Les autorités mondiales de protection de la vie privée rappellent aux entreprises de vidéoconférence les attentes en matière de protection de la vie privée

Les autorités mondiales de protection de la vie privée rappellent aux entreprises de vidéoconférence les attentes en matière de protection de la vie privée

Le 21 juillet 2020, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié une lettre, cosignée par des autorités de protection de la vie privée du monde entier, pour rappeler aux entreprises de service de vidéoconférence leurs obligations en matière de protection de la vie privée des utilisateurs[1]. L’objectif de cette lettre était de définir des principes qui aideront les entreprises à déterminer et à gérer les risques associés à la protection de la vie privée afin de mieux protéger les renseignements personnels des utilisateurs. La lettre précise notamment que « la facilité de rester en contact ne doit pas se faire au détriment de la protection des données et du droit à la vie privée des personnes ».

La demande pour les services de vidéoconférence a connu une forte augmentation pendant la pandémie de COVID-19, avec un nombre record de 62 millions de téléchargements pendant la semaine du 14 mars[2]. Cela représente une augmentation de 90 % par rapport à la moyenne des téléchargements de l’année précédente, une tendance observée auprès de plusieurs services de vidéoconférence populaires[3]. Parmi les différentes utilisations, mentionnons les études, le travail et les activités sociales. Ces utilisations posent toutes des préoccupations particulières sur le plan de la protection de la vie privée.

Zoom a fait l’objet d’une attention médiatique importante à la suite de l’apparition des « intrus Zoom », des personnes non invitées qui interrompent les appels[4]. En mars, le FBI a mis les écoles en garde contre le risque de détournement de cours en ligne à la suite de signalements faisant état d’interruptions de vidéoconférences par du contenu inapproprié[5]. Le CPVP a publié un certain nombre de lignes directrices pour aider les utilisateurs à protéger leur vie privée lors de l’utilisation de services de vidéoconférence, mais il se tourne maintenant vers les entreprises de service de vidéoconférence pour protéger la vie privée de leurs utilisateurs[6].

La lettre dresse une liste non exhaustive des principes de protection des données et de la vie privée afin d’orienter les mesures prises par les entreprises de service de vidéoconférence en vue de protéger les renseignements personnels et d’atténuer les risques :

1. Sécurité

Étant donné l’utilisation croissante des vidéoconférences et l’évolution des menaces à la cybersécurité, la sécurité des données constitue l’une des principales responsabilités de toute entreprise de service de vidéoconférence. On constate une tendance inquiétante d’augmentation des signalements de faille de sécurité menant à un accès non autorisé aux comptes ainsi qu’à des partages non autorisés de fichiers et d’appels. Pour faire face aux nouveaux risques liés à la sécurité, il faut se tourner vers différentes mesures de sécurité, notamment le cryptage de bout en bout, l’authentification et les mots de passe à deux facteurs ainsi que des mises à niveau régulières. Il convient également de veiller tout particulièrement à ce que les renseignements soient correctement protégés lors du traitement par des tiers, particulièrement dans d’autres pays.

2. Protection de la vie privée dès la conception et protection des données par défaut

La protection de la vie privée devrait être plus qu’une considération après coup, elle devrait faire partie intégrante de la conception du service de vidéoconférence. Les paramètres par défaut devraient être les plus respectueux de la vie privée. Mentionnons notamment les contrôles d’accès rigoureux et l’annonce claire des nouveaux appelants. Cela comprend également la restriction des données ou renseignements personnels recueillis, utilisés et communiqués à ce qui est nécessaire pour fournir le service.

3. Connaître son public

Pendant la pandémie de COVID-19, de nombreux services de vidéoconférence ont été déployés dans des contextes pour lesquels ils n’avaient pas été conçus à l’origine. Les entreprises offrant ces services doivent examiner l’utilisation des services et les nouveaux risques qui en découlent, notamment dans les domaines de la santé et de l’éducation.

4. Transparence et équité

Nous sommes plus sensibilisés au traitement de nos renseignements personnels et de l’utilisation de nos données par les entreprises, et les attentes en la matière sont plus élevées. Les entreprises de service de vidéoconférence doivent faire preuve de transparence quant aux renseignements qu’elles recueillent et à la manière dont elles les utilisent. Elles doivent également s’assurer que les utilisateurs sont au courant de tout changement apporté à la plateforme qui pourrait avoir une incidence sur leur vie privée. Ce type de renseignement doit être facile d’accès et le consentement doit être éclairé, le cas échéant.

5. Contrôle exercé par l’utilisateur final

Les entreprises de service de vidéoconférence doivent savoir que les utilisateurs finaux ont souvent peu de choix quant à l’utilisation d’un service de vidéoconférence, surtout au travail ou à l’école. Le service peut offrir des fonctions d’hôte, comme la collecte de données de localisation ou la création de transcriptions d’appels. Les entreprises de service de vidéoconférence doivent prévoir un mécanisme accordant aux utilisateurs finaux le même niveau d’information, de contrôle, de communication franche et de transparence qu’à l’hôte.

Ces principes visent à assurer la conformité aux lois sur la protection des données et de la vie privée, tout en contribuant à renforcer la confiance des utilisateurs. La lettre rappelle aussi aux entreprises de service de vidéoconférence qu’elles doivent consulter les organismes de réglementation de la protection des données et de la vie privée au sujet des risques ou des problèmes qui surviennent. En outre, ces derniers encouragent les entreprises de service de vidéoconférence à leur démontrer la manière dont elles prennent en compte ces principes dans la conception et la prestation de leurs services. On ne sait pas encore si ces réponses seront rendues publiques.

Si vous avez des questions sur votre programme de protection des données et de la vie privée ou sur les entreprises de service de vidéoconférence, n’hésitez pas à communiquer avec un membre du groupe responsable de la protection des données et de la vie privée.

par Grace Shaw et Kristen Shaw (étudiante en droit)

[1] Commissariat à la protection de la vie privée du Canada. Déclaration commune sur les attentes mondiales en matière de respect de la vie privée envers les entreprises de vidéoconférence.
[2] « COVID-19 Outbreak: Video Conferencing Demand Rises due to Social-Distancing » [Éclosion de COVID-19 : augmentation de la demande liée aux services de vidéoconférence aux fins de distanciation sociale] (7 mai 2020), en ligne, en anglais : Businesswire.
[3] Lexi Sydow, « Video Conferencing Apps Surge from Coronavirus Impact » [Augmentation en flèche des applications de vidéoconférence causée par le coronavirus] (30 mars 2020), en ligne, en anglais : App Annie.
[4] Kate O’Flaherty, « Beware Zoom Users : Here’s How People Can ‘Zoom-Bomb’ Your Chat » [Utilisateurs de Zoom, faites attention : voici comment on peut détourner votre conversation] (27 mars 2020), en ligne, en anglais : Forbes.
[5] FBI Boston, FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic [Mise en garde du FBI touchant le piratage de téléconférences et de cours en ligne pendant la pandémie de COVID-19] (30 mars 2020), en ligne, en anglais : Federal Bureau of Investigation.
[6] Blogue du CPVP, « Blogue savoir techno : Vidéoconférence – Gardez vos distances, et gardez-vous d’exposer vos renseignements personnels » (1er mai 2020), en ligne : Commissariat à la protection de la vie privée du Canada.

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

McMillan S.E.N.C.R.L., s.r.l. 2020