Veuillez noter que ces questions fréquentes : (a) sont fournies à titre d’information uniquement et ne constituent pas un avis juridique ; (b) représentent nos offres et pratiques Zendesk actuelles, qui sont susceptibles d’être modifiées ; et (c) ne créent aucun engagement ou assurance de la part de Zendesk ni de ses sociétés affiliées ou sous-traitants. Les responsabilités et les obligations de Zendesk envers ses Abonnés sont contrôlées par l’accord sur les services principaux (« ASP ») et l’Accord de traitement de données (« ATD ») de Zendesk et le présent document ne fait pas partie ni ne modifie un accord entre nous. Les termes en majuscules utilisés mais non définis dans le présent document auront la signification qui leur est donnée dans l’ASP et l’ATD.

Nous sommes conscients que les transferts internationaux sont un domaine complexe dans le cadre de l’arrêt Schrems II et des nouvelles clauses contractuelles types (« CCT ») et nous espérons que ces questions fréquentes répondront à vos principales questions sur les recommandations du Comité européen de la protection des données (« CEPD »), en ce qui concerne votre utilisation des services Zendesk. N’hésitez pas à envoyer toute autre question à ce sujet à euprivacy@zendesk.com.

1. Que dit le RGPD au sujet des transferts internationaux ?

Les données à caractère personnel couvertes par le RGPD ne peuvent être transférées en dehors de l’EEE que si un mécanisme approuvé garantit que le niveau de protection des données prévu par le RGPD n’est pas compromis.

Il est donc important que les organisations connaissent et cartographient d’abord tous les transferts de données à caractère personnel vers des pays hors EEE (première étape des recommandations du CEPD).

2. Quels mécanismes de transfert international Zendesk utilise-t-elle ?

Les organisations doivent identifier le mécanisme de transfert sur lequel elles s’appuient pour chaque transfert (deuxième étape des recommandations du CEPD). Certains pays en dehors de l’EEE (comme le Royaume-Uni) bénéficient d’une décision des autorités européennes chargées de la protection des données. Nous utilisons ce mécanisme dans la mesure du possible.

Nous utilisons les CCT comme mécanisme pour les transferts internationaux de données à caractère personnel entre les Abonnés de Zendesk et les sous-traitants de Zendesk dans les pays non membres de l’EEE/non adéquats. Ceux-ci fournissent des garanties contractuelles que les données à caractère personnel seront protégées selon la norme RGPD en dehors de l’EEE.

Nous utilisons les règles d'entreprise contraignantes (BCR), qui incluent les protections Schrems II (voir ici et ici) pour les transferts internationaux entre différentes entités Zendesk. Les BCR sont des politiques approuvées par les autorités de contrôle qui régissent les questions de protection des données au sein d’un groupe de sociétés, y compris en ce qui concerne les transferts internationaux entre ces entités.

3. Comment l'arrêt Schrems II affecte-t-il l'utilisation des CCT et des BCR ?

Les exportateurs de données doivent s’assurer que les pays importateurs offrent une protection essentiellement équivalente à celle de l’UE pour les données spécifiques, surtout en ce qui concerne la surveillance gouvernementale (troisième étape des recommandations du CEPD). Les exportateurs de données doivent s’assurer que les pays importateurs offrent une protection essentiellement équivalente à celle de l’UE pour les données spécifiques, notamment en ce qui concerne la surveillance gouvernementale (quatrième étape des recommandations du CEPD).

Il est important de noter que l’arrêt Schrems II n’exige pas la localisation des données ou un support uniquement européen. Certaines entreprises peuvent considérer cela comme une préférence ou comme une mesure technique supplémentaire, mais il ne s’agit pas d’une exigence légale explicite.

4. Quelle est la relation entre les nouveaux CCT et Schrems II ?

Les nouvelles CCT ont été créées parce que les anciennes versions étaient déjà obsolètes. Cependant, l’arrêt Schrems II a donné un nouvel élan à leur développement. Les nouvelles CCT codifient l’exigence de Schrems II de procéder à une analyse d’impact du transfert (« AIT »). Elles exigent également des importateurs de données qu’ils prennent des mesures spécifiques de protection des données s’ils reçoivent une demande d’accès du gouvernement. Les nouvelles CCT sont déjà intégrées au dernier ATD de Zendesk.

5. Qu’est-ce que l’AIT et comment y procéder ?

Une analyse d’impact du transfert (AIT) est une méthode permettant d’évaluer si un niveau de protection essentiellement équivalent sera assuré dans le pays importateur pour les données spécifiques transférées (troisième et quatrième étapes des recommandations du CEPD), y compris si les lois locales sur la surveillance gouvernementale répondent aux garanties essentielles de l’UE pour les mesures de surveillance, toute preuve pratique pertinente de la surveillance gouvernementale (par exemple, les demandes d’accès du gouvernement reçues précédemment par l’importateur) et, si nécessaire, les mesures supplémentaires qui peuvent aider à atteindre un niveau d’équivalence essentielle.

Nous avons créé un guide pour vous aider à procéder à l’AIT pour votre utilisation des services Zendesk. Ce guide comprend des détails sur les lois de surveillance gouvernementale dans chaque pays où Zendesk ou ses sous-traitants peuvent importer des données des Abonnés. Vous pouvez demander une copie de ce guide en contactant votre chargé de compte Zendesk.

6. Quelle est l’approche de Zendesk concernant les demandes d’accès du gouvernement et en a-t-elle reçues dans le passé ?

Conformément à ce qui précède, l’analyse d’impact du transfert doit prendre en compte la procédure suivie par l’importateur de données pour répondre aux demandes d’accès du gouvernement, si l’importateur a déjà reçu de telles demandes et s’il est effectivement autorisé à fournir des informations sur ces demandes.

Zendesk suit notre Government Data Request Policy (Politique de demande de données du gouvernement) et les étapes de l'article. 15 des nouveaux CCT quand nous recevons une demande d'accès du gouvernement. Il s’agit notamment de demander aux autorités de contacter le responsable du traitement des données en premier lieu et, à défaut, de procéder à un examen juridique minutieux de la validité de la demande. Zendesk, comme de nombreuses entreprises technologiques, reçoit parfois des demandes d’organismes chargés de faire respecter la loi aux États-Unis et ailleurs, qui cherchent à obtenir des données stockées par Zendesk pour le compte d’un Abonné. Vous trouverez plus d’informations sur les demandes de ce type que Zendesk a reçues dans notre rapport de transparence.

7. Quelle est l'approche de Zendesk pour la norme FISA 702 dans le cadre de Schrems II ?

La section 702 de la loi FISA autorise certains types de recueil de renseignements étrangers à des fins de sécurité nationale. Un tribunal fédéral indépendant spécial, appelé Foreign Intelligence Surveillance Court, supervise la collecte de renseignements pour s'assurer qu'elle est effectuée conformément à la loi FISA et à la Constitution. américaine, en particulier le quatrième amendement qui protège contre les fouilles, les perquisitions et les saisies abusives.

Zendesk est une société américaine formée et enregistrée dans l’État du Delaware, soumise au droit des États-Unis. Zendesk est un fournisseur de services informatiques à distance (Remote Computing Service, « RCS ») tel que défini dans la loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act, « ECPA »), section 2711 du titre 18 du code des États-Unis (« U.S.C. »), lorsqu’elle fournit des services aux Abonnés. L’ECPA ne permet pas aux autorités chargées de l’application de la loi d’accéder aux données stockées chez un fournisseur RCS, à moins qu’elles n’obtiennent au préalable un mandat, une assignation ou une ordonnance du tribunal. Les fournisseurs de services informatiques à distance peuvent également être soumis à la section 702 du Foreign Intelligence Surveillance Act (« FISA 702 ») s’ils stockent des communications électroniques.

Dans le cadre de votre AIT, vous pouvez, selon les circonstances, tout d’abord conclure qu’il n’y a aucune raison de croire que la loi FISA 702 sera appliquée aux données pour lesquelles vous utilisez Zendesk en tant que processeur, en particulier en raison du type de données que Zendesk traite en votre nom. À cet égard, suite à l’arrêt Schrems II, le gouvernement américain a donné l’assurance : « que la plupart des entreprises américaines ne traitent pas de données présentant un quelconque intérêt pour les agences de renseignement américaines, et n’ont aucune raison de croire qu’elles le font. Elles ne sont pas engagées dans des transferts de données qui présentent le type de risques pour la vie privée qui semblent avoir préoccupé la CJUE dans le cadre de Schrems II. »

De plus, le rapport de transparence de Zendesk montre que la possibilité que des demandes de cette nature se produisent est très faible. Cela peut également vous amener à conclure qu’il n’y a aucune raison de croire que la loi FISA 702 sera appliquée aux données pour lesquelles vous utilisez Zendesk en tant que sous-traitant.

Troisièmement, en tant que responsable du traitement, vous avez le droit de vérifier les journaux liés à vos données pour voir s’il n’y a pas eu d’accès non autorisé à celles-ci (en n’oubliant pas que le personnel de Zendesk ne peut accéder à vos données qu’avec votre approbation dans des circonstances normales). Cette mesure supplémentaire peut donc vous permettre de vous assurer que tout problème éventuel d’équivalence essentielle est résolu.

8. Quelle est l'approche de Zendesk vis-à-vis de l'EO 12333 dans le cadre de Schrems II ?

Le décret exécutif (EO) 12333 n'autorise pas le Gouvernement des États-Unis. à exiger des entreprises qu'elles les aident à recueillir des informations provenant de l'étranger, et Zendesk ne le fera pas volontairement. Zendesk n’a reçu aucune commande de données en masse. Tout risque lié au décret EO 12333 devrait être écarté si un importateur de données utilise un chiffrement suffisamment puissant lors du transit. En effet, le décret EO 12333 semble impliquer l’interception des données avant qu’elles n’atteignent les serveurs des entreprises aux États-Unis. Si le chiffrement est suffisamment puissant, les données interceptées resteront illisibles.

Zendesk fournit un chiffrement adéquat car toutes les communications avec l’interface utilisateur et les API Zendesk sont chiffrées avec la norme HTTPS/TLS (TLS 1.2 ou supérieure) sur les réseaux publics. Les données de service sont chiffrées au repos dans AWS à l’aide du chiffrement par clés AES-256. De plus, Zendesk n’a pas intégré de « portes dérobées » permettant aux autorités gouvernementales de contourner ses mesures de sécurité pour accéder aux Données de service. Tout cela devrait donc signifier que Zendesk a mis en œuvre des mesures supplémentaires qui répondent de manière adéquate à tout risque d’équivalence essentielle créé par le décret EO 12333.

9. Comment pouvez-vous vous assurer que vos données seront adéquatement protégées dans le cadre des lois de surveillance des autres pays où Zendesk les traite ?

Comme indiqué ci-dessus, Zendesk a fourni des résumés des lois locales pertinentes dans notre guide sur les AIT. Il se peut que vous considériez que la législation de certains de ces pays offre un niveau de protection de vos données essentiellement équivalent à celui de l’UE. Dans ce cas, aucune autre action ne serait requise pour ces pays.

Si vous estimez que les lois de l’un de ces pays n’offrent pas une protection essentiellement équivalente de vos données, vous pouvez décider, en fonction des circonstances (par exemple, le type de données), qu’il n’y a toujours aucune raison de croire que les lois seront effectivement appliquées à vos données. Vous pouvez également considérer que les mesures supplémentaires que Zendesk a mises en place (par exemple notre politique d’accès du gouvernement et les mesures de sécurité renforcées) signifient que tous les problèmes d’équivalence essentielle sont traités de manière adéquate.

10. Quelles autres mesures Zendesk prend-elle en réponse à Schrems II ?

Nous sommes conscients que certains de nos Abonnés veulent des solutions qui offrent un niveau de conformité encore plus élevé dans un environnement de confidentialité en constante évolution. Dans cette optique, nous nous sommes engagés à développer une solution de chiffrement avancé et des offres de localisation de données plus approfondies.

En plus de concentrer nos efforts sur le chiffrement avancé, nous investissons dans la création de davantage de fonctionnalités de confidentialité et de conformité pour permettre la mise en œuvre d'une politique de rétention des données, une visibilité accrue de l'accès des agents, des permissions granulaires et des outils supplémentaires pour vous aider à minimiser les données au sein de votre instance Zendesk.

Nous travaillons d’arrache-pied sur ces projets et vous fournirons bientôt des informations actualisées. Cependant, si vous souhaitez discuter de ces questions, de notre conformité à Schrems II ou de toute autre question générale relative à la protection des données, contactez votre chargé de compte Zendesk ou envoyez un message à euprivacy@zendesk.com.