Annonce

Observations à la suite d’une initiative mondiale sur les attentes en matière de respect de la vie privée envers les entreprises de vidéoconférence

Le 27 octobre 2021

Le Commissariat à la protection de la vie privée du Canada et cinq de ses homologues internationaux chargés de la protection des données et de la vie privée ont tenu des discussions avec des entreprises de vidéoconférence en vue de veiller à l’adoption de bonnes pratiques en matière de respect de la vie privée.

L’année dernière, le Commissariat et ses homologues ont lancé cette initiative conjointe en envoyant une lettre ouverte aux entreprises de vidéoconférence. Dans cette lettre, ils reconnaissaient la valeur des services de vidéoconférence, qui permettent aux gens de rester connectés, et se demandaient si les mesures de protection de la vie privée évoluaient de pair avec l’augmentation marquée de l’utilisation de ces services dans le contexte de la pandémie mondiale. Les signataires avaient alors établi un certain nombre de principes afin de guider les entreprises dans la gestion des principaux risques pour la vie privée.

La lettre a été envoyée directement à Microsoft, Cisco, Zoom, Houseparty et Google. À l’exception de Houseparty, toutes les entreprises ont répondu à la lettre et ont participé à une série de vidéoconférences. En septembre, Houseparty a annoncé que, pour des raisons commerciales, elle cesserait d’offrir des services de vidéoconférence.

Aujourd’hui, au terme de cette initiative, les cosignataires publient un document d’observations décrivant les points importants à retenir. Ils y présentent les bonnes pratiques mises en place et les aspects qu’il serait possible d’améliorer.

On y souligne les dispositions que prennent les entreprises ainsi que les processus et les mesures de protection qu’elles mettent en œuvre afin d’atténuer les risques pour la vie privée et tenir compte des principes énoncés dans la lettre ouverte.

Les cosignataires ont dégagé plusieurs domaines de bonnes pratiques dans les approches qui ont été expliquées par ces entreprises, notamment au chapitre de la sécurité, de la protection de la vie privée dès la conception et de la protection des données par défaut, du respect des besoins de leur public en matière de vie privée, de la transparence et du contrôle exercé par l’utilisateur final.

Parmi les bonnes pratiques observées, on retrouve la formation périodique sur la protection de la vie privée et la sécurité à l’intention des employés, les paramètres par défaut de protection de la vie privée pour l’utilisation des fonctions de vidéo et de microphone, ainsi que les avis de confidentialité multicouches.

Ces bonnes pratiques se rapportent uniquement à ce qui a été communiqué aux cosignataires dans le cadre de cet exercice, lequel ne constituait pas une enquête officielle. De plus, bien que les entreprises aient décrit certaines caractéristiques relatives à l'utilisation de leurs plateformes de vidéoconférence dans des contextes particuliers, tels que la télésanté ou la formation à distance, ces aspects n’ont pas fait l’objet d’un examen approfondi. Par conséquent, les commentaires et les observations portent sur l’utilisation générale des plateformes de vidéoconférence par le grand public; ils ne portent pas sur leur utilisation pour communiquer des renseignements sensibles.

Les cosignataires ont également fait plusieurs recommandations, soulignant l’importance d’utiliser le chiffrement de bout en bout, de fournir des renseignements clairs sur l’utilisation des renseignements personnels à des fins secondaires, et de mettre en œuvre des mesures pour garantir que les renseignements sont protégés de manière adéquate lorsqu’ils sont communiqués à des tiers, y compris dans d’autres pays.