À compter du 20 février 2026, les services gérés Meta Horizon ne seront plus disponibles à l’achat. Consultez les Pages d’aide pour en savoir plus.

Addenda sur la sécurité des données des solutions gérées Meta Horizon

Date d’entrée en vigueur : 13 novembre 2023

Le présent Addenda sur la sécurité des données a été intégré expressément par renvoi dans les Conditions d’utilisation des solutions gérées Meta Horizon accessibles à forwork.meta.com/legal/mfw-terms-of-service (les « Conditions d’utilisation »). Les termes qui sont utilisés, mais non définis dans le présent Addenda sur la sécurité des données ont le sens qui leur est accordé dans les Conditions d’utilisation.

  1. Contexte et objectif

    Le présent document décrit les exigences de sécurité minimales applicables aux services que nous vous fournissons.

  2. Système de gestion de la sécurité de l’information

    Meta a mis en place et maintiendra un système de gestion de la sécurité de l’information (SGSI) qui vise à appliquer, dans le cadre de sa prestation des services, les pratiques courantes de l’industrie en matière de sécurité de l’information. Le SGSI de Meta offre une protection contre l’accès, la divulgation, l’utilisation ou la modification non autorisés de données de client et contre leur perte.

  3. Processus de gestion du risque

    La sécurité des renseignements et les installations de traitement des renseignements, dont les infrastructures informatiques et physiques, doivent s’appuyer sur une évaluation des risques. Les services feront l’objet d’une telle évaluation régulièrement.

  4. Organisation de la sécurité des renseignements

    Meta a nommé un(e) responsable de la sécurité, chargé(e) de veiller à la sécurité générale de l’organisation. Meta a nommé une équipe responsable de superviser la sécurité de l’instance du client pour les services.

  5. Sécurité physique et environnementale

    Les mesures de sécurité de Meta visent entre autres à fournir l’assurance raisonnable que l’accès aux installations de traitement physiques est limité aux personnes autorisées ainsi qu’à détecter, à prévenir et à limiter la destruction attribuable à des risques environnementaux. Voici certaines de ces mesures :

    • Protocoles exigeant à tout le personnel travaillant sur les services de fournir une carte d’identité personnelle pour entrer dans toute installation de Meta.
    • Consignation dans un journal et vérification de tous les accès physiques à l’installation de traitements des données des employés et des contractants.
    • Systèmes de surveillance par caméra aux points d’entrée critiques de l’installation de traitement des données.
    • Systèmes de surveillance et de contrôle de la température et de l’humidité pour l’équipement informatique.

    • Source d’alimentation en électricité et génératrices de secours.

    Meta appliquera les procédures courantes de l’industrie relatives à la suppression et à l’effacement des données sur les médias électroniques, sous réserve des Conditions d’utilisation.

  6. Formation du

    personnel. Tous les employés de Meta ayant accès aux données de client devront suivre une formation sur la sécurité.

    Examen et vérification des antécédents. Meta devra :

    • fournir une carte d’identité personnelle avec photo et nom à tout le personnel travaillant avec votre instance du client dans le cadre des services, qui sera exigée pour accéder à toutes les installations de Meta;
    • appliquer un processus pour vérifier l’identité du personnel travaillant avec votre instance de client dans le cadre des services.

    • adopter un processus pour effectuer, lorsque la loi le permet, des vérifications des antécédents du personnel travaillant avec votre instance de client dans le cadre des services, conformément aux politiques de Meta.

    Atteinte à la sécurité par le personnel. Meta prévoira des sanctions en cas d’accès non autorisé ou interdit aux données de client par le personnel de Meta, pouvant aller jusqu’au congédiement, lorsque la loi le permet.

  7. Test de sécurité

    Meta effectuera des tests de sécurité et de vulnérabilité pour évaluer l’efficacité et la mise en œuvre adéquate des mesures clés.

  8. Mesures d’accès

    Gestions des mots de passe des utilisateurs. Meta devra avoir mis en place un processus de gestion des mots de passe des utilisateurs visant à protéger la confidentialité des mots de passe et à prévenir l’accès non autorisé à ceux-ci, y compris, au minimum :

    • la mise à disposition des mots de passe, dont la vérification de l’identité de l’utilisateur(-trice) avant la création ou la modification d’un mot de passe, ou l’attribution d’un mot de passe temporaire;
    • le chiffrement des mots de passe lorsqu’ils sont stockés dans des systèmes informatiques ou en transit dans le réseau;
    • la modification des mots de passe par défaut des fournisseurs;
    • des mots de passe forts selon leur utilisation prévue;

    • la sensibilisation des utilisateurs et la formation.

    Gestion de l’accès des utilisateurs. Meta mettra en place un processus pour modifier ou révoquer les droits d’accès et les numéros d’identification des utilisateurs, sans retard injustifié. Meta mettra en place des procédures pour signaler et révoquer en tout temps les renseignements de connexion compromis (mots de passe, jetons, etc.). Meta mettra en place un processus de consignation dans un journal des renseignements de sécurité, dont l’identité de l’utilisateur(-trice) et les estampilles temporelles, le cas échéant. L’horloge doit être synchronisée au NTP.

    Les renseignements minimums à consigner dans le journal comprennent les événements suivants :

    • Modification des autorisations;
    • Tentatives d’accès et d’authentification réussies ou infructueuses;

    • Opérations de lecture et d’écriture.

  9. Sécurité des communications

    Sécurité du réseau. Meta recourra à une technologie de ségrégation des données conforme aux normes de l’industrie. L’accès à distance au réseau exigera une communication chiffrée au moyen de protocoles sécurisés et l’utilisation d’une authentification multifacteur.

    Protection des données en transit. Meta obligera l’utilisation de protocoles adéquats visant à protéger la confidentialité des données en transit sur des réseaux publics.

  10. Sécurité opérationnelle

    Meta instaurera et maintiendra un programme de gestion de la vulnérabilité pour les services, qui comprend la définition des rôles et des responsabilités, l’octroi d’une responsabilité particulière en matière de surveillance de la vulnérabilité, l’évaluation de la vulnérabilité et des risques et le déploiement des correctifs.

  11. Gestion des incidents de sécurité

    Meta mettra en place et maintiendra un plan d’intervention en cas d’incident de sécurité pour surveiller, détecter et traiter les incidents probables en matière de sécurité touchant les services. Le plan d’intervention en cas d’incident de sécurité doit comprendre, au minimum, la définition des rôles et des responsabilités, des examens rétrospectifs et des communications, dont une analyse des causes profondes et des plans de correction.

    Meta surveillera les services pour détecter toute atteinte à la sécurité et toute activité malveillante. Le processus de surveillance et les techniques de détection devront permettre de déceler les incidents de sécurité touchant les services, en tenant compte des menaces pertinentes et des renseignements sur les menaces actuelles.

  12. Continuité des activités

    Meta devra maintenir un plan de continuité des activités pour intervenir en cas de situations d’urgence ou critiques susceptibles de compromettre les services. Meta devra réviser son plan de continuité des activités au moins une fois par an.