Arrêt Schrems II : Twilio élargit sa protection des données pour ses clients de l'UE

Arrêt Schrems II : Twilio élargit sa protection des données pour ses clients de l'UE

Les transferts de données à caractère personnel de l'UE vers les États-Unis et d'autres pays tiers sont depuis longtemps un sujet de préoccupation pour les clients de l'UE soucieux de la confidentialité et les autorités de protection des données de l'UE. Le 16 juillet 2020, ces inquiétudes ont de nouveau été portées sur le devant de la scène lorsque la Cour de justice de l'Union européenne (CJUE) a rendu son verdict dans l'affaire Schrems II. Bien que Twilio ait déjà pris d'importantes mesures visant à garantir que les données que nous traitons sont protégées de manière adéquate où que ce soit dans le monde (notamment nos Binding Corporate Rules et la publication de rapports de transparence semestriels), nous savons que cet arrêt soulève d'importantes questions sur l'impact qu'il peut avoir sur votre entreprise.

Nous sommes ravis de vous présenter ci-dessous les mesures supplémentaires prises par Twilio pour offrir à ses clients un meilleur contrôle sur les transferts de données personnelles. Nous nous engageons à fournir des mises à jour chaque trimestre.

Le Plan de Twilio

Nos équipes travaillent activement sur une stratégie internationale pour étendre notre infrastructure mondiale aux datacenters de l'UE et d'autres pays et régions, comme l'Australie. Ce projet comprend également la mise à jour de nos processus internes. Le tout vise à calmer les inquiétudes soulevées par l'arrêt Schrems II et par d'autres lois sur la protection des données applicables dans le monde en matière de transferts transfrontaliers de données personnelles.

Des efforts et des ressources considérables sont nécessaires pour aligner correctement nos plateformes, produits, services et processus afin d'atteindre ces objectifs. Il s'agira donc d'un processus itératif, mais trois principales initiatives sont activement en cours :

1. Nous vous permettons de conserver les données personnelles des utilisateurs de l'UE dans l'Union européenne.
   Vous aurez le contrôle sur le lieu d'acquisition, de traitement et de stockage de vos données, ce qui vous permettra de conserver les données personnelles, à la fois statiques et en transit, entièrement dans votre région.
2. Nous implémentons des contrôles supplémentaires pour empêcher le personnel de Twilio non membre de l'UE d'accéder aux données personnelles de l'UE.
   Les employés de Twilio qui ne sont pas membres de l'UE ne pourront pas accéder aux données personnelles de l'UE sans l'autorisation explicite d'une entité de l'UE, et uniquement dans des circonstances limitées. Cela inclut l'implémentation de contrôles garantissant que seules les données pseudonymisées sont transférées vers les systèmes Twilio en dehors de l'Espace économique européen (EEE), tout en étendant notre système de contrôle d'accès d'entreprise afin d'améliorer la surveillance et le contrôle de l'accès aux données personnelles de l'UE.
3. Nous mettons en place des mesures de protection légale supplémentaires pour les clients de l'UE qui sont sous contrat avec Twilio.
   Twilio a mis à jour ses contrats afin de s'assurer que les nouveaux clients de l'UE sont engagés par l'intermédiaire de notre entité par défaut au sein de l'UE. Nous cherchons également à fournir des moyens permettant aux clients actuels de l'UE de conclure, sur demande, un contrat par l'intermédiaire de notre entité européenne.

Regional Voice en Irlande

En 2021, nous avons lancé un centre de données en Irlande ainsi que Twilio Voice, notre premier canal disponible dans la région européenne. Cela permet aux clients existants de l'UE de migrer leurs cas d'utilisation de Voice vers le centre de données en Irlande et d'établir la résidence des données dans la région*. En outre, les nouveaux clients peuvent choisir l'Irlande comme région de prédilection pour les cas d'utilisation liés à la voix. Il n'y a aucun coût supplémentaire pour utiliser le nouveau centre de données en Irlande. Pour en savoir plus sur la mise en œuvre de Regional Voice en Irlande, consultez notre documentation destinés aux développeurs.

La proximité d'un centre de données régional offre également des avantages supplémentaires comme une réduction de la latence et une amélioration des performances des applications pour les interactions en temps réel, telles que la numérotation vocale ou la mise en sourdine.

Regional Voice en Australie

Tout au long du premier semestre 2022, nos équipes ont travaillé au lancement de notre troisième région Twilio, l'Australie, ainsi qu'à la disponibilité générale de Regional Voice*, ce qui en fait le premier produit Twilio activé dans toutes les régions Twilio disponibles. Les SDK Android sont également disponibles avec un support régional complet depuis l'Irlande et l'Australie.

Twilio Segment en Union Européenne

Enfin, Twilio Segment est désormais proposé dans l'UE, offrant un produit localisé pour Connections, Protocole et Personas. Twilio Segment facilite la collecte, l'unification et l'activation des données de vos clients dans n'importe quel système où vous en avez besoin, tout en vous donnant les outils et les contrôles nécessaires pour vous aider à vous conformer aux réglementations européennes en matière de données.

Pour en savoir plus sur Twilio Segment dans l'UE, cliquez ici pour lire le blog de lancement.

* Le trafic vocal, qui comprend les données relatives à la transmission des appels téléphoniques utilisant la plateforme de Twilio, telles que les enregistrements d'appels, les transcriptions, l'heure de la journée, la durée de l'appel et les minutes d'utilisation, est ingéré, stocké et traité en Irlande. Des exceptions seront faites si nécessaire pour enquêter sur des problèmes de fraude et d'abus. Pour le moment, toutes les autres données relatives à votre compte et à l'utilisation de nos Services continueront d'être traitées aux États-Unis afin de permettre à Twilio de continuer à vous fournir et à améliorer nos Services. Nous continuerons à travailler à une plus grande régionalisation des données pour Voice et d'autres offres dans les mois à venir.

Notre objectif principal en 2022 a été d'isoler les données des utilisateurs finaux des clients (telles que les enregistrements détaillés des appels et les enregistrements audio) - des données pour lesquelles nous agissons principalement en tant que processeur en vertu du Règlement général sur la protection des données (RGPD).

Nous sommes heureux de vous annoncer que la première étape de notre projet régional de SMS a été franchie avec succès et que nous évaluons actuellement les participants à inclure dans le programme pilote. Si votre cas d'utilisation consiste à envoyer des SMS dans un seul pays de l'UE, que vous utilisez un expéditeur Alpha-numérique ou un numéro de téléphone standard et que vous souhaitez participer au programme pilote, demandez à votre chargé de clientèle de vous fournir de plus amples informations.

Pour l'avenir, nos équipes se concentrent sur la régionalisation des Functions et Assets, de Studio, des SMS entrants et sortants, et de Flex. Nous poursuivrons le travail nécessaire pour régionaliser d'autres produits et services Twilio, ainsi que d'autres données opérationnelles non destinées aux utilisateurs finaux, telles que la facturation, l'assistance, la conformité réglementaire et les informations d'analyse commerciale. Nous allons également progresser dans le travail nécessaire pour publier les contrôles de confidentialité des données qui garantissent que les données opérationnelles des utilisateurs finaux peuvent être transférées en toute sécurité en dehors de l'EEE sous une forme anonyme ou pseudonymisée.

Nous restons déterminés à mettre en œuvre notre stratégie de régionalisation et à vous fournir des mises à jour régulières sur nos progrès dans les trimestres à venir.

Protection de la vie privée et contrats : Une régionalisation plus poussée de la façon dont vous traitez avec Twilio

En plus de la régionalisation de nos produits et services, nos équipes travaillent également en tandem pour améliorer la façon dont vous traitez avec Twilio dans le monde entier. Notre équipe d'ingénierie de la confidentialité (Privacy Engineering team) travaille activement pour garantir la protection des droits de confidentialité des données grâce à des méthodes de pointe reconnues par le Comité européen de la protection des données (EDPB) et la Société allemande pour la protection et la sécurité des données (GDD). Ces contrôles garantissent, par exemple, que les données sensibles des clients restent régionalisées et accessibles uniquement par Twilio dans la région, si nécessaire, et que ces données sensibles restent inaccessibles hors de la région, sauf en cas d'approbation spécifique.

Nous nous efforçons également d'introduire de nouvelles options pour la facturation et la conclusion de contrats, qui protègent officiellement votre relation commerciale avec Twilio sous une entité européenne régionalisée - Twilio Ireland - lorsque cela est requis par la loi ou tout simplement préférable. Au troisième trimestre 2021, nous avons mis à jour nos conditions de service et rendu opérationnel Twilio Ireland pour que les nouveaux clients puissent désormais réaliser des contrats et facturer avec cette entité régionale. Il ne s'agit que de deux exemples parmi les nombreuses mesures de protection activement mises en place afin de garantir que vous disposez des outils nécessaires à leur fonctionnement en toute conformité, partout dans le monde.

Construire une plateforme pérenne, dès aujourd'hui

L'environnement réglementaire mondial est en constante évolution et nous sommes parfaitement conscients que les décisions rendues (comme l'arrêt Schrems II) posent des questions importantes et urgentes qui doivent être traitées de manière réfléchie. Alors que nous continuons à bâtir Twilio en tant que société régionalisée à l'échelle mondiale, notre équipe s'est engagée à mettre en place une stratégie fournissant des solutions fiables et à long terme qui répondent aux besoins actuels et futurs. Cela se construit indépendamment de la manière dont les mesures réglementaires, en particulier en ce qui concerne les données sensibles des clients, peuvent changer dans les années à venir. C'est une promesse que seule Twilio est capable d'honorer, et nous sommes ravis de vous faire part de ces mises à jour au cours des trimestres à venir.

Déclarations prospectives

Cet article de blog contient des déclarations prévisionnelles au sens des lois fédérales sur les valeurs mobilières ; de telles déclarations impliquent des risques et des incertitudes substantiels. Les déclarations prévisionnelles portent généralement sur des événements futurs ou sur nos performances financières ou opérationnelles futures, le développement de nos produits ou notre position sur le marché. Dans certains cas, vous pouvez identifier les déclarations prévisionnelles car elles contiennent des termes tels que « peut », « pourrait », « va », « devrait », « s'attend », « planifie », « anticipe », « à l'intention », « cible », « projette », « envisage », « pense », « estime », « prédit », « prévoit », « potentiel » ou « continue » ou la forme négative de ces termes ou encore d'autres termes ou expressions similaires qui concernent nos attentes, stratégies, plans et intentions. Les déclarations prévisionnelles contenues dans cet article incluent, sans toutefois s'y limiter, les déclarations concernant : le lancement pilote des produits vocaux de Twilio, la régionalisation de Twilio en Europe, l'expansion de l'infrastructure de Twilio en Australie et la prise en charge de produits supplémentaires dans ces régions alors que nous lançons des versions bêta publiques pour l'acquisition et le stockage des données régionales. Vous ne devez pas considérer les déclarations prévisionnelles comme des prédictions d'événements futurs.

Les produits, fonctionnalités, caractéristiques ou feuilles de route non publiés mentionnés dans ce post ne sont pas actuellement disponibles et peuvent ne pas être livrés à temps ou pas livrés du tout, ces décisions étant prises à notre seule discrétion. Ces produits, caractéristiques, fonctionnalités ou feuilles de route ne constituent pas des promesses de livraison, des engagements ou des obligations de Twilio. Les clients qui achètent nos produits doivent prendre leurs décisions d'achat en fonction des fonctionnalités actuellement disponibles.

Les déclarations prévisionnelles contenues dans cet article sont également soumises à des risques, incertitudes et facteurs supplémentaires, notamment ceux décrits plus en détail dans les derniers documents déposés par Twilio auprès de la Securities and Exchange Commission, y compris son formulaire 10-Q pour le trimestre clos le 31 mars 2021. De plus amples informations sur les risques potentiels susceptibles d'affecter les résultats réels seront incluses dans les rapports périodiques actuels et ultérieurs et dans d'autres documents que Twilio soumet ponctuellement auprès de la Securities and Exchange Commission. En outre, Twilio opère dans un environnement très concurrentiel et en rapide évolution ; de nouveaux risques et incertitudes pourraient émerger et avoir un impact sur les déclarations prévisionnelles contenues dans cet article.

Les déclarations prévisionnelles correspondent uniquement aux convictions et suppositions de la direction de Twilio à la date à laquelle ces déclarations sont faites. Twilio n'est pas tenue de mettre à jour les déclarations prévisionnelles faites dans cet article pour refléter les événements ou circonstances postérieurs à la date de cet article ou pour refléter de nouvelles informations ou la survenue d'événements imprévus, sauf si la loi l'exige.