Recommandations d'Atlassian pour les demandes émanant des autorités policières
Politique mise à jour en vigueur à partir du 5 novembre 2021
Politique Atlassian en réponse aux demandes émanant des autorités policières ou publiques
Atlassian fournit des outils logiciels permettant aux équipes de collaborer dans un environnement de plateforme en ligne. Ces directives fournissent des informations aux responsables de l'application des lois qui demandent à Atlassian des enregistrements de comptes client et du contenu client (« Données client ») en réponse à un document juridique valide, en accord avec notre politique de confidentialité et notre politique d'utilisation acceptable. Atlassian respecte les règles et lois de la juridiction dans laquelle l'entreprise opère, ainsi que la vie privée et les droits de ses clients. Par conséquent, Atlassian fournit des Données client en réponse aux demandes des autorités policières ou à d'autres demandes des autorités publiques uniquement lorsque nous estimons raisonnablement être en droit de le faire. Pour protéger les droits de nos clients, nous examinons minutieusement les demandes afin de nous assurer qu'elles sont conformes à la loi et relèvent des pouvoirs attribués à l'autorité demandeuse ou au responsable de l'application des lois.
Pour obtenir des Données client de la part d'Atlassian, les responsables de l'autorité publique et de l'application des lois doivent fournir des preuves légales adaptées au type de données demandées, comme une assignation, une ordonnance du tribunal ou un mandat. Par exemple, Atlassian ne fournira pas de contenu client privé, sauf à réception d'un mandat de perquisition valide, délivré sur base d'un motif valable par un tribunal fédéral ou d'État autorisé à délivrer des mandats de perquisition, qui oblige Atlassian à divulguer le contenu. Veuillez consulter ces directives avant de soumettre une demande émanant des autorités policières à Atlassian.
Atlassian examine toutes les demandes de données du gouvernement. Atlassian analyse strictement les demandes de données et cherche à limiter les demandes qui sont trop étendues, qui visent à obtenir une grande quantité d'informations ou qui concernent un grand nombre d'utilisateurs, ou à s'y opposer. Atlassian s'oppose également aux cas où toute communication est interdite ou où le processus suivi est insuffisant pour obliger la communication des données demandées en vertu de l'Electronic Communications Privacy Act (18 U.S.C., art. 2701 et suivants) ou de toute autre loi applicable. Atlassian se réserve le droit de s'opposer à toute demande d'informations, le cas échéant, et ne divulguera pas les informations demandées tant qu'elle n'est pas tenue de le faire par les règles procédurales applicables.
Ces directives n'ont qu'une valeur informative. En aucun cas elles ne sauraient obliger Atlassian à répondre d'une certaine façon dans un cas particulier ou face à une demande spécifique, ni même à renoncer à toute objection. Atlassian se réserve le droit de demander le remboursement des coûts engendrés par la réponse aux demandes de données émanant d'autorités policières ou publiques, le cas échéant.
Politique de notification des utilisateurs
La politique d'Atlassian consiste à notifier les clients des demandes relatives à leurs informations et à leur donner la possibilité de s'opposer à la divulgation, sept à dix jours avant leur mise à disposition, sauf si la loi interdit une telle notification (y compris lorsqu'Atlassian n'est pas en mesure de ou n'a pas pu obtenir de dérogation à cette interdiction). La période de notification peut être raccourcie à la discrétion d'Atlassian, qui ne le fait généralement qu'en cas d'urgence. Les responsables de l'autorité publique ou de l'application des lois qui estiment que la notification peut compromettre une enquête doivent obtenir une ordonnance du tribunal compétent ou tout autre document qui interdit expressément la notification du client, comme une ordonnance émise en vertu du titre 18 § 2705(b) du Code des États-Unis.
De plus, si votre demande a pour but de nous signaler une violation en cours ou antérieure de notre politique d'utilisation acceptable, nous prendrons des mesures pour empêcher toute nouvelle violation, y compris la résiliation du compte et d'autres mesures susceptibles d'informer l'utilisateur que nous sommes au courant de son inconduite. Si vous estimez en toute bonne foi que de telles mesures mettront en péril une enquête en cours, vous pouvez demander à Atlassian de les reporter. Ces demandes seront évaluées par Atlassian au cas par cas. Atlassian ayant pour politique d'appliquer ses conditions d'utilisation, il incombe à l'agent des autorités policières à l'origine de la demande initiale de faire cette démarche.
Répondre à une demande valide émanant des autorités policières et coordonnées
Adresse e-mail à laquelle envoyer des questions relatives aux autorités policières ainsi que des documents juridiques :
Adresse postale pour les demandes émanant des autorités policières :
Atlassian Inc.
Attn : Service juridique
350 Bush Street, Floor 13
San Francisco, CA 94104
États-Unis
Bien que nous acceptions de répondre ainsi aux demandes émanant des autorités policières et publiques, ni Atlassian ni ses clients ne renoncent à tout droit juridique basé sur cet arrangement.
Chaque demande doit inclure les coordonnées du responsable autorisé des autorités publiques ou policières qui la soumet, notamment :
- le nom de l'organisme à l'origine de la demande ;
- le nom de l'agent à l'origine de la demande, son badge, son numéro d'identification
- l'adresse e-mail professionnelle de l'agent à l'origine de la demande
- le numéro de téléphone de l'agent à l'origine de la demande (y compris sa ligne directe)
- l'adresse postale de l'agent à l'origine de la demande (les boîtes postales ne sont pas acceptées)
- la date de réponse demandée (voir les informations plus bas pour les demandes urgentes)
Veuillez noter que les demandes de dépositions doivent être adressées personnellement à notre agent agréé conformément au processus. Nous n'acceptons pas ces demandes en personne ou par e-mail.
Données client Atlassian disponibles
Atlassian propose différents outils logiciels sur sa plateforme qui contiennent des Données client. En outre, Atlassian conserve certaines Données client dans ses systèmes internes dans le cadre des processus métier habituels. Atlassian examinera les demandes de Données client et y répondra uniquement sur présentation d'une demande valide et exécutoire du gouvernement, d'une ordonnance du tribunal et/ou d'un mandat, selon le type d'informations demandées et après avoir déterminé que la demande entre dans le cadre des pouvoirs attribués à l'autorité demandeuse ou à l'organisme d'application de la loi.
Parmi les catégories de données client fournies en réponse aux demandes émanant des autorités policières visant à obtenir des informations de base sur le compte client figurent : l'adresse e-mail, le nom, le numéro de téléphone, le nom d'utilisateur et/ou les coordonnées du contact de facturation (pour les comptes payants). Des informations supplémentaires liées aux adresses IP, aux enregistrements de transactions et à d'autres dossiers client peuvent être mises à disposition.
Les catégories de données client pouvant être fournies en réponse aux autorités policières dépendent du produit Atlassian utilisé par le client et pour lequel les informations sont demandées. Nous encourageons les autorités policières qui demandent des données client à Atlassian à examiner nos descriptions de produits avant de préparer une procédure judiciaire et à nous envoyer la demande, l'ordonnance ou le mandat. Par exemple, Trello permet aux équipes d'organiser les informations. Les données client disponibles pour Trello peuvent comprendre, en plus des informations de compte classiques, les informations sur les accès IP, les membres d'un tableau et/ou son contenu. Autre exemple, Bitbucket permet aux équipes de facilement collaborer tout en développant du code. Les données client disponibles pour Bitbucket peuvent comprendre, en plus des informations de compte classiques, les dates auxquelles le compte Bitbucket a été créé par l'utilisateur ainsi que le dernier accès, les adresses IP associées aux connexions à un compte utilisateur, les adhésions de l'équipe et le code source (contenu) stocké dans un dépôt Bitbucket.
Demandes de conservation émanant des autorités policières
Atlassian conservera les données client pendant 90 jours à compter de la réception d'une demande valide émanant des autorités policières. Les informations seront conservées pendant une période supplémentaire de 90 jours à réception d'une demande valide de prolongation de la conservation. Si Atlassian ne reçoit pas de document juridique formel portant sur les informations conservées avant la fin de la période de conservation, les informations peuvent être supprimées au terme de celle-ci.
Les demandes de conservation doivent être envoyées sur papier à en-tête officiel des autorités policières, signées par un agent agréé et comprendre :
- les informations pertinentes sur le compte du client sur lequel porte la demande de conservation, telles qu'elles sont identifiées plus bas
- une adresse e-mail valide
- une déclaration stipulant que des mesures sont prises pour obtenir une ordonnance du tribunal ou un autre document juridique afin de conserver les données en question
Les demandes de conservation peuvent être envoyées aux coordonnées (adresse postale ou adresse e-mail) indiquées plus haut.
Demande de données client Atlassian
Lorsqu'elles demandent des données client, les autorités policières requérantes doivent fournir autant d'informations que possible. Si elles fournissent les informations d'identification suivantes, Atlassian sera en mesure de leur répondre de manière efficace et rapide :
- Informations de base sur le compte client (systèmes Atlassian) : nom d'utilisateur, adresse e-mail, URL, numéro d'éligibilité au support (SEN)
- Données client concernant les produits Atlassian :
- Informations spécifiques au produit Atlassian à joindre à la demande des autorités policières
- Bamboo
Adresse e-mail - Bitbucket Cloud
Nom d'utilisateur, nom de l'équipe, adresse e-mail et/ou URL du dépôt - Confluence
ID utilisateur, adresse e-mail, adresse IP, URL, SEN - Crucible
Adresse e-mail - Fisheye
Adresse e-mail - Jira (Core, Service Management ou Software)
Nom d'utilisateur, adresse e-mail, URL, SEN - Sourcetree
Adresse e-mail - Statuspage
Adresse e-mail, URL de la page d'état - Trello
Nom d'utilisateur, adresse e-mail, URL (des tableaux)
- Bamboo
Demandes des autorités policières et publiques internationales
La loi américaine autorise Atlassian à répondre aux demandes de Données client émises par des autorités policières étrangères par l'intermédiaire d'un tribunal américain, soit au titre du traité d'entraide judiciaire (TEJ), soit par commission rogatoire. Nous avons pour politique de répondre aux demandes ordonnées par un tribunal américain lorsqu'elles sont dûment signifiées, bien ciblées, qu'elles relèvent des pouvoirs attribués à l'autorité ou à l'organisme demandeurs et sont conformes au processus juridique applicable. Atlassian évaluera les demandes urgentes émanant d'autorités policières étrangères au cas par cas, conformément à la législation américaine et aux lois d'autres pays, le cas échéant. Vous pouvez envoyer les demandes urgentes directement à Atlassian en suivant la procédure décrite expliquée plus bas.
Demandes urgentes
Atlassian évalue les demandes urgentes au cas par cas. Si vous nous fournissez des informations prêtant à croire qu'une urgence implique un danger imminent de mort ou de blessure grave, nous pouvons divulguer les informations nécessaires pour prévenir ce préjudice. Le cas échéant, nous nous conformerons à la loi applicable.
Vous pouvez envoyer vos demandes urgentes par e-mail à l'adresse lawenforcement@atlassian.com en indiquant comme objet du message « Demande de divulgation urgente ». Cette demande doit être accompagnée de ce formulaire rempli.