Article

Transferts de données UE-USA suite à Schrems II

Par Shanti Ariker, SVP, General Counsel and Maarten Van Horenbeeck, SVP & Chief Information Security Officer

Publié 8 février 2022
Dernière mise à jour 8 février 2022

Chez Zendesk, nous sommes convaincus que la confiance est au cœur de toutes les interactions que nous avons avec nos clients. Nous reconnaissons l’importance de la confiance que nous accordent nos clients, du respect de leur vie privée et de la sécurité de leurs données. Les réglementations internationales évoluent rapidement et nous nous attachons à fournir à nos clients les outils nécessaires pour leur permettre de les respecter. En tant que client, vous devez comprendre comment les fournisseurs utilisent et conservent vos données. C’est pourquoi nous nous efforçons d’être transparents sur la façon dont les données de service sont traitées par le biais de nos produits et services, sur l’éventuel transfert des données à l’étranger et sur les risques associés au type de données ou de traitement concernés. Depuis la décision Schrems II de juillet 2020 concernant la légalité des transferts transatlantiques de données, nous avons mis en place les mesures suivantes pour encadrer les transferts de données personnelles conformément aux règles de confidentialité établies par l’UE :

Règles d’entreprise contraignantes et clauses contractuelles types

Nous transmettons les Règles d’entreprise contraignantes de l’UE (Binding Corporate Rules - BCR) à la fois au responsable du traitement des données et au sous-traitant ; ces règles sont considérées comme la référence standard relativement aux transferts internationaux de données. Les BCR sont des politiques de protection des données appliquées à l’échelle de l’entreprise qui ont été approuvées au titre des transferts de données par notre Organisme de protection des données. Nous établissons un Accord de traitement des données (Data Processing Agreement - DPA) qui comprend notre version des BCR de l’UE et les nouvelles Clauses standard types (Standard Contractual Clauses - SCC) édictées en juin 2021. Notre DPA prévoit également des mesures de protection qui viennent s’ajouter à l’Annexe II des nouveaux DPA/SCC et décrit les contrôles d’accès à nos systèmes, les contrôles d’accès aux données, et l’architecture et la sécurité du réseau.

Guide d’évaluation de l’impact des transferts

Nous fournissons également un Guide d’évaluation de l’impact des transferts pour vous aider à comprendre la nature des transferts et à respecter votre obligation d’évaluation de l’impact et d’analyse de chaque transfert (sur demande).

Rapport de transparence

S’agissant des contrôles des organismes publics, nous estimons que les autorités judiciaires et agences de sécurité nationale doivent s’adresser en premier lieu aux clients plutôt qu’aux prestataires de service. Nous avons reçu très peu de demandes des autorités judiciaires au fil des années comme le prouve notre rapport de transparence, que nous mettons à jour tous les six mois. Nous n’avons jamais mis en place de portes arrière pour permettre aux organismes publics de contourner nos mesures de sécurité et n’entendons pas le faire.

Certifications

Nous effectuons régulièrement des auto-évaluations, et nous soumettons à des tests et processus de certification effectués par des entités externes indépendantes. Nous sommes titulaires des certifications indépendantes suivantes : SOC 2 Type II, ISO 27001:2013 et ISO 27018:2014.

Options d’hébergement régional des données

Nous vous offrons également une possibilité d’hébergement régional de vos données. Vous pouvez faire héberger vos données de service concernant certaines fonctionnalités aux États-Unis, dans l’Espace économique européen (EEE), au Japon (JP) ou en Australie (AU). Vous pouvez consulter la liste complète des services pouvant être hébergés dans la région de votre choix sur la page politique d’hébergement régional.

Tournés vers l’avenir : Feuille de route de Zendesk concernant les futures mesures de confidentialité

Dans un environnement en constante évolution, nous nous engageons à créer des fonctions supplémentaires susceptibles de garantir à nos clients un degré de protection supérieur. En 2022, Zendesk entend travailler sur les fonctions de confidentialité et de protection des données suivantes pour servir les intérêts de ses clients :

  • La fonction de chiffrement « Bring your own key » (BYOK) donnera aux clients la possibilité de chiffrer leurs données de service à l’aide de leur propre système de gestion des clefs de l’entreprise
  • Assistance sur le site du centre de données pour toutes les fonctions « Agent Workplace »
  • Amélioration des fonctions de suppression des données, de contrôle de l’accès et d’audit des données client
  • Cette offre vise à apporter une assistance aux seuls clients basés en Europe et à limiter les sites des services de défense des intérêts des clients ayant accès à vos données de service

Zendesk s’engage à aider ses clients à mieux comprendre les nouvelles règles de protection et de confidentialité des données. Nous suivons avec intérêt les discussions en cours entre la Commission européenne et le gouvernement américain portant sur la création d’un nouveau cadre relativement au transfert des données personnelles depuis l’Europe vers les États-Unis. Vous avez des questions ? Veuillez contacter votre chargé de compte Zendesk ou notre équipe chargée de la confidentialité sur euprivacy@zendesk.com. Pour en savoir plus sur notre programme de confidentialité et de sécurité, veuillez consulter les ressources énoncées ci-dessous : Schrems II - Guide des questions fréquemment posées (FAQ) Avenant sur le traitement des données avec les nouveaux SCC Politique régionale d'hébergement des données Rapport de transparence Comment nous protégeons vos données de service Informations sur le livre blanc sur les mesures de protection de la vie privée aux États-Unis par le département américain du commerce