Notre point de vue sur la plainte du ministère de la Justice

Notre point de vue sur la plainte du ministère de la Justice

Nous souhaiterions commencer par faire trois remarques importantes : 

  1. Nous appuyons l’engagement du gouvernement américain à protéger les intérêts américains contre l’influence étrangère. Comme le note le ministère de la Justice, Zoom a pleinement coopéré avec ce dernier dans cette affaire. Nous avons également mené une enquête interne approfondie et avons mis fin aux fonctions de l’ancien employé basé en Chine pour avoir enfreint les politiques de l’entreprise. Nous avons également mis d’autres employés en congé administratif en attendant la fin de notre enquête.
  2. Nous nous consacrons à l’échange libre et ouvert d’idées. Comme le ministère de la Justice l’indique clairement, toutes les entreprises américaines, y compris Zoom et nos pairs de l’industrie, font face à des défis lorsqu’elles font des affaires en Chine. Nous avons pris des mesures pour clarifier nos valeurs. Nous avons publié notre Guide des demandes du gouvernement en juillet, par lequel nous soumettons toute demande du gouvernement à un examen minutieux, en accordant la priorité à la protection de la confidentialité, de la sécurité et de la sécurité de nos utilisateurs en tout temps. Nous avons également fait d’énormes investissements dans notre plateforme et avons mis en œuvre des politiques et des garanties robustes.
  3. Nous continuerons d’agir énergiquement pour anticiper et combattre les défis de sécurité des données en constante évolution. Nous avons lancé notre fonctionnalité de cryptage de bout en bout pour les utilisateurs gratuits et payants dans le monde entier. Nous avons considérablement amélioré nos contrôles d’accès internes. Nous avons également cessé la vente de services directs et en ligne en Chine et avons lancé des centres d’ingénierie aux États-Unis, en Inde et à Singapour.

Contexte 

En septembre 2019, le gouvernement chinois a cessé notre service en Chine sans avertissement. À cette époque, nous étions une société beaucoup plus petite qui desservait principalement les entreprises. La fermeture a causé des perturbations importantes pour de nombreux clients multinationaux qui n’ont pas pu communiquer efficacement avec leurs employés et partenaires en Chine. Ils nous ont exhortés à prendre des mesures immédiates pour que le service reprenne.

L’arrêt a mis Zoom dans une position inconnue et inconfortable. Comme de nombreuses entreprises à croissance rapide, nous nous sommes efforcés de créer le meilleur produit possible et de ravir nos clients. À ce moment-là, nous n’avions pas été forcés de nous concentrer sur des préoccupations sociétales ou politiques en dehors de ce cadre de vision relativement étroit. 

Alors que nous travaillions à résoudre cet arrêt, la Chine a demandé à Zoom de confirmer qu’elle se conformerait à la loi chinoise, y compris en désignant un contact interne pour les demandes d’application de la loi et en transférant les données utilisateur basées en Chine hébergées aux États-Unis vers un centre de données en Chine. Dans le but de rétablir notre service, le personnel de Zoom, y compris notre PDG, a rencontré les autorités gouvernementales en Chine en octobre 2019. Nous avons décrit les mesures que nous pourrions prendre pour répondre aux raisons pour lesquelles le gouvernement chinois a cessé notre service. Il s’agit du « plan de rectification » que le ministère de la Justice a cité dans sa plainte. Le plan prévoyait des mesures pour se conformer aux exigences réelles en matière d’identification et de localisation des données applicables en Chine, d’une manière qui est capable d’audit et de vérification, ainsi que la création d’une entité juridique en Chine pour répondre aux exigences légales et réglementaires locales de la Chine. Le plan fait également référence à des mesures que nous n’avons pas mises en œuvre, comme le fait de travailler avec un partenaire chinois local pour développer une technologie qui analyserait le contenu des réunions organisées en Chine pour identifier et signaler les activités illégales et fermer les réunions qui violent la loi chinoise. Le plan contient également des informations sur les mesures prises précédemment par Zoom pour se conformer à la loi chinoise, y compris la fermeture de certains types de réunions politiques, religieuses et sexuellement explicites. L’objectif du plan de rectification était de rétablir notre service et le gouvernement chinois a finalement débloqué Zoom le 17 novembre 2019. 

En octobre 2019, Zoom a nommé l’ancien employé comme contact gouvernemental en Chine. Le travail de cet ancien employé consistait notamment à répondre aux demandes du gouvernement chinois de résiliation de compte, de résiliation de réunion et de données utilisateur. Bien que le ministère de la Justice ne nous ait pas fait part de ses allégations factuelles avant la publication de la plainte, nous avons appris au cours de notre enquête que cet ancien employé avait enfreint les politiques de Zoom, notamment en tentant de contourner certains contrôles d’accès internes. Nous avons mis fin à l’emploi de cette personne. Nous avons également mis d’autres employés en congé administratif en attendant la fin de notre enquête. 

Pendant que Zoom employait cette personne, il a pris des mesures qui ont entraîné la fin de plusieurs réunions de commémoration de la place Tienanmen et de réunions impliquant des activités religieuses et/ou politiques, dont certaines étaient organisées par des utilisateurs non chinois. Nous avons résilié les comptes hôtes associés à certaines de ces réunions.* Au cours de notre enquête, nous avons appris que cet ancien employé partageait ou dirigeait également le partage d’une quantité limitée de données d’utilisateurs individuels avec les autorités chinoises. À ce stade de notre enquête et à l’exception des données utilisateurs de moins de dix utilisateurs individuels, nous ne pensons pas que cet ancien employé ou tout autre employé de Zoom ait fourni au gouvernement chinois des données d’utilisateurs non basés en Chine. L’ancien employé a également potentiellement partagé des informations de réunion de commémoration de la place Tienanmen. Rien n’indique que des données d’entreprise aient été partagées avec le gouvernement chinois.  

Alors que la plainte allègue que l’ancien employé a obtenu un compte Zoom et des identifiants d’utilisateur associés à la région chinoise du Xinjiang, notre enquête montre que ces données ont été anonymisées et pour le moment nous n’avons aucune raison de croire qu’elles ont été partagées avec le gouvernement chinois. 

Enquêtes du ministère de la Justice et de la Securities and Exchange Commission des États-Unis 

En juin 2020, Zoom a reçu une citation à comparaître du ministère de la Justice des États-Unis du District Est de New York (EDNY). Cette assignation nous a demandé des informations sur nos interactions avec les gouvernements étrangers et les partis politiques étrangers, y compris le gouvernement chinois. En outre, elle nous a demandé des informations sur le stockage et l’accès aux données utilisateurs, l’élaboration et la mise en œuvre des politiques de confidentialité de Zoom, et les mesures prises par Zoom concernant les commémorations de Tienanmen sur Zoom. Zoom a depuis reçu des citations à comparaître supplémentaires du District Est de New York (EDNY) pour obtenir des informations connexes.

En juillet 2020, nous avons reçu des assignations du Bureau du Procureur des États-Unis du ministère de la Justice du District Nord de la Californie (NDCA) et de la Securities and Exchange Commission des États-Unis. Les deux assignations recherchent des documents et des informations concernant diverses questions de sécurité et de confidentialité, y compris le cryptage de Zoom et les déclarations de Zoom s’y rapportant, ainsi que le calcul des paramètres d’utilisation et des divulgations connexes. En outre, la citation à comparaître du District Nord de la Californie (NDCA) demande des informations concernant tout contact entre les employés de Zoom et les représentants du gouvernement chinois, ainsi que toute tentative ou influence réussie de tout gouvernement étranger sur les politiques, procédures, pratiques et actions de Zoom en ce qui concerne les utilisateurs aux États-Unis.  

Nous coopérons pleinement avec toutes ces enquêtes et avons mené notre propre enquête interne approfondie. 

Ce que nous avons fait

Nous nous engageons à examiner rigoureusement la façon dont nous agissons dans un environnement mondial complexe et litigieux. Nous nous sommes engagés à aider le monde pendant la pandémie et nous sommes honorés d’avoir aidé les individus, les écoles, les hôpitaux, les gouvernements et les entreprises du monde entier à rester connectés pendant cette période difficile. Nous servons également le gouvernement américain via notre plateforme Zoom for Government, qui est déployée à 100 % dans les centres de données continentaux des États-Unis et gérée uniquement par des personnes basées aux États-Unis. 

Faciliter l’échange libre et ouvert d’idées est l’une de nos missions clés. Au cours des derniers mois, nous avons réaffirmé nos engagements à l’égard de cette mission et à maintenir les normes les plus élevées de confiance et de sécurité. Nous nous sommes efforcés d’élaborer des outils et des politiques solides pour faciliter le respect de ces engagements. Par exemple : 

  • Le cryptage de bout en bout : Nous avons lancé notre fonctionnalité de cryptage de bout en bout pour les utilisateurs gratuits et payants dans le monde entier ;
  • Le routage des données géoclôturé : Nous avons mis en œuvre des procédures de géo-clôtures strictes autour de notre centre de données en Chine continentale. Aucun contenu de réunion ne sera jamais acheminé via notre centre de données de Chine continentale (l’un des 19 centres de données co-implantés acheminant le trafic) à moins que la réunion ne comprenne un participant de Chine.  Nos clients payants ont la possibilité de choisir les centres de données spécifiques par lesquels leurs données sont acheminées ; 
  • Les contrôles d’accès internes : Nous avons considérablement amélioré nos contrôles d’accès internes. Nous avons notamment limité l’accès des employés basés en Chine au réseau de production mondial de Zoom ; 
  • Le guide des demandes du gouvernement : Nous avons mis en œuvre un Guide des demandes du gouvernement, qui prévoit que Zoom soumette toute demande du gouvernement à un examen attentif et réfléchi, en accordant la priorité à la confidentialité, à la sécurité et à la sécurité de nos utilisateurs en tout temps. Le traitement des demandes de Zoom par tout gouvernement doit maintenant recevoir l’approbation du service juridique américain de Zoom ; et
  • La formation des employés : Nous avons créé un programme de formation solide pour les employés axée sur la protection des données et la conformité. 

Nous avons apporté de nombreuses autres améliorations de sécurité bien documentées, et notre travail n’est jamais terminé. Nous avons des équipes d’ingénierie de la sécurité et de conformité des sources basées aux États-Unis qui effectuent des examens périodiques du code source. Nous mettons également en place un programme de menaces d’initiés qui garantit que Zoom dispose des informations nécessaires sur ses employés actuels et potentiels pour évaluer le risque de menaces d’initiés et des systèmes pour signaler les signes avant-coureurs d’un comportement suspect des employés actuels et potentiels. 

Chez Zoom, nous sommes là pour servir nos utilisateurs. Nous restons déterminés à répondre aux attentes des millions de personnes qui font confiance à notre plateforme.

*Nous avons mis à jour notre billet du 11 juin concernant les réunions de commémoration de la place Tienanmen afin de refléter les informations que nous avons récemment apprises.

La sphère de sécurité pour les déclarations prospectives

Certaines déclarations contenues dans ce billet constituent des « déclarations prospectives » au sens de l’article 27A de la Securities Act de 1933, telle que modifiée, et de l’article 21E de la Securities Exchange Act de 1934, telle que modifiée, et sont basées sur nos croyances, notre compréhension et nos attentes actuelles concernant les enquêtes gouvernementales et internes décrites dans ce billet et les événements sous-jacents qui font l’objet de ces enquêtes. Ces enquêtes sont en cours et nous ne savons pas quand elles seront terminées, quels faits nous découvrirons en fin de compte à la suite des enquêtes, ni quelles mesures le gouvernement pourrait prendre ou non.  

Les déclarations prospectives ne sont que des prévisions et sont sujettes à d’autres événements, risques et incertitudes futurs, dont beaucoup sont hors de notre contrôle ou sont actuellement inconnus de nous. Ces risques et incertitudes comprennent, mais sans s’y limiter, des faits supplémentaires que nous pourrions apprendre à la suite de notre enquête en cours ou des éléments de preuve qui nous ont été présentés par le gouvernement américain, des mesures prises par les organismes d’application de la loi et de réglementation du gouvernement américain à l’égard des événements décrits dans ce blog, des mesures prises par le gouvernement chinois qui peuvent avoir une incidence sur nos activités commerciales, y compris notre capacité d’opérer en Chine, et de l’incidence potentielle que ces événements, risques et incertitudes peuvent avoir sur nos employés. En ce qui concerne la sûreté et la sécurité continues de notre plateforme, nous faisons face à des événements, des risques et des incertitudes supplémentaires, y compris le risque que nos mesures de sécurité soient compromises à l’avenir, tout manquement réel ou perçu à se conformer à l’évolution des lois, réglementations, normes, politiques et obligations contractuelles en matière de confidentialité, de protection des données et de sécurité de l’information, les retards ou les pannes de services de nos centres de données co-implantés, ainsi que les défaillances de l’infrastructure Internet ou les interférences avec l’accès à large bande, qui pourraient amener les utilisateurs actuels ou potentiels à croire que notre plateforme n’est pas fiable. D’autres risques et incertitudes qui pourraient faire en sorte que les résultats réels diffèrent sensiblement de ceux envisagés dans les énoncés prospectifs sont inclus sous la rubrique « Facteurs de risque » et ailleurs dans nos derniers dépôts auprès de la Securities and Exchange Commission, y compris notre rapport trimestriel sur le formulaire 10-Q pour le trimestre terminé le 31 octobre 2020.

Les déclarations prospectives ne s’appliquent qu’à la date à laquelle elles sont faites et nous ne nous engageons pas à mettre à jour ces déclarations autrement que conformément à la loi et déclinons spécifiquement toute obligation de le faire.

N’oubliez pas de partager cet article