Date d’entrée en vigueur : 13 novembre 2023
Le présent Addenda sur la sécurité des données a été expressément intégré par référence aux Conditions de service de Meta for Work, disponibles à l’adresse forwork.meta.com/legal/mfw-terms-of-service/ (les « Conditions de service »). Les termes dont la première lettre est en majuscule et qui ne sont pas définis dans le présent Addenda sur la sécurité des données revêtent la signification qui leur est attribuée dans les Conditions de service.
Le présent document décrit les exigences minimales de sécurité applicables à la fourniture des Services à votre profit par Meta.
Meta a établi et maintiendra en place un système de gestion de la sécurité des informations (SGSI), conçu pour mettre en œuvre des pratiques de sécurité des informations conformes aux standards de l’industrie, dans le cadre de la fourniture ses Services. Le SGSI de Meta vise à protéger contre l’accès, la divulgation, l’utilisation, la perte ou l’altération non autorisés des Données client.
La sécurité des informations et des installations de traitement des informations, notamment l’infrastructure informatique et les installations physiques, devra être basée sur une évaluation des risques. Les Services seront régulièrement soumis à une évaluation des risques.
Meta dispose d’un responsable de la sécurité désigné qui est totalement en charge de la sécurité dans l’organisation. Meta dispose d’un personnel désigné responsable de la surveillance de la sécurité de votre Interface client pour les Services.
Les mesures de sécurité de Meta comprennent des contrôles conçus pour fournir une assurance suffisante quant au fait que l’accès aux installations de traitement physique est limité aux personnes autorisées et que des contrôles environnementaux sont mis en place pour détecter, prévenir et contrôler les destructions liées aux risques environnementaux. Ces contrôles incluent :
des générateurs d’alimentation électrique et de secours.
Meta devra mettre en œuvre des procédures standard pour la suppression sécurisée et l’élimination des données sur les supports électroniques, sous réserve des Conditions de service.
du personnel. Meta devra s’assurer que tous les employés qui ont accès aux Données client ont reçu une formation à la sécurité.
Sélection et vérification des antécédents. Meta est tenue de :
Avoir mis en place un processus de vérification des antécédents, lorsque c’est légalement permis, concernant le personnel travaillant avec votre Interface client dans le cadre des Services, conformément aux règlements de Meta.
Violation de sécurité par le personnel. Meta établira des sanctions pour l’accès non autorisé ou interdit aux Données client par le personnel Meta, et notamment, si la loi l’autorise, des sanctions allant jusqu’au licenciement.
Meta devra exécuter des tests de sécurité et de vulnérabilité réguliers pour évaluer si les contrôles clés sont mis en œuvre correctement et sont efficaces.
Gestion des mots de passe des utilisateurs. Meta doit établir un processus de Gestion des mots de passe des utilisateurs afin de s’assurer que les mots de passe sont personnels et inaccessibles aux personnes non autorisées. La plateforme doit au moins :
sensibiliser et former les utilisateurs à cette problématique.
Gestion de l’accès des utilisateurs. Meta mettra en œuvre un processus de modification ou de révocation des droits d’accès et des identifiants d’utilisateur, sans retard injustifié. Meta devra disposer de procédures pour le signalement et la révocation des informations d’accès compromises (mots de passe, tokens, etc.) 24 h/24 h et 7 jours sur 7. Meta devra mettre en œuvre des procédures d’enregistrement de sécurité appropriées, notamment l’identifiant de l’utilisateur et l’horodatage, le cas échéant. L’horloge devra être synchronisée avec le protocole de synchronisation de réseau (NTP).
Les évènements de gestion de l’accès utilisateur suivants devront au minimum être enregistrés :
les opérations de lecture et d’écriture.
Sécurité réseau. Meta devra utiliser une technologie conforme aux normes industrielles pour la séparation des réseaux. L’accès réseau à distance exigera une communication chiffrée par l’utilisation de protocoles sécurisés et l’utilisation d’une authentification à plusieurs facteurs.
Protection des données en transit. Meta imposera l’utilisation de protocoles appropriés conçus pour protéger la confidentialité des données en transit sur les réseaux publics.
Meta instaurera et maintiendra un programme de gestion des vulnérabilités pour les Services, qui inclura la définition des rôles et des responsabilités, la prise en charge de la surveillance des vulnérabilités, l’évaluation des risques de vulnérabilité et le déploiement de correctifs.
Meta devra établir et maintenir un plan d’intervention en cas d’incident de sécurité permettant la surveillance, la détection et la gestion des éventuels incidents de sécurité susceptibles d’affecter les Services. Le plan d’intervention en cas d’incident de sécurité devra au minimum inclure la définition des rôles et responsabilités, la communication et des examens rétrospectifs, notamment une analyse des causes profondes et des plans de restauration.
Meta surveillera les éventuelles violations de sécurité et activités malveillantes affectant les Services. Le processus de surveillance et les techniques de détection seront conçus pour permettre la détection d’incidents de sécurité affectant les Services en fonction des menaces pertinentes et des renseignements sur les menaces en cours.
Meta devra maintenir un plan de continuité des activités pour répondre aux situations d’urgence ou critiques qui pourraient porter atteinte aux Services. Meta devra formellement réviser son plan de continuité des activités au moins une fois par an.