Zoom Video Communications, la plateforme spécialiste des communications unifiées, annonce que suite à une consultation avec SURF, le fournisseur de services TIC pour l’éducation et la recherche néerlandaise, Zoom a apporté et continuera d’apporter des modifications à ses accords de confidentialité pour les clients Éducation et Entreprise dans l’Espace économique européen (EEE). En plus de ces changements et des nouveaux accords contractuels, SURF conseille aux organisations de mettre en œuvre elles-mêmes plusieurs mesures recommandées et de conclure de nouveaux accords de traitement des données avec Zoom. Dès que ces mesures auront été mises en œuvre, SURF indique que les personnes concernées pourront utiliser Zoom pour des communications hautement confidentielles et ne seront pas confrontées à ce que SURF considère comme des risques élevés pour la protection de la vie privée.
Ces ajustements sont le résultat de discussions entre SURF et Zoom après qu’une première évaluation d’impact sur la protection des données (DPIA) a été réalisée en mai 2021. Cette évaluation avait été commandée par le gouvernement néerlandais (SLM Rijk) et SURF. Une DPIA est un instrument qui identifie les risques pour la protection de la vie privée des personnes concernées et est considérée comme nécessaire s’il existe un risque élevé probable pour cette protection, notamment en cas de traitement à grande échelle de données personnelles ou de traitement de données personnelles sensibles.
"La confidentialité est très importante pour l’éducation. Zoom a été capable de fournir de bonnes solutions lors de cette consultation réalisée en mode coopératif," a expliqué Jet de Ranitz, PDG de SURF. "Je suis incroyablement fier de l’équipe qui a œuvré pour obtenir ces résultats. Cela peut inspirer d’autres parties à travailler ensemble de la même manière."
En collaboration avec SURF, Zoom a remédié aux risques pour la protection de la vie privée identifiés dans la première DPIA en mai 2021 en apportant des modifications à son logiciel, en concluant un accord avec le sous-traitant et en s’engageant à des changements futurs. Le nouveau DPIA qui vient d’être publié décrit ces ajustements contractuels et techniques. Par exemple, le chiffrement de bout en bout dans les réunions individuelles et de groupe est possible depuis novembre 2020, et Zoom s’est engagée à offrir aux comptes entreprise et éducation la possibilité de faire traiter la quasi-totalité de leurs données personnelles dans l’Espace économique européen (EEE) d’ici fin 2022. Zoom et SURF ont pris des dispositions à ce sujet qui ont été incluses dans un accord. Pour les données personnelles transférées en dehors de l’EEE, une évaluation d’impact du transfert de données (DTIA) a été réalisée, montrant des garanties adéquates pour les transferts de données.
Zoom et SURF continueront à travailler en étroite collaboration dans les mois à venir pour suivre l’évolution des mesures d’atténuation convenues, y compris, à titre d’exemple, la mise en place d’un bureau d’assistance européen distinct pendant les heures vernaculaires dans l’EEE, le développement de divers outils en libre-service pour les demandes d’accès aux données, et la mise en œuvre des principes de protection de la vie privée dès la conception et par défaut.
"Au cours des deux dernières années, Zoom a connu de la croissance et a innové. Nous avons développé notre activité pour répondre aux besoins croissants de nos utilisateurs au niveau mondial. Nous avons aussi fait évoluer notre approche de la protection et de la sécurité des données", a déclaré Eric S. Yuan, fondateur et PDG de Zoom. "Nous sommes heureux que la DPIA reconnaisse les améliorations que nous avons apportées à notre plateforme et nous sommes reconnaissants du rôle que SURF a joué pour soutenir le parcours de Zoom vers une protection des données de pointe pour les entreprises, les gouvernements et les utilisateurs en Europe et dans le monde."
SURF suit de près les développements concernant l’utilisation des services dans le cloud, y compris la jurisprudence et les décisions des régulateurs. Le Conseil européen de la protection des données (EDPB) mène actuellement des recherches sur l’utilisation des services dans le cloud par le secteur public. Les résultats sont attendus pour la fin de l’année 2022. SURF s’efforcera de s’assurer que les produits et services des fournisseurs sont techniquement et contractuellement conformes et que les risques sont minimisés. Si nécessaire, SURF inclura les résultats des déclarations futures dans les ajustements du DPIA. Zoom s’est engagé à assurer le suivi de toute recommandation supplémentaire en collaboration avec SURF et le gouvernement néerlandais.