La DPA de Hambourg met en garde le gouvernement du Land contre l'utilisation de Zoom
La DPA de Hambourg met en garde le gouvernement du Land contre l'utilisation de Zoom
l'outil de vidéoconférence populaire viole le RGPD
L'agence de protection des données (DPA) de l'État allemand a pris l'initiative d'émettre un avertissement public hier, indiquant dans un communiqué de presse que l'utilisation par la Chancellerie du Sénat de l'outil de vidéoconférence populaire viole le règlement général sur la protection des données (RGPD) de l'Union européenne, puisque les données des utilisateurs sont transférées aux États-Unis pour y être traitées. L'inquiétude de l'autorité de protection des données fait suite à un arrêt historique (Schrems II) rendu l'été dernier par la plus haute juridiction européenne, qui a invalidé un accord phare en matière de transfert de données entre l'Union européenne et les États-Unis (Privacy Shield), estimant que la législation américaine en matière de surveillance était incompatible avec le droit européen à la vie privée.
Les services de visioconférence ont vu leur nombre d'utilisateurs considérablement augmenter depuis le début de la pandémie, notamment en raison du confinement de la population mondiale. Zoom en particulier, a connu un succès sans précédent en 2020, ce qui lui a permis d'augmenter son chiffre d'affaires de manière exponentielle. Selon un récent rapport de l'ITEP (Institute On Taxation and Economic Policy), les bénéfices de Zoom ont augmenté de 4 000 % l'année dernière (660 millions de dollars contre seulement 16 en 2019), même si, il est reproché à l'entreprise de n’avoir pas payé d'impôt sur ce revenu. Zoom a gagné 600 millions de dollars en 2020, mais n'aurait pas été imposé.
« Le passage immédiat à l'activité en ligne explique la croissance sans précédent des revenus de l'entreprise. Pour beaucoup, Zoom est devenu un espace de rencontre quotidien omniprésent, que ce soit pour le travail, l'enseignement en classe, les réunions de famille ou les happy hours du soir », indique le rapport de l'ITEP. En effet, Zoom, développé par Zoom Vidéo Communications, une entreprise américaine de services de téléconférence basée à San José, en Californie, est devenue très populaire l'année dernière, après que la pandémie du Covid-19 a obligé les entreprises à faire recours au télétravail.
Cependant, depuis l’année dernière, le succès sans précédent n’a pas manqué d’attirer l'attention sur l'entreprise et ses pratiques de confidentialité, y compris une politique, mise à jour plus tard, qui semblait donner à l'entreprise l'autorisation d'exploiter des messages et des fichiers partagés lors de réunions à des fins de ciblage publicitaire. En mars 2020, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ». La déclaration ne semble pas être en droite ligne avec celle de l’entreprise. Le service de visioconférence prétend implémenter un chiffrement de bout en bout. Ce qui ne serait pas vrai car, le service ne prend pas en charge le chiffrement de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le chiffrement de transport.
Selon un rapport, Zoom divulguerait les informations personnelles des utilisateurs, notamment l'adresse mail, leurs photos, etc. Selon ce rapport rendu public en fin mars 2020, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom. Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.
Un certain nombre d'autorités européennes chargées de la protection des données enquêtent sur l'utilisation de services numériques basés aux États-Unis. Dans certains cas, elles mettent publiquement en garde contre l'utilisation d'outils américains courants tels que Facebook et Zoom, car les données des utilisateurs ne peuvent être protégées de manière adéquate lorsqu'elles sont transférées de l'autre côté de l'étang. Les agences allemandes sont parmi les plus proactives à cet égard. Toutefois, le contrôleur européen de la protection des données enquête également sur l'utilisation par l'Union européenne des services cloud des géants Américains Amazon et Microsoft pour le même motif de transfert de données.
Dans le même temps en France, Capgemini et Orange annoncent le projet de créer « Bleu », une société qui fournira un « Cloud de Confiance » en France. Orange et Capgemini ont annoncé leur partenariat en vue de la création d'une nouvelle société spécialisée dans le "cloud de confiance", baptisée Bleu. En partenariat avec Microsoft, Bleu proposera mettra à disposition de ses clients les solutions sécurisées cloud du géant Américain, en l'occurrence les suites de collaboration et de productivité Microsoft 365 ainsi que l'ensemble des services de la plateforme cloud Microsoft Azure. Bleu « fournira ses solutions aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’État français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un cloud de confiance adapté au degré de sensibilité de leurs données et à leur charge de travail », précise le communiqué.
Avec ce partenariat, Capgemini et Orange ont l’intention de créer une nouvelle société, baptisée « Bleu », qui fournira un « cloud de confiance ;» conçu pour répondre aux besoins de souveraineté de l’État français, des administrations publiques et des entreprises dotées d’infrastructures critiques soumises à des exigences particulières en termes de confidentialité, de sécurité et de résilience, telles que définies par l’État français. « Bleu vise à proposer à ses clients un nouveau cloud de confiance indépendant doté d’un riche catalogue de solutions numériques et les meilleurs outils collaboratifs. Ce partenariat contribuera à accélérer la transformation numérique de la France », avait indiqué le communiqué.
Du côté des USA, les négociations entre la Commission européenne et l'administration Biden en vue de trouver un accord de remplacement pour le transfert des données se poursuivent. Toutefois, les législateurs européens ont mis en garde à plusieurs reprises contre toute solution rapide, affirmant qu'une réforme de la législation américaine en matière de surveillance est probablement nécessaire avant de pouvoir relancer le Privacy Shield. Alors que le flou juridique persiste, un nombre croissant d'organismes publics en Europe subissent des pressions pour abandonner les services basés aux États-Unis en faveur d'alternatives locales conformes. Peut-être pas la France !
En effet, la France a choisi Google et Microsoft pour la protection des données sensibles, Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le cloud en mai de cette année. « Certaines des données les plus sensibles de l'État français et des entreprises peuvent être stockées en toute sécurité en utilisant la technologie cloud développée par Google et Microsoft, si elle est concédée à des entreprises françaises », a déclaré le Gouvernement français. Rappelons qu’à l’occasion de la conférence Criteo IA Labs qui s’était tenue à Paris le 3 octobre 2019, le ministre des Finances Bruno Le Maire avait annoncé que la France a engagé les sociétés Dassault Systemes et OVH pour élaborer des plans visant à briser la domination des entreprises américaines en matière de cloud computing et s'attend à avoir « les premiers résultats en décembre 2019 ». « Sur la base de ces résultats, nous voulons construire un cloud digne de confiance pour stocker les données les plus sensibles de nos entreprises », avait-il alors déclaré, ajoutant que le projet serait réalisé au niveau franco-allemand dans un premier temps et éventuellement au niveau européen.
Dans le cas de Hambourg, la DPA affirme avoir pris la décision d'adresser un avertissement public à la Chancellerie du Sénat après que celle-ci n'a pas fourni de réponse adéquate aux préoccupations soulevées précédemment. L'agence affirme que l'utilisation de Zoom par l'organisme public n'est pas conforme à l'exigence du GDPR d'une base juridique valide pour le traitement des données personnelles, écrivant : Le public n'est pas conforme à l'exigence du GDPR d'une base juridique valide pour le traitement des données personnelles, écrivant : « Les documents soumis par la Chancellerie du Sénat sur l'utilisation de Zoom montrent que les normes GDPR ne sont pas respectées. »
L'APD a engagé une procédure formelle plus tôt, via une audition, le 17 juin 2021, mais affirme que la Chancellerie du Sénat n'a pas réussi à cesser d'utiliser l'outil de vidéoconférence. Elle n'a pas non plus fourni de documents ou d'arguments supplémentaires pour démontrer l'utilisation conforme. C'est pourquoi la DPA a pris la mesure d'un avertissement formel, en vertu de l'article 58, paragraphe 2, point a), du GDPR. Dans une déclaration, Ulrich Kühn, commissaire par intérim à la protection des données et à la liberté d'information de Hambourg, a qualifié d' incompréhensible le fait que l'organisme régional continue de bafouer la législation européenne pour utiliser Zoom, soulignant qu'une alternative locale, fournie par la société allemande Dataport (qui fournit des logiciels à un certain nombre d'organismes publics nationaux, régionaux et locaux), est facilement disponible.
Dans sa déclaration, Kühn a indiqué : « Les organismes publics sont particulièrement tenus de respecter la loi. Il est donc plus que regrettable qu'une telle mesure formelle ait dû être prise. À la Chancellerie du Sénat de la Ville libre et hanséatique de Hambourg, tous les employés ont accès à un outil de vidéoconférence qui a fait ses preuves et qui ne pose aucun problème en matière de transmission vers des pays tiers. En tant que prestataire de services central, Dataport fournit également des systèmes de vidéoconférence supplémentaires dans ses propres centres de données. Ceux-ci sont utilisés avec succès dans d'autres régions comme le Schleswig-Holstein. Il est donc incompréhensible que la Chancellerie du Sénat insiste sur un système supplémentaire et juridiquement très problématique ».
Source : Datenschutz
Et vous ?
Avez-vous expérimenté les services de visioconférence pendant la pandémie ?
Voir aussi :
Répondre avec citation
Partager