A propos de réunions virtuelles …
En cette période de confinement, toutes les entreprises sont à la recherche d’outils de visioconférence performants. Ceux-ci n’ont jamais été autant sollicités. Ils n’ont d’ailleurs pas été construits initialement pour réaliser autant de connexions en même temps, ce qui peut poser des problèmes de sécurité et de stabilité. Certains outils ont mieux que d’autres intégré les obligations issues du RGPD.
Pour chaque entreprise il s’agit de choisir un outil adapté en tenant compte des critères de sécurité, de stabilité, mais aussi du respect du RGPD et des besoins de l’entreprise (Combien de personnes doivent pouvoir se parler en même temps ? De combien de ‘meeting rooms’ virtuelles l’entreprise a-t-elle besoin en même temps ?).
Dans cet article nous faisons le point sur :
- Les recommandations de l’APD et de la CNIL pour choisir un outil de visioconférence
- Le fournisseur de service est-il sous-traitant ou responsable du traitement ? quelques réflexions …
- Faire de la vidéoconférence et respecter le RGPD, c’est possible ! Le point de vue d’un consultant ICT qui est aussi DPO externe
- Comparaison des outils Zoom, Webex meetings (Cisco), GoToMeeting (LogMeIn), Skype (Microsoft), Teams (Microsoft), Wire
- Vers un certain stoïcisme et une bonne attitude …
L’APD a donné une information générale sur l’utilisation de données personnelles dans la lutte contre l’épidémie de COVID-19. Elle rappelle les principes dont il faut tenir compte : l’anonymisation autant que possible, le respect des principes de transparence et de minimisation, tout comme la limitation des finalités, de la conservation et la protection des données dès la conception et par défaut.
Lire l’article sur le site de l’APD
Les recommandations de la CNIL pour choisir un outil de visioconférence
Avant de télécharger une application
- privilégiez les solutions qui protègent la vie privée telles que Tixeo, certifiée par l’ANSSI ;
- évitez de télécharger l’application depuis un site web ou une source inconnus ;
- n’utilisez que les applications pour lesquelles l’éditeur vous indique clairement comment vos données sont réutilisées (dans l’application elle-même ou sur son site web, par exemple) ;
- lisez les commentaires des utilisateurs sur des forums de discussion ou, depuis votre téléphone, dans les magasins d’applications ;
- vérifiez que l’éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout ;
- sécurisez votre réseau Wi-Fi avec un mot de passe robuste, en activant le chiffrement WPA2 ou WPA3 ;
- assurez-vous que votre antivirus et votre pare-feu sont à jour
Lors de l’utilisation
-
- prenez le temps de regarder les paramètres de l’application, notamment en ce qui concerne la protection de votre vie privée (vérifiez, par exemple, s’il existe des options vous permettant de télécharger vos données ou de limiter l’utilisation de certaines informations) ;
- sur votre ordinateur ou votre téléphone, fermez l’application lorsque vous ne l’utilisez plus, notamment si le microphone ou la webcam sont activés ;
- désactivez votre microphone et votre webcam lorsque vous ne les utilisez pas. Vous pouvez également masquer physiquement votre webcam, par exemple avec un bout de ruban adhésif ou un cache ;
- soyez particulièrement vigilant(e) lorsque des personnes mineures utilisent ces services, notamment s’il s’agit de vos élèves.
Lors de l’inscription au service
- lorsque cela est possible, limitez le nombre d’informations fournies lors de l’inscription : utilisez un pseudonyme et une adresse mail dédiée, vérifiez les options de confidentialité proposées lors de la création du compte, etc. ;
- utilisez un mot de passe différent de ceux utilisés sur les autres services en ligne ;
- lisez les conditions générales d’utilisation (CGU), notamment ce qui est indiqué en matière de protection des données personnelles, toutes les entreprises fournissant un service à des utilisateurs européens étant tenues d’appliquer le règlement général sur la protection des données (RGPD).
Responsable du traitement ou sous-traitant?
•• • par Florence de Villenfagne, juriste et DPO externe, membre de dpo pro
Certains providers de ces outils de visioconférence s’estiment sous-traitants au sens du RGPD, d’autres s’estiment responsable de traitement. En tout état de cause, si vous travaillez avec un sous-traitant, n’oubliez pas de respecter l’article 28 du RGPD. Et vérifiez bien que vous respectez toutes les obligations qui incombent au responsable du traitement.
Voici quelques réflexions sur le sujet
Reprenons tout d’abord un extrait du WP169 où le groupe de l’article 29 mentionnait la chose suivante au sujet du rôle de l’opérateur de télécommunications. Celui-ci est à la fois responsable du traitement et sous-traitant.
Le rôle des opérateurs de télécommunications constitue un exemple intéressant de recommandations juridiques adressées au secteur privé : le considérant 47 de la directive 95/46/CE précise que «lorsqu’un message contenant des données à caractère personnel est transmis via un service de télécommunications ou de courrier électronique dont le seul objet est de transmettre des messages de ce type, c’est la personne dont émane le message, et non celle qui offre le service de transmission, qui sera normalement considérée comme responsable du traitement de données à caractère personnel contenues dans le message; (…) toutefois, les personnes qui offrent ces services seront normalement considérées comme responsables du traitement des données à caractère personnel supplémentaires nécessaires au fonctionnement du service».
Le fournisseur de services de télécommunications ne doit donc, en principe, être considéré comme responsable du traitement que pour les données relatives au trafic et à la facturation, et non pour les données transmises. Ces recommandations juridiques du législateur de l’Union cadrent totalement avec l’approche fonctionnelle adoptée dans le présent avis.
A la lecture de déclarations de protection des données de fournisseurs de services de visioconférence, l’on voit que les services ne se limitent souvent pas à la transmission des images. Il est possible également d’enregistrer les conversations, de conserver des copies, etc. Dans ce cas, avec l’utilisation du cloud, il est clair que le rôle du fournisseur de services est celui de sous-traitant au sens du RGPD. C’est donc votre entreprise qui sera responsable du traitement de ces données. A bon entendeur…
Si l’on regarde de plus près le fonctionnement de certains services, la distinction responsable/sous-traitant peut aussi résulter de l’organisation du service par le fournisseur. Ainsi, Microsoft, fait une distinction entre les services qu’il fournit aux particuliers et ceux qu’il offre aux entreprises. Dans le cas des entreprises, ce sont elles qui doivent définir tous les paramètres et, pour Teams, Microsoft se considère dès lors comme sous-traitant.
Extrait Privacy Policy Microsoft (lire toute la policy)
If you use a Microsoft product with an account provided by an organization you are affiliated with, such as your work or school account, that organization can:
- Control and administer your Microsoft product and product account, including controlling privacy-related settings of the product or product account.
- Access and process your data, including the interaction data, diagnostic data, and the contents of your communications and files associated with your Microsoft product and product accounts.
[…]
If your organization provides you with access to Microsoft products, your use of the Microsoft products is subject to your organization’s policies, if any. You should direct your privacy inquiries, including any requests to exercise your data protection rights, to your organization’s administrator.
Faire de la vidéoconférence et respecter le RGPD, c’est possible !
•• • par Axel Raemaekers, consultant ICT, DPO externe, membre de dpo pro
Synthèse de la problématique
Les outils de visioconférence les plus répandus, surtout ceux qui sont proposés par les GAFAM et/ou qui sont liés à des réseaux sociaux, ont été développés à la base pour le partage de la vie privée et donc de données personnelles entre utilisateurs. Lorsqu’elles sont “gratuites”, ces applications exploitent d’une manière ou d’une autre les données personnelles transmises, c’est d’ailleurs le business modèle même de certaines de ces sociétés. Il n’y a pas de secret, développer ces applications et y allouer des ressources, ça coûte cher. D’aucun remettent d’ailleurs en question la notion de gratuité au profit d’une notion de “fausse gratuité” puisque le paiement du service passe par la fourniture de données.
Les difficultés de compréhension du public sur ce phénomène proviennent en grande partie de la manière dont ces entreprises se sont implantées, c’est-à-dire en proposant initialement un service certes très sympathique, mais sans faire preuve de la transparence requise quant aux données collectées et aux traitements qui sont réalisés sur ceux-ci. Les utilisateurs sont entrés dans un système sans être conscients de l’ensemble des implications. Lorsque le RGPD impose les principes de licéité des traitements, de loyauté pour obtenir un consentement, et de transparence vis-à-vis des personnes concernées, il apporte une réelle base pour travailler sainement.
Comme le démontre l’analyse de NOYB repris dans l’article suvant (voyez ne fût-ce que le tableau comparatif), ces solutions ne sont pas conformes au RGPD, et elles ne peuvent dont prétendre protéger la vie privée par défaut et dès la conception tel que l’exige l’article 25.
Quelques réflexions pour l’exemple
Dans ce contexte, l’analyse du portail Fédéral de l’éSanté est particulièrement surprenante lorsqu’elle annonce que WhatsApp est “acceptable”. On peut se demander comment ces applications conçues pour partager des données personnelles peuvent être “acceptables” pour des consultations médicales.
Un autre exemple est celui de l’application Zoom. Dans un article du 10 avril 2020, le magazine Trends Tendances relaie que Zoom transférait les données personnelles de ses utilisateurs à Facebook, sans demander leur consentement, et ce même s’ils n’étaient pas utilisateurs de Facebook.
(…) “Nous n’avons pas été à la hauteur des attentes en matière de respect de la vie privée et de sécurité”, reconnaît platement sur son blog Eric Yuan, le fondateur et CEO de l’entreprise.
(…) Les déboires de l’entreprise ont poussé Eric Yuan à débaucher Alex Stamos, ancien responsable de la sécurité informatique chez… Facebook.
(…) ce dernier a tenu à replacer les difficultés de Zoom dans leur contexte : “Faire grandir jusqu’à une telle taille une plateforme Internet reposant sur l’usage intensif de la vidéo, sans imposer de temps de latence à ses utilisateurs, le tout en l’espace de quelques semaines, est littéralement un défi sans précédent dans l’histoire de l’Internet.” Le prochain défi d’Alex Stamos est de corriger les failles de sécurité – elles aussi sans précédent -, d’améliorer les standards de la société en matière de protection de la vie privée, et de convaincre le grand public et les entreprises qu’il ne s’agissait que de maladies de jeunesse.
Du point de vue du DPO dont l’approche est basée sur le risque, les propos ci-dessus démontrent que l’application n’a pas été conçue conformément à l’article 25 du RGPD qui vise a garantir la vie privée par défaut et dès la conception de l’application. Par ailleurs, conformément à l’article 28, un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.
➜ N’oublions pas de considérer le cas des personnes concernées qui ont choisi de ne pas avoir de compte sur Facebook, mais dont les données s’y retrouvent communiquées malgré elles, simplement parce qu’elles ont participé à des réunions par visioconférence. Licéité, loyauté, transparence …
Pour le DPO dont l’approche est basée sur le risque, ces applications ne peuvent pas constituer une solution adéquate, et tout particulièrement pour le domaine médical, les services publics, et les associations para-étatiques qui sont le prolongement de l’autorité publique.
Il existe pourtant différentes technologies proposées par des sociétés qui adoptent une autre attitude. Nous avons voulu analyser de plus près les technologies Open-Source, commenter le point de vue de la plateforme éSanté sur les outils de vidéoconférence et faire un point sur les acteurs européens regroupés de manière solidaire sous le label #Open_solidarity.
L’alternative des technologies Open-Source
Plusieurs solutions open-source vous permettent de déployer rapidement un serveur de visioconférence dédié à l’entreprise. En quelques heures, vous pouvez disposer de votre propre serveur de vidéoconférence privatif. C’est le cas de la solution Jitsi, qui peut être installée sur un serveur cloud en quelques heures.
Le portail éSanté fait référence à Jitsi qui a pourtant le statut “non-recommandé”, alors que la solution WhatsApp de Facebook est renseignée comme “Acceptable” ! Voici notre point de vue à ce sujet.
Comme toujours, il faut être très nuancé… Le site éSanté fait référence au serveur public de Jitsi (https://meet.jit.si) qui permet de créer une conférence en ligne en trois clics. De plus, éSanté estime qu’il est important de disposer d’un chiffrement de bout en bout (où seules les personnes qui communiquent peuvent lire les messages échangés), ce qui ne veut pas dire que le trafic ne soit pas déjà sécurisé, il s’agira d’une deuxième couche de chiffrement dont seuls les correspondants disposeront des clés de cryptages/décryptages. Cette technologie est en cours d’implémentation dans Jitsi.
Ne confondez pas l’utilisation sur un serveur public à une installation sur un serveur privatif ! Sur un serveur privatif, vous disposez toujours d’un contrôle complet et vous pouvez y adjoindre des mécanismes de sécurité, de gestion d’accès, des paramétrages issus de votre infrastructure en plus des possibilités de l’application elle-même.
En tant que DPO, nous devons tâcher d’avoir un point de vue aussi large que possible, quitte à nous adjoindre des avis techniques neutres et variés. Parfois des avis extérieurs au département informatique s’imposent car eux aussi ont des préférences, des habitudes, des pratiques, une “confiance” ou orientation à l’égard d’un fournisseur ou une technologie. L’objectivité va de paire avec la remise en question.
Plates-formes utiles pour une consultation sans contact physique: voyez l’analyse sur le portail Fédéral de l’éSanté, mais tenez compte des remarques sur cette analyse que nous formulons dans cet article – en particulier sur l’utilisation de WhatsApp dans le cadre des services de santé.
L’alternative des acteurs Européens
L’hébergeur français OVH publiait dans sa newsletter du 3 avril: “Depuis 20 ans, nous avons à cœur de fédérer un écosystème de partenaires et de clients engagés autour d’un socle de valeurs européennes qui garantissent les droits fondamentaux des entreprises.”
Des hébergeurs tels que la société française OVH soutiennent et permettent aux sociétés européennes de développer des solutions commerciales alternatives. Durant la crise du COVID-19, un certain nombre de ces sociétés se sont d’ailleurs regroupées de manière solidaire sous le label #Open_solidarity.
#Open_solidarity fédère aujourd’hui plus de 30 acteurs technologiques fournissant des solutions solidaires et en totale gratuité dans les domaines du télétravail, de la collaboration à distance (éducation, sécurité …) mais aussi de la santé. OVH les accompagne en prenant en charge le renforcement de leur infrastructure pour absorber les pics de charge dûs à cette mise à disposition gracieuse.
A l’heure où la crise du COVID-19 nous démontre qu’il faut rester capables de produire des biens et services essentiels en Europe, nous sommes convaincus qu’il convient aussi de soutenir les initiatives européennes et de favoriser le service et l’emploi de proximité, également en matière de solutions technologiques. Ces sociétés sont également plus facilement joignable et ouvertes aux partenariats.
Consulter la liste des entreprises européennes #Open_solidarity
Simple marché public ou appel d’offres
➜ Notons que les écoles, les hôpitaux et les autres acteurs publics doivent lancer un appel d’offres ou un marché public pour choisir leur solution idéale (ce qui offre l’opportunité de définir les besoins et les ressources nécessaires), soit auprès de prestataires informatiques ou hébergeurs pour l’installation d’application open-source privative, soit auprès des acteurs européens dont nous avons parlés.
Comparaison des outils Zoom, Webex meetings (Cisco), GoToMeeting (LogMeIn), Skype (Microsoft), Teams (Microsoft), Wire
•• • par NOYB
•• • [Téléchargement introuvable]
Vers un certain stoïcisme et une bonne attitude
Nous ne sommes plus les cowboys des années 2000 !
Il est terminé le temps où l’on pouvait se permettre de se jeter sur la dernière nouveauté avec spontanéité et insouciance. Ce comportement n’est plus possible dès lors qu’il faut agir de manière responsable conformément au RGPD mais aussi avec bon sens en considérant tous les aspects :
- intégrer la solution à l’écosystème de l’entreprise (déployer facilement et en toute sécurité l’outil sur les ordinateurs)
- conserver le contrôle sur les outils et les données (garantir les droits des personnes concernées, garder le contrôle sur la circulation des informations qui passent par ces canaux, etc.)
- gérer l’accès des collaborateurs entrants et sortants, en même temps que les autres applications et ressources
- maîtriser la sécurité et le cadre légal
➜ Notez que lorsqu’un employé ouvre un compte pour une application chez un sous-traitant, il signe un contrat au nom de son employeur sans en avoir le pouvoir.