La DPA de Hambourg met en garde le gouvernement du Land contre l'utilisation de Zoom,

L'outil de vidéoconférence populaire viole le RGPD

L'agence de protection des données (DPA) de l'État allemand a pris l'initiative d'émettre un avertissement public hier, indiquant dans un communiqué de presse que l'utilisation par la Chancellerie du Sénat de l'outil de vidéoconférence populaire viole le règlement général sur la protection des données (RGPD) de l'Union européenne, puisque les données des utilisateurs sont transférées aux États-Unis pour y être traitées. L'inquiétude de l'autorité de protection des données fait suite à un arrêt historique (Schrems II) rendu l'été dernier par la plus haute juridiction européenne, qui a invalidé un accord phare en matière de transfert de données entre l'Union européenne et les États-Unis (Privacy Shield), estimant que la législation américaine en matière de surveillance était incompatible avec le droit européen à la vie privée.

Les services de visioconférence ont vu leur nombre d'utilisateurs considérablement augmenter depuis le début de la pandémie, notamment en raison du confinement de la population mondiale. Zoom en particulier, a connu un succès sans précédent en 2020, ce qui lui a permis d'augmenter son chiffre d'affaires de manière exponentielle. Selon un récent rapport de l'ITEP (Institute On Taxation and Economic Policy), les bénéfices de Zoom ont augmenté de 4 000 % l'année dernière (660 millions de dollars contre seulement 16 en 2019), même si, il est reproché à l'entreprise de n’avoir pas payé d'impôt sur ce revenu. Zoom a gagné 600 millions de dollars en 2020, mais n'aurait pas été imposé.


« Le passage immédiat à l'activité en ligne explique la croissance sans précédent des revenus de l'entreprise. Pour beaucoup, Zoom est devenu un espace de rencontre quotidien omniprésent, que ce soit pour le travail, l'enseignement en classe, les réunions de famille ou les happy hours du soir », indique le rapport de l'ITEP. En effet, Zoom, développé par Zoom Vidéo Communications, une entreprise américaine de services de téléconférence basée à San José, en Californie, est devenue très populaire l'année dernière, après que la pandémie du Covid-19 a obligé les entreprises à faire recours au télétravail.

Cependant, depuis l’année dernière, le succès sans précédent n’a pas manqué d’attirer l'attention sur l'entreprise et ses pratiques de confidentialité, y compris une politique, mise à jour plus tard, qui semblait donner à l'entreprise l'autorisation d'exploiter des messages et des fichiers partagés lors de réunions à des fins de ciblage publicitaire. En mars 2020, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ». La déclaration ne semble pas être en droite ligne avec celle de l’entreprise. Le service de visioconférence prétend implémenter un chiffrement de bout en bout. Ce qui ne serait pas vrai car, le service ne prend pas en charge le chiffrement de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le chiffrement de transport.

Selon un rapport, Zoom divulguerait les informations personnelles des utilisateurs, notamment l'adresse mail, leurs photos, etc. Selon ce rapport rendu public en fin mars 2020, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom. Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.

Un certain nombre d'autorités européennes chargées de la protection des données enquêtent sur l'utilisation de services numériques basés aux États-Unis. Dans certains cas, elles mettent publiquement en garde contre l'utilisation d'outils américains courants tels que Facebook et Zoom, car les données des utilisateurs ne peuvent être protégées de manière adéquate lorsqu'elles sont transférées de l'autre côté de l'étang. Les agences allemandes sont parmi les plus proactives à cet égard. Toutefois, le contrôleur européen de la protection des données enquête également sur l'utilisation par l'Union européenne des services cloud des géants...