Invalidation du Bouclier de protection des données et pratiques de Zendesk

Par Rachel Tobin, AGC EMEA (Global Privacy Counsel)

Publié 17 juillet 2020
Dernière mise à jour 29 octobre 2020

Le 16 juillet 2020, la Cour de justice de l’Union européenne (« CJUE ») a rendu l’arrêt dans l’affaire C-311/18, également connue sous le nom de Schrems II. L’arrêt de la CJUE a confirmé la validité des clauses contractuelles types (« CCT ») de la Commission européenne s’appliquant aux contrôleurs/sous-traitants, tout en invalidant le cadre du « Bouclier de protection des données UE-États-Unis » en tant que mécanisme de transfert de données à caractère personnel de l’UE vers les États-Unis. L’arrêt impose aux organisations engagées dans des transferts de données à caractère personnel vers un pays tiers de procéder à une évaluation avant d’effectuer un transfert à l’aide des CCT, afin de garantir que les personnes concernées bénéficient d’un niveau de protection « substantiellement équivalent » à celui garanti dans l’Union européenne (« UE ») par le RGPD. Si ce niveau de protection ne peut être atteint en s’appuyant uniquement sur les CCT, l’organisation exportatrice doit mettre en œuvre des « mesures supplémentaires » afin de protéger les données à caractère personnel exportées selon une norme « substantiellement équivalente ».

1. Quelle influence l’arrêt a-t-il sur l’utilisation des services par les clients de Zendesk ?

Chez Zendesk, nous offrons plusieurs choix à nos clients en matière de protection de la confidentialité. Zendesk a obtenu l’autorisation réglementaire d’effectuer les transferts en vertu des règles d’entreprise contraignantes (ou « BCR ») en tant que processeur et pour la sous-traitance des données de nos clients qui utilisent nos services, leur offrant ainsi un mécanisme solide lors du transfert des données à caractère personnel à partir de l’UE vers des membres de la famille d’entreprises Zendesk. Vous trouverez de plus amples informations dans notre communiqué de presse ici et sur notre site Web sur la confidentialité et la protection des données ici. L’Accord de traitement de données (« ATD ») de Zendesk comprend tant les CCT que les BCR de Zendesk.

À la lumière de l’arrêt de la CJUE et des orientations émergentes et prévues du Comité européen de la protection des données et de la Commission européenne, nous avons examiné les accords de transfert de données que nous avons établis avec nos sous-traitants et confirmé que des mécanismes de transfert valides sont en place. Vous pouvez consulter la liste à jour de nos sous-traitants ici.

Si vous disposez actuellement d’un ATD avec Zendesk, vous pouvez continuer à utiliser le service de Zendesk conformément à la législation européenne. L’arrêt Schrems II de la Cour ne modifie pas votre capacité à transférer des données entre l’UE et les États-Unis grâce au service. Veuillez également noter que ni la décision de la CJUE ni le RGPD ne vous obligent à héberger des données à caractère personnel dans l’UE.

Si vous êtes un de nos clients actuels et avez besoin d’un ATD, vous pouvez accéder au formulaire requis dans votre console d’administration client, ou sinon cliquer ici pour accéder à notre ATD.

2. Accès du gouvernement aux données à caractère personnel dans les comptes clients

Dans son arrêt, la CJUE a déterminé que les organisations qui s’appuient sur les CCT et/ou les BCR devraient veiller à ce que les personnes concernées dont les données à caractère personnel sont transférées vers un pays tiers conformément aux clauses contractuelles types puissent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti dans l’UE par le RGPD. La Cour a précisé que les organisations devraient évaluer si elles peuvent ou non transférer des données à caractère personnel sur la base des CCT et/ou des BCR en tenant compte des circonstances des transferts et de toute mesure supplémentaire qu’une organisation pourrait mettre en place.

Zendesk dispose d’une politique et d’un processus internes bien définis pour les demandes gouvernementales d’informations sur nos clients, lesquels sont conformes aux règles 12A et 12B de notre politique BCR de traitement. Zendesk informera le client concerné de la demande, sauf si la loi l’interdit ou s’il existe une indication claire et évidente d’un comportement illégal ou d’un risque de préjudice. En outre, nous confirmons que nous n’avons intégré aucune porte dérobée ou autre méthode dans nos services en vue de permettre aux autorités gouvernementales de contourner nos mesures de sécurité et d’avoir accès aux données à caractère personnel dans les comptes clients.

3. Mesures supplémentaires : cryptage des données clients

Zendesk applique de fermes pratiques en matière de sécurité des données pour protéger les données de ses clients, comme nous le mentionnons en détail sur le site Web Sécurité de Zendesk, notamment le cryptage :

  • (i) Cryptage des données en transit. Les Données de service, qui peuvent inclure des données à caractère personnel, sont cryptées en transit sur les réseaux publics lors de la communication avec les interfaces utilisateur (UI) et l’interface de programmation d’application (API) Zendesk via HTTPS/TLS (TLS 1.2 ou supérieur). Les exceptions au cryptage des données en transit (comme lors de l’utilisation d’un service tiers qui ne prend pas en charge le cryptage) sont mentionnées en détail ici sur notre site Web Sécurité ;
  • (ii) Cryptage des données stockées. Les données de service, qui peuvent inclure des données à caractère personnel, sont cryptées lors de leur stockage par le sous-traitant de Zendesk et le fournisseur de services gérés/d’hébergement, Amazon Web Services Inc., via AES-256.
  • (iii) Zendesk autorise également les certificats générés par le client pour les données en transit en utilisant la fonction de mappage d’hôte sur leur compte. À ce propos, plus d’informations sont disponibles ici.

Depuis la création de notre entreprise, l’approche de Zendesk est fondée sur un engagement fort en matière de confidentialité, de sécurité, de respect et de transparence. Chez Zendesk, la protection de la vie privée reste une priorité absolue, c’est pourquoi nous continuons à protéger et à sécuriser les données de nos clients. Veuillez contacter votre responsable de compte si vous avez d’autres questions.