Politique de demande de droit d’accès
Cette traduction n’est fournie qu’à titre informatif. Dans l’éventualité où des incohérences apparaîtraient entre celle-ci et la version anglaise, c’est la version anglaise qui prévaudrait.
Chez Slack, nous nous engageons en termes de confiance et de transparence
Consultez les documents et les Q&R qui suivent pour en savoir plus sur nos politiques et directives concernant les demandes de droit d’accès provenant d’entités gouvernementales ou chargées de l’application de la loi, ainsi que celles provenant de parties tierces civiles. Vous y trouverez également nos rapports annuels qui recensent le nombre de demandes que nous avons reçues et les réponses que nous y avons apportées.
Politique de demande de droit d’accès
Conformément à notre engagement en termes de confiance et de transparence, notre Politique de demande de droit d’accès décrit les politiques et les procédures de Slack en vue de répondre aux demandes de droit d’accès aux données client de Slack. Cette politique détermine nos pratiques en conformité avec les demandes de droit d’accès aux données de parties tierces, les demandes effectuées par des autorités légales, le compte-rendu client et les demandes de droit d’accès internationales.
Rapport de transparence
Salesforce publie chaque année des informations sur les demandes des forces de l’ordre et du gouvernement que les sociétés Salesforce, y compris Slack, ont reçues au cours de l’année civile précédente. Ces rapports de transparence décrivent les principes directeurs de Salesforce en matière de respect de la confidentialité des clients, le nombre de demandes reçues chaque année et les données relatives aux réponses. Les rapports de transparence des années précédentes sont disponibles dans les Archives juridiques de Slack.
Foire aux questions
Comment Slack gère-t-il les demandes de la part d’entités gouvernementales ou chargées de l’application de la loi ?
Comme nos Règles de confidentialité et nos Conditions d’utilisation l’indiquent, Slack est un espace de travail productif sous forme de plateforme en ligne. Si nous venions à être soumis à une procédure légale valide de la part d’une entité gouvernementale ou chargée de l’application de la loi, nous pourrions être contraints de fournir des données d’utilisateurs, conformément aux lois applicables. Notre Politique de demande de droit d’accès définit nos exigences au regard de ces demandes, tandis que notre Rapport de transparence répertorie le type et la quantité de demandes qui nous parviennent chaque année d’entités gouvernementales ou chargées de l’application de la loi.
Où puis-je adresser une procédure légale ?
Toutes les demandes provenant d’entités gouvernementales ou chargées de l’application de la loi nationales ou internationales doivent être envoyées à notre alias e-mail : legalprocess@slack.com
Quelles informations dois-je fournir à Slack dans le cadre d’une demande ?
Outre les exigences légales requises et applicables, toute procédure légale doit être accompagnée des informations suivantes : (a) le nom de l’entité gouvernementale ou chargée de l’application de la loi, (b) l’affaire pénale ou civile en question et (c) des indications concernant l’espace de travail Slack, incluant le nom du client et de l’utilisateur, la plage de dates, l’URL de l’espace de travail (nom_du_slack.slack.com), ainsi que le type de données recherché. Il est également important de noter que la demande doit provenir d’une adresse e-mail appartenant au gouvernement et comprendre la totalité des coordonnées de l’agent dont émane la demande.
Que se passe-t-il lorsque Slack reçoit une demande d’application de la loi ?
Nous examinons soigneusement toutes les demandes pour vérifier qu’elles sont légalement justifiées et en tenant compte de la vie privée des utilisateurs. Slack se réserve le droit de contester toute demande qui serait imprécise, inappropriée ou dont la portée serait trop large.
À quelle fréquence délivrez-vous des données à des entités gouvernementales ou chargées de l’application de la loi ?
Notre Rapport de transparence répertorie la quantité de demandes que nous recevons chaque année. Le rapport actuel couvre une période allant du 1er janvier au 31 décembre 2019 et indique le nombre d’assignations, de mandats et autres demandes de droit d’accès que nous avons reçus cette année-là. Ce rapport comprend également le type de données que nous avons fournies, qu’il s’agisse de données relatives au contenu ou non.
Prêtez-vous assistance aux autorités gouvernementales et chargées de l’application de la loi dans le cadre de la surveillance des communications ?
Slack n’effectue pas de surveillance en temps réel de ses clients, ni ne fournit volontairement aux gouvernements l’accès aux données relatives aux utilisateurs à des fins de surveillance. Veuillez consulter notre Rapport de transparence pour obtenir davantage d’informations.
La plateforme Slack est-elle susceptible de recevoir des ordonnances de surveillance « upstream » ou de masse, dans le cadre de la FISA § 702 (Foreign Intelligence Surveillance Act) ?
Non. À l’instar de toutes les autres plateformes de communication aux États-Unis, Slack est défini comme un service de communications électroniques (« ECS ») ou comme un service de télétraitement (« RCS ») (comme décrit, respectivement, dans les Sections 2510 et 2711, Titre 18 du Code des États-Unis), dès lors qu’il fournit des services aux clients. Ainsi, il est possible que le gouvernement des États-Unis cible Slack dans le cadre de la FISA § 702.
En revanche, la plateforme n’est pas admissible à une ordonnance 702 de cette loi qui concernerait une surveillance « upstream ». En effet, le gouvernement des États-Unis a implémenté la FISA § 702 de manière à ce que seul soit ciblé le trafic de données des principaux fournisseurs Internet qui gèrent le trafic pour des tiers. Voir Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant à la Section 702 du Foreign Intelligence Surveillance Act (2 juillet 2014) pp. 35-40, disponible sur https://fas.org/irp/offdocs/pclob-702.pdf. Slack ne fournit pas de tels services, dans la mesure où la plateforme ne gère que le trafic qui regroupe ses propres clients. Par conséquent, nous ne sommes pas admissibles au type d’ordonnance principalement adressée dans la décision Schrems II et jugée problématique par celle-ci.
Est-ce que Slack contribue à la surveillance de masse effectuée par les autorités américaines conformément à l’Executive Order 12333 ?
Nous ne prêtons pas assistance à une quelconque autorité américaine sur la question de la surveillance comme définie par l’Executive Order 12333. En outre, l’Executive Order 12333 ne donne pas au gouvernement américain la possibilité de contraindre les entreprises à fournir une assistance dans le cadre de ces activités, et Slack ne le fera pas volontairement. Par conséquent, nous ne prenons pas et il ne peut pas nous incomber de prendre des mesures pour faciliter la surveillance de masse dans le cadre de l’Executive Order 12333.
Comment Slack assure-t-il la protection des données, qu’elles soient en mouvement ou stockées ?
Nous utilisons une série de mesures techniques et organisationnelles pour mettre en échec les efforts mis en œuvre afin d’intercepter, de surveiller ou d’accéder sans autorisation aux données en mouvement. Par exemple, Slack chiffre tous les transferts de données pour empêcher leur acquisition par des tiers, tels que les autorités gouvernementales qui peuvent obtenir un accès physique aux mécanismes de transmission lorsque les données sont en cours de transfert. La plateforme n’opère que des transports sécurisés via le protocole TLS v1.2, au détriment de HTTPS. Cette fonctionnalité est activée en permanence pour empêcher des tiers de modifier ou d’exploiter les transferts de données entre les deux points terminaux (Slack et nos clients).
Notre espace de travail Gestion des clés de chiffrement Slack Enterprise (Slack EKM) offre des garanties supplémentaires en créant un journal d’audit immuable afin que le client soit averti chaque fois qu’un accès à ses données est effectué. Sauvegarder ou produire du contenu Slack EKM a pour effet de déclencher une entrée détectable dans un journal d’accès que le client peut consulter. Les clients peuvent également choisir de révoquer les clés de chiffrement pour empêcher l’accès à du contenu non chiffré.
L’adoption du CLOUD Act a-t-il un impact sur la manière dont Slack répond aux demandes légales du gouvernement américain ?
Non. Le CLOUD Act, qui a été promulgué en 2018, a clarifié la portée géographique des demandes d’application de la loi américaine et a créé une base légale permettant à des entreprises comme Slack de contester les demandes qui entrent en conflit avec le droit étranger dans certaines circonstances. Le CLOUD Act n’a modifié aucune des protections juridiques et de la vie privée préexistantes accordées aux données des utilisateurs et Slack examine avec la même rigueur toutes les procédures juridiques qui lui sont imputées, y compris celles émises en vertu du CLOUD Act.
Quel type de données pourrait être divulgué en réponse à une procédure judiciaire de la part des entités gouvernementales ou chargées de l’application de la loi ?
Les données de contenu comprennent les données générées par l’utilisateur, telles que les messages publics et privés, les mémos, les fichiers et les messages directs. Si l’entité souhaite obtenir des données de ce type, Slack exige alors un mandat.
Les données non liées au contenu comprennent les informations de compte basiques (par exemple le nom et l’adresse e-mail, les informations du profil et d’enregistrement, l’historique de connexion et les informations de facturation) et autres métadonnées non liées au contenu (telles que la date, l’heure et l’expéditeur/le destinataire des messages ou des fichiers). Selon le type de données demandé, Slack peut exiger une assignation à comparaître contraignante ou une ordonnance du tribunal, afin de divulguer ces données.
Quelle est la différence entre un mandat de perquisition, une ordonnance du tribunal et une assignation à comparaître contraignante par la loi ?
Le mandat de perquisition est une ordonnance émise par un juge ou un magistrat sur la base de la conclusion d’un motif raisonnable. Un mandat de perquisition est nécessaire pour obtenir le contenu des communications.
Une décision de justice est prise lorsqu’un tribunal estime que le gouvernement a démontré qu’il existe des motifs raisonnables de croire que les informations recherchées sont pertinentes et importantes pour une enquête criminelle en cours. Le gouvernement peut, avec une ordonnance du tribunal, obtenir des données basiques non liées au contenu et des métadonnées concernant un espace de travail, mais il ne peut pas obtenir de données de contenu.
Une assignation à comparaître contraignante par la loi est une demande obligatoire émise par une entité gouvernementale pour la production d’un ensemble limité d’informations, telles que le nom, l’adresse, l’ancienneté de service ou les moyens et la source de paiement d’un client, et ce, dans le cadre d’une enquête criminelle autorisée.
Des entités gouvernementales ou chargées de l’application de la loi peuvent-elles obtenir de Slack des données supprimées ?
De manière générale, non. À moins que les données supprimées ne soient toujours en possession du client, conformément aux paramètres de conservation, celles-ci se retrouvent définitivement effacées des systèmes de Slack, au moment de la suppression. Une fois supprimées, les données peuvent être stockées dans nos sauvegardes de sécurité pendant une période limitée (jusqu’à 14 jours, souvent moins). Une fois que la période de sauvegarde de sécurité a expiré, Slack supprime toutes les informations que nous conservons dans nos systèmes de production. Il devient alors impossible pour nous de récupérer des données, et ce, quelle que soit la raison invoquée, même lorsqu’il s’agit d’une demande émanant d’une entité gouvernementale ou chargée de l’application de la loi.
Comment Slack gère-t-il les demandes d’urgence ?
Si vous avez une urgence impliquant un danger de mort ou de blessure corporelle grave et que vous avez des raisons de penser que Slack détient des données potentiellement nécessaires pour atténuer ce préjudice, les agents des entités compétentes chargées de l’application de la loi sont tenus de nous contacter à l’adresse legalprocess@slack.com afin que nous puissions examiner la demande.
Avertissez-vous vos clients avant de divulguer des données à une entité gouvernementale ou chargée de l’application de la loi ?
À moins que cela ne soit interdit à Slack ou qu’il n’y ait une preuve évidente de conduite illégale ou de risque de dommage, Slack informera le client en envoyant un e-mail au propriétaire principal, en règle générale, avant de divulguer ses données client, afin que l’intéressé puisse faire valoir ses droits en justice.
Qu’en est-il des demandes de droit d’accès aux données émanant de tiers ou de parties civiles ?
Les tiers souhaitant avoir accès aux données doivent contacter directement le propriétaire de l’espace de travail Slack. Dans la mesure du possible, nous encourageons les parties à gérer leurs demandes sans notre intervention. Les propriétaires d’espaces de travail devraient pouvoir gérer leur propre exportation afin de se conformer à une demande légale appropriée. Le propriétaire principal peut nous contacter en cas de besoin d’assistance, afin de s’assurer qu’il peut obtenir une exportation du fait d’une contrainte légale.
Veuillez noter que le Stored Communications Act, Titre 18 du Code des États-Unis, § 2701 et suivants, interdit formellement tout fournisseur comme Slack de divulguer le contenu de communications à des tiers. Une assignation civile à comparaître ou une ordonnance d’une juridiction civile ne suffisent pas, à la lumière du Stored Communications Act, pour obtenir le contenu d’un espace de travail Slack.