SurveyMonkey fournit ses services dans le monde entier grâce à ses sous-traitants mondiaux. Dans le cadre de notre contrat avec vous, nous nous engageons à ce que chaque transfert de données personnelles vers nous soit conforme à la législation sur la protection des données en vigueur. Nous transférons uniquement des données personnelles à des sous-traitants qui les protègent au moyen de mesures aussi rigoureuses que celles que nous appliquons à celles sous notre contrôle.

En outre, les mesures supplémentaires que nous avons prises sont conformes à l’arrêt rendu le 16 juillet 2020 par la Cour de justice de l’Union européenne (« CJEU ») dans l’affaire C-311/18, Commissaire à la protection des données contre Facebook Ireland Limited et Maximilian Schrems (« Schrems II ») et aux orientations du Comité européen de la protection des données (« CEPD ») sur les mesures supplémentaires. Vous trouverez ci-dessous des informations détaillées.

Pour en savoir plus sur la façon dont nous traitons les données personnelles, consultez notre Avis de confidentialité.

Partie I : transferts à SurveyMonkey

Partie II : transferts ultérieurs aux sous-traitants

Si vous êtes un client basé aux États-Unis, votre contrat inclura un Avenant relatif au traitement des données (« ATD ») avec l’entité américaine de SurveyMonkey, SurveyMonkey Inc. Si vous êtes un client Entreprise et que certains de vos utilisateurs se trouvent dans l’Espace économique européen (« EEE »), au Royaume-Uni (R.-U.) ou en Suisse, et si vous avez donc besoin d’un mécanisme pour transférer les données utilisateur à SurveyMonkey, vous pouvez demander l’ajout des mécanismes de transfert pertinents. Si vous êtes un client libre-service, veuillez noter que notre ATD en ligne contient automatiquement ces mécanismes de transfert.

Outre les clauses contractuelles types (« SCC »), SurveyMonkey Inc. s’auto-certifie également en vertu du Cadre de protection des données (DPF) U.E.-États-Unis, de l’extension britannique de ce cadre et des principes du DPF Suisse-États-Unis. Cela signifie que les autorités européennes, britanniques et suisses de protection des données ont jugé notre traitement « adéquat » en vertu de l’article 45(3) du RGPD (et de la législation locale pertinente).

Si vous êtes un(e) client(e) basé(e) dans l’EEE, au R.-U. ou en Suisse, votre contrat inclura un Avenant relatif au traitement des données (« ATD ») avec l’entité irlandaise de SurveyMonkey, SurveyMonkey Europe UC. Comme le transfert des données vers SurveyMonkey est effectué entre entités européennes (ou entités ayant reconnu leur statut d’adéquation mutuel), aucun autre mécanisme de transfert n’est requis.

Si vous êtes un client basé hors des États-Unis, de l’EEE, du R.-U. ou de la Suisse, mais avez des utilisateurs dans l’EEE, au R.-U. ou en Suisse et avez besoin de vous assurer qu’il existe un mécanisme de transfert pour les transferts ultérieurs, votre contrat inclura un Avenant relatif au traitement des données (ATD) avec l’entité irlandaise de SurveyMonkey, SurveyMonkey Europe UC. Si vous êtes un client Entreprise, vous pouvez demander l’ajout du mécanisme de transfert adéquat. Si vous êtes un client libre-service, veuillez noter que notre ATD en ligne contient automatiquement ces mécanismes de transfert.

Vous transférez des données personnelles à SurveyMonkey pour que nous puissions traiter ces données personnelles aux fins suivantes :

Vous devriez évaluer si vous transférez des données à d’autres fins.

Les données personnelles du Client transférées à SurveyMonkey peuvent contenir autant ou aussi peu de données personnelles que vous choisissez de collecter dans les questions de vos sondages, formulaires et questionnaires. Étant donné la nature de la plateforme, nous supposons que vous recueillez une vaste gamme de données personnelles, y compris des catégories de données particulières potentielles. 

Les informations que nous recueillons sont spécifiées dans la section 2 de notre Avis de confidentialité.

Comme indiqué ci-dessus, en fonction de votre emplacement géographique, vous signerez un contrat avec une entité SurveyMonkey aux États-Unis ou en Irlande.D’après les conseils d’un spécialiste externe de la protection des données et l’analyse des lois auxquelles SurveyMonkey est soumis, nous pensons que le risque associé au régime juridique aux États-Unis est faible et que le régime juridique en Irlande ne présente pas de risque important pour la personne concernée.Consultez la section « Mesures supplémentaires : organisationnelles » ci-dessous pour en savoir plus sur les lois américaines en particulier.

Même quand les risques associés au régime juridique du pays de destination sont faibles ou nuls, SurveyMonkey a mis en place des mesures supplémentaires pour assurer une protection encore plus poussée des données personnelles.Ces mesures supplémentaires sont divisées en trois catégories : mesures de protection (i) contractuelles, (ii) organisationnelles et (iii) techniques.

Comme expliqué ci-dessus, SurveyMonkey acceptera de signer des clauses contractuelles types (SCC) avec les clients. Le jugement Schrems II indique que les parties peuvent utiliser des SCC et (le cas échéant) des mesures de protection supplémentaires pour le transfert des données personnelles du Royaume-Uni, de l’espace économique européen (« Données européennes ») et de la Suisse aux États-Unis. Si vous avez conclu un accord avec SurveyMonkey ou obtenez de toute autre façon que ce soit des services de SurveyMonkey obligeant SurveyMonkey à traiter des données personnelles de personnes concernées européennes, SurveyMonkey (en fonction de l’entité SurveyMonkey avec laquelle vous avez signé le contrat) : 

Pour en savoir plus sur l’accord par lequel nous acceptons d’être lié par les Clauses contractuelles types, consultez les Conditions d’utilisation (pour les clients libre-service), le Contrat de services en vigueur (pour les clients SurveyMonkey Entreprise ou GetFeedback Digital) ou tout autre contrat que vous avez négocié avec SurveyMonkey.

Les inquiétudes de la Cour de justice de l’Union européenne (CJEU) quant aux transferts de données vers les États-Unis sont liées au recueil des données par le gouvernement américain en vertu du décret américain 12333 (« EO 12333 ») et de l’article 702 du Foreign Intelligence Surveillance Act (« FISA § 702 »), en particulier la surveillance « en amont » en vertu de l’article FISA § 702.Les risques posés par les dispositions légales américaines ne s’appliquent pas au traitement des données personnelles par SurveyMonkey ou peuvent être suffisamment atténués par les mesures de protection organisationnelles mises en place par SurveyMonkey.

En outre, le 10 juillet 2023, la Commission européenne a adopté sa décision d’adéquation au cadre de protection des données U.E.-États-Unis. La décision d’adéquation conclut que les États-Unis garantissent un niveau de protection adéquat, par rapport à celui de l’U.E., pour les données personnelles transférées de l’U.E. aux entreprises américaines participant au cadre de protection des données U.E.-États-Unis.

Cette décision fait suite à la signature par les États-Unis d’un décret visant au « renforcement des garanties pour les activités de renseignement d’origine électromagnétique des États-Unis », qui a introduit de nouvelles garanties contraignantes pour répondre aux questions soulevées par la Cour de justice de l’Union européenne dans sa décision Schrems II de juillet 2020. Les nouvelles obligations visaient notamment à garantir que les agences de renseignement américaines ne puissent accéder aux données que dans la mesure de ce qui est nécessaire et proportionné, et à mettre en place un mécanisme de recours indépendant et impartial pour traiter et régler les réclamations des Européens portant sur la collecte des données les concernant à des fins de sécurité nationale. (Voir https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey ne peut pas recevoir d’ordres de surveillance « en amont » ou en masse en vertu de l’article FISA § 702.SurveyMonkey Inc. agit, en partie, comme un service de communication électronique (« ECS ») et potentiellement aussi comme un service de télétraitement (« RCS ») (tels que définis dans les articles 2510 et 2711 du titre 18 du Code des États-Unis, respectivement) pour certains services ou certaines fonctionnalités que nous fournissons aux Clients.SurveyMonkey Inc. fait donc partie des nombreuses entreprises auxquelles le gouvernement américain peut notifier une en vertu de l’article FISA § 702.Cependant, face à l’interprétation et l’application de l’article FISA § 702 par le gouvernement américain, SurveyMonkey ne peut pas recevoir le type d’ordre qui était la source d’inquiétude première de la CJEU dans la décision Schrems II (un ordre de surveillance « en amont » en vertu de l’article FISA § 702).Dans le cadre de l’application de l’article FISA § 702 par le gouvernement américain, il utilise les ordres de surveillance en amont uniquement pour cibler le trafic passant par les fournisseurs de dorsales Internet qui acheminent le trafic Internet pour des tiers (c’est-à-dire les opérateurs de télécommunications).Vous pouvez notamment consulter le rapport du Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2 juillet 2014), pp.35-40, disponible à https://fas.org/irp/offdocs/pclob-702.pdf.SurveyMonkey ne fournit pas de tels services de dorsale Internet, car nous acheminons uniquement le trafic impliquant nos propres clients.Par conséquent, nous ne pouvons pas recevoir le type d’ordre principalement abordé et jugé problématique par la décision Schrems II.

SurveyMonkey n’a reçu aucune directive en vertu de l’article FISA § 702 et il est peu probable que nous en recevions.À la date de la présente déclaration, SurveyMonkey n’a reçu aucune directive en vertu de l’article FISA § 702 et n’a aucune raison de penser que SurveyMonkey reçoive une telle directive.Il est extrêmement peu probable que les données personnelles que SurveyMonkey traite pour ses clients (données de feedback) soient pertinentes pour les activités de renseignements étrangers régies par l’article FISA § 702.En outre, si de telles données personnelles étaient pertinentes dans le cadre d’une enquête de ce type, il y a plus de chances que le gouvernement cherche à obtenir de telles données par le biais d’autres procédures légales (comme un mandat de perquisition signé par un juge) qui satisfont aux normes rigoureuses concernant l’accès du gouvernement aux données décrites dans la décision Schrems II.En effet, il serait beaucoup plus rapide et plus facile pour le gouvernement d’obtenir un mandat en vertu d’une disposition autre que FISA § 702 que de mettre en place les mécanismes requis pour que le gouvernement puisse signifier des directives à SurveyMonkey en vertu de l’article FISA § 702.

SurveyMonkey n’aide pas et ne peut pas être obligé à aider les autorités américaines à recueillir des informations en vertu du décret EO 12333.SurveyMonkey ne fournit et ne fournira aucune assistance aux autorités américaines effectuant des activités de surveillance en vertu du décret EO 12333.Le décret EO 12333 ne permet pas au gouvernement américain d’obliger les entreprises à l’assister dans ces activités et SurveyMonkey ne le fera pas de son propre gré.Par conséquent, SurveyMonkey ne prend pas et ne peut pas être obligé à prendre de mesures visant à faciliter le type de surveillance en masse en vertu du décret EO 12333 jugé problématique par la décision Schrems II.

SurveyMonkey fournit une gamme de mesures techniques conçues pour contrecarrer les principaux problèmes cités dans la décision Schrems II et mentionnés ci-dessus (surveillance en masse en vertu de l’article FISA § 702 et interceptions en masse en vertu du décret EO 12333).

SurveyMonkey crypte toutes les données stockées dans ses centres de données en utilisant un cryptage AES 256.De plus, SurveyMonkey crypte toutes les données en mouvement en utilisant (i) des certificats RSA avec une longueur de clé de 2048 bits générés via une autorité de certification publique pour les communications avec des entités extérieures aux centres de données de SurveyMonkey, et (ii) des certificats RSA 256 générés via une autorité de certification interne pour toutes les données au sein du centre de données.Ces efforts de cryptage sont conçus pour empêcher toute acquisition non autorisée des données dans un format intelligible et toute tentative d’écoute/de piratage des données en transit entre deux points.

Les données de certains Clients SurveyMonkey (les Clients GetFeedback Digital par exemple) ne sont stockées que dans l’Union européenne.Dans ce cas, les données ne sont pas stockées aux États-Unis et l’accès à ces données aux États-Unis est limité et à des fins spécifiques (par exemple pour l’assistance client à la demande, l’assistance sécurité 24/7 et/ou une intervention limitée des ingénieurs afin de résoudre des bugs/problèmes ou développer des systèmes).

SurveyMonkey applique également des procédures administratives, techniques et physiques strictes pour protéger les informations stockées sur ses serveurs.L’accès aux informations personnelles est contrôlé par identifiants de connexion et limité aux employés qui en ont besoin pour faire leur travail.SurveyMonkey met en œuvre des techniques de minimisation des données afin de limiter le volume de données personnelles transférées de l’U.E. à des juridictions tierces, notamment, le cas échéant, la pseudonymisation ou l’anonymisation des données.En outre, SurveyMonkey utilise divers contrôles d’accès comme l’authentification multi-facteurs, l’authentification unique, l’accès « au besoin », des contrôles des mots de passe forts et l’accès restreint aux comptes administratifs.

De plus, en tant qu’ECS/RCS, SurveyMonkey est soumis à la loi américaine Electronic Communications Privacy Act, 18 USC.§ 2701, et seq.(« ECPA »), qui assure une certaine protection des Clients de SurveyMonkey.Par exemple, l’ECPA interdit aux entités gouvernementales d’essayer de se procurer des informations au sujet des Clients de services comme SurveyMonkey, sauf si lesdites entités gouvernementales ont au préalable obtenu une ordonnance appropriée, notamment un ordre judiciaire ou un mandat de perquisition pour les informations autres que les informations élémentaires des abonnés.De la même façon, les lois FISA et ECPA offrent aux Clients de SurveyMonkey des voies de recours contre le gouvernement américain et permettent de lui réclamer des réparations (notamment des dommages pécuniaires et des sanctions disciplinaires contre les autorités gouvernementales concernées) s’il obtient des informations à leur sujet de façon abusive (voir 18 USC.§ 2712).

En outre, le conseiller juridique externe avec qui SurveyMonkey travaille de longue date est expérimenté dans la réponse aux demandes du gouvernement américain concernant les données des utilisateurs, y compris les demandes de sécurité nationale des États-Unis en vertu de l’article FISA § 702.La politique de SurveyMonkey consiste à transmettre ces demandes à son équipe de conformité interne et, si nécessaire, à ce conseiller externe pour examen.Le cas échéant, SurveyMonkey a l’intention d’utiliser les mécanismes juridiques disponibles pour contester les demandes d’accès aux données en vertu de l’article FISA § 702 (y compris les clauses de non-divulgation ou les ordres qui y sont rattachés) dans le cas peu probable où SurveyMonkey recevrait une telle demande.La demande serait alors examinée par un tribunal américain (le tribunal FISA).

SurveyMonkey reconnaît également qu’un ordre de fournir l’accès aux données en vertu de l’article FISA § 702 obligerait SurveyMonkey à informer ses clients que nous ne pouvons plus nous conformer aux Clauses contractuelles types, ce qui leur permettrait de résilier leur contrat avec nous et de suspendre les flux de données qui nous sont transférés.Nous n’avons jamais eu besoin d’émettre un tel avis.

Compte tenu de l’analyse ci-dessus, nous pensons que le risque de préjudice pour la personne concernée n’est pas important.

Le tableau ci-dessous récapitule les conclusions de notre évaluation de l’impact des transferts.

« À risque non significatif » signifie que des données à caractère personnel sont transférées entre des entités situées toutes deux au sein de l’Espace économique européen (EEE).

« À faible risque » signifie que le pays d’importation/de destination des données est situé en dehors de l’EEE, mais que le transfert a lieu à l’aide d’un procédé conforme au RGPD et que des mesures supplémentaires ont été mises en place. Tous les risques résiduels identifiés dans une EIT ont été atténués.

« À risque modéré » signifie que le pays d’importation/de destination des données est situé en dehors de l’EEE, mais que le transfert a lieu à l’aide d’un dispositif conforme au RGPD et que des mesures supplémentaires ont été mises en place. Certains risques résiduels identifiés dans une EIT subsistent.

« À risque élevé » signifie que le pays d’importation/de destination des données est situé en dehors de l’EEE, mais que le transfert a lieu à l’aide d’un dispositif conforme au RGPD et que des mesures supplémentaires ont été mises en place. D’importants risques résiduels identifiés dans une EIT subsistent.

Les sous-traitants sont les fournisseurs de SurveyMonkey qui traitent les données personnelles de vos utilisateurs afin d’aider SurveyMonkey à vous fournir ses services.Tous les sous-traitants de SurveyMonkey sont tenus par contrat de protéger les données personnelles avec des mesures qui sont au moins aussi rigoureuses que les normes que nous appliquons aux données personnelles sous notre contrôle.

Lorsque SurveyMonkey transfère des données personnelles à des sous-traitants, nous effectuons une évaluation de l’impact du transfert (« EIT ») similaire aux étapes décrites ci-dessus.Nous le faisons pour nous assurer que vos données personnelles sont protégées à chaque étape, comme l’exigent la loi sur la protection des données et notre contrat avec vous.Vous trouverez ci-dessous un résumé des points clés de l’EIT pour chaque sous-traitant.

Veuillez noter que tous les sous-traitants cités ne fournissent pas tous nos services.Notre liste de sous-traitants est segmentée en fonction des services SurveyMonkey spécifiques.

Si vous souhaitez être informé par email des mises à jour de notre liste des sous-traitants secondaires, veuillez vous inscrire ici.

Pour télécharger notre liste de sous-traitants secondaires actuels au format PDF, cliquez ici.