Zoom et le Règlement Général sur la Protection des Données de l’Union européenne (RGPD)
Mise à jour : 30 décembre 2022
La mission de Zoom est d’assurer votre satisfaction par le biais de communications vidéo cohérentes et nous comprenons que cette satisfaction exige sécurité et confidentialité. C’est pourquoi nous nous efforçons de protéger et de sécuriser les communications de nos clients en respectant les plus hautes exigences, telles que les obligations en matière de confidentialité des données dans l’Espace économique européen (« EEE »), principalement le Règlement Général sur la Protection des Données (le « RGPD »).
Zoom salue le RGPD en tant qu’opportunité de créer une base de protection des données solide pour le bénéfice de tous. Zoom comprend que nos clients (les responsables du traitement des données) doivent s’assurer que Zoom (le sous-traitant des données) applique des mesures techniques et organisationnelles de sorte à respecter les obligations de conformité du RGPD. Zoom est là pour aider et soutenir nos clients dans leur rôle de responsables du traitement des données.
Les faits clés suivants reflètent l’engagement de Zoom en matière d’application des pratiques de protection des données.
Engagements RGPD contractuels pour tous les clients Zoom
Le RGPD exige que les responsables du traitement des données (tels que les organisations ou les développeurs utilisant les services de Zoom) n’utilisent que des sous-traitants des données (tels que Zoom) qui traitent les données à caractère personnel pour le compte du responsable du traitement des données et fournissent les garanties appropriées pour satisfaire aux exigences particulières du RGPD. Zoom prend ces engagements pour tous nos clients en incluant l’Addenda relatif au traitement des données de Zoom dans les Conditions Générales du Service de Zoom.
Engagements contractuels de Zoom pertinents eu égard au RGPD :
- Zoom s’efforce de garantir la transparence et s’engage à utiliser les données à caractère personnel uniquement dans le cadre indiqué dans l’accord relatif à la fourniture de nos services ou selon les instructions de nos clients.
- Zoom applique les mesures de sécurité techniques et organisationnelles appropriées afin de protéger les données à caractère personnel que nous traitons.
- Zoom aide les clients à remplir leurs obligations lorsque les personnes concernées exercent les droits associés aux données à caractère personnel traitées dans le cadre de l’utilisation de nos services (par exemple, les demandes d’informations, d’accès, de rectification et de suppression).
Prise en charge des transferts internationaux de données
En juillet 2020, la Cour de justice de l’Union européenne (la « CJUE ») s’est prononcée sur l’affaire C-311/18 (communément appelée la « Décision Schrems II ») s’agissant de la validité des transferts de données en dehors de l’EEE. La décision Schrems II a découlé d’une réclamation déposée par une personne concernée de nationalité australienne, Maximilian Schrems, concernant le transfert de ses données à caractère personnel aux États-Unis et la possibilité que des agences gouvernementales américaines accèdent à ses données.
Dans la décision Schrems II, la CJUE a conclu que le cadre du Bouclier de protection UE-USA ne prévoyait plus de moyens légaux de transfert de données à caractère personnel de l’EEE aux États-Unis.
Mais surtout, la CJUE a également conclu que les clauses contractuelles types (les « CCT ») de la Commission européenne, qui constituent la base des transferts internationaux de Zoom, restaient un mécanisme légal de transfert de données à caractère personnel de l’EEE vers des pays en dehors de l’EEE.
À la suite de cette décision, la Commission européenne a publié de nouvelles CCT en juin 2021. Zoom a intégré les nouvelles CCT aux accords applicables conformément aux périodes de transition définies par la Commission européenne (c.-à-d. avant le 27 septembre 2021 pour les nouveaux contrats et avant le 27 décembre 2022 pour les contrats existants). Veuillez consulter notre FAQ client relative aux nouvelles CCT pour obtenir de plus amples informations.
Nouvelle exigence : « connaître votre transfert »
La décision Schrems II a également introduit une nouvelle exigence. Avant de transférer des données à caractère personnel vers un pays en dehors de l’EEE qui n’est pas considéré comme assurant un niveau de protection suffisant, les exportateurs de données sont tenus d’évaluer si les CCT garantissent de manière adéquate que les données à caractère personnel resteront protégées dans le pays destinataire à un niveau « substantiellement équivalent » aux règles de protection des données de l’UE.
En d’autres termes, avant de s’en remettre aux CCT, l’exportateur de données et l’importateur de données sont désormais tenus d’évaluer si les lois et pratiques du pays qui recevra les données pourraient nuire au niveau de protection autrement fourni. Pour aider nos clients dans cette évaluation, nous avons mis au point une Analyse d’impact relative au transfert de données (Data Transfer Impact Assessment, « DTIA ») pour les produits suivants :
Analyse d’impact relative au transfert de données pour Zoom Meetings/Zoom Webinars/Zoom Team Chat
Analyse d’impact relative au transfert de données pour Zoom Phone
Analyse d’impact relative au transfert de données pour Zoom Contact Center
Pour plus d’informations sur les procédures suivies par Zoom et les protections supplémentaires mises en œuvre lors du transfert de données personnelles de l’EEE ou du Royaume-Uni vers les États-Unis, consultez notre « FAQ : Transferts internationaux de données ».
Mesures particulières fortes pour garantir la protection des données européennes
Zoom s’engage à maintenir un haut niveau de sécurité.
- Zoom tire parti d’un ensemble de technologies de chiffrement pour protéger les données en transit et au repos.
- Zoom applique des mesures de sécurité pour soutenir la confidentialité, l’intégrité, la disponibilité et la résilience permanente de nos systèmes et services de traitement.
- Zoom prend des mesures pour faciliter la restauration rapide de la disponibilité de nos systèmes et services de traitement ainsi que de l’accès à ceux-ci en cas d’incident technique ou physique.
- Zoom dispose d’un processus visant à régulièrement tester, analyser et évaluer l’efficacité de nos mesures de sécurité techniques et organisationnelles afin de veiller à la sécurité des données que nous traitons.
Plus précisément, les mesures de sécurité que Zoom utilise pour garantir la sécurité des communications envoyées par le biais de Zoom et stockées sur la plateforme sont notamment les suivantes :
- Chiffrement de bout en bout facultatif pour Zoom Meetings : les utilisateurs peuvent choisir d’activer le chiffrement de bout en bout pour Zoom Meetings. Cette mesure garantit un haut niveau de sécurité puisqu’aucune tierce partie, y compris Zoom, n’a accès aux clés privées de la réunion.
- Chiffrement par défaut : la connexion entre un appareil donné et Zoom est chiffrée par défaut à l’aide d’une combinaison des méthodes de chiffrement TLS 1.2+ (Transport Layer Security), AES (Advanced Encryption Standard) GCM 256 bits et SRTP (Secure Real-time Transport Protocol). Les méthodes précises utilisées dépendent du fait que l’utilisateur se serve du Zoom client, d’un navigateur Web, d’un appareil ou d’un service tiers, ou du produit Zoom Phone. Pour en savoir plus, veuillez consulter notre livre blanc relatif au chiffrement.
- Protections contre les participants non autorisés à la réunion : Zoom a mis en place de nombreuses protections et de nombreux contrôles afin d’interdire l’accès de participants non autorisés aux réunions :
-
- des numéros d’identification de réunion uniques à onze chiffres
- des mots de passe complexes,
- des salles d’attente avec la possibilité d’admettre automatiquement les participants à partir de votre nom de domaine ou d’un autre domaine sélectionné
- une fonction de verrouillage de réunion qui peut empêcher quiconque d’accéder à une réunion
- la possibilité de supprimer des participants
- des profils d’authentification donnant accès uniquement aux utilisateurs inscrits, ou bien à des domaines d’e-mail spécifiques.
- L’outil d’alerte de réunion à risque qui surveille les publications sur les réseaux sociaux publics et d’autres ressources en ligne publiques pour repérer les liens vers des réunions Zoom
- Système sélectif d’invitation aux réunions : l’hôte peut inviter les participants de manière sélective par e-mail, discussion ou SMS. Cela permet de bénéficier d’un meilleur contrôle sur la communication des informations d’accès à une réunion. L’hôte peut également créer une réunion qui n’autorise que les membres d’un certain domaine d’e-mail à participer.
- Sécurité au sein de la réunion : au cours de la réunion, Zoom offre en temps réel et de manière sécurisée un contenu multimédia enrichi à chaque participant de la réunion Zoom. Tout le contenu partagé avec les participants lors de la réunion n’est qu’une représentation des données d’origine. Ce contenu est codé et optimisé pour le partage par le biais d’une exécution sécurisée.
- Contrôles de l’hôte : les contrôles de l’organisateur de la réunion lui permettent d’autoriser/interdire aux participants de partager du contenu, d’utiliser le chat et de se renommer.
- Signalement : la fonction Signaler un utilisateur permet à l’organisateur de la réunion de signaler les comportements problématiques.
- Contrôles de la sécurité intégrés au produit : les contrôles de la sécurité avec une icône de sécurité dédiée sur l’interface principale.
- Sécurité des utilisateurs en fonction du rôle : l’organisateur de la réunion dispose des capacités suivantes en matière de sécurité avant la réunion :
-
- connexion sécurisée via un nom d’utilisateur et un mot de passe standard ou authentification unique avec SAML
- lancement d’une réunion sécurisée à l’aide d’un mot de passe ; et
- planification d’une réunion sécurisée à l’aide d’un mot de passe.
- Prévention des appels robotisés : les utilisateurs peuvent empêcher les appels robotisés en activant la limitation du débit et le système reCAPTCHA (intervention humaine nécessaire) sur toutes les plateformes.
Choix concernant les données en transit et les données au repos
Zoom comprend que nos clients peuvent souhaiter avoir le choix concernant les centres de données qui traitent leurs données en transit et au repos.
Les données en transit, ou les données en mouvement, sont les données activement transférées d’un emplacement vers un autre, par exemple via Internet ou par le biais d’un réseau privé. Pour les données en transit, les titulaires de comptes et les administrateurs de comptes payants peuvent choisir d’exclure des régions des centres de données utilisés pour héberger les données en transit de leurs réunions et webinaire en temps réel (voir cet article d’aide). Zoom fournit des informations transparentes en matière d’acheminement des données sur le tableau de bord de gestion du compte.
Les données au repos sont les données qui ne sont pas activement transférées d’un appareil à un autre ou d’un réseau à un autre, par exemple les données stockées dans un data center sur le cloud. Les clients peuvent choisir le lieu de stockage des données pour une partie de leur contenu client au repos.
Le « contenu client » désigne toutes les données, y compris les fichiers texte, audio, vidéo ou image, qu’un client introduit dans le service Zoom pour traitement et télécharge sur les serveurs cloud de Zoom à des fins de stockage ou de traitement supplémentaire. Par exemple, le contenu client peut inclure des enregistrements vidéo, des enregistrements cloud, des transcriptions, des messages de chat d’une réunion et des fichiers échangés pendant une réunion.
Si un client télécharge du contenu client sur le service cloud de Zoom, ce contenu sera hébergé sur le réseau mondial Amazon Web Services (« AWS »). L’emplacement du data center hébergeur applicable à chaque client de Zoom peut varier si l’entreprise utilise notre fonctionnalité de stockage de contenu de communication. Cette fonctionnalité relative à l’emplacement de stockage permet aux équipes internationales de choisir la région où certains types de données au repos sont stockés. Veuillez noter que certaines catégories de données sont toujours traitées aux États-Unis.
Protocoles stricts pour répondre aux demandes gouvernementales d’informations
Zoom s’engage à protéger la vie privée de nos clients et utilisateurs et à ne communiquer leurs données aux autorités publiques qu’en réponse à une demande juridique valide, conformément à notre Guide des demandes gouvernementales et aux politiques juridiques applicables.
Dans toutes les zones géographiques, les mesures suivantes s’appliquent :
- Les demandes des autorités publiques doivent être émises conformément aux législations et réglementations applicables et par le biais des canaux officiels, notamment en fournissant obligatoirement un document officiel signé ou en envoyant la demande par e-mail à partir de l’adresse e-mail officielle de l’organisme public.
- Chaque demande doit être explicite, suffisamment précise et juridiquement fondée. Nous rejetterons ou contesterons les demandes qui ne répondent pas à ces critères.
- Nous soumettrons à un examen particulier certaines demandes d’informations de la part des autorités publiques au sujet des utilisateurs conformément à nos principes et à la volonté de promouvoir une collaboration fructueuse dans le monde entier.
Si une demande est trop vague, Zoom en contestera la validité afin de limiter l’éventail des informations envoyées.
De manière générale, Zoom informe les utilisateurs des demandes d’informations émises par les autorités publiques et joint une copie de la demande reçue, sauf s’il nous est légalement interdit d’en informer l’utilisateur. Les demandes d’exception à l’information des utilisateurs doivent inclure une description des circonstances obligatoires ou des conséquences néfastes potentielles d’une telle information.
Transparence accrue
- Rapports de transparence : en décembre 2020, Zoom a publié son premier rapport sur le nombre de demandes reçues de la part des autorités américaines et internationales (Rapport de transparence sur les demandes gouvernementales). Nous souhaitons que chaque rapport de transparence marque une amélioration par rapport au précédent. Notre dernier rapport de transparence est disponible ici. D’autres rapports de transparence seront ajoutés dans le Zoom Trust Center.
- Notifications au sein des produits : Zoom améliore constamment ses produits afin d’intégrer des notifications en matière de confidentialité spécifiques à chaque fonctionnalité au sein même de l’expérience Zoom et ainsi d’aider les utilisateurs à comprendre, en contexte, qui peut voir et partager les contenus et informations qu’ils communiquent sur Zoom. Par exemple, si un utilisateur veut savoir qui peut voir les messages qu’il envoie dans la fonctionnalité de chat de Zoom, il peut cliquer sur « Qui peut voir vos messages ? » pour découvrir qui peut accéder aux messages qu’il envoie à tout le monde ainsi qu’aux messages privés qu’il envoie.
Zoom conçoit ses services en mettant les exigences du RGPD au premier plan
Zoom s’engage à faire tout son possible pour créer des fonctionnalités de produit conformes aux exigences du RGPD et qui favorisent la protection des données à caractère personnel traitées par le biais de nos services. Pour en savoir plus sur nos pratiques en matière de données, veuillez consulter notre Déclaration de confidentialité. Vous pouvez également envoyer un e-mail à privacy@zoom.us pour toute question concernant le RGPD.