La Commission européenne a publié, au début du mois de juin, la mise à jour tant attendue de ses « clauses contractuelles types », qui constituent le mécanisme le plus fréquemment utilisé pour le transfert de données personnelles depuis l’UE vers l’étranger, y compris les États-Unis.
Les entreprises ne peuvent toutefois pas se fier uniquement à ces clauses types et doivent évaluer les risques au cas par cas lorsqu’elles exportent des données personnelles en dehors de l’UE.
Quel impact sur nos clients ?
L’annonce de la Commission européenne ne modifie en rien notre engagement à protéger la confidentialité et la sécurité des données de nos clients. Nous recherchons en permanence des opportunités d’améliorer nos pratiques conformément aux normes gouvernementales et sectorielles européennes.
En outre, nos partenariats avec les leaders européens du secteur comme Atos et Alcatel-Lucent Enterprise nous aident à répondre aux besoins de nos clients locaux.
Quelles garanties supplémentaires pour nos clients ?
Voici quelques-unes des initiatives sur lesquelles nous travaillons actuellement :
Transfert de données depuis l’UE
Nous prenons les nouvelles clauses contractuelles types de l’UE comme mécanisme de transfert et offrons à nos clients des garanties contractuelles supplémentaires, incluant la protection des exportateurs de données et des mesures de réparation pour les personnes concernées, conformément aux recommandations de la Commission européenne. Nous étendons également ces garanties à nos sous-traitants.
Demandes gouvernementales
Chaque demande de renseignement est examinée avec attention par notre service juridique afin de vérifier qu’elle est bien légale et relève des prérogatives de l’autorité publique requérante.
Si, après évaluation minutieuse, nous concluons qu’il existe des motifs légaux de contester la demande, nous épuisons tous les recours disponibles pour le faire. En tout état de cause, nous nous engageons pleinement à informer nos clients, sauf si la loi nous l’interdit, de toute demande gouvernementale de divulgation de leurs données personnelles. Nous faisons en outre tous les efforts raisonnables pour réorienter le tiers requérant de façon à ce qu’il demande les données directement à nos clients.
Enfin, nous nous efforçons toujours de fournir le minimum d’informations possible en réponse à une demande de divulgation.
Sécurité
Nous mettons en œuvre les mesures de sécurité supplémentaires suivantes pour protéger les données de nos clients :
- Chiffrement
Toutes les données client sont chiffrées en transit comme au repos.
- De plus, des protocoles de sécurité d’entreprise assurent la sécurité de la téléphonie sur IP.
- Tous les portails Internet sont en https (par exemple, https:// service.ringcentral.com).
- Toutes les données non vocales des clients sont chiffrées par TLS.
- Les téléphones physiques utilisent des certificats numériques pour établir des connexions sécurisées afin de télécharger leurs données de configuration.
- Journaux d’audit
Des journaux d’audit sont générés pour tous les systèmes, dispositifs ou applications associés à l’accès, au traitement, au stockage, à la communication et/ou à la transmission des données client.
- Authentification utilisateur
Tous les utilisateurs ont des comptes individuels pour une traçabilité sans faille ; les comptes partagés ne sont généralement pas autorisés. Les mots de passe doivent respecter les règles du NIST. RingCentral exige une authentification multifactorielle ou à deux facteurs.
- Contrôle des comptes clients
Les clients peuvent gérer eux-mêmes divers aspects de leurs politiques de compte :
- Personnalisation des contrôles d’accès basés sur les rôles ou utilisation d’un de nos rôles standard, prêts à l’emploi
- Pistes d’audit pour suivre les changements de configuration, les tentatives de connexion, les changements de numéro de téléphone, les paramètres et les autorisations des administrateurs/employés
- Authentification unique (SSO) : les administrateurs du client peuvent définir des politiques pour appliquer des contrôles uniques pour chaque application SSO individuelle.
- Contrôle anti-fraude
Contrôle d’accès et de détection ainsi que limitation de l’utilisation pour empêcher la fraude. Mise en place d’un contrôle granulaire des personnes autorisées à passer des appels internationaux et vers quelle(s) destination(s)
- Modèle multi-tenant
Notre architecture multi-tenant, ou multi-locataire, garantit un haut degré de sécurité : les données d’un client ne seront jamais accessibles à un autre client. Combinée à des vues de base de données dynamiques, elle forme des frontières de couche d’application entre les instances de différents clients.
Quelles prochaines étapes pour les clients ?
Rapport de transparence
Nous avons révisé notre politique d’accès judiciaire et publierons notre premier rapport de transparence dans les semaines à venir. Ce rapport indiquera clairement le nombre de demandes que nous avons reçues de la part de la justice au cours de l’année précédente, les pays concernés et le type de données que nous avons fournies.
Investissement continu
RingCentral continue de donner la priorité à l’Europe pour ses infrastructures de centre de données. Nos centres de données européens permettent aux agences et gouvernements européens d’agir plus rapidement et d’adopter la technologie cloud.
Nous espérons permettre à davantage d’entreprises de profiter du cloud pour améliorer l’expérience client tout en gardant la main sur leurs données. Nos centres de données en Allemagne, aux Pays-Bas, au Royaume-Uni et en Suisse font tomber les barrières à l’innovation pour les secteurs où la sécurité est une exigence non négociable en leur proposant une alternative européenne. Nos accords de niveaux de service garantissent la disponibilité à 99,999 % que nos clients attendent.
La promesse d’un nouveau cadre
L’an dernier à la même époque, la Cour de justice de l’Union européenne a invalidé le « Privacy Shield » qui régissait les transferts de données entre l’UE et les États-Unis, rendant impossible les transferts de données effectués sur cette base. Un an plus tard, il est encourageant de constater que des discussions sont en cours entre la Commission européenne et le gouvernement américain afin de mettre en place un nouveau cadre pour les transferts de données transatlantiques.
Même si nous sommes assez optimistes à ce sujet, nous allons poursuivre nos efforts à ce sujet.
En tant que fournisseur de services cloud pour le marché européen, nous alignons nos pratiques sur les exigences du Règlement général sur la Protection des données (RGPD) de l’UE. RingCentral continue également de renforcer son ancrage européen et met toujours l’accent sur la compréhension des besoins des résidents européens et la manière de leur apporter le meilleur service ; nous n’avons pas l’intention de nous écarter de cette voie.
Centre sur la Confidentialité
Publié le 06 Juil, 2021, mis à jour le 30 Oct, 2023