Zoom et RGPD : Saurez-vous comment protéger vos données ?

26 mars 2020. L’actualité numérique est en pleine effervescence. Le site internet américain dédié à la tech “Motherboard” (une référence Outre-Atlantique) dévoile une pratique inquiétante et contraire au RGPD de l’application de visioconférence Zoom. Aucun consentement utilisateur, aucune mention dans la politique de confidentialité, et pourtant… Les données personnelles (modèle de téléphone utilisé, le fuseau horaire, l’heure d’ouverture de l’application ou encore l’adresse IP) des utilisateurs IOS sont envoyées à Facebook. 

Une révélation choc. Zoom, “grâce” à la pandémie de COVID-19, connaît un boum de téléchargement. Imaginez ! 200 millions d’utilisateurs en mars 2020 ! Alors qu’on n’en comptait que 10 millions en décembre 2019. 

Fiable, stable, bonne qualité sonore et vidéo… Sanofi, HSBC, Uber… L’application de visioconférence américaine avait déjà séduit les plus grandes entreprises mondiales pour réaliser des entretiens ou des réunions à distance (jusqu’à 100 personnes pendant près de 40 minutes dans l’offre gratuite). 

Mais la pandémie de coronavirus rebat les cartes… La limitation des relations interpersonnelles apparaît comme l’une des rares solutions efficaces pour réduire la propagation du virus et soutenir le système hospitalier.

Une seule alternative pour poursuivre une activité professionnelle minimale, préserver un tissu social intact et rompre l’isolement : l’utilisation de la webcam.

Mariages, concerts, enseignement… L’outil change de dimensions, son utilisation dépasse très largement la sphère professionnelle. Un besoin de communiquer, un engouement pour la plateforme sans en mesurer les impacts sur la gestion des données personnelles.

Avec ces données, Facebook a pu aisément dresser des profils d’utilisateurs à des fins publicitaires. La data, l’or numérique du XXIe siècle.

À la suite de ce scandale et de multiples révélations sur des failles de sécurité importantes, Zoom a procédé à d’innombrables mises à jour de son application et de sa politique de confidentialité.

Ces mises à jour de Zoom sont-elles conformes au RGPD ? Répondent-elles aux attentes des entreprises ?

Zoom et les données collectées : conforme au RGPD ?

La gratuité, l’une des raisons du succès de Zoom. Une gratuité illusoire comme le rappelle la CNIL (Commission Nationale Informatique Et Libertés) sur son site internet et un article destiné à mettre en garde les utilisateurs d’applications de visioconférence : ”La gratuité des applications n’est souvent qu’apparente et elles peuvent rentabiliser leur service en traitant des informations vous concernant, comme vos nom et prénoms, adresse courriel, numéro de téléphone, etc.” 

L’entreprise Zoom, comme la plupart des logiciels numériques, est particulièrement intéressée par vos données personnelles. Une multitude de “datas” collectées, des usages analysés à des fins purement commerciales.

La révélation du 26 mars 2020 a poussé Zoom à réagir et à inscrire la conformité au RGPD dans ses conditions d’utilisation. Auparavant, l’entreprise recueillait, sans le consentement des utilisateurs, détenteurs de compte ou non, et sans aucune information préalable :

• nom ;
• e-mail ;
• numéro de téléphone ; 
• localisation ;
• heures d’utilisation.

Des données partagées notamment avec des partenaires publicitaires.

Aujourd’hui, la société Zoom, même si elle n’a pas remis en cause son modèle de business, agit plus conformément aux règles du RGPD.

Une transparence exigée par le RGPD, une razzia sur les données organisée par Zoom…

La CNIL invite les utilisateurs à la plus grande vigilance et à toujours consulter les conditions d’utilisation avant un engagement quelconque.

La lecture de la politique de confidentialité de ZOOM mérite toute votre attention. Le nombre de données traitées est conséquent : 

• date de naissance ;
• prénom ;
• nom ;
• téléphone ;
• adresse e-mail ;
• préférences de langue ;
• identifiant et mot de passe ;
• photo de profil pour l’avatar ;
• calendrier des réunions ;
• adresse IP ;
• adresse postale ;
• localisation ;
• appareils utilisés ;
• système d’exploitation ;
• fournisseur d’accès internet ;
• …

Bref, vous l’aurez compris, Zoom est une application pour le moins envahissante. 

Communications à caractère commercial, concours, activités promotionnelles… Les finalités sont particulièrement nombreuses... Peut-être trop nombreuses pour respecter une règle essentielle du RGPD qui s’applique à toute entreprise traitant des données personnelles de citoyens européens : une collecte de données réduite au strict minimum pour un seul et unique objectif.

Une surabondance qui peut inquiéter les entreprises, d’autant plus que la sécurité de la plateforme n’est vraisemblablement pas l’atout N°1 de l’application.

Zoom et RGPD : le principe de responsabilisation ignoré

Une constante dans l’univers numérique. Le succès d’une application s’accompagne quasi irrémédiablement d’un attrait des pirates du web. Utilisation de webcams à l’insu des internautes, Zoom bombing, conversations non chiffrées… Des failles de sécurité inquiétantes qui obligent des autorités nationales à :

• demander à Zoom de rendre des comptes sur son activité ;

Suite à la révélation de “Motherboard”, la procureure générale de l’État de New York a adressé un courrier à l’entreprise pour "s'assurer que la société prend les mesures appropriées pour garantir la vie privée et la sécurité des utilisateurs.” 

• inciter les utilisateurs à la plus grande prudence.

Le 30 mars 2020, le FBI (Federal Bureau of Investigation) communique publiquement sur l’accès de pirates aux conférences vidéo à l’insu des utilisateurs.

À priori, Zoom corrige diligemment ses lacunes de sécurité. Toutefois, ce manque de proactivité et d’anticipation, contraire au RGPD qui responsabilise les entreprises sur la sécurisation des données utilisateurs en amont d’un quelconque traitement, révèlent avec quelle “légèreté” Zoom protège la vie privée des internautes. 

Alors, les entreprises peuvent-elles utiliser Zoom en toute confiance et profiter pleinement des droits octroyés par le RGPD ? La confidentialité des données et des informations évoquées pendant une visioconférence est-elle assurée à 100 % ? Le principe du secret des communications est-il préservé ?

Le passé récent est une source d’inquiétude légitime.

Juin 2019 : les webcams vulnérables

Tous les adeptes des produits Apple sont concernés. Jonathan Leitschuh, chercheur en sécurité, révèle que l’application IOS de Zoom “fragilise” la vie privée des utilisateurs. Leur webcam pouvait être contrôlée à leur insu. 

30 mars 2020 : le Zoom bombing

Le FBI publie un communiqué à destination des utilisateurs. L’autorité américaine enregistre régulièrement la même plainte : des individus s’infiltrent et/ou se manifestent pendant des réunions vidéos.

Faille également signalée par l’entreprise en cybersécurité Check Point Research.

31 mars 2020 : les conversations non chiffrées.

The Intercept, magazine en ligne d'investigation, révèle que les visioconférences ne sont pas cryptées à 100 %. Tout employé de Zoom qui accède aux serveurs peut donc potentiellement prendre connaissance d’un contenu vidéo.

Cloud Act : Zoom peut-il respecter le RGPD ?

Les conditions d’utilisation de l’application de visioconférence sont particulièrement claires : “En utilisant Zoom ou en fournissant des données à caractère personnel aux fins susmentionnées, vous reconnaissez que vos données à caractère personnel peuvent être transférées ou stockées aux États-Unis ou dans tout autre pays du monde. Ces pays peuvent posséder des règles de protection des données différentes et moins protectrices que celles de votre pays.”

Un stockage et un hébergement de données outre-Atlantique qui posent des problèmes... 

Le RGPD encadre strictement le transfert de données des ressortissants européens en dehors de l’Union Européenne : ”Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’UE et de l’EEE à condition d’assurer un niveau de protection des données suffisant et approprié” précise la CNIL.

Une mesure phare de ce règlement pour assurer la vie privée des citoyens européens et la sécurité des organisations de l’Union Européenne partout dans le monde.

Zoom, en tant que responsable de traitement, doit respecter ce cadre législatif… normalement…

Mais rien n’est moins sûr… Zoom, service américain basé sur le cloud, est tenu de respecter le Cloud Act (Clarifying Lawful Overseas Use of Data Act), loi promulguée par Donald Trump en 2018, qui autorise les autorités américaines à obtenir n’importe quelles informations hébergées sur ses serveurs, et ce, quelles que soient leurs localisations. La finalité du Cloud Act : la protection de la sécurité publique.

Les entreprises utilisatrices de Zoom s’exposent donc à une perte de contrôle de données parmi les plus sensibles et les plus confidentielles.

Votre activité, avec ou sans Zoom…

Vous en savez désormais un peu plus sur Zoom et les risques inhérents à son utilisation.

Des dangers pour vos données, pour la pérennité et pour la sécurité de votre entreprise existent. 

La direction interministérielle du numérique (DINUM), administration en charge de la transformation numérique de l’État, “déconseille fortement l’utilisation de Zoom, compte tenu des risques sur la protection des données et des failles constatées qui n’apportent pas les garanties nécessaires pour un usage professionnel par les agents de l’État » 

Clairement, des réserves à ne pas prendre à la légère…

Problème, l’application Zoom s’est montrée particulièrement efficace pendant la période de confinement et apparaît, peut-être, comme un outil incontournable de votre organisation.

Existe-t-il une alternative gratuite aussi performante ?

Des alternatives à Zoom inadaptées ou non conformes au RGPD.

Recommandées par les autorités françaises Jitsi Meet et Tinxeo proposent des fonctionnalités similaires à Zoom dans un environnement plus sécurisé.
Toutefois, ces applications peuvent ne pas correspondre pleinement à vos attentes. 

• Jitsi Meet semble dysfonctionnelle dès lors que le nombre de participants est trop important. 
• L’offre Tinxéo, quant à elle, a un coût non négligeable. Compter 2 880 € HT/an pour l’offre de base !
• Facetime, Messenger, Skype, Whatsapp, Hangout Meets, Slack… La plupart des autres applications appartiennent à des entreprises américaines, compagnies potentiellement concernées par le Cloud Act.

Configurer Zoom pour le rendre “RGPD Friendly”.

Une autre option accessible et simple. Configurer minutieusement l’application Zoom et adapter le format de vos interventions pour limiter les risques :

• téléchargez Zoom sur le site officiel ;
• mettez à jour l’application, votre antivirus et votre pare-feu ;
• créez un mot de passe pour protéger votre conversation et accéder à la réunion ;
• utilisez un réseau Wifi sécurisé ;
• partagez le lien de la réunion avec mesure ;
• désactivez l’option “Utiliser mon ID de réunion personnelle” ; 
• désactivez l’option “Intégration du mot de passe dans le lien pour rejoindre en un clic” ;
• activez la “ Salle d’attente” ;
• limitez le partage d’écran à l’hôte de la réunion ; 
• configurez l’option ”Transfert de fichiers” selon vos besoins ; 
• adaptez le contenu de la réunion et veillez à la sensibilité des informations évoquées ;

‍

Psst ! Le logiciel RGPD Leto vous informe en temps réel de la conformité de vos outils. Réserver une démo avec nos experts.