Déclaration relative à la protection des données lors du traitement de données à caractère personnel dans le cadre de l’utilisation de Zoom pour des événements virtuels, y compris des procédures orales tenues par visioconférence

Pour l'Office européen des brevets ("OEB"), la protection de votre vie privée est de la plus haute importance. L'OEB s'engage à respecter et protéger les données à caractère personnel vous concernant, et à faire appliquer vos droits en tant que personne concernée par le traitement de ces données. Toutes les données à caractère personnel qui vous identifient directement ou indirectement seront traitées de manière loyale et licite, avec toutes les précautions nécessaires.

Le traitement de ces données est régi par les Directives pour la protection des données à caractère personnel à l'Office européen des brevets (les "directives").

Les informations figurant dans la présente déclaration sont fournies conformément aux articles 13 et 14 desdites directives.

1. Quels sont la nature et l'objectif du traitement ?

La communication vidéo Zoom ("Zoom") est une plateforme de visioconférence basée dans le cloud permettant d'organiser avec succès des événements dans un environnement virtuel qui rend l'interaction effective entre les participants aussi proche que possible de la réalité.

Afin de répondre au besoin de l'Office et des parties prenantes de pouvoir continuer à accéder à tous les services, l'OEB a étendu l'utilisation de la visioconférence à l'organisation d'événements virtuels. Dans ce cadre, Zoom sera utilisée pour la tenue de tels événements virtuels.

Les données à caractère personnel ne sont traitées dans la plateforme Zoom qu'en vue de mener à bien l'événement virtuel et de garantir une collaboration et une communication efficaces entre l'Office et les parties prenantes, et, par là même, la tenue des activités de l'OEB ainsi que le respect des obligations juridiques applicables.

Toutes les mesures possibles ont été prises par l'OEB pour assurer la protection des données à caractère personnel et pour préserver la confidentialité, l'intégrité et la disponibilité des informations. En outre, Zoom s'est engagée, dans le cadre d'un accord contraignant, à se conformer aux obligations découlant du RGPD et des Directives pour la protection des données à caractère personnel à l'OEB.

2. Quelles sont les données à caractère personnel traitées par l'OEB ?

Les données traitées dans la plateforme Zoom aux fins des événements virtuels organisés par visioconférence sont les suivantes :

• le nom d'utilisateur;
• les informations générales relatives aux préférences en matière de service;
• les informations relatives à l'appareil, au réseau et à la connexion Internet de chaque utilisateur, comme l'/les adresse(s) IP, l'adresse MAC, d'autres appareils (UDID), le type d'appareil, le type et la version de système opérationnel, et la version client;
• les informations relatives à l'utilisation de produits Zoom ou à d'autres interactions avec des produits Zoom ("Informations relatives à l'utilisation");
• d'autres informations que l'utilisateur télécharge, fournit ou crée en utilisant le service;
• les métadonnées utilisées pour la maintenance du service fourni;
• les données facultatives: le numéro de téléphone d'une personne effectuant un appel en recourant aux services de Zoom (par ex. Zoom Phone) et les données recueillies par l'intermédiaire de l'utilisation de cookies et de pixels espions (uniquement si l'utilisateur visite l'un des sites marketing de Zoom).

Des données supplémentaires sont susceptibles d'être recueillies selon que l'utilisateur rejoint l'événement virtuel via un appareil Android ou iOS. Étant donné que Zoom est un outil collaboratif, des données à caractère personnel supplémentaires peuvent être incluses dans les informations échangées entre l'Office et les parties prenantes, comme les messages instantanés, les images, les fichiers, les tableaux blancs, les enregistrements (si convenu auparavant), les contacts et les métadonnées utilisées pour la maintenance du service fourni.

3. Qui est responsable du traitement des données ?

Le traitement des données à caractère personnel est réalisé sous la responsabilité du CIO (DP 4.6) au nom de l'OEB, le CIO agissant en qualité de responsable délégué du traitement des données.

Les données à caractère personnel sont traitées par les agents du département 4.6.1.5 Applications de productivité, collaboration et événements qui gère les moyens techniques de tenue d'événements virtuels.

4. Qui a accès aux données à caractère personnel vous concernant et à qui sont-elles communiquées ?

Les données à caractère personnel sont communiquées aux destinataires suivants en tant que de besoin :

• agents de l'OEB et utilisateurs externes participant à des événements virtuels;
• membres du département4.6.1.5 Applications de productivité, collaboration et événements et prestataires tiers dans le cadre de la maintenance du service et du soutien relatif à ce service;
• Zoom et prestataires tiers dans le cadre de la maintenance du service et du soutien relatif à ce service.

5. Comment les données vous concernant sont-elles protégées et préservées ?

Zoom a annoncé publiquement qu'elle conserve toutes les données sur des serveurs tiers sécurisés où les mesures de sécurité suivantes sont appliquées :

• gestion des registres d'accès;
• soutien mondial 24heures sur24, 7jours sur7 en administrant et contrôlant les activités d'accès aux centres de données et en gérant des équipes locales et d'autres équipes de soutien pour répondre aux incidents de sécurité;
• alimentation électrique de secours;
• cryptage des données.

Zoom dispose d'une certification SOC 2 type II qui témoigne de sa conformité aux standards de sécurité, de disponibilité, de traitement, d'intégrité et de confidentialité, et son fournisseur de services cloud est certifié ISO 27001.

Pour plus d'informations concernant le traitement des données à caractère personnel par Zoom ou ses sous-traitants, veuillez consulter leur politique de confidentialité. Zoom signe des accords avec tous ses prestataires de service afin d'éviter qu'ils ne traitent les données à leurs propres fins ou aux fins de tiers.

Lorsque l'OEB organise un événement virtuel sur la plateforme Zoom et invite les parties à rejoindre la réunion, nous veillons à choisir les options les plus sûres possibles ; l'OEB recommande néanmoins vivement aux utilisateurs de recourir à la fonction de cryptage de bout en bout de Zoom lorsqu'ils partagent des données hautement confidentielles.

Pour plus d'informations, veuillez consulter les Directives techniques destinées aux utilisateurs.

6. Comment pouvez-vous accéder aux données à caractère personnel vous concernant et, le cas échéant, les corriger ? Comment pouvez-vous recevoir ces données ? Comment pouvez-vous demander l'effacement de données à caractère personnel, limiter leur traitement ou vous opposer à celui-ci ?

En vertu de l'article 14 des directives, vous avez le droit d'accéder aux données à caractère personnel vous concernant, de les rectifier, de les effacer et de les recevoir, ainsi que de limiter leur traitement ou de vous opposer à celui-ci.

Si vous souhaitez exercer l'un de ces droits, veuillez adresser une demande écrite explicite en ce sens au responsable du traitement.

Le droit de rectification s'applique uniquement aux données factuelles inexactes ou incomplètes traitées dans le cadre de la plateforme Zoom.

Il sera répondu à votre demande dans un délai de trois mois à compter de la réception de celle-ci. Toutefois, conformément à l'article 14(7) des directives, ce délai peut être prorogé selon la complexité des demandes reçues et leur nombre. Toute prorogation de délai vous sera notifiée par l'OEB.

7. Sur quelle base juridique se fonde le traitement des données vous concernant ?

Le traitement des données à caractère personnel se fonde sur l'article 5a) des directives, qui prévoit qu'un tel traitement "est nécessaire à l'exécution d'une tâche relevant de l'exercice légitime de l'autorité officielle dont est investi l'Office européen des brevets".

Les données à caractère personnel sont recueillies et traitées conformément à l'instrument juridique suivant :

Directives pour la protection des données à caractère personnel à l'Office européen des brevets.

8. Pendant combien de temps les données peuvent-elles être conservées ?

Les données à caractère personnel traitées par le responsable du traitement, ou par les prestataires de services sous son contrôle, sont en général stockées pendant la durée nécessaire à la réalisation de l'objectif poursuivi par le traitement. Zoom conserve les données à caractère personnel des participants qui sont strictement nécessaires à l'organisation et à la gestion d'une manifestation/réunion particulière, et ce pendant au maximum un mois.

Ces instructions peuvent être complétées sur la base de l'expérience acquise pendant les événements virtuels et des observations des participants.

9. Personnes à contacter et coordonnées

Si vous avez des questions sur le traitement des données à caractère personnel vous concernant, veuillez utiliser notre formulaire de contact et elles seront transmises au responsable du traitement des données de l'OEB.

Vous pouvez aussi contacter le responsable de la protection des données de l'OEB à l'adresse suivante : dpo@epo.org.