORMITÉ À UN
OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE COMPTE OU LES SERVICES NE PORTENT PAS ATTEINTE À DES
BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI
AUCUN AUTRE TIERS NE GARANTISSENT QUE LE COMPTE OU LES SERVICES RÉPONDRONT À VOS ATTENTES OU
QUE LE FONCTIONNEMENT DU COMPTE OU DES SERVICES SERA CONTINU OU EXEMPT D'ERREURS. VOUS
ASSUMEZ L'ENTIÈRE RESPONSABILITÉ ET L'ENSEMBLE DES RISQUES LIÉS À LA SÉLECTION DU COMPTE ET DES
SERVICES ET À LEUR UTILISATION EN VUE D'OBTENIR LES RÉSULTATS ATTENDUS, TOUT COMME VOUS ASSUMEZ
LES RÉSULTATS DÉCOULANT DE LEUR UTILISATION.
À l’exception des obligations mentionnées explicitement dans le présent Contrat, aucune obligation
supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
Limitation de responsabilité
DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES
CONTRACTANTS NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE
PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE
DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES,
OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU
CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DLE D’UNE RESPONSABILITÉ CONTRACTUELLE,
DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L’INSTALLATION,
À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE COMPTE, MÊME SI LE FOURNISSEUR OU SES
CONTRACTANTS ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS
N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA
RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONTRACTANTS SERA LIMITÉE AU MONTANT
QUE VOUS AVEZ PAYÉ POUR LE SERVICE OU LE COMPTE EN QUESTION.
Conformité aux contrôles à l'exportation
(a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le
Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner
ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités
contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences
négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent :
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la
réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées
par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
142
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre des présentes conditions doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou
mène ses activités et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction
d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou
mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout
pays dans lequel les obligations au titre des présentes conditions doivent être exécutées, ou dans lequel ESET ou
l'une de ses filiales est établie ou mène ses activités (les actes juridiques mentionnés aux points i, et ii. ci-dessus
étant appelés ensemble « Lois sur le contrôle à l'exportation »).
(b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet
immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de la
section (a) de la présente clause de conformité aux contrôles à l'exportation des présentes conditions ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent,
ESET estime raisonnablement que l'exécution continue de ses obligations en vertu des présentes conditions
pourrait entraîner ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des
Lois sur le contrôle à l'exportation.
(c) Rien dans les présentes conditions ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une
des parties à agir ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit
incompatible, pénalisée ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable.
Régime juridique et linguistique
Les présentes Conditions sont régies par les lois de la République slovaque et interprétée conformément à cellesci. L'Utilisateur Final et le Fournisseur conviennent que les dispositions relatives aux conflits de la loi applicable et
la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s'appliquent
pas. Si vous êtes un consommateur ayant sa résidence habituelle dans l'UE, Vous bénéficiez également d'une
protection supplémentaire qui Vous est accordée par les dispositions légales obligatoires applicables dans votre
pays de résidence.
Vous acceptez expressément que le Tribunal de première instance de Bratislava I, Slovaquie, constitue la
juridiction exclusive pour tout conflit ou litige avec le Fournisseur, ou en relation avec votre utilisation du Logiciel,
du Compte ou des Services ou découlant des présentes Conditions ou des Conditions spéciales (le cas échéant).
Vous reconnaissez et acceptez l’exercice de la juridiction personnelle du Tribunal de première instance de
Bratislava I en ce qui concerne la résolution de tels conflits ou litiges. Si Vous êtes un consommateur et que vous
avez votre résidence habituelle dans l'UE, Vous pouvez également introduire une action pour faire valoir vos
droits de consommateur dans le lieu de la juridiction exclusive ou dans le pays de l'UE dans lequel Vous vivez. En
outre, vous pouvez également utiliser une plateforme de résolution des litiges en ligne, accessible à l'adresse
suivante : https://ec.europa.eu/consumers/odr/. Toutefois, pensez à nous contacter d'abord avant de présenter
une réclamation officielle.
En cas de divergence entre les versions linguistiques des présentes Conditions, la version en langue anglaise
disponible ici prévaut toujours.
143
Dispositions générales
ESET se réserve le droit de réviser ces Conditions et la documentation ou toute partie de celles-ci à tout moment,
en mettant à jour le contenu approprié afin de refléter les modifications apportées à une loi ou au Compte. Vous
serez averti de toute révision des présentes Conditions par l'intermédiaire du Compte. Si vous n'êtes pas d'accord
avec les modifications de ces Conditions d'utilisation, vous pouvez annuler votre Compte. À moins que Vous
n'annuliez votre Compte après avoir été informé des modifications, Vous êtes lié par toute modification ou
révision des présentes Conditions. Nous vous conseillons de consulter régulièrement cette page afin de vérifier les
CDU s’appliquant actuellement à l’utilisation du Compte.
Avis
Tous les avis doivent être adressés à : ESET, spol. s r. o., Einsteinova 24, 85101 Bratislava, Slovak Republic.
Annexe n° 1
Contrat de licence de l'utilisateur final ESET Management Agent
Annexe n° 2
Accord sur le traitement des données
Annexe n° 3
Clauses contractuelles types
Contrat de licence pour l'utilisateur final ESET
Management Agent
En vigueur à compter du 19 octobre 2021.
IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit stipulés ci-dessous
avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, INSTALLANT, COPIANT
OU UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ AVOIR PRIS
CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par et entre ESET, spol. s
r. o., dont le siège social se situe au Einsteinova 24, 85101 Bratislava, Slovak Republic, inscrite au Registre du
Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises :
31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »),
vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités
indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un support de
données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur
ou obtenu à partir d'autres sources.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le
Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage
commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent
144
Contrat.
En cliquant sur « J’accepte » ou « J’accepte... » lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel,
vous acceptez les termes et conditions du présent Contrat et reconnaissez avoir pris connaissance de la Politique
de confidentialité. Si vous n’êtes pas d’accord avec tous les termes et conditions du présent Contrat et/ou de la
Politique de confidentialité, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou
l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture
au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE
PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS.
1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous
ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces
jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni
sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents
explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses
caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système
d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de
l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du
Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si
elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent
Contrat. Le Logiciel est fourni exclusivement sous la forme d'un code objet exécutable.
2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier
électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources
nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au
moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la
Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel
susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les
ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils
électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera
installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes
spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de
l'extension de la durée de la Licence conformément au présent Contrat.
3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les
termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence
») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le
disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de
stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On
entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue
de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui
reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du
courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre
d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier
électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre
d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des
145
services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par
l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du
côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas
utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la
Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite
découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez
pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou
le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur.
c) Home/Business Edition. Une version Home Edition du Logiciel doit être utilisée exclusivement dans des
environnements privés et/ou non commerciaux, pour un usage domestique et familial uniquement. Une version
Business Edition du Logiciel est requise pour l'utiliser dans un environnement commercial ainsi que pour utiliser le
Logiciel sur des serveurs de messagerie, relais de messagerie, passerelles de messagerie ou passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. Les logiciels classés comme achetés à un fabricant
d'équipement informatique sont limités à l'ordinateur avec lequel vous les avez obtenus. Elle ne peut pas être
transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou
comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou
d’évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été
accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au
Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas
d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le
Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des
fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers.
4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner
correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs
du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de confidentialité.
Une connexion Internet et une collecte de données sont requises pour le bon fonctionnement du Logiciel et pour
la mise à jour et la mise à niveau de celui-ci. Le Fournisseur est autorisé à publier des mises à jour ou des mises à
niveau du Logiciel (« Mises à jour »), mais n’en a pas l’obligation. Cette fonction est activée dans la configuration
standard du Logiciel ; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé
l’installation automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de
l'authenticité de la Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur
et/ou la plate-forme sur lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité.
La fourniture des mises à jour peut être soumise à la Politique de fin de vie (« Politique de fin de vie »), qui est
disponible à l'adresse suivante : https://go.eset.com/eol_business. Aucune mise à jour ne sera fournie après que
le Logiciel ou l'une de ses fonctionnalités ait atteint la date de fin de vie telle que définie dans la Politique de fin
de vie.
Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au
Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur
vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent
Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées
pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses
146
partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir
les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur.
Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau
de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données
essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de
notifications sur votre Ordinateur.
Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que
personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et
directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du
Logiciel.
5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou par
l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos
opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence.
6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux
dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à
condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes
les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat.
b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel
ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat.
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour
offrir des services commerciaux.
d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de
découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits
de propriété intellectuelle.
f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres
Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services
fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible
d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité
d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les
serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux
termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à
utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de
licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une
source autre que le Fournisseur).
7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété
intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions
des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La
147
structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations
confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel,
sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent
Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel.
Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le
code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi
obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès
que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du
présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous
sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs
plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le
Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une
Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous
pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos
frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou
ses partenaires commerciaux. Votre droit d'utiliser le Logiciel et l'une de ses fonctionnalités peut être soumis à la
Politique de fin de vie. Lorsque le logiciel ou l'une de ses fonctionnalités atteint la date de fin de vie définie dans la
Politique de fin de vie, votre droit d'utiliser le logiciel prend fin. Quelle que soit la façon dont ce Contrat se
termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée
illimitée.
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE
LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU
IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE
LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION
OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE
VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE
À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR
NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE
LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE
RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET
POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent
Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR,
SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE
QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU
SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE
DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE
GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE
D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE
RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME
SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE.
148
CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA
LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES
CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant
comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur
discrétion, sans garantie ni déclaration solennelle. Aucune assistance technique ne sera fournie après que le
Logiciel ou l'une de ses fonctionnalités ait atteint la date de fin de vie telle que définie dans la Politique de fin de
vie. L’Utilisateur Final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant
que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus
responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de
matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les
tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du
problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa
discrétion. Des informations de licence, d'autres informations et des données conformes à la Politique de
confidentialité peuvent être requises en vue de fournir une assistance technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins
d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer
de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec
l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i)
l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire
qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final
assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final
d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du
Logiciel, conformément à l’article 17.
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de
l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par
le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un
courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur
et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la
Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs
publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans
le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le
Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner
ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités
contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences
négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la
réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées
par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses
149
activités et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction
d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou
mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout
pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses
filiales est établie ou mène ses activités.
(les actes juridiques mentionnés aux points i, et ii. ci-dessus étant appelés ensemble « Lois sur le contrôle à
l'exportation »).
b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet
immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de
l'Article 19 a) du Contrat ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent,
ESET estime raisonnablement que l'exécution continue de ses obligations en vertu de l'accord pourrait entraîner
ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle
à l'exportation.
c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une des parties à agir
ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit incompatible, pénalisée
ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o.,
Einsteinova 24, 85101 Bratislava, Slovak Republic, sans préjudice du droit d'ESET de Vous communiquer toute
modification du présent Contrat, des Politiques de confidentialité, de la Politique de fin de vie et de la
documentation conformément à l'article 22 du Contrat. ESET peut Vous envoyer des e-mails, des notifications
intégrés à l’application via le Logiciel ou publier la communication sur son site web. Vous acceptez de recevoir des
communications légales d'ESET sous forme électronique, y compris toute communication sur la modification des
Conditions, des Conditions particulières ou des Politiques de confidentialité, toute proposition/acceptation de
contrat ou invitation à traiter, avis ou autres communications légales. Ces communications électroniques sont
réputées avoir été reçues par écrit, sauf si les lois applicables exigent spécifiquement une autre forme de
communication.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à
celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable
et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent
pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur
ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction
pour de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas
la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu
des conditions stipulées dans le présent Contrat. Le présent Contrat a été signé en anglais. Si une traduction du
Contrat est préparée pour des raisons de commodité ou pour toute autre raison, ou en cas de discordance entre
les versions linguistiques du présent Contrat, seule la version en langue anglaise fait foi.
ESET se réserve le droit d'apporter des modifications au Logiciel ainsi que de réviser les conditions du présent
Contrat, des Annexes, des Addendums, de la Politique de confidentialité, de la Politique de fin de vie et de la
150
Documentation ou toute partie de celle-ci à tout moment en mettant à jour le document approprié (i) pour
refléter les modifications apportées au Logiciel ou dans la façon dont ESET mène ses activités, (ii) pour des raisons
légales, réglementaires ou de sécurité, ou (iii) pour éviter tout abus ou dommage. Vous serez averti de toute
révision du Contrat par e-mail, par le biais d'une notification intégrée à l'application ou par d’autres moyens
électroniques. Si vous n'êtes pas d'accord avec les modifications proposées au Contrat, vous pouvez le résilier
conformément à l'article 10, dans les 30 jours suivant la réception d'une notification de la modification. À moins
que Vous ne résiliez le Contrat dans ce délai, les modifications proposées seront considérées comme acceptées et
prendront effet à Votre égard à la date à laquelle vous avez reçu une notification de la modification.
Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel, et il remplace toute
représentation, discussion, entreprise, communication ou publicité antérieure en relation avec le Logiciel.
ADDENDUM AU CONTRAT
Communications et Gestion des données. Des dispositions supplémentaires s'appliquent aux Communications et
à la Gestion des données comme suit :
Le Logiciel contient une fonction qui permet le transfert d'informations entre l'Ordinateur et le logiciel
d'administration à distance. Les informations, qui sont sujettes au transfert, contiennent des données
d'administration telles que des informations sur le matériel et les logiciels de l'ordinateur administré ainsi que des
instructions d'administration provenant du logiciel d'administration à distance. Le contenu des autres données
transférées depuis l'Ordinateur doit être déterminé par les paramètres du logiciel installé sur l'Ordinateur. Le
contenu des instructions du logiciel d'administration doit être déterminé par les paramètres du logiciel
d'administration à distance.
EULAID: EULA-PRODUCT-AGENT; 3537.0
Accord sur le traitement des données
Conformément aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
sur la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et
la libre circulation de ces données, et abrogeant la Directive 95/46/CE (ci-après « RGPD »), le Fournisseur (ci-après
dénommé le « Sous-traitant ») et Vous (ci-après dénommé « Responsable du traitement ») entrez en relation
contractuelle aux fins du traitement des données pour définir les modalités et conditions du traitement des
données à caractère personnel, les modalités de sa protection, ainsi que d'autres droits et obligations des deux
parties en ce qui concerne le traitement des données à caractère personnel des personnes concernées pour le
compte du Responsable du traitement pendant la durée de l'exécution de l'objet des présents Termes en tant que
contrat principal.
1. Traitement des Données à caractère personnel. Les services fournis conformément aux présentes Conditions
comprennent le traitement d'informations relatives à une personne physique identifiée ou identifiable
répertoriée dans la Politique de confidentialité (ci-après dénommées les « Données à caractère personnel »).
2. Autorisation. Le Responsable du traitement autorise le Sous-traitant à traiter les Données à caractère
personnel, y compris les instructions suivantes :
(i) « Finalité du traitement » signifie la fourniture des services conformément aux présents Termes ; Le Soustraitant n'est autorisé à traiter les Données à caractère personnel pour le compte du Responsable du traitement
que dans le cadre de la fourniture des services demandés par ce dernier. Toutes les informations recueillies à des
fins supplémentaires sont traitées en dehors de la relation contractuelle Responsable du traitement/Soustraitant.
151
(ii) période de traitement signifie la période allant de la coopération prévue par les présents Termes à la cessation
des services ;
(iii) champ d'application et catégories des données à caractère personnel incluent les données à caractère
personnel générales, à l'exclusion de toutes les catégorie spéciales de données à caractère personnel,
(iv) « Personne concernée » signifie la personne physique en tant qu'utilisateur autorisé des appareils du
Responsable du traitement ;
(v) traitement désigne toute opération ou tout ensemble d'opérations nécessaires aux fins du traitement ;
(vi) « Instructions documentées » signifie les instructions décrites dans les présents Termes, leurs Annexes, la
Politique de confidentialité et la documentation du service. Le Responsable du traitement est chargé de
l'admissibilité juridique du traitement des Données à caractère personnel par le Sous-traitant au regard des
dispositions applicables respectives à la loi sur la protection des données.
3. Obligations du Sous-traitant. Le Sous-traitant s'engage à :
(i) traiter les Données à caractère personnel conformément aux instructions documentées et aux fins définies
dans les Conditions, ses Annexes, la Politique de confidentialité, et la documentation du service ;
(ii) veiller à ce que les personnes autorisées à traiter les Données à caractère personnel s'engagent à respecter la
confidentialité ;
(iii) mettre en place et suivre les mesures décrites dans les Conditions, ses Annexes, la Politique de confidentialité,
et la documentation du service ;
(iv) aider le Responsable du traitement à répondre aux demandes des Personnes concernées en ce qui concerne
leurs droits. Le Sous-traitant ne doit pas corriger, supprimer ou limiter le traitement des Données à caractère
personnel sans les instructions du Responsable du traitement. Toutes les demandes de la Personne concernée
relatives aux Données à caractère personnel traitées pour le compte du Responsable du traitement doivent être
transmises à ce dernier sans délai.
(v) aider le Responsable du traitement à notifier la violation de données à caractère personnel à l'autorité de
contrôle et à la Personne concernée ;
(vi) supprimer ou renvoyer toutes les Données à caractère personnel au Responsable du traitement après la fin de
la Période de traitement ;
(vii) tenir un registre à jour de toutes les catégories d'activités de traitement effectuées pour le compte du
Responsable du traitement.
(viii) mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la
conformité dans le cadre des Conditions, de ses Annexes, de la Politique de confidentialité et de la documentation
du service.
4. Recrutement d'un autre Sous-traitant. Le Sous-traitant est autorisé à faire appel à un autre sous-traitant pour
mener des activités de traitement spécifiques, telles la fourniture d'un espace de stockage dans le cloud et de
l'infrastructure pour le service, conformément aux Conditions, à ses Annexes, à la Politique de confidentialité et à
la documentation du service. Actuellement, Microsoft fournit un stockage et une infrastructure cloud dans le
cadre du service cloud Azure. Même dans ce cas, le Sous-traitant demeure le seul point de contact et la partie
responsable du respect des obligations prévues dans les présents Termes, leurs Annexes, la Politique de
confidentialité et la documentation du service.
152
5. Territoire du traitement. Le Sous-traitant mettra tout en œuvre pour s’assurer que le traitement ait lieu dans
l’Espace économique européen ou un pays désigné comme étant sûr par décision de la Commission européenne
d’après la décision du Responsable du traitement. Les Clauses contractuelles types s'appliquent aux transferts et
traitements effectués hors de l'Espace économique européen ou d'un pays désigné comme étant sûr par décision
de la Commission européenne à la demande du Responsable du traitement.
6. Sécurité. Le Sous-traitant est certifié ISO 27001:2013 et utilise le cadre de la norme ISO 27001 pour mettre en
place une stratégie de sécurité de défense par couches lors de l'application de contrôles de sécurité au niveau de
la couche réseau, des systèmes d'exploitation, des bases de données, des applications, du personnel et des
processus opérationnels. La conformité aux exigences réglementaires et contractuelles est régulièrement évaluée
et examinée de la même manière que les autres infrastructures et opérations du Sous-traitant, et les mesures
nécessaires sont prises pour assurer la conformité de manière continue. Le Sous-traitant a organisé la sécurité des
données en utilisant le système ISMS basé sur ISO 27001. La documentation sur la sécurité comprend
principalement des documents de politique pour la sécurité des informations, la sécurité physique et la sécurité
des équipements, la gestion des incidents, le traitement des fuites de données et des incidents de sécurité, etc.
7. Coordonnées du Sous-traitant. Toutes les notifications, requêtes, demandes et autres communications
relatives à la protection des données à caractère personnel doivent être adressées à ESET, spol. s.r.o., à
l'attention de : Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.
Clauses contractuelles types
SECTION I
Clause 1 Finalités et champ d'application
(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement
général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.
(b) Les Parties :
(i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s)
organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à
l’annexe I.A. (ci-après l’«exportateur de données»), et
(ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données,
directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses,
mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)
sont convenues des présentes clauses contractuelles types (ci-après: les «clauses»).
(c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
(d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des
présentes clauses.
153
Clause 2 Effet et invariabilité des clauses
(a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la
personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46,
paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de
responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles
types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas
modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations
dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les
présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à
condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne
portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
(b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en
vertu du règlement (UE) 2016/679.
Clause 3 Tiers bénéficiaire
(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers
bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:
clause 1, clause 2, clause 3, clause 6, clause 7;
(ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe
b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes
a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);
(iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);
(iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);
(v) clause 13;
(vi) clause 15.1, paragraphes c), d) et e);
(vii) clause 16, paragraphe e);
(viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.
(b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.
Clause 4 Interprétation
(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la
même signification que dans ledit règlement.
(b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le
règlement (UE) 2016/679.
154
Clause 5 Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties
existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses
prévalent.
Clause 6 Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont
transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7 — Facultative Clause d’adhésion
(a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment,
soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en
signant l’annexe I.A.
(b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a
les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans
l’annexe I.A.
(c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à
son adhésion à celles-ci.
SECTION II — OBLIGATIONS DES PARTIES
Clause 8 Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur
de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de
satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
8.1. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques
du transfert, telles que précisée(s) à l’annexe I.B. Il ne peut traiter les données à caractère personnel pour une
autre finalité que:
(i) s’il a obtenu le consentement préalable de la personne concernée;
(ii) si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le
contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
(iii) si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique.
8.2. Transparence
(a) Afin de permettre aux personnes concernées d’exercer effectivement leurs droits en vertu de la clause 10,
155
l’importateur de données les informe, soit directement soit par l’intermédiaire de l’exportateur de données:
(i) de son identité et de ses coordonnées;
(ii) des catégories de données à caractère personnel traitées;
(iii) du droit d’obtenir une copie des présentes clauses;
(iv) lorsqu’il a l’intention de transférer ultérieurement les données à caractère personnel à un ou plusieurs tiers,
du destinataire ou des catégories de destinataires (selon le cas, en fonction de ce qui est nécessaire pour fournir
des informations utiles), ainsi que de la finalité de transfert ultérieur et de son motif conformément à la clause
8.7.
(b) Le paragraphe (a) ne s’applique pas lorsque la personne concernée dispose déjà de ces informations,
notamment lorsque ces informations ont déjà été communiquées par l’exportateur de données ou lorsque la
communication de ces informations se révèle impossible ou exigerait des efforts disproportionnés de la part de
l’importateur de données. Dans ce dernier cas, l’importateur de données met, dans la mesure du possible, ces
informations à la disposition du public.
(c) Sur demande, les parties mettent gratuitement à la disposition de la personne concernée une copie des
présentes clauses, notamment de l’appendice tel qu’elles l’ont rempli. Dans la mesure nécessaire pour protéger
les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, les
parties peuvent occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournissent
un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou
d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des
occultations, dans la mesure du possible sans révéler les informations occultées.
(d) Les paragraphes (a) à (c) sont sans préjudice des obligations qui incombent à l’exportateur de données en
vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.3. Exactitude et minimisation des données
(a) Chaque partie veille à ce que les données à caractère personnel soient exactes et, si nécessaire, tenues à jour.
L’importateur de données prend toutes les mesures raisonnables pour que les données à caractère personnel qui
sont inexactes, eu égard à la ou aux finalités du traitement, soient effacées ou rectifiées sans tarder.
(b) Si une des parties se rend compte que les données à caractère personnel qu’elle a transférées ou reçues sont
inexactes, ou sont obsolètes, elle en informe l’autre partie dans les meilleurs délais.
(c) L’importateur de données veille à ce que les données à caractère personnel soient adéquates, pertinentes et
limitées à ce qui est nécessaire au regard de la ou des finalités du traitement.
8.4. Limitation de la conservation
L’importateur de données ne conserve pas les données à caractère personnel plus longtemps que ce qui est
nécessaire à la ou les finalités pour lesquelles elles sont traitées. Il met en place des mesures techniques ou
organisationnelles appropriées pour garantir le respect de cette obligation, notamment l’effacement ou
l’anonymisation (2) des données et de toutes leurs sauvegardes à la fin de la période de conservation.
8.5. Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures
techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel,
notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la
156
destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la «violation de données à
caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état
des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du
traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en
particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la
finalité du traitement peut être atteinte de cette manière.
(b) Les parties sont convenues des mesures techniques et organisationnelles énoncées à l’annexe II. L’importateur
de données procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de
sécurité approprié.
(c) L’importateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(d) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées
par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour
remédier à la violation desdites données, y compris des mesures visant à en atténuer les effets négatifs
potentiels.
(e) En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et
libertés des personnes physiques, l’importateur de données en informe sans tarder tant l’exportateur de données
que l’autorité de contrôle compétente au sens de la clause 13. Cette notification contient i) une description de la
nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et
d’enregistrements de données à caractère personnel concernés), ii) une description de ses conséquences
probables, iii) une description des mesures prises ou proposées pour remédier à la violation et iv) les
coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations. Dans la mesure où
l’importateur de données n’a pas la possibilité de fournir toutes les informations en même temps, il peut le faire
de manière échelonnée sans autre retard indu.
(f) En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et
libertés des personnes physiques, l’importateur de données informe également sans tarder les personnes
concernées de la violation de données à caractère personnel et de sa nature, si nécessaire en coopération avec
l’exportateur de données, en leur communiquant les informations mentionnées au paragraphe e), points ii)) à iv),
à moins qu’il n’ait mis en œuvre des mesures visant à réduire de manière significative le risque pour les droits ou
libertés des personnes physiques ou que cette notification n’exige des efforts disproportionnés. Dans ce dernier
cas, l’importateur de données publie, à la place, une communication ou prend une mesure similaire pour
informer le public de la violation de données à caractère personnel.
(g) L’importateur de données répertorie tous les faits pertinents relatifs à la violation de données à caractère
personnel, notamment ses effets et les mesures prises pour y remédier, et en garde une trace.
8.6. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données
génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des
données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des
données relatives à des condamnations pénales ou à des infractions (ci-après les «données sensibles»),
l’importateur de données applique des restrictions particulières et/ou des garanties supplémentaires adaptées à
la nature spécifique des données et aux risques encourus. Cela peut inclure une restriction du personnel autorisé
à accéder aux données à caractère personnel, des mesures de sécurité supplémentaires (telles que la
pseudonymisation) et/ou des restrictions supplémentaires concernant une divulgation ultérieure.
157
8.7. Transferts ultérieurs
L’importateur de données ne divulgue pas les données à caractère personnel à un tiers situé en dehors de l’Union
européenne (3) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert
ultérieur»), sauf si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié.
Dans le cas contraire, un transfert ultérieur par l’importateur de données ne peut avoir lieu que si:
(i) il est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE)
2016/679 qui couvre le transfert ultérieur;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement
(UE) 2016/679 en ce qui concerne le traitement en question;
(iii) le tiers conclut un acte contraignant avec l’importateur de données garantissant le même niveau de
protection des données que les présentes clauses, et l’importateur de données fournit une copie de ces garanties
à l’exportateur de données;
(iv) il est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de
procédures administratives, réglementaires ou judiciaires spécifiques;
(v) si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre
personne physique.
(vi) lorsque aucune des autres conditions ne s’applique, l’importateur de données a obtenu le consentement
explicite de la personne concernée pour un transfert ultérieur dans une situation particulière, après l’avoir
informée de la ou des finalités de ce transfert ultérieur, de l’identité du destinataire et des risques éventuels que
ce transfert lui fait courir en raison de l’absence de garanties appropriées en matière de protection des données.
Dans ce cas, l’importateur de données informe l’exportateur de données et, à la demande de ce dernier, lui
transmet une copie des informations fournies à la personne concernée.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au
titre des présentes clauses, en particulier de la limitation des finalités.
8.8. Traitement effectué sous l’autorité de l’importateur de données
L’importateur de données veille à ce que toute personne agissant sous son autorité, notamment un sous-traitant,
ne traite les données que sur ses instructions.
8.9. Documentation et conformité
(a) Chaque partie est en mesure de démontrer le respect des obligations qui lui incombent en vertu des présentes
clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de
traitement menées sous sa responsabilité.
(b) L’importateur de données met ces documents à la disposition de l’autorité de contrôle compétente si celle-ci
en fait la demande.
MODULE 2: transfert de responsable du traitement à sous-traitant
8.1. Instructions
(a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de
l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du
contrat.
158
(b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement
l’exportateur de données.
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques
du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de
données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie
des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour
protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à
l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de
l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait
autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les
parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure
du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent
à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes,
ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de
données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la
prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données,
efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve,
ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes.
Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect
des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou
l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes
clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette
législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à
l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la
durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui
ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6. Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures
techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger
d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la
divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors
de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances,
des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi
que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de
recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du
traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires
159
permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la
mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui
incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures
techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces
mesures continuent d’offrir le niveau de sécurité approprié.
(b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel
que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que
les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou
soient soumises à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées
par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour
remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données
informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu
connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible
d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les
catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère
personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y
compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il
n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les
informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs
délais, à mesure qu’elles deviennent disponibles.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter
les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de
contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à
la disposition de l’importateur de données.
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données
génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des
données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des
données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»),
l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à
l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions
documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en
dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers,
ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du
module approprié, ou si:
(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45
du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement
(UE) 2016/679 en ce qui concerne le traitement en question;
160
(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le
contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une
autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au
titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de
l’exportateur de données concernant le traitement au titre des présentes clauses.
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de
données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de
l’exportateur de données.
(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires
pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de
données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et
contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide
d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues
par l’importateur de données.
(d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur
indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations
physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les
informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
MODULE 3 : transfert de sous-traitant à sous-traitant
8.1. Instructions
(a) L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur
instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de
données avant le traitement.
(b) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du
responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur
instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne
sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou
l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données
pendant toute la durée du contrat.
(c) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement
l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du
responsable du traitement, l’exportateur de données en informe immédiatement ce dernier.
(d) L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en
matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de
l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données (5).
161
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques
du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires du responsable du
traitement, telle qu’elles lui ont été communiquées par l’exportateur de données, ou de l’exportateur de
données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie
des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour
protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère
personnel, l’exportateur de données peut occulter une partie du texte de l’appendice avant d’en communiquer
une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en
comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de
celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes,
ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de
données coopère avec l’exportateur de données pour rectifier ou effacer les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la
prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données,
efface toutes les données à caractère personnel traitées pour le compte du responsable du traitement et en
apporte la preuve à l’exportateur de données, ou lui restitue toutes les données à caractère personnel traitées
pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées,
l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale
applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel,
ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère
personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de
la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e),
d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est
devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14,
paragraphe a).
8.6. Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures
techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger
d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la
divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors
de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des
coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que
des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir
au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement
peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant
d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du
possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter
des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en
162
œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers
pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
(b) L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure
strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes
autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises
à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées
par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour
remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données
informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du
possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les
coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une
description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de
personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences
probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les
effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en
même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres
informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter
les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son
responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les
personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de
l’importateur de données.
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données
génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des
données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des
données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»),
l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à
l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions
documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de
données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (6)
(dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que
si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:
(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45
du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement
(UE) 2016/679;
(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le
contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
163
(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une
autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au
titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de
l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes
clauses.
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de
données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du
responsable du traitement.
(c) L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations
prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du
traitement.
(d) L’importateur de données permet la réalisation, par l’exportateur de données, d’audits des activités de
traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe
des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur
instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir
compte des certifications pertinentes détenues par l’importateur de données.
(e) Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les
résultats à la disposition de ce dernier.
(f) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur
indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations
physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(g) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les
informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
8.1. Instructions
(a) L’exportateur de données ne traite les données à caractère personnel que sur instructions documentées de
l’importateur de données agissant en tant que son responsable du traitement.
(b) S’il n’est pas en mesure de suivre ces instructions, notamment si elles constituent une violation du règlement
(UE) 2016/679 ou d’autres dispositions législatives de l’Union ou d’un État membre en matière de protection des
données, l’exportateur de données en informe immédiatement l’importateur de données.
(c) L’importateur de données s’abstient de tout acte susceptible d’empêcher l’exportateur de données de
s’acquitter des obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment dans le cadre
d’une sous-traitance ultérieure ou en ce qui concerne la coopération avec les autorités de contrôle compétentes.
(d) Au terme de la prestation des services de traitement, l’exportateur de données, à la convenance de
l’importateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier
et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et
164
efface les copies existantes.
8.2. Sécurité du traitement
(a) Les parties mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la
sécurité des données, notamment pendant la transmission, et pour les protéger d’une violation de la sécurité
entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non
autorisé (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité
approprié, elles tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature
des données à caractère personnel (7), de la nature, de la portée, du contexte et de la ou des finalités du
traitement ainsi que des risques inhérents au traitement pour les personnes concernées, et envisagent en
particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la
finalité du traitement peut être atteinte de cette manière.
(b) L’exportateur de données aide l’importateur de données à garantir une sécurité appropriée des données
conformément au paragraphe a). En cas de violation de données à caractère personnel concernant les données à
caractère personnel traitées par l’exportateur de données au titre des présentes clauses, ce dernier en informe
l’importateur de données dans les meilleurs délais après avoir eu connaissance de la violation et l’aide à y
remédier.
(c) L’exportateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
8.3. Documentation et conformité
(a) Les parties sont en mesure de démontrer le respect des présentes clauses.
(b) L’exportateur de données met à la disposition de l’importateur de données toutes les informations
nécessaires pour démontrer le respect des obligations qui lui incombent au titre des présentes clauses et pour
permettre la réalisation d’audits et y contribuer.
Clause 9 Recours à des sous-traitants ultérieurs
MODULE 2: transfert de responsable du traitement à sous-traitant
(a) L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs
sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe
expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de
sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins [précisez le délai] à l’avance, donnant
ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces
changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit à
l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre
des objections.
(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement
spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en
substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de
données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les
personnes concernées. (8) Les parties conviennent qu’en respectant la présente clause, l’importateur de données
satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le
sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
(c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat
165
avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour
protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère
personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une
copie.
(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution
des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur
de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui
incombent en vertu dudit contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu
de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est
devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner
instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs
sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe
expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement
de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins [précisez le délai] à l’avance, donnant
ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces
changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au
responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre
des objections. L’importateur de données informe l’exportateur de données du recrutement du ou des soustraitants ultérieurs.
(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement
spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en
substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de
données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les
personnes concernées. (9) Les parties conviennent qu’en respectant la présente clause, l’importateur de données
satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le
sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
(c) L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement,
une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la
mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les
données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en
communiquer une copie.
(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution
des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur
de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui
incombent en vertu dudit contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu
de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est
devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner
instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
166
Clause 10 Droits des personnes concernées
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
(a) L’importateur de données, si nécessaire avec l’aide de l’exportateur de données, traite, dans les meilleurs
délais et au plus tard dans un délai d’un mois à compter de leur réception, toutes les demandes de
renseignements ainsi que les autres demandes émanant d’une personne concernée et portant sur le traitement
de ses données à caractère personnel et l’exercice de ses droits au titre des présentes clauses. (10) L’importateur
de données prend des mesures appropriées pour faciliter ces demandes de renseignements, ces autres demandes
et l’exercice des droits de la personne concernée. Toute information fournie à la personne concernée est
présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.
(b) En particulier, à la demande de la personne concernée et gratuitement, l’importateur de données:
(i) confirme à la personne concernée si des données à caractère personnel la concernant sont traitées et, si tel est
le cas, lui transmet une copie desdites données et les informations figurant à l’annexe I; si les données à caractère
personnel ont fait ou feront l’objet d’un transfert ultérieur, lui fournit des informations sur les destinataires ou
catégories de destinataires (selon le cas, en fonction de ce qui est nécessaire pour fournir des informations utiles)
auxquels les données à caractère personnel ont été ou seront transférées ainsi que sur la finalité de ces transferts
ultérieurs et leur motif conformément à la clause 8.7; et lui communique des informations sur le droit
d’introduire une réclamation auprès d’une autorité de contrôle conformément à la clause 12, paragraphe c), point
i);
rectifie les données inexactes ou incomplètes relatives à la personne concernée;
(iii) efface les données à caractère personnel relatives à la personne concernée si ces données sont ou ont été
traitées en violation d’une des présentes clauses garantissant les droits du tiers bénéficiaire, ou si la personne
concernée retire le consentement sur lequel le traitement est fondé.
(c) Si l’importateur de données traite les données à caractère personnel à des fins de prospection directe, il cesse
de les traiter à de telles fins si la personne concernée s’y oppose.
(d) L’importateur de données ne prend pas de décision fondée exclusivement sur le traitement automatisé des
données à caractère personnel transférées (ci-après la «décision automatisée») qui produirait des effets
juridiques à l’égard de la personne concernée ou l’affecterait de manière significative de façon similaire, sauf avec
le consentement explicite de celle-ci ou s’il y est autorisé par la législation du pays de destination, à condition que
cette législation prévoie des mesures appropriées pour la sauvegarde des droits et des intérêts légitimes de la
personne concernée. Dans ce cas, l’importateur de données, si nécessaire en coopération avec l’exportateur de
données:
(i) informe la personne concernée de la décision automatisée envisagée, des conséquences prévues et de la
logique sous-jacente; et
(ii) met en œuvre des garanties appropriées, permettant au moins à la personne concernée de contester la
décision, d’exprimer son point de vue et d’obtenir un examen par un être humain.
(e) Lorsque les demandes d’une personne concernée sont excessives, du fait, notamment, de leur caractère
répétitif, l’importateur de données peut soit exiger le paiement de frais raisonnables qui tiennent compte des
coûts administratifs liés à l’acceptation de la demande, soit refuser de donner suite à cette dernière.
(f) L’importateur de données peut refuser une demande d’une personne concernée si ce refus est autorisé par la
législation du pays de destination et est nécessaire et proportionné dans une société démocratique pour protéger
un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679.
167
(g) Si l’importateur de données a l’intention de refuser la demande d’une personne concernée, il informe cette
dernière des motifs du refus et de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle
compétente et/ou de former un recours juridictionnel.
MODULE 2: transfert de responsable du traitement à sous-traitant
(a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une
personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur
de données.
(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux
demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet
égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu
de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide
requise.
(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de
données se conforme aux instructions de l’exportateur de données.
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du
traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été
autorisé par le responsable du traitement.
(b) L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du
traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses
d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet
égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu
de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide
requise.
(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de
données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par
l’exportateur de données.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Les parties se prêtent mutuellement assistance pour répondre aux demandes de renseignements et aux autres
demandes formulées par les personnes concernées en vertu de la législation locale applicable à l’importateur de
données ou, en cas de traitement par l’exportateur de données dans l’Union, en vertu du règlement (UE)
2016/679.
Clause 11 Voies de recours
(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément
accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter
les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
168
MODULE 3 : Transfert de sous-traitant à sous-traitant
(b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses,
cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se
tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
(c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de
données accepte la décision de la personne concernée:
(i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa
résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause
13;
(ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.
(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation
ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE)
2016/679.
(e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de
l’Union ou d’un État membre.
(f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause
le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12 Responsabilité
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 4 : Transfert de sous-traitant à responsable du traitement
(a) Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux
autres parties du fait d’un manquement aux présentes clauses.
(b) Chaque partie est responsable à l’égard de la personne concernée, et la personne concernée a le droit
d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par une partie du fait d’une violation
des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de
l’exportateur de données en vertu du règlement (UE) 2016/679.
(c) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une
violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la
personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
(d) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe c),
celle-ci est en droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à
sa/leur part de responsabilité dans le dommage.
(e) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ou d’un sous-traitant
ultérieur pour échapper à sa propre responsabilité.
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
169
(a) Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux
autres parties du fait d’un manquement aux présentes clauses.
(b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le
droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou
son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
(c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et
celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de
données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers
bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de
données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du
traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE)
2018/1725, selon le cas.
(d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c),
du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès
de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le
dommage.
(e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une
violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la
personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
(f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e),
celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à
sa/leur responsabilité dans le dommage.
(g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa
propre responsabilité.
Clause 13 Supervision
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) [Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de
garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de
données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application
territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en
vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le
représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à
l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application
territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un
représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des
États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont
170
transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement
fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.
(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de
coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En
particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à
des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures
correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été
prises.
SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS
DES AUTORITÉS PUBLIQUES
Clause 14 Législations et pratiques locales ayant une incidence sur le
respect des clauses
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine
les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère
personnel qu’il a collectées dans l’Union)
(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers
de destination applicables au traitement des données à caractère personnel par l’importateur de données,
notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant
l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations
qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les
pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire
et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23,
paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
(b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu
compte, en particulier, des éléments suivants:
(i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre
d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire;
la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur
économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;
(ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de
données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard
des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12);
(iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les
garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au
traitement des données à caractère personnel dans le pays de destination.
171
(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les
efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il
continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de
mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
(a) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux
présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une
législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite
d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation)
indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).
[Pour le module 3: L’exportateur de données transmet la notification au responsable du traitement.]
(f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de
croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des
présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures
techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui
doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3:, si nécessaire
en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données
s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3: le
responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3: donnent]
l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne
le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux
parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à
moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente
clause, la clause 16, paragraphes d) et e), s’applique.
Clause 15 Obligations de l’importateur de données en cas d’accès des
autorités publiques
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine
les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère
personnel qu’il a collectées dans l’Union)
15.1. Notification
(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne
concernée (si nécessaire avec l’aide de l’exportateur de données):
(i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de
la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au
titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel
demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou
(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel
172
transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification
comprend toutes les informations dont l’importateur de données dispose.
[Pour le module 3: L’exportateur de données transmet la notification au responsable du traitement.]
(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de
données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir
une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs
délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de
pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à
l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que
possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les
autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). [Pour le module
3: L’exportateur de données transmet les informations au responsable du traitement.]
(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c)
pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en
fait la demande.
(e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de
la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en
mesure de respecter les présentes clauses.
15.2. Contrôle de la légalité et minimisation des données
(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de
vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si,
après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale
en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des
principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans
les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures
provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se
prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas
obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations
incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de
toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le
permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à
la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. [Pour le module 3:
L’exportateur de données met l’évaluation à la disposition du responsable du traitement.]
(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une
demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV — DISPOSITIONS FINALES
Clause 16 Non-respect des clauses et résiliation
(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter
173
les présentes clauses, quelle qu’en soit la raison.
(b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les
respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de
données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci
est sans préjudice de la clause 14, paragraphe f).
(c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de
données à caractère personnel au titre des présentes clauses, lorsque:
(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données
en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et,
en tout état de cause, dans un délai d’un mois à compter de la suspension;
(ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou
(iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité
de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.
Dans ces cas, il informe l’autorité de contrôle compétente [pour le module 3: et le responsable du traitement] de
ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de
résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.
[Pour les modules 1, 2 et 3: Les données à caractère personnel qui ont été transférées avant la résiliation du
contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans
leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données.] [Pour le module 4:
Les données à caractère personnel collectées par l’exportateur de données dans l’Union qui ont été transférées
avant la résiliation du contrat au titre du paragraphe c), ainsi que toute copie de celles-ci, sont immédiatement
effacées dans leur intégralité.] L’importateur de données apporte la preuve de l’effacement des données à
l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données
continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de
données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit
qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi
longtemps que cette législation locale l’exige.
(e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission
européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le
transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE)
2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont
transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du
règlement (UE) 2016/679.
Clause 17 Droit applicable
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce
droit reconnaisse des droits au tiers bénéficiaire. Les Parties conviennent qu'il s'agit du droit tel que défini dans
les Conditions particulières.
174
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Les présentes clauses sont régies par le droit d’un pays qui reconnaît des droits au tiers bénéficiaire. Les Parties
conviennent qu'il s'agit du droit tel que défini dans les Conditions particulières.
Clause 18 Élection de for et juridiction
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
(a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union
européenne.
(b) Les Parties conviennent qu'il s'agit des tribunaux tels que définis dans les Conditions particulières.
(c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les
juridictions de l’État membre dans lequel elle a sa résidence habituelle.
(d) Les parties acceptent de se soumettre à la compétence de ces juridictions.
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Tout litige découlant des présentes Clauses doit être résolu par les tribunaux, comme défini dans les Conditions
particulières.
APPENDICE
NOTE EXPLICATIVE : Il doit être possible de distinguer clairement les informations applicables à chaque transfert
ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant
qu’exportateur(s) et/ou importateur(s) de données. Il n’est pas forcément nécessaire de remplir et de signer des
appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, si cette
transparence peut être garantie au moyen d’un seul appendice. Toutefois, si cela est nécessaire pour garantir une
clarté suffisante, il convient d’utiliser des appendices distincts.
ANNEXE I
A. LISTE DES PARTIES
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Exportateur(s) de données: [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de
leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]
1. Responsable du traitement comme défini dans l'Accord sur le traitement des données
175
2. Sous-traitant comme défini dans l'Accord sur le traitement des données
(selon le flux des données)
Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute
personne de contact chargée de la protection des données]
1. Responsable du traitement comme défini dans l'Accord sur le traitement des données
2. Sous-traitant comme défini dans l'Accord sur le traitement des données
(selon le flux des données)
B. DESCRIPTION DU TRANSFERT
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
MODULE 4 : Transfert de sous-traitant à responsable du traitement
Catégories de personnes concernées dont les données à caractère personnel sont transférées : comme défini
dans l'Accord sur le traitement des données.
Catégories de données à caractère personnel transférées : comme défini dans l'Accord sur le traitement des
données et la Politique de confidentialité.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement
compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les
restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un
registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité
supplémentaires : comme défini dans l'Accord sur le traitement des données et la Politique de confidentialité.
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou
continue) : base continue.
Nature du traitement : Automatisé.
Finalité(s) du transfert et du traitement ultérieur des données : Fourniture du service comme défini dans les
Conditions particulières, ses Annexes, la Politique de confidentialité et la documentation du service.
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour
déterminer cette durée : comme défini dans l'Accord sur le traitement des données.
Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du
traitement : comme défini dans l'Accord sur le traitement des données.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
176
MODULE 3 : Transfert de sous-traitant à sous-traitant
Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13 : comme défini dans la
Politique de confidentialité
ANNEXE II MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS
LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À
GARANTIR LA SÉCURITÉ DES DONNÉES
MODULE 1 : Transfert de responsable du traitement à responsable du traitement
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
NOTE EXPLICATIVE : Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et
non généraux). Voir également le commentaire général à la première page de l’appendice, en particulier en ce qui
concerne la nécessité d’indiquer clairement les mesures qui s’appliquent à chaque transfert/ensemble de
transferts.
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données
(y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la
nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés
des personnes physiques : comme défini dans la Politique de sécurité
Pour les transferts vers des sous-traitants (ultérieurs), veuillez également décrire les mesures techniques et
organisationnelles que le sous-traitant (ultérieur) doit prendre pour être en mesure d’aider le responsable du
traitement et, pour les transferts d’un sous-traitant à un sous-traitant ultérieur, l’exportateur de données
ANNEXE III LISTE DES SOUS-TRAITANTS ULTÉRIEURS
MODULE 2: transfert de responsable du traitement à sous-traitant
MODULE 3 : Transfert de sous-traitant à sous-traitant
NOTE EXPLICATIVE : La présente annexe doit être remplie pour les modules 2 et 3, en cas d’autorisation
spécifique de sous-traitants ultérieurs [clause 9, paragraphe a), option 1].
Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants : comme défini dans
l'Accord sur le traitement des données
Références :
(1) Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte
d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes
clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement
(UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du
Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre
circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295
du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des
177
données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant
conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le
cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui
figurent dans la décision 2021/915.
(2) Cela nécessite de rendre les données anonymes de telle manière que la personne ne soit plus identifiable par
qui que ce soit, conformément au considérant 26 du règlement (UE) 2016/679, et que ce processus soit
irréversible.
(3) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union
européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en
matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a
été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé
dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(4) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union
européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en
matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a
été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé
dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(5) Voir l’article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une
institution ou un organe de l’Union, l’article 29, paragraphe 4, du règlement (UE) 2018/1725.
(6) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union
européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en
matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a
été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé
dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
(7) Il s’agit notamment de savoir si le transfert et le traitement ultérieur portent sur des données à caractère
personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins
d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie
sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à
des infractions.
(8) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du
module approprié, conformément à la clause 7.
(9) Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du
module approprié, conformément à la clause 7.
(10) Ce délai peut être prolongé de deux mois maximum, dans la mesure nécessaire compte tenu de la complexité
des demandes et de leur nombre. L’importateur de données informe dûment et rapidement la personne
concernée de cette prolongation.
(11) L’importateur de données ne peut proposer un règlement des litiges indépendant par une instance
d’arbitrage que s’il est établi dans un pays qui a ratifié la convention de New York pour la reconnaissance et
l’exécution des sentences arbitrales étrangères.
(12) En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents
éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure
178
une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant
d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il
peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe
de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent
être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que
l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par
d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris
dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour
soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée
et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur
l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la
jurisprudence et les rapports d’organes de contrôle indépendants.
179