Présentation des contrôles de souveraineté du secteur public de l'Union européenne

Introduction

Ce document explique comment Zoom aide les institutions du secteur public de l'Union européenne (UE) à répondre à leurs exigences strictes en matière de confidentialité et de sécurité des données.

Zoom prend en charge les exigences spécifiques de conformité et de contrôles de souveraineté pour le secteur public de l'UE

La plateforme Zoom prend en charge l'importance croissante des besoins en matière de contrôles de souveraineté dans l'ensemble de l'Union européenne. Les organisations du secteur public de l'UE exigent des systèmes de communication sécurisés, conformes et fiables capables de les aider à respecter les réglementations sectorielles et régionales. Zoom comprend que les organisations du secteur public ont besoin de solutions qui les aident à gérer des obligations croissantes en matière de pratiques responsables de traitement des données tout en permettant des systèmes de communication fiables et faciles à gérer.

Zoom s'engage à aider ses clients du secteur public à répondre à leurs besoins grâce à une variété de services, solutions et outils, notamment une infrastructure hébergée dans l'UE, des cadres de déploiement hybrides flexibles, des options de chiffrement gérées par le client et des politiques de traitement des données transparentes. Grâce à l'utilisation de ces offres, les équipes informatiques du secteur public peuvent renforcer leur supervision et leur contrôle du stockage, du traitement et de l'accès à leurs données sur la plateforme Zoom.

Pour obtenir des informations sur Zoom et le Règlement général sur la protection des données (RGPD) de l'Union européenne, consultez notre documentation du Centre de confiance.

Un cadre à trois couches permet aux organisations de gérer leurs données via l'infrastructure, le chiffrement et l'hébergement hybride selon leurs politiques

Le cadre à trois couches de Zoom est conçu pour donner aux organisations du secteur public un meilleur contrôle sur leurs données et leurs communications :

• Couche plateforme: Zoom propose une infrastructure dédiée dans l'UE pour héberger ses services dans des centres de données situés dans l'UE.

• Couche chiffrement: Les organisations peuvent gérer leurs propres clés de chiffrement en utilisant des configurations Customer Managed Key (CMK) ou Hold-Your-Own-Key (HYOK).

• Couche contenu: Les organisations peuvent installer Zoom Node pour héberger les réunions, le chat et les enregistrements dans leur propre environnement informatique.

Le cadre à trois couches offre quatre avantages clés pour le secteur public

Les organisations du secteur public, y compris les écoles, les hôpitaux et les agences gouvernementales, peuvent traiter des données réglementées au quotidien dans le cadre de leurs flux de communication et de collaboration. Ces institutions doivent respecter des règles locales et à l'échelle de l'UE pour garantir que les données restent sécurisées, privées et accessibles uniquement au personnel autorisé.

L'approche de Zoom pour les organisations du secteur public offre les avantages suivants :

• Résidence des données: Conserver certaines données physiquement et logiquement à l'intérieur de l'UE.

• Contrôle cryptographique: Permettre à l'organisation de gérer l'accès et de posséder ses clés de chiffrement.

• Résilience: Aider à garantir que les communications peuvent se poursuivre même en cas de pannes ou de problèmes réseau.

• Transparence: Fournir une visibilité sur les flux de données. Comment et quand les données sont-elles consultées : qui a accédé à quoi, et pourquoi ?

Zoom aide les institutions publiques à atteindre ces objectifs grâce à une infrastructure configurable, des politiques détaillées et de fortes protections de la vie privée.

Soutien à la conformité au RGPD sans développement personnalisé

Zoom apporte un soutien à la conformité au RGPD en intégrant ses exigences dans ses services de base, en proposant des engagements contractuels via son avenant de traitement des données et en mettant en œuvre des mesures techniques de protection. Pour tous les clients cherchant à s'aligner sur le RGPD, Zoom maintient des mesures de sécurité appropriées, fournit un outil libre-service pour les demandes d'accès des personnes concernées (DSAR) et assure la transparence des pratiques de traitement des données tout en offrant des options pour les transferts internationaux de données via des mécanismes tels que le EU‑US Data Privacy Framework et les clauses contractuelles types.

Pour les organisations du secteur public de l'UE dans les domaines de la santé, de l'éducation, des administrations et des industries réglementées qui recherchent une approche plus gérée de la conformité au RGPD, le cadre à trois couches disponible chez Zoom aux niveaux plateforme, chiffrement et contenu peut renforcer les opérations conformes au RGPD dans l'ensemble de l'Union européenne sans nécessiter de développement personnalisé ni de code complexe.

Infrastructure

Zoom fournit l'infrastructure et les contrôles qui aident les organisations du secteur public à gérer les exigences strictes de l'UE en matière de confidentialité des données, de sécurité et de résilience des services.

Une infrastructure basée dans l'UE maintient certaines données à l'intérieur des frontières européennes

Pour les clients de l'Union européenne (UE) qui préfèrent ne pas transférer de données personnelles — y compris le contenu, les comptes, les données de diagnostic, l'assistance et les données de site Web à accès restreint — vers les États-Unis, Zoom propose une infrastructure dédiée, connue sous le nom d'infrastructure Zoom EU. Cette infrastructure héberge des comptes pour les clients Éducation et Entreprise de l'UE et prend actuellement en charge un large choix de produits Zoom, notamment Meetings, Webinar, Team Chat, Zoom Phone, Zoom Contact Center, et plus encore.

Zoom offre aux clients hébergés sur l'infrastructure régionale Zoom EU la possibilité de stocker et de traiter les données au sein de la région. Zoom ne transfère pas et n'accède pas aux données hors de cette infrastructure sauf si un accord préalable avec un client est en place, ou lorsque des exceptions spécifiques s'appliquent, notamment lorsque la loi applicable l'exige, pour des raisons de sûreté et de sécurité, et pour fournir des notifications de service et permettre les services. Pour des informations plus détaillées, veuillez consulter notre Fiche d'information sur l'infrastructure Zoom EU.

Fonctionnalités d'identité, d'accès et de confidentialité

Zoom inclut des capacités standard de gestion des identités et des accès qui s'intègrent aux systèmes organisationnels existants.

Authentification et autorisation standard

Zoom fournit une intégration d'identité d'entreprise typique via l'authentification unique (SSO) avec des fournisseurs compatibles SAML 2.0, le provisionnement SCIM 2.0 pour la gestion automatisée des utilisateurs, et le contrôle d'accès basé sur les rôles (RBAC) avec des rôles et permissions personnalisables. Ces fonctionnalités s'intègrent aux fournisseurs d'identité régionaux fournis par le client, qui sont gérés et hébergés par le client ou leur fournisseur d'IdP choisi, et se connectent à l'infrastructure Zoom EU via SAML 2.0.

Contrôles intégrés de confidentialité et des données

La plateforme inclut des fonctionnalités standard de confidentialité dès la conception alignées sur les exigences du RGPD :

• Minimisation des données via des identifiants pseudonymisés dans les journaux système

• Contrôles administratifs des données pour définir des périodes de conservation et traiter les demandes de suppression

• Journalisation des accès pour la surveillance de la sécurité et les pistes d'audit

• Principe du moindre privilège et accès basé sur les rôles contrôles pour l'accès de Zoom aux données et contenus des clients

Propriété organisationnelle des données

Comme pour d'autres plateformes d'entreprise, les organisations conservent le contrôle des cycles de vie des utilisateurs et du contenu, Zoom fournissant l'infrastructure technique pour soutenir les politiques internes et les exigences réglementaires telles que la conformité à l'article 17 du RGPD.

Zoom Node

Pour un contrôle accru de vos données, envisagez Zoom Node. Cette plateforme hybride vous permet d'exécuter des charges de travail Zoom Workplace, y compris le routage média, le stockage du chat, l'enregistrement et l'accès Web, directement au sein de votre propre environnement. Zoom Node est parfait pour les clients qui ont besoin de localisation des médias, d'une meilleure gestion des données de contenu ou d'opérations ininterrompues, tout en conservant l'expérience Zoom familière. Pour plus d'informations sur les concepts de Zoom Node, consultez le Présentation de Zoom Node.

Au cœur de Zoom Node, il fonctionne comme une machine virtuelle (VM) exécutant le système d'exploitation Zoom Node. Zoom Node permet l'hébergement local de certains services Zoom via des composants de service modulaires et comprend :

• système d'exploitation Zoom Node: La couche opérationnelle centrale qui régit les modules conteneurisés. Elle gère la communication, l'orchestration du cycle de vie et la gestion des ressources.

• Modules de service: Composants fonctionnels indépendants (par ex. : réunion, enregistrement, chat) déployés dans des conteneurs isolés au sein de la VM.

Cette structure modulaire permet aux clients d'exécuter uniquement les services dont ils ont besoin, simplifiant la gestion et optimisant l'utilisation des ressources.

Zoom Node offre contrôle et flexibilité tout en maintenant une expérience utilisateur Zoom fluide. Les avantages de Zoom Node incluent :

• Modularité: Déployez uniquement les services dont vous avez besoin.

• Localisation: Traitement local des médias et rétention pour les réunions et webinaires.

• Préparation pour l'avenir: Compatible avec les futurs services hybrides (Zoom Chat, Zoom Phone).

Zoom Node prend en charge le déploiement modulaire de services de base tels que les réunions, les enregistrements, le chat, l'accès via navigateur et la connectivité des salles

Voici les modules actuellement disponibles pour Zoom Node :

• Module hybride Meetings: Exécute localement des serveurs de réunion Zoom pour conserver le contrôle des flux audio, vidéo et de contenu.

  • Passerelle d'accès Web: Une passerelle Web permettant aux utilisateurs Zoom rejoignant via un navigateur de participer à une réunion privée hébergée sur Meetings Hybrid, sans avoir besoin d'accéder au Cloud Zoom

• Module hybride d'enregistrement: Stocker les enregistrements de réunions sur site au lieu de les conserver dans le cloud de Zoom.

  • Service de diffusion de contenu: Un service d'intermédiation de streaming vidéo pour les enregistrements de réunions et webinaires Zoom, stockés au repos sur le stockage de fichiers réseau du client. Ce service fournira à l'hôte de la réunion l'accès à la lecture, au téléchargement et à la redistribution de l'enregistrement via le portail Web Zoom, ce qui reflète le flux de travail des enregistrements stockés dans le cloud Zoom.

• Module hybride Team Chat: Stocke et gère le contenu de chat interne dans votre propre environnement.

• Survivabilité des réunions: Basculement sur site en cas de perturbation du cloud.

• Interopérabilité hybride des salles: Connecte des systèmes de salle conformes aux standards aux réunions Zoom grâce à la solution d'interopérabilité hybride des salles.

Les configurations hybrides prennent en charge les politiques organisationnelles des clients liées au contrôle des données et à la reprise après sinistre tout en maintenant la fonctionnalité de base de l'application Zoom Workplace. Consultez notre page de présentation de Zoom Node pour les dernières informations sur les différents modules.

Pour des informations sur le déploiement, consultez le Guide de déploiement de Zoom Node.

Zoom Node est géré via une interface cloud qui prend en charge l'activation des modules, la surveillance des performances, les mises à jour logicielles et la journalisation

Les administrateurs peuvent gérer Zoom Node via une console centralisée. Cette console leur permet de :

• Activer ou désactiver des modules spécifiques

• Surveiller la santé du service et les performances réseau

• Appliquer des mises à jour selon un calendrier contrôlé

• Examiner les paramètres de sécurité et les journaux d'accès

Chiffrement

Zoom prend en charge des outils de chiffrement avancés, y compris Customer Managed Key (CMK), qui donnent aux organisations un contrôle renforcé sur la protection de leurs données. Zoom propose plusieurs options pour protéger les communications sensibles, y compris la propriété complète des clés de chiffrement.

Customer Managed Key (CMK) permet aux institutions de gérer et d'auditer leurs propres clés de chiffrement avec des services de confiance ou des systèmes internes

Zoom CMK s'intègre aux fournisseurs populaires de services de gestion de clés (KMS), tels que :

• Amazon Web Services (AWS) KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust (via AWS External Key Store)

Vous pouvez également héberger votre propre module matériel de sécurité (HSM), tel que Thales Luna HSM, pour assurer le contrôle des clés de chiffrement et éviter la dépendance à des systèmes externes basés aux États-Unis, offrant ainsi une solution HYOK (Hold‑Your‑Own‑Key) complète.

CMK peut chiffrer de nombreux types de contenu sensible Zoom

CMK peut chiffrer de nombreux types de contenu sensible Zoom, notamment :

• Enregistrements de réunions et de webinaires (audio, vidéo, chat)

• Transcriptions (à l'exclusion de la recherche indexée)

• Messageries vocales et enregistrements d'appels

• Jetons d'accès au calendrier

• Jetons d'intégration Microsoft Teams

• Messages et fichiers Team Chat

• Tableaux blancs

• Contenu généré par les fonctionnalités d'AI Companion

Pour les organisations qui exigent que certaines données, telles que les messages Team Chat, ne soient pas déchiffrées par le cloud Zoom, Zoom propose le module Zoom CMK Hybrid. L'utilisation de Zoom CMK Hybrid permet aux organisations de générer et de gérer leurs propres clés de données pour une utilisation avec le chiffrement côté client au sein de leur périmètre de sécurité à l'aide d'une clé gérée séparément par le client.

Veuillez consulter l'article d'assistance Zoom Contenu protégé par Customer Managed Key pour la liste actuelle.

Le chiffrement de bout en bout (E2EE) est conçu pour que seuls les participants puissent accéder aux médias pendant les réunions ou les appels

Des contrôles de sécurité supplémentaires existent pour permettre aux clients de sécuriser leurs réunions. Zoom propose un chiffrement de bout en bout (E2EE) optionnel qui peut être activé sur les applications de bureau ou mobiles Workplace pour :

• Appels Zoom Phone individuels intra‑compte

• Réunions Zoom jusqu'à 1 000 participants

L'E2EE pour les réunions Zoom utilise la même méthode de chiffrement AES‑GCM 256 bits qui prend en charge le chiffrement standard et renforcé. Lorsqu'elle est activée, l'architecture de Zoom est conçue de sorte que les clés cryptographiques ne soient connues que des appareils des participants à la réunion. Ainsi, des tiers, y compris Zoom, n'ont pas accès aux clés privées de la réunion.

De plus, Zoom a introduit l'E2EE post‑quantique (PQ E2EE) pour Zoom Workplace, en particulier pour la prise en charge des réunions Zoom, de Zoom Phone et de Zoom Rooms. Le lancement de cette nouvelle amélioration de sécurité fait de Zoom la première entreprise de Communications unifiées en tant que service (UCaaS) à proposer une solution E2EE post‑quantique pour la visioconférence. Le chiffrement de bout en bout post‑quantique (PQ E2EE) offre la même propriété de sécurité que le chiffrement de bout en bout (E2EE) : seuls les participants à la réunion, et pas même le serveur de Zoom, ont accès aux clés utilisées pour chiffrer la réunion. Contrairement au chiffrement de bout en bout, le PQ E2EE est conçu pour résister à la menace d'un adversaire capable de capturer le trafic réseau chiffré et souhaitant acquérir à l'avenir un ordinateur quantique pour tenter de déchiffrer les données capturées.

Les clients intéressés par ces fonctionnalités de chiffrement supplémentaires peuvent activer l'E2EE. Toutefois, il existe prérequis et limitations dont il faut tenir compte.

Exigences côté client: L'E2EE exige que tous les participants à la réunion rejoignent depuis l'application de bureau Zoom Workplace, l'application mobile ou une Zoom Room.

Limitations des fonctionnalités: L'activation de l'E2EE est incompatible avec certaines fonctionnalités, notamment :

• Enregistrement cloud pour les réunions Zoom

• Enregistrement automatique des appels pour Zoom Phone

• Fonctionnalités AI Companion

• Chat de réunion continu

• Fonctionnalités supplémentaires répertoriées dans notre documentation d'assistance

Consultez nos articles d'assistance pour Zoom Phone et Zoom Meetings pour tous les détails concernant les limitations, dépendances et la mise en œuvre.

Options de chiffrement au niveau client pour renforcer la sécurité de Zoom Team Chat

Zoom Team Chat propose plusieurs options de chiffrement au‑delà du chiffrement standard, chacune conçue pour répondre à différents besoins de sécurité et structures organisationnelles.

Chiffrement standard de Team Chat (par défaut)

Par défaut, Zoom chiffre les messages Team Chat en transit à l'aide de TLS et au repos à l'aide du chiffrement AES‑256 avec des clés gérées par Zoom. Cela fournit une sécurité de base pour la plupart des besoins organisationnels.

Chiffrement avancé du chat (ACE)

ACE utilise des clés générées et stockées sur l'appareil pour chiffrer les messages entre les participants au chat, avec une protection TLS supplémentaire en transit. Les clés sont générées et utilisées sur les appareils des participants au chat, offrant une confidentialité renforcée mais limitant les fonctionnalités lorsque les participants ne sont pas en ligne simultanément.

Chiffrement avancé CMK du chat (ACCE)

ACCE utilise des clés gérées par le client via le service CMK de Zoom, mais les clés sont générées et sécurisées dans le cloud Zoom. Cette option offre le contrôle des clés par le client tout en maintenant une meilleure compatibilité inter‑comptes que les solutions basées sur les appareils.

Chiffrement hybride côté client CMK (CSE)

CSE utilise des clés gérées par le client générées et stockées sur site via l'infrastructure CMK Hybrid. Cela fournit le niveau le plus élevé de contrôle client sur les clés de chiffrement, car elles ne résident jamais dans l'environnement cloud de Zoom.

Principales différences

• ACE: Clés générées par l'appareil, messagerie intra‑compte uniquement

• ACCE: Clés client dans le cloud Zoom, fonctionne entre comptes

• CSE: Clés client sur site, messagerie intra‑compte avec repli ACCE pour les communications externes

Exigences

• ACE: Comptes payants, activation par l'administrateur

• ACCE: Zoom Enterprise Plus (ou supérieur) ou licence complémentaire CMK

• CSE: Zoom Enterprise Plus ou licences CMK Hybrid (avec un minimum de deux licences CMK Hybrid et deux serveurs pour la tolérance aux pannes)

Limitations importantes

Toutes les options de chiffrement avancé restreignent les fonctionnalités de Team Chat, notamment :

• Fonctionnalités AI Companion

• Édition et traduction des messages

• GIF animés et aperçus de liens

• Archivage des messages avec des fournisseurs tiers

• Intégration du chat de réunion continu

Notes de disponibilité

• CSE n'est disponible que pour les clients CMK Hybrid disposant d'une infrastructure de gestion de clés sur site

• ACCE sert de protocole de repli pour les comptes activés CSE lors de communications avec des contacts externes

• Les organisations doivent évaluer si la sécurité renforcée justifie les limitations de fonctionnalités, car le chiffrement standard peut suffire à soutenir les cadres de conformité réglementaire

Un processus de connexion sécurisé prend en charge l'affectation régionale des serveurs et la conformité des données

Que vous utilisiez l'application Zoom Workplace, participiez à des réunions ou accédiez au portail Web Zoom via votre navigateur, les réunions Zoom sont conçues pour chiffrer les données des clients en transit en utilisant des méthodes fiables lors des communications avec le portail Web Zoom ou les services de la plateforme cloud Zoom. Cela inclut le processus de connexion et les médias en temps réel en transit (vidéo, audio et contenu partagé en réunion).

Lorsqu'un utilisateur lance une réunion Zoom ou un appel Zoom Phone :

1. L'application Zoom Workplace contacte d'abord le service mondial de recherche (Lookup Service) de Zoom en utilisant le chiffrement TLS 1.2 ou TLS 1.3.

2. Les métadonnées de recherche, y compris la géolocalisation IP et les informations sur l'appareil, sont envoyées via HTTPS (port 443) avec chiffrement TLS 1.2 ou supérieur.

3. En fonction de l'emplacement et de la disponibilité, l'application est dirigée vers le contrôleur de zone Zoom optimal et le nœud média régional.

4. L'application Zoom Workplace teste la connectivité vers chaque nœud et établit des sessions média chiffrées (vidéo, audio, contenu) via :

   1. UDP (préféré, port 8801) avec chiffrement AES‑256‑GCM

   2. TCP (repli, port 8801) avec chiffrement AES‑256‑GCM

   3. TCP (repli secondaire, port 443) avec chiffrement TLS 1.2 ou TLS 1.3

Plus de détails sur la conception du chiffrement de Zoom utilisant des méthodes de chiffrement standard de l'industrie pour les données en transit et au repos peuvent être trouvés dans notre Livre blanc sur le chiffrement Zoom. Pour la validation des pratiques de sécurité de Zoom, veuillez consulter nos attestations et certifications disponibles en visitant notre Centre de confiance Zoom.