Zoom et RGPD 2026 : Comment protéger vos données en visioconférence

16/4/2026
Tous les guides
⚒️ Outils

Zoom et RGPD 2026 : sécurité et protection des données

Zoom en 2026 : de la controverse à la conformité

Mars 2020. Le site américain Motherboard dévoile une pratique inquiétante de l'application Zoom : les données personnelles des utilisateurs iOS (modèle de téléphone, fuseau horaire, heure d'ouverture, adresse IP) sont envoyées à Facebook sans consentement ni information préalable. Un véritable scandale au moment où la pandémie de COVID-19 propulse Zoom de 10 millions d'utilisateurs en décembre 2019 à 200 millions en mars 2020.

La révélation tombe au pire moment. Alors que le monde entier se tourne vers la visioconférence pour maintenir une activité professionnelle, préserver les liens sociaux et assurer la continuité pédagogique, Zoom apparaît comme une solution fiable, stable, avec une bonne qualité audio et vidéo. Sanofi, HSBC, Uber : les plus grandes entreprises l'adoptent déjà. Mais les failles de sécurité s'accumulent : webcams vulnérables, conversations non chiffrées, "Zoom bombing" (infiltrations malveillantes dans les réunions), transfert de données à Facebook...

Près de six ans plus tard, en 2026, le paysage a radicalement changé. Suite aux scandales de 2020 et à la pression des autorités (FBI, procureure de New York, CNIL, DINUM), Zoom a procédé à d'innombrables mises à jour de son application et de sa politique de confidentialité. L'entreprise a investi massivement dans la sécurité et la conformité RGPD.

Aujourd'hui, Zoom offre un chiffrement AES-256, un chiffrement de bout en bout (E2EE) optionnel désormais post-quantique, une conformité au Data Privacy Framework UE-États-Unis, des serveurs européens dédiés, et des certifications multiples (SOC 2, ISO 27001). L'application s'est professionnalisée et sécurisée. Mais peut-on pour autant l'utiliser en toute confiance et en conformité avec le RGPD ? Quelles précautions prendre ? Quelles alternatives existent ?

Les données collectées par Zoom en 2026

La CNIL rappelle régulièrement que "la gratuité des applications n'est souvent qu'apparente et qu'elles peuvent rentabiliser leur service en traitant des informations vous concernant". Zoom, comme la plupart des services numériques, reste particulièrement intéressé par vos données personnelles, même si les pratiques se sont considérablement améliorées depuis 2020.

Une transparence accrue mais une collecte toujours importante

Aujourd'hui, Zoom agit plus conformément aux règles du RGPD qu'en 2020. L'entreprise a mis en place des mécanismes de consentement explicite pour les utilisateurs européens, clarifié sa politique de confidentialité, et nommé des responsables dédiés à la protection des données. Toutefois, la lecture de la politique de confidentialité mérite toute votre attention, car le nombre de données traitées reste conséquent.

Données collectées par Zoom :

  • Informations d'identification : nom, prénom, date de naissance, photo de profil
  • Coordonnées : adresse email, numéro de téléphone, adresse postale
  • Données techniques : adresse IP, localisation, appareil utilisé, système d'exploitation, fournisseur d'accès internet, navigateur
  • Données d'utilisation : calendrier des réunions, heures d'utilisation, préférences de langue, historique de connexion
  • Données de réunion : métadonnées (date, heure, durée, nom de la réunion, participants), historique des discussions, enregistrements audio et vidéo (si activés)
  • Identifiants et mot de passe pour l'accès au compte

Des finalités multiples mais encadrées

Zoom collecte ces données pour des finalités variées : fourniture du service de visioconférence, amélioration de l'expérience utilisateur, support technique, communications commerciales, concours, activités promotionnelles. Le RGPD exige qu'une collecte de données soit réduite au strict minimum pour un objectif précis. Cette surabondance de données peut inquiéter, même si Zoom s'engage désormais à ne pas vendre ces informations à des tiers ni à les utiliser pour de la publicité ciblée sans consentement.

Depuis 2025, Zoom a renforcé ses outils de gestion de la conformité : Data Subject Access Requests (facilite les demandes d'accès et de suppression des données), Marketing Preference Center (acceptation ou refus des communications en un clic), Audit Log Tracking (traçabilité des actions administrateurs), et Data Retention (politiques de conservation transparentes).

Zoom et la sécurité en 2026 : des progrès considérables

Le principe de responsabilisation imposé par le RGPD oblige les entreprises à sécuriser proactivement les données personnelles en amont de tout traitement. Entre 2020 et 2026, Zoom a radicalement transformé son approche de la cybersécurité.

Chiffrement renforcé : du standard au post-quantique

En mai 2020, Zoom a implémenté le chiffrement AES-256 GCM comme nouvelle norme pour le contenu en temps réel, s'appliquant à toutes les données en transit (Zoom Meetings, Zoom Team Chat, Zoom Webinars, Zoom Rooms). Les communications sont établies via TLS 1.2+ (Transport Layer Security) et SRTP (Secure Real-time Transport Protocol).

Mais la véritable révolution est venue avec le déploiement du chiffrement de bout en bout (E2EE) optionnel. Avec l'E2EE activé, l'hôte génère des clés de chiffrement et les distribue aux participants via cryptographie à clé publique. Les serveurs Zoom font office de simples relais sans jamais accéder aux clés de déchiffrement. Aucun tiers, pas même Zoom, ne peut accéder au contenu des réunions.

En 2025, Zoom est allé encore plus loin en déployant une version post-quantique du chiffrement E2EE, anticipant les menaces futures liées à l'informatique quantique. Cette avancée technologique positionne Zoom parmi les leaders de la sécurité des communications.

Fonctionnalités de sécurité granulaires

Zoom a considérablement enrichi ses fonctionnalités de protection :

Contrôles d'accès : codes d'accès obligatoires (robustesse paramétrable avec longueur minimum, mélange de caractères), salles d'attente avec admission sélective ou automatique par domaine, verrouillage des sessions pour empêcher de nouveaux participants en cours de réunion, authentification SAML ou OAuth pour les entreprises.

Gestion des participants : contrôle granulaire des permissions (micro, caméra, partage d'écran, chat), expulsion individuelle ou suspension des activités de tous les participants, restriction du partage d'écran à l'hôte uniquement.

Traçabilité et détection : filigranes visuels personnalisés (affichage de l'email du participant sur le contenu partagé), signatures audio intégrées pour identifier les enregistrements non autorisés, portail d'audit et journaux d'activité détaillés pour les administrateurs, détection automatique des comportements suspects.

Protection des enregistrements : enregistrements cloud chiffrés au repos, contrôle strict des accès et permissions, suppression automatique des fichiers de chat partagés après 31 jours, possibilité de désactiver complètement l'enregistrement au niveau organisationnel.

Certifications et audits indépendants

Zoom maintient désormais des certifications rigoureuses : SOC 2 Type II (contrôles de sécurité, disponibilité, intégrité), ISO 27001 (management de la sécurité de l'information), tests de pénétration réguliers par des experts indépendants, programme Bug Bounty encourageant la divulgation responsable des vulnérabilités, analyses d'impact RGPD (AIPD) réalisées en collaboration avec des institutions européennes comme SURF.

Conformité RGPD : où en est Zoom en 2026 ?

La question centrale pour toute entreprise européenne : Zoom respecte-t-il pleinement le RGPD et permet-il aux organisations utilisatrices de rester conformes ?

Data Privacy Framework et transferts hors UE

Le RGPD encadre strictement le transfert de données personnelles hors de l'Union Européenne. Les responsables de traitement et sous-traitants doivent assurer un niveau de protection suffisant et approprié.

Zoom, service américain, est concerné par cette problématique. Les conditions d'utilisation sont claires : "vos données personnelles peuvent être transférées ou stockées aux États-Unis ou dans tout autre pays du monde, qui peuvent posséder des règles de protection des données différentes".

Toutefois, depuis juillet 2023, un nouvel avis d'adéquation de la Commission européenne autorise les transferts vers les participants au Data Privacy Framework (DPF) UE-États-Unis, successeur du Privacy Shield invalidé en 2020. Zoom Video Communications, Inc. est certifié sous ce cadre conformément à l'article 45 du RGPD, permettant les transferts de données vers les États-Unis avec un niveau de protection jugé adéquat par la Commission européenne.

En complément, Zoom a conclu des clauses contractuelles types (CCT) de l'UE avec ses clients, offrant des garanties contractuelles supplémentaires pour les transferts internationaux de données.

Serveurs européens dédiés et contrôle des données

Pour répondre aux exigences de la CNIL et de l'ANSSI, Zoom permet désormais aux utilisateurs européens de choisir que leurs données soient traitées exclusivement sur des serveurs européens. Cette fonctionnalité, configurable dans les paramètres de compte, garantit que les données de réunion ne transitent jamais par des serveurs situés hors de l'UE/EEE.

Zoom s'engage contractuellement à ne pas transférer ces données hors de l'UE sans base légale conforme au RGPD. Les administrateurs peuvent vérifier via les journaux d'audit que cette restriction est respectée.

Cloud Act : un risque résiduel pour les données sensibles

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), loi américaine promulguée en 2018, autorise les autorités américaines à obtenir des données hébergées par des entreprises américaines, quelle que soit la localisation des serveurs. Finalité officielle : protection de la sécurité publique.

Même avec des serveurs européens et le Data Privacy Framework, le Cloud Act constitue un risque résiduel pour les données hautement sensibles (secret défense, données médicales ultra-confidentielles, propriété intellectuelle stratégique). C'est pourquoi la direction interministérielle du numérique (DINUM) continue de déconseiller l'utilisation de Zoom pour les échanges impliquant des agents de l'État traitant des informations sensibles.

Pour les entreprises privées gérant des informations moins critiques, le niveau de protection actuel de Zoom (DPF, CCT, serveurs EU, chiffrement E2EE) est généralement considéré comme acceptable, mais chaque organisation doit évaluer son niveau de risque via une analyse d'impact (AIPD).

Engagement de non-utilisation pour l'IA

Un point rassurant en 2026 : Zoom s'engage clairement à ne pas utiliser le contenu audio, vidéo ou textuel chiffré de vos réunions pour entraîner ses modèles d'intelligence artificielle. Les données de réunion restent strictement confidentielles et ne sont jamais réutilisées à d'autres fins sans autorisation explicite.

Configurer Zoom pour maximiser la conformité RGPD

Si vous décidez d'utiliser Zoom, une configuration minutieuse et l'adoption de bonnes pratiques sont essentielles pour limiter les risques et respecter vos obligations RGPD.

Configuration de sécurité recommandée

Avant la réunion :

Téléchargez Zoom exclusivement depuis le site officiel zoom.us (évitez les sources tierces qui pourraient distribuer des versions modifiées ou malveillantes). Maintenez systématiquement l'application à jour : les mises à jour corrigent les vulnérabilités découvertes. Vérifiez que votre antivirus et votre pare-feu sont également à jour.

Créez un compte professionnel dédié avec des informations limitées (utilisez un pseudonyme si possible, une adresse email professionnelle dédiée, un mot de passe robuste unique et différent de vos autres services). Activez impérativement l'authentification à deux facteurs (MFA) sur votre compte.

Paramètres de compte et de réunion :

Activez "Chiffrement de bout en bout" (E2EE) dans les paramètres de compte pour les réunions sensibles. Attention : certaines fonctionnalités (enregistrement cloud, transcription automatique, participation par téléphone) sont incompatibles avec l'E2EE et seront désactivées.

Configurez "Localisation des données" pour restreindre le traitement aux serveurs européens uniquement. Désactivez "Utiliser mon ID de réunion personnelle" : générez un nouvel ID unique pour chaque réunion. Désactivez "Intégration du mot de passe dans le lien" : le mot de passe doit être communiqué séparément du lien.

Activez systématiquement "Salle d'attente" pour contrôler manuellement l'admission des participants. Configurez "Partage d'écran" en mode "Hôte uniquement" pour éviter les partages indésirables. Désactivez "Transfert de fichiers" si vous n'en avez pas besoin : c'est un vecteur potentiel de malware.

Configurez "Enregistrement" : désactivez-le par défaut, ou limitez-le à l'hôte uniquement, et informez toujours les participants qu'un enregistrement est en cours (obligation légale). Désactivez "Attention Tracking" qui suit si les participants regardent ailleurs que l'écran Zoom (fonctionnalité intrusive incompatible avec la vie privée).

Pendant la réunion :

Utilisez un réseau WiFi sécurisé avec chiffrement WPA3 ou WPA2 au minimum. Évitez absolument les réseaux publics ouverts (cafés, gares, hôtels) pour les réunions professionnelles : utilisez plutôt votre connexion 4G/5G via partage de connexion.

Créez un code d'accès robuste (8+ caractères, mélange de majuscules, minuscules, chiffres, caractères spéciaux) et communiquez-le séparément du lien de réunion (email distinct, SMS, messagerie instantanée sécurisée). Partagez le lien de réunion avec parcimonie, uniquement aux participants légitimes.

Verrouillez la réunion dès que tous les participants attendus sont présents : aucun nouvel arrivant ne pourra rejoindre. Adaptez le contenu de vos échanges au niveau de sensibilité : évitez de partager des informations ultra-confidentielles (données de santé, secrets d'affaires critiques, données financières sensibles) même avec l'E2EE activé.

Alternatives à Zoom conformes au RGPD

Si les risques liés à Zoom vous semblent trop élevés pour votre activité, ou si votre analyse d'impact (AIPD) conclut à un risque résiduel inacceptable, des alternatives existent.

Jitsi Meet : solution open-source européenne

Jitsi Meet est une solution open-source gratuite permettant des visioconférences sans création de compte. Les serveurs peuvent être hébergés en Europe, voire auto-hébergés pour un contrôle total. Le chiffrement est activé par défaut.

Avantages : gratuit, open-source (auditabilité du code), pas de création de compte nécessaire, données hébergées en Europe ou auto-hébergement possible, respect total du RGPD.

Limites : performances instables avec plus de 10-15 participants simultanés, qualité audio/vidéo inférieure à Zoom sur les gros groupes, fonctionnalités avancées limitées (pas de salle d'attente sophistiquée, enregistrement basique).

Tixeo : solution française certifiée

Tixeo est une solution française de visioconférence sécurisée, certifiée par l'ANSSI, utilisée par des ministères et organismes de défense. Hébergement 100% France, chiffrement de bout en bout, conformité RGPD native.

Avantages : confiance maximale (certification ANSSI), hébergement France, chiffrement E2EE natif, support en français, conformité RGPD totale.

Limites : coût élevé (à partir de 2,880 € HT/an pour l'offre de base), nécessite une formation pour les utilisateurs habitués à des interfaces plus simples.

Microsoft Teams : alternative américaine comparable

Microsoft Teams bénéficie également du Data Privacy Framework et propose des datacenters européens. L'intégration native avec l'écosystème Microsoft 365 est un atout pour les organisations déjà équipées.

Avantages : intégration Office 365, serveurs européens disponibles, certification EU-US DPF, fonctionnalités collaboratives étendues.

Limites : entreprise américaine soumise au Cloud Act (même problématique que Zoom), interface parfois complexe, coût lié aux licences Microsoft 365.

Autres outils avec réserves

Facetime, Messenger, Skype, WhatsApp, Google Meet, Slack : la plupart appartiennent à des entreprises américaines (Apple, Meta, Microsoft, Google) potentiellement concernées par le Cloud Act. Leur utilisation nécessite la même vigilance que Zoom concernant les transferts de données et la configuration de sécurité.

Comment Leto vous aide à gérer vos outils de visioconférence

L'utilisation d'outils comme Zoom soulève des questions de conformité RGPD qui doivent être documentées et évaluées. Leto vous accompagne dans cette démarche.

Gestion des sous-traitants : Auditez automatiquement Zoom et vos autres prestataires parmi 6,000+ sous-traitants pré-évalués. Vérifiez leurs garanties de sécurité, leur conformité RGPD, et leurs certifications. Gérez les contrats DPA (Data Processing Agreements) et les clauses contractuelles types.

Registre des traitements : Documentez l'utilisation de Zoom comme traitement de données personnelles (finalité : réunions professionnelles, catégories de données : identité/coordonnées/données de réunion, base légale : exécution du contrat ou intérêt légitime, mesures de sécurité : chiffrement AES-256/E2EE/serveurs EU).

Analyses d'impact (AIPD) : Réalisez une AIPD structurée pour évaluer les risques liés à Zoom selon votre contexte d'utilisation (données traitées, nombre de personnes concernées, sensibilité des échanges). Documentez les mesures de sécurité mises en place et les risques résiduels acceptés.

Sensibilisation des équipes : Formez vos collaborateurs aux bonnes pratiques Zoom (configuration sécurisée, gestion des codes d'accès, verrouillage des réunions, vigilance sur le contenu partagé). Réduisez les incidents de sécurité liés à une mauvaise utilisation.

Alertes de conformité : Recevez des alertes automatiques sur les mises à jour de politique de confidentialité de Zoom, les changements de localisation des serveurs, ou les nouvelles fonctionnalités impactant la protection des données.

Demandez une démonstration pour découvrir comment Leto simplifie la gestion de vos outils et garantit votre conformité RGPD au quotidien.

Conclusion : Zoom en 2026, un outil transformé mais vigilance requise

Six ans après les scandales de 2020, Zoom a radicalement transformé son approche de la sécurité et de la conformité RGPD. Le déploiement du chiffrement AES-256 GCM, l'introduction du chiffrement de bout en bout post-quantique, la certification au Data Privacy Framework, les serveurs européens dédiés, et les multiples certifications (SOC 2, ISO 27001) témoignent d'investissements massifs et d'une prise de conscience réelle.

Pour une utilisation professionnelle courante impliquant des données peu sensibles, Zoom en 2026 offre désormais un niveau de sécurité et de conformité acceptable, à condition de configurer rigoureusement l'application et de suivre les bonnes pratiques recommandées. L'activation du chiffrement E2EE, le choix des serveurs européens, l'utilisation de codes d'accès robustes, et la vigilance sur le contenu partagé sont essentiels.

Toutefois, pour les organisations traitant des données hautement sensibles (secret défense, santé, propriété intellectuelle stratégique), le risque résiduel lié au Cloud Act et à l'hébergement par une entreprise américaine justifie de privilégier des alternatives européennes comme Jitsi Meet (gratuit mais limité en performances) ou Tixeo (payant mais certifié ANSSI).

Chaque organisation doit évaluer son propre niveau de risque via une analyse d'impact (AIPD), documenter ses choix de configuration, former ses équipes aux bonnes pratiques, et maintenir une vigilance continue sur les évolutions de l'outil et de la réglementation. Zoom n'est ni totalement sûr ni totalement conforme par défaut : c'est votre configuration et votre usage qui déterminent le niveau de protection effectif.

La protection des données n'est jamais acquise définitivement. Elle nécessite une attention constante, des outils adaptés, et une culture de la sécurité partagée par tous les utilisateurs. Dans ce contexte, des solutions comme Leto deviennent indispensables pour maintenir la conformité sans y consacrer un temps démesuré.

Articles complémentaires

RGPD : définition, obligations et mise en conformité

Gestion des sous-traitants : guide complet

AIPD : définition et réalisation

Cybersécurité : 5 bonnes pratiques essentielles

RGPD : générer un mot de passe sécurisé

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Google Analytics 4 et RGPD : Êtes-vous en règle avant juin 2026 ?
4/8/2021
WordPress RGPD : comment mettre son site en conformité
20/6/2023
Comment utiliser Matomo en conformité avec le RGPD et les recommandations de la CNIL ?
13/2/2023
Questionnaire RSE : comment répondre ?
3/10/2024
Zoom et RGPD 2026 : Comment protéger vos données en visioconférence
10/8/2021
RGPD et Mailchimp : pouvez-vous vraiment utiliser ce logiciel d’e-mailing en toute sérénité ?
30/8/2021

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026