Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

JumpCloud

Que fait JumpCloud ?

JumpCloud est une plateforme américaine d'annuaire ouvert qui combine identité, accès et gestion des postes dans une seule console. Les équipes IT l'utilisent pour gérer comptes utilisateurs, SSO, MFA, posture machine et accès conditionnel sur Windows, macOS, Linux, mobile et applications SaaS. Bien que JumpCloud n'ait pas de widget front sur les sites clients, elle traite de grandes quantités de données personnelles des collaborateurs (identités, télémétrie des postes, logs d'audit) et constitue donc un sous-traitant RGPD critique.

Qu'est-ce que JumpCloud et comment ça fonctionne

JumpCloud est une plateforme d'annuaire ouvert qui combine ce qui formait trois catégories distinctes : fournisseur d'identité (équivalent Okta ou Azure AD), gestion unifiée des endpoints (équivalent Intune ou Jamf) et gestion des accès (SSO, MFA, accès conditionnel). Les équipes IT utilisent JumpCloud pour centraliser le provisioning SaaS, imposer une posture machine avant l'accès et auditer qui a accédé à quoi et d'où. JumpCloud est édité par JumpCloud Inc. (États-Unis) et largement déployé par les PME et ETI en EMEA.

Quelles données JumpCloud traite

JumpCloud stocke les attributs annuaire (nom, email, rôle, département, manager, groupes, hash de mot de passe), la configuration MFA, l'inventaire des postes (hostname, OS, version, serial, patches), les données de session (IP de connexion, géolocalisation déduite, user agent, appareil utilisé) et un journal complet de toutes les actions plateforme. Les logs sont conservés 90 jours par défaut, extensibles à 1 an sur les plans supérieurs.

Implications RGPD et NIS2

JumpCloud est sous-traitant de données personnelles d'employés au sens du RGPD. Le client (employeur) est responsable et doit documenter le traitement dans son registre, signer le DPA JumpCloud et informer les salariés. NIS2 exige que les entités essentielles et importantes mettent en place MFA et contrôles d'accès ; JumpCloud est souvent l'outil retenu, ce qui rend sa disponibilité et son intégrité directement pertinentes pour la conformité NIS2. Le transfert transfrontalier vers les États-Unis doit être encadré par les CCT et une AIT, ou évité par la région UE.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentement et base légale

Les personnes concernées étant des salariés, la base légale est normalement l'art. 6(1)(b) (exécution du contrat de travail) ou l'art. 6(1)(f) (intérêt légitime à sécuriser les SI), pas le consentement. Certains États membres exigent une consultation du CSE / Betriebsrat au titre de l'art. 88 RGPD avant tout déploiement d'outils de supervision des salariés, en particulier quand la télémétrie peut profiler les comportements. Le consentement n''est pas requis pour que JumpCloud fonctionne, mais une information préalable l''est.

Résidence des données et transferts US

JumpCloud héberge par défaut aux États-Unis (AWS us-east). Au signup ou par migration, les clients peuvent choisir la région UE (AWS Frankfurt), qui maintient annuaire et logs d'audit en UE. Privilégiez la région UE pour les clients européens lorsque c'est faisable. Pour la région US, les transferts s'appuient sur les CCT et le Data Privacy Framework UE, États-Unis pour la certification JumpCloud. Menez une AIT et documentez les mesures techniques et organisationnelles (chiffrement au repos, en transit, clés gérées par le client si besoin).

Étapes pratiques de conformité

Signez le DPA JumpCloud, choisissez la région UE quand c'est possible, menez une AIT si vous devez rester US, documentez JumpCloud dans votre registre, informez les salariés via la notice interne, consultez le CSE/Betriebsrat le cas échéant, configurez la rétention des logs en accord avec vos exigences légales et politique de sécurité, imposez la MFA sur les admins, restreignez l'accès console par IP et intégrez les logs JumpCloud à votre SIEM pour la détection et la réponse à incident.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant JumpCloud doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract performance (Art. 6(1)(b) GDPR) for workforce identity; legitimate interest (Art. 6(1)(f)) for security telemetry and audit logs

Niveau de risquemedium

Reglementations applicablesGDPR, NIS2 Directive, ISO 27001, SOC 2, HIPAA where applicable

Considerations AIPD

JumpCloud traite un volume conséquent de données personnelles des employés : nom complet, email professionnel, téléphone, rôle, département, manager, appartenances aux groupes, IP de connexion, identifiants d'appareil, version d'OS, tokens MFA, hashes de mots de passe, décisions d'accès conditionnel et logs d'audit complets. Points clés AIPD : (1) JumpCloud est au cœur de l'accès des collaborateurs ; un incident peut affecter la disponibilité de systèmes critiques (pertinence NIS2) ; (2) les logs d'audit peuvent contenir des données de localisation déduites de l'IP, exploitables pour de la supervision mais soulevant des questions au titre de l'art. 88 RGPD ; (3) la télémétrie machine peut révéler des habitudes hors heures de bureau et un usage personnel ; (4) le stockage des hashes et la capacité de bypass MFA font de JumpCloud une cible à forte valeur exigeant des contrôles forts ; (5) hébergement US par défaut, la région UE doit être choisie au signup pour une résidence complète.

Exemple de texte de consentement

Votre employeur utilise JumpCloud pour gérer identité, accès et sécurité des postes. JumpCloud traite vos informations de compte professionnel et la télémétrie de votre appareil pour vous authentifier et protéger les systèmes de l'entreprise. Les données peuvent être transférées vers les serveurs JumpCloud aux États-Unis (ou en région UE si votre employeur l'a choisi). Consultez la notice de confidentialité salarié pour les détails.

Details techniques

Methode de suiviServer side identity platform (no front end widget); admin console at console.jumpcloud.com sets session cookies

Localisation des serveursUnited States (JumpCloud Inc., AWS us-east) with optional EU regional deployment

Donnees transferees hors UEJumpCloud is a US headquartered identity platform hosted primarily on AWS us-east. Customer directory, device telemetry and audit log data are transferred to the United States unless the customer opts in to the EU regional deployment. Transfers rely on Standard Contractual Clauses and the EU, US Data Privacy Framework where JumpCloud is certified.

Domaines tiers contactes

jumpcloud.comconsole.jumpcloud.comsso.jumpcloud.comapp.jumpcloud.comapi.jumpcloud.com

Cookies deposes

Nom	Type	Duree	Finalite
session	Strictly Necessary	Session	JumpCloud admin console and user portal session cookie used to maintain authenticated state during a login.
csrf_token	Strictly Necessary	Session	Cross site request forgery protection token used to prevent unauthorised state changing requests.
jcc_mfa	Strictly Necessary	30 days	Stores the multi factor authentication remember device decision, so users do not have to complete MFA on every login on the same trusted device.

JumpCloud est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

JumpCloud dépose-t-il des cookies sur les navigateurs des visiteurs ?

JumpCloud n'est pas un widget de tracking sur les sites web clients ; il ne dépose donc aucun cookie sur les visiteurs publics. La console admin (console.jumpcloud.com) et le portail utilisateur déposent des cookies de session et CSRF sur ces domaines, mais uniquement lors des connexions admin et salariés, pas sur les navigateurs des visiteurs publics.

Un consentement est-il requis pour utiliser JumpCloud ?

Non, le consentement n'est normalement pas la base. JumpCloud traite les données des salariés au titre de l'exécution du contrat (art. 6(1)(b)) et de l'intérêt légitime à sécuriser les SI (art. 6(1)(f)). En revanche, les salariés doivent être informés et, dans certains États (Allemagne, France), le CSE/Betriebsrat doit être consulté avant déploiement au titre de l'art. 88 RGPD.

Quelle est la base légale du traitement dans JumpCloud ?

Pour l'authentification et la gestion des accès, l'exécution du contrat (art. 6(1)(b)) et l'intérêt légitime à la sécurité (art. 6(1)(f)) sont les bases standard. Pour les logs d'audit et la télémétrie machine dépassant le strict nécessaire, un test de mise en balance doit être documenté et partagé avec les représentants du personnel lorsque la loi l'exige.

JumpCloud transfère-t-il des données aux États-Unis ?

Oui par défaut. Le déploiement par défaut est sur AWS us-east. JumpCloud propose également une région UE (AWS Frankfurt) sélectionnable au signup ou par migration. Pour les déploiements US, les transferts s'appuient sur les CCT et le Data Privacy Framework UE, États-Unis pour lequel JumpCloud est certifié.

Ai-je besoin d'une AIPD pour JumpCloud ?

Une AIPD est recommandée dès que JumpCloud est utilisé à grande échelle (effectif important), sur des rôles sensibles (dirigeants, personnel de santé), avec une télémétrie machine pouvant profiler les employés, ou avec un accès conditionnel utilisant des signaux comportementaux. La plupart des déploiements entreprise nécessitent une AIPD au titre de l'art. 35 RGPD et des critères EDPB.

Comment mettre en œuvre JumpCloud de manière conforme au RGPD ?

Signez le DPA JumpCloud, choisissez la région UE si possible, documentez le traitement dans votre registre, informez les salariés via la notice interne, consultez le CSE/Betriebsrat le cas échéant, configurez la rétention des logs en accord avec vos besoins, imposez la MFA aux admins, restreignez l'accès console par IP, intégrez les logs JumpCloud à votre SIEM, menez une AIT pour la région US et une AIPD pour les traitements à risque élevé.

Quelles sont les alternatives à JumpCloud ?

Les alternatives basées dans l'UE ou capables de résidence UE incluent Microsoft Entra ID (avec EU Data Boundary), Okta (déploiement UE), OneLogin (région UE), Keycloak (open source auto-hébergé) et Authelia (open source auto-hébergé). Pour un annuaire entièrement auto-hébergé, Samba, FreeIPA ou Authentik open source sont des options.

Comment décrire JumpCloud dans la notice salariés ?

Indiquez que JumpCloud Inc. est le sous-traitant pour la gestion des identités et des postes, les catégories de données (attributs de compte, tokens MFA, inventaire des postes, événements de connexion, logs d'audit), la base légale (contrat, intérêt légitime), la durée de conservation (selon JumpCloud et votre politique), la région d'hébergement (US ou UE), le mécanisme de transfert (CCT, Data Privacy Framework) et la manière d'exercer les droits RGPD.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min