La collaboration avec la principale association de recherche et d'éducation des Pays-Bas permet d'améliorer les mesures de protection de la confidentialité des données de Zoom

Nous avons le plaisir d’annoncer aujourd’hui la publication d’une Analyse d’impact relative à la protection des données (AIPD) portant sur les services de réunions, de webinaires et de chat de Zoom, publiée par SURF. 

SURF négocie, pour le compte de ses membres, avec de grands fournisseurs de logiciels pour obtenir et évaluer la conformité de leurs outils aux normes européennes en matière de confidentialité et de sécurité, et documente ses conclusions dans une AIPD. Cela donne aux membres de SURF la liberté de choisir les logiciels qu'ils achètent, tels que des outils de vidéoconférence.

Une AIPD publiée par SURF constitue une référence importante pour les fournisseurs de technologies, car elle suit avec précision la performance actuelle en matière de protection des données et d'analyse des risques, et identifie également les possibilités d'amélioration des pratiques.

Zoom remercie SURF pour sa collaboration lors de la préparation de cette AIPD. Non seulement l'AIPD soutient les efforts de Zoom visant à continuellement améliorer son approche à la confidentialité des données, mais elle traduit aussi le respect de Zoom pour les politiques et principes européens de protection des données. Zoom s'engage à étendre sa collaboration avec les entreprises, gouvernements et citoyens européens.

Une AIPD est un examen technique et juridique détaillé des pratiques de collecte et d'utilisation des données d'une entreprise pour déterminer leur conformité aux lois relatives à la protection des données de l'Union européenne, en particulier le Règlement général sur la protection des données de l’UE (RGPD). Une AIPD analyse comment une entreprise traite les données à caractère personnel, identifie les risques liés à ce traitement et fournit des mesures pour atténuer ces risques.

Au cours du processus d'évaluation de l'AIPD, Zoom a expliqué ses pratiques de collecte et d'utilisation des données et fourni des preuves pour corroborer ces pratiques. SURF a évalué les capacités actuelles de Zoom et fourni des recommandations dans l'AIPD pour améliorer les pratiques, dans l'objectif ultime de renforcer la protection des données des citoyens européens.

Les évaluations sont publiées sous cette annonce.

SURF et Zoom ont convenu de plusieurs mesures lors de leur collaboration sur l'AIPD. Celles-ci sont notamment les suivantes :

• Développement de nouvelles fonctionnalités de confidentialité : 
  • Solutions d'emplacement des données : Les clients de Zoom au sein de l'UE ont des inquiétudes quant à la confidentialité lorsque le traitement des données à caractère personnel est effectué aux États-Unis, et préfèrent que toutes les données à caractère personnel soient traitées dans l'UE. Zoom s'est engagé, en concertation avec Surf, à faire en sorte que cela soit en grande partie possible d'ici la fin de cette année. Toute exception fera l'objet d'un accord et sera documenté.
  • Services d'assistance de l'UE : Zoom mettra en place un service d'assistance de l'UE distinct dans le courant de l'année 2022 chargé de fournir une assistance aux comptes de l'UE pendant les heures d'ouverture de l'UE. Si un compte de l'UE a besoin d'une assistance en dehors de ces heures ou reçoit une demande qui nécessite une assistance hors de l'UE, Zoom ne fournira cette assistance que si le client y consent explicitement, par le biais d'un ticket d'assistance.
  • Demandes d'accès des personnes concernées (DSAR, Data Subject Access Requests) : Zoom renforcera la capacité des clients à répondre aux DSAR grâce à deux outils en libre-service pour les administrateurs de comptes Entreprise et Éducation.
  • Centre de préférences des communications : Zoom développera un outil en libre-service de préférences marketing pour tous les titulaires de compte d'ici la fin 2022. 

• Amélioration de la transparence et de la documentation :
  • Fiche sur la confidentialité : Zoom a amélioré ses documents publics relatifs à son traitement des données à caractère personnel avec la publication d'une fiche sur la confidentialité qui sera régulièrement mise à jour.
  • Mise à jour de l'Analyse d'Impact du Transfert de données (AITD) : Zoom a développé une nouvelle AITD basée sur le format créé par l'expert en droit des données suisse, David Rosenthal. L'AITD montre que les risques de confidentialité encourus par les individus utilisant Zoom sont négligeables.
  • Clarification des rôles et des responsabilités de Zoom : Zoom a accepté de se requalifier comme sous-traitant de données pour toutes les données à caractère personnel, sauf pour une liste restreinte de situations dans lesquelles les clients Éducation et Entreprise (les responsables du traitement des données) l'autorisent à traiter des données à caractère personnel en tant que responsable du traitement des données indépendant. Cela s'applique aussi aux données à caractère personnel que Zoom collecte par le biais de son site Web accessible au public.

• Amélioration des pratiques de protection des données de Zoom :
  • Conservation des données à caractère personnel : Zoom a précisé et minimisé ses pratiques de conservation des données à caractère personnel des clients.
  • Confidentialité dès la conception et par défaut : Zoom mettra en œuvre des processus plus robustes et stricts de confidentialité dès la conception et par défaut tout au long du cycle de vie de développement de leurs produits. 
  • Formation des employés : Zoom dispense une nouvelle formation à ses employés pour s'assurer qu'ils tiennent toujours compte des mesures de protection de la confidentialité tout en faisant des heureux.

• Mesure de nos progrès : En collaboration avec SURF, Zoom a documenté les possibilités d'amélioration de la protection des données et élaboré une feuille de route pour atteindre ces objectifs. SURF et Zoom discuteront des progrès réalisés bimensuellement.

Zoom affirme que la collaboration entre SURF et Zoom (sur l'AIPD et à l'avenir) aidera Zoom à comparer et faire évoluer ses stratégies de confidentialité et de protection des données.

Comme le note l'AIPD : « Grâce aux nombreuses mesures d'amélioration mises en œuvre par Zoom et au nouvel Accord de traitement des données spécifiant une liste restreinte de fins spécifiques, les clients de Zoom devraient pouvoir se fier aux garanties contractuelles et aux contrôles de la confidentialité pour prévenir tout traitement des données à caractère personnel à d'autres fins que celles autorisées ».

Pour en savoir plus sur la confidentialité et la sécurité chez Zoom, consultez le Centre de confiance.