Addenda sur la confidentialité à la loi d’État aux États-Unis

Le présent addendum relatif à la législation des États-Unis en matière de confidentialité (l’« Addendum ») complète les conditions de votre contrat d’abonnement principal, les conditions générales du service ou les conditions générales du service du revendeur (selon le cas, le « Contrat »), et définit certains droits et obligations en matière de confidentialité des données en vertu de certaines lois des États-Unis. Les termes qui commencent par une majuscule, utilisés mais non définis dans le présent document, ont la signification qui leur est attribuée dans le Contrat.

Section A – Dispositions générales. La présente section A de l’Addendum s’applique à la fourniture des Services par Zoom et à leur utilisation par le Client, dans la mesure où le Client est une entreprise ou un Contrôleur, et que Zoom traite les Informations personnelles du Client conformément à la CCPA ou à d’autres lois applicables au niveau de l’État en matière de protection des données.

1. Définitions. Tel qu’utilisé dans le présent Addendum, le terme « Client » désigne une Entreprise ou un Contrôleur qui s’abonne aux Services Zoom. Les termes qui commencent par une majuscule utilisés dans la présente section A, mais non définis par ailleurs, ont la signification qui leur est attribuée dans les sections B(1) et C(1) ci-dessous.
   
   
2. Audits et évaluations.
   
   
   1. Zoom réalisera des audits tiers pour attester de la conformité aux cadres ISO 27001 et SOC 2 Type II, selon la procédure suivante :
      
      
      1. Zoom procèdera annuellement à une vérification des critères de sécurité, de disponibilité et de confidentialité lors de l’audit SOC-2.
         
         
      2. les audits seront réalisés conformément aux normes et règles de l’organisme de réglementation ou d’accréditation pour la norme ou le cadre de contrôle applicable ;
         
         
      3. les audits seront effectués par des auditeurs de sécurité tiers qualifiés et indépendants, choisis et rémunérés par Zoom.
         
         
      4. Chaque audit donnera lieu à la production d’un rapport d’audit destiné au client (le « Rapport d’audit Zoom »), que Zoom mettra chaque année à la disposition du Client, sur demande. Le Rapport d’audit Zoom sera une information confidentielle de Zoom.
         
         
3. Restrictions relatives à la réception d’informations. Aucune disposition du présent Addendum n’oblige Zoom à divulguer : (a) toute donnée ou information d’un autre client de Zoom ou d’un tiers ; (b) toute information comptable ou financière interne ; (c) tout secret commercial de Zoom ; ou (d) toute information qui, de l’avis raisonnable de Zoom, pourrait : (i) compromettre la sécurité des réseaux, des systèmes ou des locaux de Zoom ; (ii) amener Zoom à ne pas respecter ses obligations en matière de sécurité ou de confidentialité envers un tiers ; ou (iii) toute information recherchée pour une raison autre que celles mentionnées dans le présent Addendum. Zoom peut exiger que le Client accepte les conditions générales raisonnables de Zoom (ou de son auditeur ou évaluateur tiers) avant de fournir le Rapport d’audit Zoom au Client.
   
   
4. Suppression des données. (a) Conformément aux lois en vigueur au niveau de l’État en matière de protection des données applicables au Client et à la demande du Client, Zoom supprimera ou renverra toutes les Données personnelles au Client aux fins de fourniture des Services ou (b) conformément à la CCPA, ne conservera pas, n’utilisera pas et ne divulguera pas d’Informations personnelles lors de la résiliation ou de l’expiration de la relation entre le Client et Zoom. Aucune disposition de la présente section A(4) (Suppression des données) n’obligera Zoom à (i) supprimer ou renvoyer les données qu’elle doit conserver en vertu des lois applicables ou (ii) renvoyer au lieu de détruire les Données personnelles, dans la mesure où le renvoi n’est pas techniquement réalisable ou que ledit renvoi imposerait à Zoom des charges et/ou des coûts substantiels.
   
   

Section B – Californie.  La présente section B de l’Addendum s’applique à la fourniture des Services par Zoom et à leur utilisation par le Client, dans la mesure où le Client est une entreprise et que Zoom traite des informations personnelles pour le compte du Client conformément à la CCPA.

1. Définitions. Tels qu’utilisés dans la présente section B de l’Addendum, (a) « CCPA » désigne la loi California Consumer Privacy Act de 2018, telle que modifiée par la California Privacy Rights Act de 2020, et toute réglementation promulguée en vertu de celle-ci ; (b) « Entreprise », « Objectif professionnel », « Objectif commercial », « Consommateur », « Traitement », « Vente », « Fournisseur de services » et « Partage » ont les significations respectives mentionnées dans la CCPA ; et (c) « Informations personnelles » désigne les « informations personnelles » telles que définies dans la CCPA, mais uniquement dans la mesure où ces informations personnelles sont collectées, consultées, obtenues, reçues, utilisées, divulguées ou traitées par Zoom dans le cadre de la fourniture de Services par Zoom au Client en sa qualité d’Entreprise, en vertu du Contrat.
   
   
2. Reconnaissances et obligations. Zoom (a) reconnaît que les Informations personnelles sont divulguées au Client uniquement aux fins limitées et spécifiées dans le cadre de la fourniture des Services décrits dans un Bon de commande et aux fins visées dans le Contrat ; (b) doit respecter les obligations applicables aux Fournisseurs de services conformément à la CCPA et fournir le même niveau de protection en matière de confidentialité des Informations personnelles que celui exigé par la CCPA, notamment une protection identique à celle que les Entreprises doivent fournir ; (c) accepte que le Client prenne des mesures raisonnables et appropriées, conformément à la Section A(2) du présent document, afin de s’assurer que l’utilisation des Informations personnelles par Zoom est conforme aux obligations du Client en vertu de la CCPA ; (d) informera le Client dans les plus brefs délais de toute décision déterminant que Zoom ne peut plus respecter ses obligations en vertu de la CCPA ; et (e) accepte que le Client puisse, moyennant un préavis, prendre des mesures raisonnables et appropriées pour mettre fin et remédier à l’utilisation non autorisée des Informations personnelles, conformément aux réglementations applicables, en demandant à Zoom une documentation raisonnable qui atteste que Zoom ne conserve ou n’utilise plus les Informations personnelles faisant l’objet d’une demande de suppression recevable.
   
   
3. Restrictions. Zoom ne doit pas (a) vendre ou partager des Informations personnelles ; (b) conserver, utiliser ou divulguer des Informations personnelles à d’autres fins que celles mentionnées dans la section B(2)(a) ci-dessus, ou autrement autorisées par la CCPA, y compris la conservation, l’utilisation ou la divulgation d’Informations personnelles dans un Objectif commercial autres que ces fins ou pour fournir des services à une autre Entreprise ; (c) conserver, utiliser ou divulguer des Informations personnelles en dehors de la relation commerciale directe entre Zoom et le Client, sauf dans la mesure permise par la CCPA ; ou (d) combiner les Informations personnelles reçues en vertu du Contrat avec les Informations personnelles reçues d’une autre partie, ou les propres interactions de Zoom avec le Consommateur auquel les Informations personnelles se rapportent, sauf dans la mesure où un Fournisseur de services est autorisé à le faire en vertu de la CCPA. Par la présente, la société Zoom atteste qu’elle comprend ses obligations en vertu du présent Addendum et qu’elle s’y conformera.
   
   
4. Audits, examens et évaluations. Conformément à la section A(2) (Audits et évaluations) ci-dessus, sous réserve d’exigences raisonnables et d’accords écrits demandés par Zoom et conformes à la CCPA, le Client peut auditer, examiner ou évaluer Zoom au plus une fois tous les 12 mois, à ses frais.
   
   
5. Demandes des consommateurs. Après avoir reçu et vérifié une demande d’un Consommateur, le Client informera Zoom dans les plus brefs délais et lui communiquera toutes les informations nécessaires. Zoom prendra les mesures nécessaires dans les plus brefs délais et communiquera les informations que le Client peut raisonnablement demander concernant les Informations personnelles d’un Consommateur afin d’aider le Client à répondre aux demandes des personnes qui souhaitent exercer leurs droits en vertu de la CCPA, y compris, mais sans s’y limiter, les demandes de consultation, de correction, de suppression, d’exclusion de la Vente ou du Partage des Informations personnelles les concernant, ou la demande de renseignements à ce sujet. Si Zoom reçoit une demande directement du ou des Consommateur(s) du Client, Zoom peut soit (i) conseiller au Consommateur de contacter directement le Client pour lui faire part de cette demande, soit (ii) contacter le Client pour répondre directement au Consommateur.
   
   

Section C – Virginie, Colorado, Utah et autres États. La présente Section C de l’Addendum s’applique à la fourniture des Services par Zoom et à leur utilisation par le Client, dans la mesure où le Client est un Contrôleur de Données personnelles et où Zoom traite les Données personnelles du Client en vertu des lois applicables au niveau de l’État en matière de protection des données.

1. Définitions. Aux fins de la présente section C de l’Addendum : (a) les « Lois applicables au niveau de l’État en matière de protection des données » désignent (i) la loi Colorado Privacy Act de 2021, la loi Virginia Consumer Data Protection Act de 2021 ou la loi Utah Consumer Privacy Act de 2022, telles que modifiées, ou (ii) toute autre loi applicable d’un État américain promulguée dans le but de protéger les Données personnelles, en vertu de laquelle le Client est un Contrôleur et Zoom le Gestionnaire, ainsi que les conditions générales du présent Addendum qui satisfont aux exigences de ces lois étatiques ; (b) « Contrôleur », « Données personnelles », « Traitement » et « Gestionnaire » ont les significations respectives qui leur sont données dans les Lois applicables au niveau de l’État en matière de protection des données ; et (c) « Instructions » a la signification donnée ci-dessous.
   
   
2. Traitement des Données personnelles : rôles, portée et responsabilité.
   
   
   1. Les parties reconnaissent et acceptent ce qui suit : le Client est le Contrôleur des Données personnelles du Client. Zoom est le Gestionnaire des Données personnelles du Client.
      
      
   2. Dans une mesure nécessaire et proportionnée, le Client, en qualité que Contrôleur, donne à Zoom des instructions pour effectuer les activités suivantes en tant que Gestionnaire pour le compte du Client (collectivement, les « Instructions ») :
      
      
      1. Fournir et mettre à jour les Services sous licence, configurés et utilisés par le Client et ses utilisateurs, y compris par l’utilisation par le Client des paramètres Zoom, des contrôles de l’administrateur ou d’autres fonctionnalités des Services ;
         
         
      2. Sécuriser et surveiller en temps réel les Services ;
         
         
      3. résoudre les problèmes et corriger les bogues et les erreurs ;
         
         
      4. fournir l’assistance demandée par le Client, y compris en appliquant les connaissances acquises à partir des demandes d’assistance de clients à titre individuel au profit de tous les Clients de Zoom, mais uniquement dans la mesure où lesdites connaissances sont anonymisées ; et
         
         
      5. traiter les Données personnelles du Client comme indiqué dans le Contrat (y compris le présent Addenda et l’Annexe A incluse), ainsi que toute autre instruction documentée fournie par le Client et reconnue par Zoom comme constituant des instructions.
   3. Dans la mesure où Zoom agit en tant que Gestionnaire des Données personnelles du Client, Zoom traitera les Données personnelles du Client selon ses Instructions. Le Client s’assurera que les Instructions données à Zoom sont conformes à toutes les lois, règles et réglementations applicables à ses Données personnelles, et que le Traitement de ses Données personnelles selon ses Instructions ne conduira pas Zoom à enfreindre les Lois applicables au niveau de l’État en matière de protection des données. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité (i) des Données personnelles du Client transmises à Zoom par le Client ou en son nom ; (ii) de la manière dont le Client a obtenu lesdites Données personnelles ; et (iii) des Instructions qu’il donne à Zoom concernant le Traitement desdites Données personnelles. Le Client ne communiquera pas ou ne mettra pas à disposition de Zoom des Données personnelles du Client en violation du Contrat ou du présent Addendum.
      
      
   4. Le Client autorise Zoom à procéder à des analyses et à générer des rapports à partir des Données personnelles dans certaines circonstances (par exemple, pour identifier et signaler du contenu caractérisant des abus sexuels commis sur des enfants, pour se conformer à d’autres Lois applicables ou pour garantir le respect des Directives d’utilisation acceptable de Zoom).
      
      
3. Personnes autorisées. Zoom veillera à ce que toutes les personnes autorisées à traiter les Données personnelles du Client soient informées de leur nature confidentielle et soient soumises à une obligation de confidentialité à leur égard.
   
   
4. Sous-traitants. Dans la mesure où Zoom est le Gestionnaire, le Client autorise par la présente Zoom à engager des sous-traitants conformément à la présente Section C(4).
   
   
   1. Le Client accepte que Zoom ait recours aux fournisseurs répertoriés sur la page https://www.zoom.com/en/trust/subprocessors/ pour traiter les Données personnelles du Client.
      
      
   2. Zoom peut supprimer, remplacer ou désigner des fournisseurs supplémentaires. À condition que le Client soit abonné aux mises à jour sur https://www.zoom.com/en/trust/subprocessors/, Zoom informera le Client de toute modification apportée aux engagements de ces fournisseurs. Lorsque les Lois applicables au niveau de l’État en matière de protection des données l’exigent, Zoom donnera également au Client la possibilité de s’opposer à cet engagement conformément aux sections C(4)(d) et C(4)(e) des présentes.
      
      
   3. En cas d’urgence concernant la disponibilité ou la sécurité des Services, Zoom n’est pas tenue d’informer préalablement le Client de la suppression, du remplacement ou de la désignation de sous-traitants, mais doit le faire dans les sept (7) jours ouvrés suivant le changement de sous-traitant.
      
      
   4. Dans les deux cas, le Client peut s’opposer à l’engagement d’un sous-traitant par écrit dans les quinze (15) jours ouvrés suivant la réception de l’avis susmentionné de la part Zoom.
      
      
   5. Si le Client s’oppose à l’engagement d’un nouveau sous-traitant, Zoom a le droit de répondre à cette objection par l’une des méthodes suivantes, à sa seule discrétion :
      
      
      1. Zoom peut annuler son intention de faire appel au sous-traitant pour le traitement des Données personnelles du Client ;
         
         
      2. Zoom peut prendre les mesures correctives demandées par le Client dans son objection (qui lèvent l’objection du Client) et faire appel au sous-traitant pour le traitement de ses Données personnelles.
         
         
      3. Zoom peut cesser de fournir ou le Client peut accepter de ne pas utiliser (temporairement ou définitivement) l’aspect particulier du Service qui impliquerait le recours à un sous-traitant spécifique en ce qui concerne les Données personnelles du Client. Zoom fournira au Client une description écrite des alternatives commercialement raisonnables, le cas échéant, à cet engagement, y compris, mais sans s’y limiter, la modification des Services. Si Zoom, à sa seule discrétion, n’est pas en mesure de fournir lesdites alternatives, ou si le Client ne les accepte pas, Zoom et le Client peuvent résilier le Contrat, y compris le présent Addendum, moyennant un préavis écrit de soixante (60) jours. La résiliation n’exonère pas le Client des frais ou charges dus à Zoom pour les Services fournis jusqu’à la date effective de la résiliation en vertu du Contrat.
         
         
      4. Si le Client ne s’oppose pas à l’engagement d’un nouveau sous-traitant dans les 15 jours ouvrés suivant l’envoi d’un préavis par Zoom, ce nouveau sous-traitant sera réputé accepté.
         
         
   6. Zoom engagera tout sous-traitant qui traite les Données personnelles du Client uniquement dans le cadre d’un contrat écrit et exigera du sous-traitant qu’il respecte toutes les obligations de Zoom dans le cadre de cette sous-traitance en ce qui concerne ces Données personnelles. Zoom reste responsable envers le Client si ce sous-traitant ne satisfait pas à ses obligations en matière de protection des données, dans la même mesure que Zoom serait responsable en vertu du présent Addendum pour de tels faits ou manquements.
      
      
5. Sécurité des informations. Compte tenu du contexte du traitement, Zoom maintiendra des mesures techniques et organisationnelles appropriées en ce qui concerne les Données personnelles du Client afin d’assurer un niveau de sécurité adapté au risque conformément au présent Addendum et aux conditions expressément stipulées dans le Contrat.
   
   
6. Informations relatives à la conformité. Sur demande raisonnable du Client, Zoom mettra à la disposition du Client des informations raisonnables et conformes aux lois applicables, en sa possession et nécessaires pour démontrer qu’elle respecte les obligations visées dans le présent Addendum.

ANNEXE A

Description du traitement

Du Contrôleur au Gestionnaire

Nature et objet du traitement : conformément au Contrat, y compris au présent Addendum, Zoom traitera les Données personnelles du Client aux fins suivantes :

• Fournir et mettre à jour les Services sous licence, configurés et utilisés par le Client et ses utilisateurs, y compris par l’utilisation par le Client des paramètres Zoom, des contrôles de l’administrateur ou d’autres fonctionnalités des Services ;
  
  
• Sécuriser et surveiller en temps réel les Services ;
  
  
• résoudre les problèmes et corriger les bogues et les erreurs ;
  
  
• fournir au Client l’assistance demandée, y compris en appliquant les connaissances acquises à partir des demandes d’assistance de clients à titre individuel au profit de tous les Clients de Zoom, mais uniquement dans la mesure où lesdites connaissances sont anonymisées ;
  
  
• comme indiqué dans le Contrat et/ou le présent Addendum, ou toute autre instruction documentée donnée par le Client et reconnue par Zoom comme constituant des instructions ; et
  
  
• le cas échéant, pour satisfaire à nos obligations légales.
  
  

Type de données personnelles à traiter :

Informations sur le profil du compte Zoom : données associées au profil du compte Zoom de l’utilisateur final, à sa photo de profil, à son mot de passe, au nom de l’entreprise et aux préférences du Client. Cela inclut les éléments suivants :

• identifiant utilisateur unique de Zoom ;
  
  
• photo de profil (facultatif).
  
  

Données de diagnostic :

Métadonnées de réunion : indicateurs sur l’utilisation du service, y compris sur le moment où les réunions ont lieu et comment elles se déroulent.

Cette catégorie inclut les éléments suivants :

• journaux d’événements (y compris les mesures prises, le type et le sous-type d’événement, l’emplacement de l’événement dans l’application, l’horodatage, le numéro universel unique du client, l’identifiant de l’utilisateur et le n° de réunion) ;
  
  
• informations sur les sessions de réunion, notamment la fréquence, la durée moyenne et effective, la quantité, la qualité, l’activité et la connectivité du réseau ;
  
  
• le nombre de réunions ;
  
  
• nombre de sessions avec et sans partage d’écran ;
  
  
• le nombre de participants ;
  
  
• les informations sur l’hôte de la réunion ;
  
  
• le nom de l’hôte ;
  
  
• l’URL du site de réunion ;
  
  
• l’heure de début/fin de la réunion ;
  
  
• la méthode de participation ;
  
  
• informations sur les performances, le dépannage et les diagnostics.
  
  

Données télémétriques : données collectées à partir de logiciels installés localement (applications et informations du navigateur sur le déploiement des services Zoom et l’environnement des systèmes connexes/informations techniques). Cela comprend les éléments suivants :

• le nom du PC ;
  
  
• le micro ;
  
  
• le haut-parleur ;
  
  
• la caméra ;
  
  
• le domaine ;
  
  
• l’identifiant du disque dur ;
  
  
• le type de réseau ;
  
  
• le type et la version du système d’exploitation ;
  
  
• la version du client ;
  
  
• l’adresse du MAC ;
  
  
• les journaux d’événements (y compris les mesures prises, le type et le sous-type d’événement, l’emplacement de l’événement dans l’application, l’horodatage, le numéro universel unique du Client, l’identifiant de l’utilisateur et le n° de réunion) ;
  
  
• les journaux de service (informations concernant les événements et les statuts du système).
  
  

Autres données générées par le service :

• l’identification des spams ;
  
  
• les notifications push ;
  
  
• identificateurs uniques permanents de Zoom tels que le numéro universel unique du client ou les identifiants de l’utilisateur qui sont combinés avec d’autres éléments de données, notamment :
  
  
• l’adresse IP ;
  
  
• le data center ;
  
  
• le nom du PC ;
  
  
• le micro ;
  
  
• le haut-parleur ;
  
  
• la caméra ;
  
  
• le domaine ;
  
  
• l’identifiant du disque dur ;
  
  
• le type de réseau ;
  
  
• le type et la version du système d’exploitation ;
  
  
• la version du client.
  
  
• les adresses IP avec le chemin du réseau.
  
  

Données d’assistance :

• Contact du demandeur, heure, objet, description du problème, commentaires recueillis en aval de la réunion (pouces en l’air/baissés)
  
  
• pièces jointes transmises par l’utilisateur, y compris les enregistrements, les transcriptions ou les captures d’écran, les commentaires recueillis en aval de la réunion (texte libre fourni avec des pouces baissés).
  
  

Durée du traitement : la durée du Contrat et la période de conservation jusqu’à ce que Zoom supprime ou renvoie toutes les Données personnelles du Client traitées pour le compte du Client.

Mises à jour

Zoom peut modifier ou compléter le présent Addendum relatif à la confidentialité à tout moment. Toute modification apportée aux présentes sera publiée ici. Si vous souhaitez être informé des modifications ou des ajouts apportés aux présentes, veuillez indiquer votre adresse e-mail dans le champ ci-dessous.