La CNIL intervient régulièrement depuis le début de la crise sanitaire pour formuler diverses recommandations alliant l'actualité brûlante de la crise et la nécessaire protection des données personnelles dans cette période particulière.

Sa dernière publication permet aux utilisateurs d'outils de visioconférence d'avoir les bons réfélexes face à ces outils qui se sont généralisés depuis un mois et qui sont devenus indispensables pour la poursuite d'activité de certaines entreprises : https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference

Une analyse de ces outils et des usages s'avère donc fort utile en ce moment. Quelques recommandations :

  • Consulter les Conditions Générales d'Utilisation ou la Politique de confidentialité/de protection des données de ces outils afin de vérifier leur fiabilité : aussi fastidieux que cela puisse paraitre, c'est le seul moyen de connaitre les engagements des fournisseurs de solutions
  • Vérifier que la confidentialité des échanges soit respectée : idéalement pas d'enregistrement ou de stockage des conversations et surtout pas de réutilisation des conversations
  • Paramétrer les notifications/abonnements aux lettres d'information ou communications commerciales
  • Utiliser des mots de passe forts et la double authentification lorsque c'est possible.

Pour les usages professionnels, les vérifications quant à la confidentialité devront être renforcées et un accord de sous-traitance (en anglais Data Processing Agreement) devra être signé avec l'éditeur de l'outil. Pour une sécurité optimale, ou en cas d'activité sensible ou soumise ou secret professionnel, le recours à un fournisseur de solutions certifié par l'Agence Nationale de la Sécurité des Systèmes d'Information est conseillé : https://www.ssi.gouv.fr/entreprise/certification_cspn/tixeoserver-version-11-5-2-0/

Toute utilisation d'outils numériques adossés à Internet suppose de régler les paramétres de la solution relatifs à la vie privée et de déconnecter l'application (ou occulter la caméra) une fois son utilisation terminée. En guise de rappel douloureux, la découvert en 2019 de la faille d'un prestataire d'outil de visioconférence qui permettait d'activer les webcams de supports Mac sans le consentement de leurs propriétaires et de joindre les utilisateurs de l'application à des appels vidéo sans permission.

Gageons que tous les éditeurs de solutions de visioconférence auront retenu la leçon et anticipé ce genre de failles.