Zoom et le Règlement Général sur la Protection des Données de l’Union européenne (RGPD)

Mise à jour : 18 août 2023

La mission de Zoom est d’assurer votre satisfaction par le biais de communications vidéo cohérentes et nous comprenons que cette satisfaction exige sécurité et confidentialité. C’est pourquoi nous nous efforçons de protéger et de sécuriser les communications de nos clients en respectant les plus hautes exigences, telles que les obligations en matière de confidentialité des données dans l’Espace économique européen (« EEE »), principalement le Règlement Général sur la Protection des Données (le « RGPD »).

Zoom salue le RGPD en tant qu’opportunité de créer une base de protection des données solide pour le bénéfice de tous. Zoom comprend que nos clients (les responsables du traitement des données) doivent s’assurer que Zoom (le sous-traitant des données) applique des mesures techniques et organisationnelles de sorte à respecter les obligations de conformité du RGPD. Zoom est là pour aider et soutenir nos clients dans leur rôle de responsables du traitement des données.

Les faits clés suivants reflètent l’engagement de Zoom pour l’application des pratiques de protection des données.

 

Engagements RGPD contractuels pour tous les clients Zoom

Le RGPD exige que les responsables du traitement des données (tels que les organisations ou les développeurs utilisant les services de Zoom) n’utilisent que des sous-traitants des données (tels que Zoom) qui traitent les données à caractère personnel pour le compte du responsable du traitement des données et fournissent les garanties appropriées pour satisfaire aux exigences particulières du RGPD. Zoom prend ces engagements pour tous ses clients en incluant l’Addenda relatif au traitement des données de Zoom dans les Conditions Générales du Service de Zoom.

Engagements contractuels de Zoom pertinents en lien avec le RGPD :

  • Zoom s’efforce de garantir la transparence et s’engage à utiliser les données à caractère personnel uniquement dans le cadre indiqué dans l’accord relatif à la fourniture de nos services ou selon les instructions de nos clients.
  • Zoom applique les mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel que nous traitons.
  • Zoom aide les clients à remplir leurs obligations lorsque les personnes concernées exercent les droits associés aux données à caractère personnel traitées dans le cadre de l’utilisation de nos services (par exemple, les demandes d’informations, d’accès, de rectification et de suppression).

 

Prise en charge des transferts internationaux de données

En juillet 2020, la Cour de justice de l’Union européenne (la « CJUE ») s’est prononcée sur l’affaire C-311/18 (communément appelée la « Décision Schrems II ») s’agissant de la validité des transferts de données en dehors de l’EEE. La décision Schrems II a découlé d’une réclamation déposée par une personne concernée de nationalité australienne, Maximilian Schrems, concernant le transfert de ses données à caractère personnel aux États-Unis et la possibilité que des agences gouvernementales américaines accèdent à ses données.

Dans la décision Schrems II, la CJUE a conclu que le cadre du Bouclier de protection UE-USA ne prévoyait plus de moyens légaux de transfert de données à caractère personnel de l’EEE aux États-Unis.

Mais surtout, la CJUE a également conclu que les clauses contractuelles types (les « CCT ») de la Commission européenne, qui constituent la base des transferts internationaux de Zoom, restaient un mécanisme légal de transfert de données à caractère personnel de l’EEE vers des pays en dehors de l’EEE.

À la suite de cette décision, la Commission européenne a publié de nouvelles CCT en juin 2021. Zoom a intégré les nouvelles CCT aux accords applicables conformément aux périodes de transition définies par la Commission européenne (c.-à-d. avant le 27 septembre 2021 pour les nouveaux contrats et avant le 27 décembre 2022 pour les contrats existants). Veuillez consulter notre FAQ client relative aux nouvelles CCT pour obtenir de plus amples informations.

 

Nouvelle exigence : « connaître votre transfert »

La décision Schrems II a également introduit une nouvelle exigence. Avant de transférer des données à caractère personnel vers un pays en dehors de l’EEE qui n’est pas considéré comme assurant un niveau de protection suffisant, les exportateurs de données sont tenus d’évaluer si les CCT garantissent de manière adéquate que les données à caractère personnel resteront protégées dans le pays destinataire à un niveau « substantiellement équivalent » aux règles de protection des données de l’UE.

En d’autres termes, avant de s’en remettre aux CCT, l’exportateur de données et l’importateur de données sont désormais tenus d’évaluer si les lois et pratiques du pays qui recevra les données pourraient nuire au niveau de protection autrement fourni. Pour aider nos clients dans cette évaluation, nous avons préparé une Analyse d’impact relative au transfert de données pour les produits suivants :

Analyse d’impact relative au transfert de données pour Zoom Meetings/Zoom Webinars/Zoom Team Chat
Analyse d’impact relative au transfert de données pour Zoom Phone
Analyse d’impact relative au transfert de données pour Zoom Contact Center
Analyse d’impact relative au transfert de données pour Zoom Virtual Agent

 

Mesures particulières fortes pour garantir la protection des données européennes

Zoom s’engage à maintenir un haut niveau de sécurité.

  • Zoom tire parti d’un ensemble de technologies de chiffrement pour protéger les données en transit et au repos.
  • Zoom applique des mesures de sécurité pour soutenir la confidentialité, l’intégrité, la disponibilité et la résilience permanente de nos systèmes et services de traitement.
  • Zoom prend des mesures pour faciliter la restauration rapide de la disponibilité de nos systèmes et services de traitement ainsi que de l’accès à ceux-ci en cas d’incident technique ou physique.
  • Zoom dispose d’un processus visant à régulièrement tester, analyser et évaluer l’efficacité de nos mesures de sécurité techniques et organisationnelles afin de veiller à la sécurité des données que nous traitons.

Plus précisément, les mesures de sécurité que Zoom utilise pour garantir la sécurité des communications envoyées par le biais de Zoom et stockées sur la plateforme sont notamment les suivantes :

  • Chiffrement de bout en bout facultatif pour Zoom Meetings : les utilisateurs peuvent choisir d’activer le chiffrement de bout en bout pour Zoom Meetings. Cette mesure garantit un haut niveau de sécurité puisqu’aucune tierce partie, y compris Zoom, n’a accès aux clés privées de la réunion.
  • Chiffrement par défaut : la connexion entre un appareil donné et Zoom est chiffrée par défaut à l’aide d’une combinaison des méthodes de chiffrement TLS 1.2+ (Transport Layer Security), AES (Advanced Encryption Standard) GCM 256 bits et SRTP (Secure Real-time Transport Protocol). Les méthodes précises utilisées dépendent du fait que l’utilisateur se serve du Zoom client, d’un navigateur Web, d’un appareil ou d’un service tiers, ou du produit Zoom Phone. Pour en savoir plus, veuillez consulter notre livre blanc relatif au chiffrement.
  • Protections contre les participants non autorisés à la réunion : Zoom a mis en place de nombreuses protections et de nombreux contrôles afin d’interdire l’accès de participants non autorisés aux réunions :
    • des numéros d’identification de réunion uniques à onze chiffres
    • des mots de passe complexes,
    • des salles d’attente avec la possibilité d’admettre automatiquement les participants à partir de votre nom de domaine ou d’un autre domaine sélectionné
    • une fonction de verrouillage de réunion qui peut empêcher quiconque d’accéder à une réunion
    • la possibilité de supprimer des participants
    • des profils d’authentification donnant accès uniquement aux utilisateurs inscrits, ou bien à des domaines d’e-mail spécifiques.
    • l’outil d’alerte de réunion à risque qui surveille les publications sur les réseaux sociaux publics et d’autres ressources en ligne publiques pour repérer des liens vers des réunions Zoom
  • Système sélectif d’invitation aux réunions : l’hôte peut inviter les participants de manière sélective par e-mail, discussion ou SMS. Cela permet de bénéficier d’un meilleur contrôle sur la communication des informations d’accès à une réunion. L’hôte peut également créer une réunion qui n’autorise que les membres d’un certain domaine d’e-mail à participer.
  • Sécurité au sein de la réunion : au cours de la réunion, Zoom offre en temps réel et de manière sécurisée un contenu multimédia enrichi à chaque participant de la réunion Zoom. Tout le contenu partagé avec les participants lors de la réunion n’est qu’une représentation des données d’origine. Ce contenu est codé et optimisé pour le partage par le biais d’une exécution sécurisée.
  • Contrôles de l’hôte : les contrôles de l'organisateur de la réunion lui permettent d’autoriser/interdire aux participants de partager du contenu, d’utiliser le chat et de se renommer.
  • Signalement : la fonction Signaler un utilisateur permet à l'organisateur de la réunion de signaler les comportements problématiques.
  • Contrôles de la sécurité intégrés au produit : les contrôles de la sécurité avec une icône de sécurité dédiée sur l'interface principale.
  • Sécurité des utilisateurs en fonction du rôle : l'organisateur de la réunion dispose des capacités suivantes en matière de sécurité avant la réunion :
    • connexion sécurisée via un nom d’utilisateur et un mot de passe standard ou authentification unique avec SAML
    • lancement d’une réunion sécurisée à l’aide d’un mot de passe ; et
    • planification d’une réunion sécurisée à l’aide d’un mot de passe.
  • Prévention des appels robotisés : les utilisateurs peuvent empêcher les appels robotisés en activant la limitation du débit et le système reCAPTCHA (intervention humaine nécessaire) sur toutes les plateformes.

 

Choix relatifs au traitement et au stockage des données

Zoom comprend que ses clients peuvent souhaiter avoir le choix concernant les data centers qui traitent et stockent certaines de leurs données.

Données en transit et traitement : Zoom achemine les données des clients via son réseau mondial de data centers colocalisés et de data centers publics dans le cloud (y compris les data centers d’Amazon Web Services (« AWS »)). Les Services Zoom sont conçus pour fonctionner de telle sorte que toute information entrant dans l’écosystème Zoom est acheminée par le data center le plus proche de l’utilisateur qui envoie ou reçoit les données.

Les administrateurs et les titulaires de comptes payés peuvent, au niveau du compte, du groupe ou de l’utilisateur, accepter ou refuser certains des data centers Zoom qui seront utilisés pour le traitement des contenus vidéo, audio et partagés des participants réunis lors des webinaires et des réunions en temps réel durant l’organisation de ces réunions et webinaires. Les data centers des pays dans lesquels un compte a été provisionné seront retenus d’office pour le traitement. La possibilité de choisir les data centers Zoom ne s’applique qu’aux comptes qui organisent une réunion ou un webinaire. Lorsqu’un compte qui organise une réunion ou un webinaire a refusé tous les data centers, les données des contenus partagés, audio et vidéo de tous les participants réunis lors des réunions et des webinaires en temps réel ne seront traitées que par un data center Zoom accepté. Zoom peut toutefois être amené à acheminer les données entre plusieurs data centers à l’aide de protocoles de routage réseau standard lors du transfert via ses connexions réseau privées (routage en périphérie). Vous trouverez de plus amples informations dans cet article d’aide.

Stockage des données : les clients peuvent choisir le lieu de stockage d’une partie de leur Contenu client. Le Contenu client désigne les informations fournies par un Client par le biais de l’utilisation du service Zoom, y compris toutes les données que le Client choisit d’enregistrer ou de partager au cours d’une réunion ou d’un webinaire, notamment les enregistrements dans le cloud, les transcriptions de réunion, les transcriptions de chat (en réunion et permanents), et les fichiers échangés au cours d’une réunion ou dans le canal de chat permanent.

Le Contenu client est par défaut conservé aux États-Unis. Les titulaires de comptes payés peuvent choisir le lieu de stockage d’une partie du Contenu client de leur compte. Seuls les titulaires de compte, les administrateurs de compte ou les personnes disposant du privilège Profil du compte client pourront modifier ce paramètre. Vous trouverez de plus amples informations dans cet article d’aide. Veuillez noter que le Contenu client, les données de compte et les données de diagnostic restent conservés aux États-Unis.

 

Protocoles stricts pour répondre aux demandes d’informations de la part des autorités publiques

Zoom s’engage à protéger la vie privée de ses clients et utilisateurs et à ne communiquer leurs données aux gouvernements qu’en réponse à une demande juridique valide et légitime, conformément à notre Guide des demandes gouvernementales et aux politiques juridiques applicables.

Dans toutes les zones géographiques, les mesures suivantes s’appliquent :

  • Les demandes des autorités publiques doivent être émises conformément aux législations et réglementations applicables et par le biais des canaux officiels, notamment en fournissant obligatoirement un document officiel signé ou en envoyant la demande par e-mail à partir de l’adresse e-mail officielle de l’organisme public.
  • Chaque demande doit être explicite, suffisamment précise et juridiquement fondée. Nous rejetterons ou contesterons les demandes qui ne répondent pas à ces critères.
  • Nous soumettrons à un examen particulier certaines demandes d’informations de la part des autorités publiques au sujet des utilisateurs conformément à nos principes et à la volonté de promouvoir une collaboration fructueuse dans le monde entier.

Si une demande est trop vague, Zoom en contestera la validité afin de limiter l’éventail des informations envoyées.

De manière générale, Zoom informe les utilisateurs des demandes d’informations émises par les autorités publiques et joint une copie de la demande reçue, sauf s’il nous est légalement interdit d’en informer l’utilisateur. Les demandes d’exception à l’information des utilisateurs doivent inclure une description des circonstances obligatoires ou des conséquences néfastes potentielles d’une telle information.

 

Transparence accrue

  • Rapports de transparence : en décembre 2020, Zoom a publié son premier rapport sur le nombre de demandes reçues de la part des autorités américaines et internationales (Rapport de transparence sur les demandes gouvernementales). Nous souhaitons que chaque rapport de transparence marque une amélioration par rapport au précédent. Notre dernier rapport de transparence est disponible sur cette page. D’autres rapports de transparences seront ajoutés dans le Zoom Trust Center.
  • Notifications au sein des produits : Zoom améliore constamment ses produits afin d’intégrer des notifications en matière de confidentialité spécifiques à chaque fonctionnalité au sein même de l’expérience Zoom et ainsi d’aider les utilisateurs à comprendre, en contexte, qui peut voir et partager les contenus et informations qu’ils communiquent sur Zoom. Par exemple, si un utilisateur veut savoir qui peut voir les messages qu’il envoie dans la fonctionnalité de chat de Zoom, il peut cliquer sur « Qui peut voir vos messages ? » pour découvrir qui peut accéder aux messages qu’il envoie à tout le monde ainsi qu’aux messages privés qu’il envoie.

 

Zoom conçoit ses services en mettant les exigences du RGPD au premier plan

Zoom s’engage à faire tout son possible pour créer des fonctionnalités de produit conformes aux exigences du RGPD et qui favorisent la protection des données à caractère personnel traitées par le biais de nos services. Pour en savoir plus sur nos pratiques en matière de données, veuillez consulter notre Déclaration de confidentialité. Vous pouvez également envoyer un e-mail à privacy@zoom.us pour toute question concernant le RGPD.