Fermer la publicité
Journal d'information juridique et d'annonces légales

Plateformes de visioconférence et Protection de données personnelles

le - - Droit - Actualité du droit

Plateformes de visioconférence et Protection de données personnelles
@ DR

Depuis maintenant deux mois, et ce à cause de la crise sanitaire actuelle, les plateformes de visioconférence se multiplient pour permettre le télétravail, l'école à distance ou encore les réunions familiales et apéros entre amis. Dans quelle mesure garantissent-elles la sécurité des données personnelles partagées ?

Le covid19 : un boom pour les plateformes de visioconférence

Depuis le début de la crise sanitaire du covid19, la moitié de la population mondiale s'est retrouvée confinée ;le télétravail et le télé-enseignement sont devenus une nécessité. Le confinement a significativement augmenté le téléchargement et l'utilisation de plateformes de visioconférence. Les télétravailleurs, mais également les familles, l'ont intégré à leur quotidien de « confinés ». Par exemple, sur les quatre derniers mois, Zoom est devenue l'application la plus téléchargée dans de nombreux pays et elle affiche un nombre de participants en hausse de 3 000%, sa capitalisation boursière dépassant celle de Twitter[1]. Appear.in, Asana, Basecamp, Clickup, Confluence, Discord, Google Hangouts, House Party, Monday, Notion, Loom, Slack, Skype, Teams, Klaxoon, Waymark, Ticktick, Trello, Whereby, etc. : tous ces outils proposent messagerie instantanée, appel, visioconférence, partage d'écran et de fichiers et enregistrement des conversations. Leurs principales forces : la simplicité, et pour beaucoup la gratuité de leur utilisation.

Mais cette tendance est également synonyme d'opportunités pour les développeurs de ces applications de s'engouffrer dans la brèche de la collecte puis de la vente de données. A une échelle personnelle pour les utilisateurs, c'est l'occasion pour ces sociétés et leurs partenaires de récupérer et vendre leurs données personnelles, véritable manne pour permettre ensuite des stratégies ciblées de publicité. Les récentes polémiques, notamment sur la sécurité du logiciel Zoom, en témoignent et ne semblent prêtes de s'arrêter. A une échelle plus globale, les enjeux de sécurité pour les sociétés n'ont jamais été aussi importants : si auparavant chaque salarié n'avait uniquement accès aux dossiers de son entreprise qu'à condition qu'il se connecte à un serveur physique sur son lieu de travail, les accès et échanges sont aujourd'hui multipliés pour les besoins de télétravail, diminuant la sécurité des données traitées et menaçant les sociétés de fuite ou vol d'informations stratégiques.

Quelles données sont accessibles et susceptibles d'être volées ?

Le risque de sécurité porte sur un panel très large d'informations transmises à la fois lors de l'inscription sur la plateforme, puis au moment de son utilisation. Ainsi le nom des utilisateurs, leur adresse électronique utilisée lors de la connexion (et donc possiblement l'agenda lié), leur numéro de téléphone, leur photo, leurs adresses postales et IP, ainsi que la localisation lors des connexions, sont autant d'informations susceptibles d'être collectées et enregistrées[2]. Quand ces applications sont utilisées à des fins professionnelles, le risque d'exposition se multiplie. Il a ainsi récemment été révélé que certaines fonctions ajoutent automatiquement à la liste de contacts de l'utilisateur toutes les personnes inscrites avec le même domaine de messagerie. De la même manière, l'explosion de l'utilisation de ces plateformes ne permet pas à tous les développeurs de garantir le chiffrage de bout en bout des communications. Ainsi l'un des porte-paroles de Zoom déclarait récemment : "Actuellement, il n'est pas possible d'activer le cryptage E2E pour les réunions vidéo Zoom". Cela signifie que les serveurs de ces entreprises ont accès aux informations échangées lors des communications. Un utilisateur – notamment professionnel – de certaines de ces plateformes de visioconférence s'expose donc à la récupération de données sensibles et confidentielles échangées lors d'appels[3].

Alors que le confinement provoqué par la pandémie de Covid-19 a engendré une explosion de son utilisation, Zoom multiplie les incidents. L'application est notamment accusée d'être à l'origine de fuites de données personnelles et de mentir sur ses paramètres de sécurité. Google, rapidement suivie par Space X ou encore la NASA, a réagi face au manque de rigueur de la plateforme en interdisant à ses employés depuis le 10 mars 2020 l'utilisation de cette dernière. Suite à cette prise de position, le Washington Post a révèlé que Zoom avait été banni par plusieurs organisations, dont des écoles américaines[4].

En plus d'être accusé de transmettre les données de ses utilisateurs à Facebook, Zoom se voit reproché de mettre en danger leurs données personnelles. Au sein d'entreprises, des utilisateurs ont même constaté des fuites d'adresses électroniques et de photos à partir de “l'annuaire d'entreprise” et leurs identifiants de réunion[5]. Alex Stamos, anciennement chef de la sécurité chez Facebook et maintenant conseiller de Zoom, a déclaré en avril 2020 à CNBC qu'il avait suffisamment confiance dans les mesures de confidentialité de la start-up de vidéoconférence pour l'utiliser pour ses propres réunions[6]. Selon lui, la croissance de Zoom a été aussi surprenante qu'exponentielle. L'application n'a malheureusement pas pu répondre proportionnellement à une progression aussi rapide. Une plainte a d'ailleurs été déposée à l'encontre de Zoom par l'un de ses actionnaires[7].

Que fait réellement Zoom des données personnelles collectées ? Cette problématique est loin d'être nouvelle, les grandes entreprises technologiques comme Google, Amazon ou encore Microsoft font face chaque année à de nombreuses critiques concernant leur politique de collecte de données personnelles. Dans un tel contexte d'incertitude, une organisation de protection de la vie privée, Access Now, exige de Zoom comme des géants technologiques, la publication des exigences gouvernementales auxquelles la plateforme doit se plier concernant la divulgation de données clients.

La force de ces plateformes : savoir s'accommoder de la réglementation RGPD

La législation RGPD (Règlement Européen pour la gestion des données, en vigueur depuis Mai 2018) établit un cadre dans lequel les acteurs traitant des données personnelles et sensibles peuvent collecter, utiliser et stocker celles-ci. Cette législation s'applique à tous les résidents européens, ainsi qu'aux organismes non-européens, à partir du moment où leur activité cible des résidents européens. S'agissant des plateformes de visioconférence, deux grands principes RGDP s'appliquent[8].

Ces sociétés sont en premier lieu soumises à la nécessité d'obtenir le consentement préalable des utilisateurs pour pouvoir utiliser leurs données (article 7 de la législation RGPD). Aussi les utilisateurs sont-ils contraints d'accepter la politique de confidentialité des différentes plateformes au moment de leur première utilisation. Cependant il s'agit bien souvent de cases pré cochées à remplir, un réflexe pour l'utilisateur qui a rarement conscience de l'étendue de l'accord qu'il donne. Cela permet ensuite aux collecteurs de se targuer d'un consentement donné pour récupérer autant d'informations qu'ils le souhaitent. Par exemple, House Party s'autorise, par la signature au moment de l'inscription, de sa politique de confidentialité, à : “utiliser le contenu de toutes les communications passées via ses services, dont toute idée, invention, concept ou techniques”. L'obligation de consentement peut alors devenir un outil accommodant qui autorise plusieurs largesses sur la quantité de données collectées.

Les plateformes de visioconférence doivent ensuite, entre autres obligations, se conformer au principe de limitation des finalités, qui permet la minimisation des données collectées (article 5 de la législation RGDP). Cela signifie qu'elles ne peuvent collecter des informations personnelles que pour des finalités déterminées, explicites et légitimes. Ce principe garantit que les données personnelles doivent être adéquates et limitées à ce qui est nécessaire au regard des objectifs pour lesquelles elles sont traitées. La solution est alors, pour de nombreuses plateformes de visioconférence, de multiplier les finalités pour augmenter les possibilités de stocker ces données.

Ces largesses quant au respect de la réglementation RGDP s'expliquent aussi par le fait que bon nombre de ces sociétés ne sont pas européennes. La complexe adéquation entre respect des lois européennes et des lois américaines par exemple, au sujet de la protection des données personnelles, tourne alors à leur avantage.

Quelles recommandations pour une bonne utilisation ?

Si la récente explosion de l'utilisation de ces plateformes met en lumière les risques de sécurité auxquels elles exposent leurs clients, cela ne signifie pas non plus qu'il faille (ou plutôt qu'il soit possible de) s'en passer. Il s'agit alors de comprendre comment les utiliser de la manière la plus prudente possible, notamment quand elles sont utilisées à des fins professionnelles, pour garantir la protection des données sensibles des utilisateurs.

Le 9 Avril 2020, face scepticisme ambiant, la CNIL a publié des conseils pour utiliser les outils de visioconférence[9]. Ces applications doivent informer leurs utilisateurs de l'usage de leurs données et indiquer quelles informations sont enregistrées et réutilisées, et dans quel objectif. La CNIL met en garde : "Les informations collectées sur vous ne se limitent pas nécessairement à ce que vous avez directement fourni et peuvent s'étendre à d'autres types de données techniques permettant de vous réidentifier (adresse IP, identifiant de l'appareil, cookies ou technologies analogues). Dans tous les cas, ces informations ne doivent pas être collectées à votre insu."

La CNIL privilégie des solutions protégeant la vie privée telles que Tixeo, certifiée par l'ANSSI, et déconseille le téléchargement depuis un site web ou une source inconnue. Dès la première utilisation, les applications doivent indiquer clairement comment les données sont réutilisées (dans l'application elle-même ou sur son site web, par exemple). Il faut également vérifier que l'éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout.

Lors de l'inscription, limiter le nombre d'informations fournies, utiliser un pseudonyme et une adresse mail dédiée et vérifier les options de confidentialité proposées, sont des étapes essentielles quant à la prévention d'utilisation de données sensibles. Toutes les entreprises fournissant un service à des utilisateurs européens étant tenues d'appliquer le règlement général sur la protection des données (RGPD), l'utilisateur doit avoir accès facilement aux conditions générales d'utilisation (CGU). Il doit les lire attentivement, notamment ce qui est indiqué en matière de protection des données personnelles.

Lors de l'utilisation, l'utilisateur doit prendre le temps nécessaire pour regarder les paramètres de l'application, notamment en ce qui concerne la protection de sa vie privée (vérifier, par exemple, s'il existe des options lui permettant de télécharger ses données ou de limiter l'utilisation de certaines informations). Il faut également avoir le réflexe de fermer l'application lorsqu'il ne l'utilise plus, ainsi que de désactiver le microphone et la webcam. Masquer physiquement la webcam est un bon moyen de protection.

[1] Nicolas Richaud, Coronavirus : Zoom, le service de visioconférence qui flambe en Bourse en pleine crise, 26 mars 2020, Les Echos, https://www.lesechos.fr/tech-medias/hightech/coronavirus-zoom-le-service-de-visioconference-qui-flambe-en-bourse-en-pleine-crise-1189102
[2] Service Checknews, Données personnelles : l'application de visioconférence Zoom est-elle intrusive?, 31 mars 2020, Libération , https://www.liberation.fr/checknews/2020/03/31/donnees-personnelles-l-application-de-visioconference-zoom-est-elle-intrusive_1783603
[3] Alice Vitard, Fuite de données, chiffrement… Peut-on faire confiance à l'application de visioconférence Zoom ?, 1 Avril 2020, Usine Digitale, https://www.usine-digitale.fr/article/fuite-de-donnees-chiffrement-peut-on-faire-confiance-a-l-application-de-visioconference-zoom.N948851
[4] Valérie Strauss, School districts, including New York City's, start banning Zoom because of online security issues, 4 Avril 2020, https://www.washingtonpost.com/education/2020/04/04/school-districts-including-new-york-citys-start-banning-zoom-because-online-security-issues/
[5] Joseph Cox, Zoom is Leaking Peoples' Email Addresses and Photos to Strangers, 1 Avril 2020, https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos
[6] Kevin Stankiewicz, Ex-Facebook security chief, now Zoom advisor, says he still trusts Zoom for his video meetings, 17 Avril 2020, https://www.cnbc.com/2020/04/17/zoom-advisor-alex-stamos-still-trusts-zoom-for-his-video-meetings.html
[7] Yvonne Gangloff, Zoom est poursuivi en justice par Michael Drieu, l'un de ses actionnaires, 9 Avril 2020 :
https://siecledigital.fr/2020/04/09/zoom-est-poursuivi-en-justice-par-michael-drieu-lun-de-ses-actionnaires/
[8] Manon Mella, Données personnelles : pourquoi faut-il se méfier des applications de visioconférence Zoom et Houseparty ?, 4 Avril 2020, France Info, https://www.francetvinfo.fr/internet/securite-sur-internet/donnees-personnelles-pourquoi-faut-il-se-mefier-des-applications-de-visioconference-zoom-et-houseparty_3896389.html
[9] CNIL, 9 Avril 2020, https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
L'EDHEC Business School dispose de deux atouts pour contribuer aux réflexions sur ces sujets. D'une part, son centre de recherche LegalEdhec, dont les travaux – reconnus – à l'intersection entre le droit et la stratégie, et portant sur le management des risques juridiques et la performance juridique, l'amènent aujourd'hui à lancer son nouveau projet A3L (Advanced Law, Lawyers and Lawyering). D'autre part, ses étudiants, et en particulier ceux de sa Filière Business Law and Management (en partenariat avec la Faculté de droit de l'Université Catholique de Lille) et de son LLM Law & Tax Management, dont la formation et les objectifs professionnels les placent au cœur de ces enjeux du digital.




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer