A peine le Gouvernement avait ordonné le confinement de la population que les premières réunions Zoom se sont répandues dans les entreprises au moins aussi rapidement que le virus lui-même.
L’empressement à utiliser une solution reconnue, facile d’accès, hyper intuitive et fonctionnant correctement à fait perdre de vue aux sociétés les deux principes fondateurs du Règlement Général sur la Protection des Données (RGPD) : les principes de privacy by design et de privacy by default.
L’article 25, 1 du RGPD prévoit que le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées et doit assortir le traitement des garanties nécessaires afin de répondre aux exigences du RGPD et protéger les droits des personnes concernées.
Ces principes sont moins juridiques qu’organisationnels mais ils imposent que toute mise en place d’une solution, d’un système, d’une méthodologie par une entreprise implique de sa part, dès le début du processus, d’intégrer les problématiques de traitement des données personnelles dans ses prises de décision.
Est-ce que les entreprises avaient bien pris la mesure des enjeux en termes de données personnelles s’agissant de cette application ? Sans doute l’urgence de la situation peut expliquer le manque de rigueur sur cette question.
Et il s’avère que rapidement des failles sur cette application au regard des données personnelles ont été dénoncées : Zoom envoyait les données statistiques de ses utilisateurs à Facebook (même lorsque ceux-ci ne possédaient pas de compte sur le réseau social), aucun chiffrement des conversations n’était mis en œuvre ou proposé (ce qui en soit devrait être rédhibitoire !), des tiers pouvaient s’inviter dans des conversations sans invitation, accès non sécurisé aux adresses emails des personnes ou à leurs photos de profil …
Depuis Zoom a corrigé certains points ce qui n’a pas empêché certaines sociétés, certains états d’interdire cette application (qui doit répondre d’ailleurs à une injonction du procureur de New York sur cette question).
La politique de confidentialité de Zoom montre que l’ensemble de ses sous-traitant se trouvent aux Etats Unis et donc l’ensemble des serveurs par lesquels transitent les conversations de centaines de sociétés européennes. Zoom fait par ailleurs peser sur l’organisateur de la réunion des obligations en terme d’information et de recueil de consentement (notamment un traqueur d’attention qui vérifie que vous avez bien la fenêtre Zoom active sur votre ordinateur !).
L’impact en terme de données personnelles doit irriguer toutes les décisions de l’entreprise et entre plusieurs solutions sur le marché pour répondre à un besoin identifié (en l’occurrence celui de communiquer à distance avec mes collaborateurs et mes clients), l’entreprise doit choisir celle qui donne le plus de garanties en terme de sécurité des données personnelles.
Analyse pas forcément aisée lorsque tous les acteurs du marché se présentent souvent comme irréprochables au regard de la règlementation RGPD et en font un argument marketing.
Il est donc indispensable de procéder à une analyse poussée des conditions de traitement des données de chaque solution et vérifier leurs conformités au RGPD notamment quant au respect des principes de sécurisation, de minimisation des données, d’information et de consentement.