4 min. de lecture
Mis à jour le March 17, 2022
Publié le March 17, 2022
Zoom a récemment annoncé la publication d’une étude d’impact sur la protection des données (DPIA) sur les services de réunions, de webinaires et de chats de Zoom. Cette évaluation a été réalisée par SURF, une association coopérative d’établissements d’enseignement et de recherche néerlandais dont les membres négocient avec les principaux fournisseurs de logiciels afin d’obtenir et d’évaluer la conformité de leurs outils aux normes européennes en matière de confidentialité et de sécurité, et qui documente ses conclusions dans une DPIA.
Une DPIA publiée par SURF représente un point de référence important pour les fournisseurs de technologie car elle permet de suivre avec précision les performances actuelles en matière de protection des données et d’analyse des risques, ainsi que d’identifier les possibilités d’amélioration des pratiques. Elle analyse la façon dont une entreprise traite les données personnelles, identifie les risques associés à ce traitement et fournit des mesures pour atténuer ces risques. La préparation d’une DPIA nécessite un examen technique et juridique détaillé des pratiques de collecte et d’utilisation des données d’une entreprise afin de déterminer la conformité aux lois de l’Union européenne sur la protection des données, en particulier le Règlement général sur la protection des données (RGPD). Sur la base des résultats de cette analyse approfondie, SURF travaille avec les principaux fournisseurs de logiciels, tels que Zoom, afin d’obtenir et d’évaluer la conformité de leurs outils avec les normes européennes en matière de confidentialité et de sécurité et documente ses conclusions dans une DPIA. Cela donne aux membres de SURF la liberté de choix lors de l’achat de logiciels tels que les outils de vidéoconférence.
En plus de soutenir les efforts de Zoom pour continuer à améliorer son approche de confidentialité des données, la DPIA publiée par SURF au mois de mars reflète le respect que Zoom a pour les politiques et principes européens de protection des données des clients du secteur privé et public ainsi que des utilisateurs individuels.
SURF a évalué les capacités actuelles de Zoom et a émis des recommandations pour l’amélioration de certaines pratiques, le tout dans le but de renforcer la protection des données des citoyens européens.
Actions clés résultant de la publication de ce DPIA
Dans la cadre de la réalisation de ce DPIA, SURF et Zoom ont identifié plusieurs actions à mettre en place. On peut citer par exemple :
Des solutions de localisation des données :
Sachant que les clients de Zoom de l’Union Européenne ont des inquiétudes autour de la confidentialité du traitement des données personnelles aux États-Unis et préfèrent que toutes les données personnelles soient traitées au sein de la communauté européenne, Zoom s’est engagé, en consultation avec l’équipe de SURF, à rendre cela largement possible d’ici la fin de cette année.
Des services d’assistance dédiés à la communauté européenne :
Zoom a prévu de mettre en place un service d’assistance séparé pour la communauté européenne d’ici la mi-2022 afin d’assister les comptes de l’UE pendant des créneaux horaires locaux. Si un compte européen nécessite une assistance en dehors de ces heures ou si une action nécessite une assistance en dehors de l’union européenne, Zoom ne fournira cette assistance que si le client y consent explicitement.
Demandes d’accès aux données des personnes concernées (DSAR) :
Zoom s’est engagée à améliorer la capacité des clients à répondre aux DSAR avec deux outils en libre-service pour les administrateurs de comptes d’entreprise et d’éducation. En parallèle, tout en développant ces outils, Zoom s’est engagé à améliorer son processus manuel de DSAR.
Centre de préférences de communication :
Zoom développera un outil en libre-service de préférences marketing pour tous les propriétaires de comptes d’ici la fin de 2022.
Amélioration de la transparence et de la documentation :
Zoom a amélioré sa documentation publique sur son traitement des données personnelles avec la publication d’une fiche de données sur la vie privée qui sera régulièrement mise à jour. De plus, Zoom a produit une nouvelle grille d’analyse d’impact du transfert de données (DTIA) basée sur le format créé par le juriste suisse David Rosenthal. Le DTIA montre que les risques pour la vie privée des personnes utilisant Zoom sont faibles.
Finalement, concernant la clarification des rôles et des responsabilités, Zoom a convenu qu’il était approprié de se reclasser en tant que processeur de données pour toutes les données personnelles, à l’exception d’une liste limitée de situations dans lesquelles les clients de l’éducation et de l’entreprise (les contrôleurs de données) l’autorisent à traiter « davantage » certaines données personnelles en tant que contrôleur de données indépendant. Cela s’applique également aux données à caractère personnel que Zoom collecte par le biais de son site web accessible au public.
Amélioration des pratiques de Zoom en matière de protection des données :
Concernant le sujet de la conservation des données personnelles, Zoom a clarifié et réduit ses pratiques de conservation des données personnelles de ses clients. De plus, Zoom a prévu de mettre en œuvre des processus plus robustes de protection de la vie privée par défaut.
Zoom a aussi prévu de mettre l’accent sur la formation de ses employés sur ce sujet. Zoom déploie à cet effet une nouvelle formation afin de s’assurer que ses employés tiennent toujours compte de la protection de la vie privée.
En collaboration avec SURF, Zoom a documenté les possibilités d’améliorer la protection des données et a établi une feuille de route pour atteindre ces objectifs. SURF et Zoom ont prévu d’échanger régulièrement sur les progrès réalisés dans le cadre d’un calendrier bimensuel.
Comme le souligne la DPIA publiée par SURF : « Grâce aux nombreuses mesures d’amélioration prises par Zoom, et à la nouvelle DPA comportant une liste limitative de finalités spécifiques, les clients de Zoom devraient pouvoir s’appuyer sur les garanties contractuelles et les contrôles de confidentialité pour empêcher tout traitement de données personnelles au-delà de ces finalités autorisées. » La coopération entre SURF et Zoom dans le cadre de cette DPIA mais aussi à l’avenir va aider Zoom à faire évoluer ses stratégies de protection et de confidentialité des données.
Pour en savoir plus sur la confidentialité et la sécurité de Zoom, explorez le Trust Center.
3 min. de lecture
Le programme Bug Bounty de Zoom encourage la recherche et la divulgation responsable des failles de sécurité. Voici un aperçu des faits marquants de l’année écoulée.
3 min. de lecture
Les outils de gestion de la conformité tels que Zoom Compliance Manager vous aident à surmonter la complexité du monde des communications. Découvrez comment.
2 min. de lecture
Zoom a acquis la certification du programme de gestion et d’évaluation de la sécurité des systèmes d’information (ISMAP). Découvrez ce que cela signifie pour nos clients.
