Questions/réponses sur le transfert de données Workplace

Chez Workplace, nous nous engageons à respecter votre vie privée et votre sécurité, en mettant en place une infrastructure de premier ordre et des fonctionnalités de sécurité de niveau entreprise conçues pour assurer la sécurité de votre communauté Workplace. Nous souhaitons expliquer plus en détail les engagements que nous prenons envers nos utilisateur.ices pour assurer la sécurité de leurs données lorsqu'elles sont transférées de l'Espace économique européen (EEE) vers les États-Unis. Nous avons donc créé cette section de questions/réponses pour expliquer à nos client·es comment et pourquoi nous transférons leurs données, ainsi que les protections mises en place à cette fin.

Les données Workplace sont-elles transférées en dehors de l’Espace économique européen (EEE) ?

Oui. Afin d’assurer le service Workplace, il est indispensable pour nous de pouvoir transférer les données en dehors de l’EEE et d’utiliser notre infrastructure internationale. Nous procédons conformément aux Conditions générales de Workplace en ligne, et plus particulièrement à l’Avenant sur le transfert de données européennes. Les données des client·es Workplace traitées par Meta Ireland sont transférées vers des pays en dehors de l’EEE, dont les États-Unis, aux fins décrites dans les Conditions générales de Workplace en ligne. Le transfert de données est indispensable au bon fonctionnement et à la mise à disposition du service Workplace.

Quels sont les mécanismes employés par Workplace pour transférer des données depuis l’EEE vers les États-Unis ?

À compter du 7 septembre 2023, Meta s’appuiera sur le nouveau cadre de protection des données (CPD) pour le transfert des données des client·es Workplace depuis l’UE vers les États-Unis. Le CPD vient résoudre un conflit de lois de longue date entre l’UE et les États-Unis. Il dissout un flou juridique et nous permet de continuer à fournir nos services en Europe pour les années à venir.

Le CPD est entré en vigueur au début de l’été, suite à l’adoption de la décision d’adéquation par la Commission européenne. Il s’agit d’un accord solide visant à garantir la protection continue des données des utilisateur­·ices européen·nes et à renouveler les dispositifs de protection juridique pour des milliers d’entreprises transatlantiques qui transfèrent des données entre l’Europe et les États-Unis. Il garantit la pérennité des connexions numériques essentielles entre les entreprises des deux côtés de l’Atlantique.

Quelles sont les mesures et protections mises en place pour les données Workplace lors de leur transfert en dehors de l’EEE ?

Nous avons mis en place un certain nombre de protections et mesures pour les données Workplace transférées en dehors de l’EEE, dont les suivantes :

Sécurité :

Meta dispose d’un système de management de la sécurité de l’information (SMSI) pour Workplace. Le SMSI vise à établir, maintenir et améliorer en continu la confidentialité, l’intégrité et la disponibilité des éléments d’information Workplace et à renforcer la confiance des utilisateur·ices de la plateforme Workplace. Ainsi, Meta respecte les normes ISO27001 et ISO27018 pour Workplace, en plus de l’établissement d’un rapport SOC2 et des protections techniques fiables évoquées dans l’Avenant relatif à la sécurité des données des Conditions générales de Workplace en ligne. Les certifications ISO27001 et ISO27018 prouvent l’engagement de Workplace à protéger ses opérations et informations contre les menaces internes et externes.

Chiffrement des données en transfert afin d’empêcher leur lecture :

Meta utilise des algorithmes et des protocoles de chiffrement standards du secteur qui sont destinés à protéger et à préserver la confidentialité des données transférées par le biais de réseaux publics. Grâce à ces algorithmes de chiffrement avancés, Meta est en capacité d’empêcher des tiers d’accéder aux données Workplace transférées.

Politiques et procédures opérationnelles :

Nous avons mis en place des politiques et procédures fiables afin de nous assurer que les données Workplace sont correctement protégées dans le cadre des demandes émanant d’agences gouvernementales. Par exemple, nous répondons favorablement à une demande gouvernementale concernant les données de nos utilisateur·ices Workplace uniquement après avoir vérifié que la demande respecte bien la loi applicable ainsi que nos politiques. Si la demande s’avère illégale (par exemple, trop générale ou juridiquement incomplète de quelque manière que ce soit), nous la rejetons ou la contestons. Nous encourageons les agences gouvernementales à nous soumettre exclusivement des demandes nécessaires, adaptées, spécifiques et qui respectent scrupuleusement les lois en vigueur, via la publication de règles relatives aux demandes gouvernementales. Vous trouverez plus d’informations à propos de nos réponses aux demandes gouvernementales dans la section Questions/réponses sur l’examen des demandes gouvernementales.

Pas d’accès gouvernemental par des « portes dérobées » : nous ne fournissons à aucun gouvernement un accès direct ou des « portes dérobées » de chiffrement. Nous estimons que le fait d’affaiblir intentionnellement nos services de cette manière compromettrait la sécurité nécessaire à la protection des utilisateur·ices de notre service dans le monde.

Surveillance :

Nous disposons d’une équipe formée chargée de l’intervention et de l’application de la loi (LERT) qui examine et évalue individuellement chaque demande déposée par le gouvernement concernant les données des utilisateur·ices, que la demande ait été soumise dans le cadre d’une urgence ou par le biais d’une procédure judiciaire établie en application de la loi ou par les autorités responsables de la sécurité nationale. L’équipe s’assure que toutes les demandes sont conformes au droit applicable et à nos politiques.

Rapport de transparence de Meta :

Sur demande du gouvernement, nous publions des informations dans notre rapport de transparence. Les informations relatives aux demandes déposées en vertu de la loi américaine « Foreign Intelligence Surveillance Act » (FISA) sont intégrées au rapport et aussi détaillées que la loi américaine le permet.

Sensibilisation :

Nous remercions les gouvernements du monde entier pour les efforts qu’ils entreprennent pour protéger et préserver les données des utilisateur·ices, y compris aux États-Unis et en Europe, et nous nous efforçons d’assumer nos propres responsabilités en la matière. Nous collaborons activement avec les gouvernements pour encourager les pratiques qui protègent les droits des utilisateur·ices. Nous avons rejoint des groupes de sensibilisation, tels que Global Network Initiative, dont la mission est de promouvoir la liberté d’expression et le respect de la vie privée des internautes partout dans le monde. Nous avons aussi co-fondé Reform Government Surveillance, qui œuvre pour que les demandes des gouvernements concernant les données soient régies par des règles, strictement adaptées, transparentes, sujettes à une surveillance stricte et qu’elles protègent le chiffrement de bout en bout. Nous soutenons la réforme liée à la surveillance et collaborons régulièrement avec différents gouvernements et des organismes de réglementation pour la défendre.

Droits des personnes :

Outre les droits dont les personnes disposent en vertu des lois européennes et américaines, elles ont également la possibilité de soumettre une réclamation ou des questions à propos de la certification CPD de Meta via TRUSTe, un fournisseur tiers de services de résolution des litiges situé aux États-Unis.

Comment est-ce que Meta gère les demandes des forces de l’ordre relatives à Workplace ?

Meta a pour politique de rediriger en premier lieu les demandes gouvernementales vers les client·es Workplace. Si Meta doit fournir des informations en lien avec les données des utilisateur·ices Workplace, cette section des questions/réponses relatives aux demandes gouvernementales indique les politiques et processus à appliquer.

Meta examine en détail chaque demande gouvernementale reçue afin de vérifier sa légalité, quel que soit le gouvernement à l’origine de la demande. Si nous déterminons que la demande d’un gouvernement n’est pas conforme aux lois ou politiques applicables, nous la rejetons et nous incitons l’agence gouvernementale à remédier à toute non-conformité apparente. Si la demande s’avère illégale (par exemple, trop générale ou juridiquement incomplète de quelque manière que ce soit), nous la contestons ou la rejetons. Nous encourageons les entités gouvernementales à nous soumettre exclusivement des demandes nécessaires, adaptées, spécifiques et qui observent scrupuleusement les lois applicables, via la publication de règles relatives aux demandes gouvernementales.

Nous avons mis en place des politiques solides pour garantir que chaque demande gouvernementale soit examinée minutieusement, quel que soit le gouvernement à l'origine de la demande. Meta s’engage à observer les demandes juridiquement valides et obligatoires provenant des agences gouvernementales américaines. Ces demandes doivent être présentées conformément au droit applicable et à nos politiques. De plus, nous fournissons uniquement les informations strictement adaptées en vue de répondre à chaque demande.