Conditions de sécurité des données de WhatsApp Business (« Conditions de sécurité des données »)

29 octobre 2020

Les présentes Conditions de sécurité des données de WhatsApp Business ( « Conditions de sécurité des données ») s’appliquent à la fourniture des Services Business de WhatsApp conformément aux Conditions Business. Les termes commençant par une majuscules employés, mais non définis dans les présentes Conditions de sécurité des données revêtent la signification qui leur est attribuée dans les Conditions Business. Les présentes Conditions de sécurité des données décrivent les normes minimales de sécurité que WhatsApp applique aux Services Business mis à disposition en vertu des Conditions Business, y compris aux données que vous envoyez à WhatsApp en utilisant les Services Business (les « Données couvertes »).

1. Organisation de la sécurité des informations. WhatsApp dispose d’un personnel chargé de la surveillance de la sécurité des Services Business.
2. Sécurité physique et environnementale. Les dispositifs de sécurité de WhatsApp incluront des contrôles visant à garantir raisonnablement que l’accès physique aux installations de traitement physiques sous le contrôle de WhatsApp utilisées pour fournir les Services Business (« Installation de traitement de données ») est limité aux personnes autorisées et que des contrôles environnementaux sont mis en place pour détecter, prévenir et maîtriser toute destruction résultant de dangers environnementaux. Ces contrôles incluront :
   1. un enregistrement et une vérification de l’accès physique des employés et des sous-traitants à l’Installation de traitement de données ;
   2. le placement de systèmes de vidéosurveillance à l’Installation de traitement de données ;
   3. des systèmes surveillant et contrôlant la température et le taux d’humidité du matériel informatique à l’Installation de traitement de données ;
   4. la mise en place d’une alimentation électrique et de générateurs de secours à l’Installation de traitement de données ;
   5. des procédures sécurisées de suppression et d’élimination des données, sous réserve des Conditions Business ; et
   6. des protocoles exigeant la présentation de cartes d’identité à l’entrée de toutes les installations WhatsApp pour l’ensemble du personnel travaillant sur les Services Business.
3. Personnel
   1. Formation. WhatsApp s’assurera que l’ensemble du personnel ayant accès aux Données couvertes suive une formation à la sécurité.
   2. Confidentialité. WhatsApp engagera contractuellement le personnel ayant accès aux Données couvertes à respecter les exigences de confidentialité appropriées.
   3. Contrôle et vérification des antécédents. WhatsApp disposera de processus pour :
      1. i. vérifier l'identité du personnel ayant accès aux Données couvertes ; et
      2. effectuer des vérifications d'antécédents, dans les limites autorisées par la loi, à propos du personnel travaillant ou prenant en charge des aspects relatifs aux Services Business conformément aux standards de WhatsApp.
   4. Violation de la sécurité par le personnel. WhatsApp prendra des mesures disciplinaires en cas d'accès non autorisé aux Données couvertes par le personnel de WhatsApp, y compris, dans les limites autorisées par la loi, des sanctions pouvant aller jusqu'au licenciement.
4. Test de sécurité. WhatsApp effectuera régulièrement des tests de sécurité et de vulnérabilité afin d'évaluer si les contrôles essentiels sont correctement mis en œuvre et sont efficaces.
5. Contrôle d’accès.
   1. Gestion des mots de passe. WhatsApp a établi et maintiendra des procédures de gestion des mots de passe pour son personnel visant à garantir que les mots de passe sont propres à chaque individu et inaccessibles aux personnes non autorisées, comprenant au minimum :
      1. la fourniture de mots de passe, y compris des procédures conçues pour vérifier l'identité de l'utilisateur avant l’octroi d’un nouveau mot de passe, d’un remplacement ou d’un mot de passe temporaire ;
      2. la protection cryptographique des mots de passe lorsqu'ils sont stockés dans des systèmes informatiques ou en transit sur le réseau ;
      3. la modification des mots de passe par défaut des fournisseurs ;
      4. des mots de passe forts selon leur utilisation prévue ; et
      5. la communication des bonnes pratiques en matière de mots de passe.
   2. Gestion des accès. WhatsApp contrôlera et surveillera également l'accès de son personnel à ses systèmes au moyen des éléments suivants :
      1. des procédures établies pour modifier et révoquer les droits d'accès et les ID utilisateur sans retard excessif ;
      2. des procédures établies pour signaler et révoquer les identifiants d'accès endommagés (mots de passe, tokens, etc.) ;
      3. la tenue de journaux de sécurité appropriés, y compris, le cas échéant, par ID utilisateur et horodatage ;
      4. la synchronisation des horloges sur le NTP ; et
      5. l’enregistrement des évènements de gestion de l’accès utilisateur suivants
         • modifications des autorisations ;
         • échecs et succès des tentatives d'authentification et d'accès ; et
         • opérations de lecture et d’écriture.
6. Sécurité des communications
   1. Sécurité du réseau
      1. WhatsApp utilisera une technologie conforme aux normes du secteur en matière de séparation des réseaux.
      2. L'accès réseau à distance aux systèmes WhatsApp exigera une communication cryptée par le biais de protocoles sécurisés et l'utilisation d'une authentification multi-facteur.
   2. Protection des données en transit
      1. WhatsApp imposera l'utilisation de protocoles appropriés visant à protéger la confidentialité des données en transit sur les réseaux publics.
7. Gestion des vulnérabilités. WhatsApp a mis en place et maintiendra un programme de gestion des vulnérabilités couvrant les Services Business qui comprend la définition des rôles et des responsabilités pour la surveillance des vulnérabilités, l'évaluation des risques et le déploiement des correctifs.
8. Gestion des incidents de sécurité
   1. Réponse aux incidents de sécurité. WhatsApp maintiendra un plan de réponse aux incidents de sécurité pour la surveillance, la détection et le traitement d'éventuels incidents de sécurité affectant les Données couvertes. Le plan de réponse aux incidents de sécurité comprendra à tout le moins la définition des rôles et des responsabilités, la communication et les examens rétrospectifs, y compris l'analyse des causes profondes et les mesures correctives.
   2. Surveillance. WhatsApp surveillera la moindre présence de faille de sécurité et d’activité malveillante ayant une incidence sur les Données couvertes.

En cas de conflit exprès entre les Conditions Business et les présentes Conditions de sécurité des données, les Conditions Business prévaudront qu’en ce qui concerne votre utilisation des Services Business et dans la mesure du conflit uniquement. WhatsApp peut mettre à jour les présentes Conditions de sécurité des données de manière ponctuelle afin de refléter l’évolution des normes de sécurité.