Nouvelles options de stockage de l'UE de Zoom : Souveraineté des données
Une refonte modeste des outils et de l'assistance de Zoom en matière de confidentialité permet aux clients européens payants de choisir de stocker "certaines données" dans l'UE.
Mais les données de compte et de diagnostic seront toujours stockées aux États-Unis et même si les clients européens ont explicitement choisi de ne pas traiter les données d'appel dans les centres de données américains, elles peuvent toujours les traverser, a déclaré Zoom.
L'option de stockage de données européennes Zoom est désormais disponible pour les utilisateurs payants et fait partie d'une suite de nouvelles "améliorations de la confidentialité" de la société - y compris un outil pour les demandes d'accès des personnes concernées et le suivi des journaux d'audit.
Un communiqué de presse cette semaine a été soigneusement rédigé : "Les clients payants de l'EEE peuvent sélectionner certaines données pour les réunions, les webinaires et le chat d'équipe à stocker dans l'EEE à l'avenir. Ces données ne seront partagées avec les équipes américaines que dans des cas individuels et exceptionnels. circonstances », a déclaré Zoom.
Zoom a déclaré à The Stack que l'emplacement de stockage des données pour les clients européens souhaitant cliquer sur ce bouton particulier est les centres de données Zoom à "Francfort, Allemagne" qui exécutent des "clusters" hébergés par AWS.
(Pourquoi Zoom a choisi de se référer à l'EEE et non à l'UE n'est pas clair. Nous pouvons confirmer que les données ne sont pas stockées en Islande, au Liechtenstein ou en Norvège.)
Les administrateurs de Zoom peuvent choisir d'avoir des enregistrements dans le cloud et des transcriptions d'enregistrement parmi d'autres ensembles de données stockés dans des endroits particuliers (par exemple, l'Allemagne) et également de refuser spécifiquement qu'ils soient traités dans d'autres centres de données.
Indépendamment du choix de l'emplacement de stockage du client, cela "n'inclut pas les données de compte et les données de diagnostic, qui seront toujours stockées aux États-Unis".
Les données sélectionnées pour le stockage "EEE" "peuvent [également] passer par des liaisons réseau ou des équipements réseau dans des centres de données désabonnés pendant qu'elles transitent [vers] des centres de données Zoom opt-in utilisés pour le traitement des réunions en temps réel des participants et vidéo du webinaire…" indique la politique de confidentialité de Zoom.
Les nouveaux outils de confidentialité Zoom pour les clients européens interviennent des semaines après qu'une amende historique de 1,2 milliard d'euros a été infligée par le commissaire irlandais aux données contre le propriétaire de Facebook, Instagram et WhatsApp, Meta, pour non-respect des exigences de protection des données du RGPD ; un échec que la décision suggère peut également s'appliquer à d'autres fournisseurs de SaaS envoyant des données aux États-Unis.
(L'amende a été décrite succinctement par le cabinet de conseil en données Daragh O Brien de Castlebridge comme représentant "la suspension annoncée depuis longtemps des transferts vers les États-Unis en vertu des CSC" - des règles temporaires de transfert de données de l'UE vers les États-Unis qui avaient remplacé l'accord transatlantique "Privacy Shield" ; lui-même abattu par la Cour européenne de justice le 16 juillet 2020 dans un arrêt Schrems II.)
La décision de Zoom intervient également alors qu'un mouvement de "souveraineté des données" en Europe prend de l'ampleur. L'IBB allemand, le fournisseur de services informatiques des forces armées allemandes, a par exemple lancé en décembre 2022 la version bêta de son BundesMessenger crypté de bout en bout (E2EE), un messager décentralisé sécurisé pour les autorités fédérales, étatiques et locales allemandes qui peut être hébergé là où un utilisateur choisit et qui est construit sur le protocole open source Matrix.
Entre-temps, Microsoft a promis de créer une "frontière de données" européenne qui conserve les données des clients et de télémétrie en Europe pour Azure, Microsoft 365, Dynamics 365 et Power BI. Julie Brill, responsable de la confidentialité de Microsoft, a déclaré à l'agence : "La première phase concernera les données client… nous déplacerons [alors] les données de journalisation, les données de service et d'autres types de données dans la frontière" (d'ici fin 2023 et fin- 2024 respectivement.)
Zoom indique que les nouvelles fonctionnalités de confidentialité ont été développées en partie avec la coopérative néerlandaise d'enseignement informatique SURF, avec laquelle elle a commencé à travailler en 2021 dans le cadre d'une évaluation de l'impact sur la protection des données (DPIA) et a cité le PDG de SURF, Jet de Ranitz, comme étant "très heureux" avec le Zoom Modifications de la confidentialité en Europe.