SurveyMonkey fournit ses produits dans le monde entier et utilise des sous-traitants mondiaux pour aider à fournir ces produits et services.Dans le cadre de notre contrat avec vous, nous nous engageons à ce que chaque transfert de données personnelles vers nous soit conforme aux lois sur la protection des données.Nous veillons également à ce que, lorsque nous transférons des données à caractère personnel, le destinataire protège ces données à l’aide de mécanismes au moins aussi rigoureux que les normes que nous appliquons aux données à caractère personnel sous notre contrôle.

Pour vous aider à déterminer si le niveau de protection des données personnelles transférées à SurveyMonkey et ultérieurement est adéquat, en tenant compte de l’arrêt rendu le 16 juillet 2020 par la Cour de justice de l’Union européenne (« CJEU ») dans l’affaire C-311/18, Commissaire à la protection des données contre Facebook Ireland Limited et Maximilian Schrems (« Schrems II ») et des orientations du Comité européen de la protection des données (« CEPD ») sur les mesures supplémentaires, vous trouverez ci-dessous des informations sur la manière dont vos informations sont protégées lors de leur transfert.

Pour en savoir plus sur la façon dont nous traitons les données personnelles, consultez notre Avis de confidentialité.

Partie I : transferts à SurveyMonkey

Partie II : transferts ultérieurs aux sous-traitants

Si vous êtes un client basé aux États-Unis, votre contrat inclura un Avenant relatif au traitement des données (« ATD ») avec l’entité américaine de SurveyMonkey, SurveyMonkey Inc.Si certains de vos utilisateurs se trouvent dans l’espace économique européen (« EEE ») ou au Royaume-Uni (R.-U.) et si vous avez donc besoin d’un mécanisme pour transférer les données utilisateur à SurveyMonkey, vous pouvez demander l’ajout de clauses contractuelles types (« SCC ») pour l’U.E. ou le R.-U.

Si vous êtes un client basé dans l’EEE ou au R.-U., votre contrat inclura un Avenant relatif au traitement des données (« ATD ») avec l’entité irlandaise de SurveyMonkey, SurveyMonkey Europe UC.Comme le transfert des données à SurveyMonkey se fait entre entités européennes, pour lesquelles aucun mécanisme de transfert n’est nécessaire (ou qui ont reconnu leur statut d’adéquation mutuel), aucun autre mécanisme de transfert n’est requis.

Si vous êtes un client basé hors des États-Unis, de l’EEE ou du R.-U. mais avez des utilisateurs dans l’EEE ou au R.-U. et avez besoin de vous assurer qu’il y a un mécanisme de transfert pour les transferts ultérieurs, votre contrat inclura un ATD avec l’entité irlandaise de SurveyMonkey, SurveyMonkey Europe UC, et vous pouvez demander l’ajout de clauses contractuelles types (« SCC ») pour l’U.E. ou le R.-U.

Vous transférez des données personnelles à SurveyMonkey pour que nous puissions traiter ces données personnelles aux fins suivantes :

Vous devriez évaluer si vous transférez des données à d’autres fins.

Les données personnelles du Client transférées à SurveyMonkey peuvent contenir autant ou aussi peu de données personnelles que vous choisissez de fournir dans vos questions dans les sondages, les formulaires et les questionnaires.En tant que plateforme, nous supposons que vous recueillez une vaste gamme de données personnelles, y compris des catégories de données particulières potentielles.

Les informations que nous recueillons sont spécifiées dans la section 2 de notre Avis de confidentialité.

Comme indiqué ci-dessus, en fonction de votre emplacement géographique, vous signerez un contrat avec une entité SurveyMonkey aux États-Unis ou en Irlande.D’après les conseils d’un spécialiste externe de la protection des données et l’analyse des lois auxquelles SurveyMonkey est soumis, nous pensons que le risque associé au régime juridique aux États-Unis est faible et que le régime juridique en Irlande ne présente pas de risque important pour la personne concernée.Consultez la section « Mesures supplémentaires : organisationnelles » ci-dessous pour en savoir plus sur les lois américaines en particulier.

Même quand les risques associés au régime juridique du pays de destination sont faibles ou nuls, SurveyMonkey a mis en place des mesures supplémentaires pour assurer une protection encore plus poussée des données personnelles.Ces mesures supplémentaires sont divisées en trois catégories : mesures de protection (i) contractuelles, (ii) organisationnelles et (iii) techniques.

Comme expliqué ci-dessus, SurveyMonkey acceptera de signer des Clauses contractuelles types (SCC) avec les clients.Le jugement Schrems II indique que les parties peuvent utiliser des SCC et (le cas échéant) des mesures de protection supplémentaires pour le transfert des données personnelles du Royaume-Uni et de l’espace économique européen (« Données européennes ») aux États-Unis.Si vous avez conclu un accord avec SurveyMonkey ou obtenez de toute autre façon que ce soit des services de SurveyMonkey obligeant SurveyMonkey à traiter des données personnelles de personnes concernées européennes, SurveyMonkey (en fonction de l’entité SurveyMonkey avec laquelle vous avez signé le contrat) :

Pour en savoir plus sur l’accord par lequel nous acceptons d’être lié par les Clauses contractuelles types, consultez les Conditions d’utilisation (pour les clients libre-service), le Contrat de services en vigueur (pour les clients SurveyMonkey Entreprise ou GetFeedback Digital) ou tout autre contrat que vous avez négocié avec SurveyMonkey.

Les inquiétudes de la Cour de justice de l’Union européenne (CJEU) quant aux transferts de données vers les États-Unis sont liées au recueil des données par le gouvernement américain en vertu du décret américain 12333 (« EO 12333 ») et de l’article 702 du Foreign Intelligence Surveillance Act (« FISA § 702 »), en particulier la surveillance « en amont » en vertu de l’article FISA § 702.Les risques posés par les dispositions légales américaines ne s’appliquent pas au traitement des données personnelles par SurveyMonkey ou peuvent être suffisamment atténués par les mesures de protection organisationnelles mises en place par SurveyMonkey.

SurveyMonkey ne peut pas recevoir d’ordres de surveillance « en amont » ou en masse en vertu de l’article FISA § 702.SurveyMonkey Inc. agit, en partie, comme un service de communication électronique (« ECS ») et potentiellement aussi comme un service de télétraitement (« RCS ») (tels que définis dans les articles 2510 et 2711 du titre 18 du Code des États-Unis, respectivement) pour certains services ou certaines fonctionnalités que nous fournissons aux Clients.SurveyMonkey Inc. fait donc partie des nombreuses entreprises auxquelles le gouvernement américain peut notifier une en vertu de l’article FISA § 702.Cependant, face à l’interprétation et l’application de l’article FISA § 702 par le gouvernement américain, SurveyMonkey ne peut pas recevoir le type d’ordre qui était la source d’inquiétude première de la CJEU dans la décision Schrems II (un ordre de surveillance « en amont » en vertu de l’article FISA § 702).Dans le cadre de l’application de l’article FISA § 702 par le gouvernement américain, il utilise les ordres de surveillance en amont uniquement pour cibler le trafic passant par les fournisseurs de dorsales Internet qui acheminent le trafic Internet pour des tiers (c’est-à-dire les opérateurs de télécommunications).Vous pouvez notamment consulter le rapport du Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2 juillet 2014), pp.35-40, disponible à https://fas.org/irp/offdocs/pclob-702.pdf.SurveyMonkey ne fournit pas de tels services de dorsale Internet, car nous acheminons uniquement le trafic impliquant nos propres clients.Par conséquent, nous ne pouvons pas recevoir le type d’ordre principalement abordé et jugé problématique par la décision Schrems II.

SurveyMonkey n’a reçu aucune directive en vertu de l’article FISA § 702 et il est peu probable que nous en recevions.À la date de la présente déclaration, SurveyMonkey n’a reçu aucune directive en vertu de l’article FISA § 702 et n’a aucune raison de penser que SurveyMonkey reçoive une telle directive.Il est extrêmement peu probable que les données personnelles que SurveyMonkey traite pour ses clients (données de feedback) soient pertinentes pour les activités de renseignements étrangers régies par l’article FISA § 702.En outre, si de telles données personnelles étaient pertinentes dans le cadre d’une enquête de ce type, il y a plus de chances que le gouvernement cherche à obtenir de telles données par le biais d’autres procédures légales (comme un mandat de perquisition signé par un juge) qui satisfont aux normes rigoureuses concernant l’accès du gouvernement aux données décrites dans la décision Schrems II.En effet, il serait beaucoup plus rapide et plus facile pour le gouvernement d’obtenir un mandat en vertu d’une disposition autre que FISA § 702 que de mettre en place les mécanismes requis pour que le gouvernement puisse signifier des directives à SurveyMonkey en vertu de l’article FISA § 702.

SurveyMonkey n’aide pas et ne peut pas être obligé à aider les autorités américaines à recueillir des informations en vertu du décret EO 12333.SurveyMonkey ne fournit et ne fournira aucune assistance aux autorités américaines effectuant des activités de surveillance en vertu du décret EO 12333.Le décret EO 12333 ne permet pas au gouvernement américain d’obliger les entreprises à l’assister dans ces activités et SurveyMonkey ne le fera pas de son propre gré.Par conséquent, SurveyMonkey ne prend pas et ne peut pas être obligé à prendre de mesures visant à faciliter le type de surveillance en masse en vertu du décret EO 12333 jugé problématique par la décision Schrems II.

SurveyMonkey fournit une gamme de mesures techniques conçues pour contrecarrer les principaux problèmes cités dans la décision Schrems II et mentionnés ci-dessus (surveillance en masse en vertu de l’article FISA § 702 et interceptions en masse en vertu du décret EO 12333).

SurveyMonkey crypte toutes les données stockées dans ses centres de données en utilisant un cryptage AES 256.De plus, SurveyMonkey crypte toutes les données en mouvement en utilisant (i) des certificats RSA avec une longueur de clé de 2048 bits générés via une autorité de certification publique pour les communications avec des entités extérieures aux centres de données de SurveyMonkey, et (ii) des certificats RSA 256 générés via une autorité de certification interne pour toutes les données au sein du centre de données.Ces efforts de cryptage sont conçus pour empêcher toute acquisition non autorisée des données dans un format intelligible et toute tentative d’écoute/de piratage des données en transit entre deux points.

Les données de certains Clients SurveyMonkey (les Clients GetFeedback Digital par exemple) ne sont stockées que dans l’Union européenne.Dans ce cas, les données ne sont pas stockées aux États-Unis et l’accès à ces données aux États-Unis est limité et à des fins spécifiques (par exemple pour l’assistance client à la demande, l’assistance sécurité 24/7 et/ou une intervention limitée des ingénieurs afin de résoudre des bugs/problèmes ou développer des systèmes).

SurveyMonkey applique également des procédures administratives, techniques et physiques strictes pour protéger les informations stockées sur ses serveurs.L’accès aux informations personnelles est contrôlé par identifiants de connexion et limité aux employés qui en ont besoin pour faire leur travail.SurveyMonkey met en œuvre des techniques de minimisation des données afin de limiter le volume de données personnelles transférées de l’U.E. à des juridictions tierces, notamment, le cas échéant, la pseudonymisation ou l’anonymisation des données.En outre, SurveyMonkey utilise divers contrôles d’accès comme l’authentification multi-facteurs, l’authentification unique, l’accès « au besoin », des contrôles des mots de passe forts et l’accès restreint aux comptes administratifs.

De plus, en tant qu’ECS/RCS, SurveyMonkey est soumis à la loi américaine Electronic Communications Privacy Act, 18 USC.§ 2701, et seq.(« ECPA »), qui assure une certaine protection des Clients de SurveyMonkey.Par exemple, l’ECPA interdit aux entités gouvernementales d’essayer de se procurer des informations au sujet des Clients de services comme SurveyMonkey, sauf si lesdites entités gouvernementales ont au préalable obtenu une ordonnance appropriée, notamment un ordre judiciaire ou un mandat de perquisition pour les informations autres que les informations élémentaires des abonnés.De la même façon, les lois FISA et ECPA offrent aux Clients de SurveyMonkey des voies de recours contre le gouvernement américain et permettent de lui réclamer des réparations (notamment des dommages pécuniaires et des sanctions disciplinaires contre les autorités gouvernementales concernées) s’il obtient des informations à leur sujet de façon abusive (voir 18 USC.§ 2712).

En outre, le conseiller juridique externe avec qui SurveyMonkey travaille de longue date est expérimenté dans la réponse aux demandes du gouvernement américain concernant les données des utilisateurs, y compris les demandes de sécurité nationale des États-Unis en vertu de l’article FISA § 702.La politique de SurveyMonkey consiste à transmettre ces demandes à son équipe de conformité interne et, si nécessaire, à ce conseiller externe pour examen.Le cas échéant, SurveyMonkey a l’intention d’utiliser les mécanismes juridiques disponibles pour contester les demandes d’accès aux données en vertu de l’article FISA § 702 (y compris les clauses de non-divulgation ou les ordres qui y sont rattachés) dans le cas peu probable où SurveyMonkey recevrait une telle demande.La demande serait alors examinée par un tribunal américain (le tribunal FISA).

SurveyMonkey reconnaît également qu’un ordre de fournir l’accès aux données en vertu de l’article FISA § 702 obligerait SurveyMonkey à informer ses clients que nous ne pouvons plus nous conformer aux Clauses contractuelles types, ce qui leur permettrait de résilier leur contrat avec nous et de suspendre les flux de données qui nous sont transférés.Nous n’avons jamais eu besoin d’émettre un tel avis.

Compte tenu de l’analyse ci-dessus, nous pensons que le risque de préjudice pour la personne concernée n’est pas important.

Le tableau ci-dessous récapitule les conclusions de notre évaluation de l’impact des transferts.

Un risque « négligeable » signifie que les données personnelles sont transférées vers une juridiction qui a été considérée comme adéquate par la Commission européenne (et donc que les protections légales sont équivalentes aux protections légales en Europe) et qu'il existe des mesures contractuelles, techniques et organisationnelles pour protéger davantage les données.

Un risque « faible » signifie que les données personnelles sont transférées vers une juridiction disposant d’un mécanisme du chapitre V du RGPD autre que l’adéquation. Bien que les protections juridiques ne soient pas nécessairement équivalentes aux protections juridiques en Europe, le transfert est toujours conforme à la loi et est renforcé par des mesures contractuelles, techniques et organisationnelles pour protéger davantage les données.

Les sous-traitants sont les fournisseurs de SurveyMonkey qui traitent les données personnelles de vos utilisateurs afin d’aider SurveyMonkey à vous fournir ses services.Tous les sous-traitants de SurveyMonkey sont tenus par contrat de protéger les données personnelles avec des mesures qui sont au moins aussi rigoureuses que les normes que nous appliquons aux données personnelles sous notre contrôle.

Lorsque SurveyMonkey transfère des données personnelles à des sous-traitants, nous effectuons une évaluation de l’impact du transfert (« EIT ») similaire aux étapes décrites ci-dessus.Nous le faisons pour nous assurer que vos données personnelles sont protégées à chaque étape, comme l’exigent la loi sur la protection des données et notre contrat avec vous.Vous trouverez ci-dessous un résumé des points clés de l’EIT pour chaque sous-traitant.

Veuillez noter que tous les sous-traitants cités ne fournissent pas tous nos services.Notre liste de sous-traitants est segmentée en fonction des services SurveyMonkey spécifiques.

Si vous souhaitez être informé par email des mises à jour de notre liste des sous-traitants secondaires, veuillez vous inscrire ici.

Pour télécharger notre liste de sous-traitants secondaires au format PDF, cliquez ici.