Observations à la suite de la déclaration commune sur les attentes mondiales en matière de respect de la vie privée envers les entreprises de vidéoconférence
Le 27 octobre 2021
Ce que nous avons fait
En juillet 2020, six autorités chargées de la protection des données et de la vie privée – provenant de l’Australie, du Canada, de Gibraltar, de la Région administrative spéciale de Hong Kong, de la Chine, de la Suisse et du Royaume-Uni − ont signé conjointement une lettre ouverte à l’intention des entreprises de vidéoconférence. Dans cette lettre, les cosignataires se demandaient si les mesures de protection de la vie privée évoluaient de pair avec l’augmentation rapide de l’utilisation des services de vidéoconférence dans le contexte de la pandémie mondiale. Ils présentaient aussi aux entreprises visées quelques principes directeurs pour faire face aux principaux risques sur le plan de la vie privée.
Les cosignataires ont invité cinq des plus grandes entreprises de vidéoconférence à répondre à la lettre. Microsoft, Google, Cisco et Zoom y ont donné suite en expliquant la manière dont elles tiennent compte de ces principes dans la conception et le développement de leurs services de vidéoconférence. Après avoir examiné les réponses, les cosignataires se sont entretenus avec ces entreprises dans le cadre d’une série d’appels vidéo, afin de mieux comprendre comment elles mettent en œuvre, surveillent et valident les mesures de sécurité et de protection de la vie privée.
Les cosignataires ont également envoyé la lettre ouverte directement à Houseparty, mais ils n’ont pas reçu de réponse. En décembre 2020, les cosignataires ont encouragé Houseparty à s’entretenir avec eux, notamment au moyen d’un communiqué de presse. À ce jour, Houseparty n’a pas cherché à communiquer avec le groupe de cosignataires. Cependant, cette entreprise a engagé le dialogue directement avec le Bureau du commissaire à l’information du Royaume-Uni dans le cadre d’enquêtes distinctes de celles des cosignataires et a fourni des réponses détaillées à ses questions. Le Bureau du commissaire à l’information du Royaume-Uni a recommandé à Houseparty de prendre certaines mesures pour améliorer sa conformité avec le RGPD. Or, en tout état de cause, Houseparty a annoncé en septembre 2021 que, pour des raisons commerciales, elle avait déjà décidé de cesser d’offrir son service de vidéoconférence.
Ce que nous avons appris
Relations constructives
Cette activité est un exemple de relations constructives entre la communauté de réglementation de la protection de la vie privée et les organisations réglementées.
Les cosignataires ont ainsi pu engager des discussions, de manière coordonnée et d’une seule voix, avec certaines des entreprises technologiques les plus importantes et à la croissance la plus rapide, dont les services sont utilisés dans le monde entier. Ces entreprises ont eu l’occasion d’expliquer comment elles abordent la protection des données et de la vie privée lors d’échanges pratiques avec un sous-ensemble de la communauté mondiale de réglementation, représentant des citoyens de pays répartis sur quatre continents.
Le dialogue entre les entreprises de vidéoconférence et les autorités chargées de la protection des données s’est avéré efficace et mutuellement bénéfique. Les cosignataires soulignent que ce modèle est profitable. Il pourrait être reproduit à l’avenir lorsque des questions émergentes gagneraient à être discutées ouvertement pour définir les attentes réglementaires, faciliter la compréhension, recenser les bonnes pratiques, et favoriser la confiance du public dans les technologies innovantes.
Bonnes pratiques
Les cosignataires ont énoncé cinq principes dans la lettre ouverte afin d’aider les entreprises de vidéoconférence à cerner les principaux risques que présentent leurs services pour la vie privée, et à y faire face.
Dans leurs réponses et lors de discussions tenues par la suite avec les cosignataires, Microsoft, Google, Cisco et Zoom ont souligné − et dans certains cas démontré − les dispositions qu’elles prennent et les processus et mesures de protection qu’elles mettent en œuvre pour tenir compte de ces principes et atténuer les risques pour la vie privée.
Les cosignataires ont dégagé plusieurs domaines de bonnes pratiques dans les approches qui ont été expliquées par ces entreprises. Quelques exemples sont résumés ci-dessous sous chacun des cinq principes énoncés dans notre lettre ouverte. Nous présentons ces exemples pour communiquer publiquement et de façon proactive certains domaines de bonnes pratiques, et pour recommander l’adoption de ces mesures, et d’autres, dans l’ensemble du secteur de la vidéoconférence.
Il est à noter que ces bonnes pratiques ne seront efficaces que si elles sont scrupuleusement adoptées et appliquées. De plus, les bonnes pratiques décrites dans les domaines ci-dessous se rapportent uniquement à ce qui a été communiqué aux cosignataires dans le cadre de cet exercice (précisons que les cosignataires n’ont pas officiellement fait enquête sur les plateformes de vidéoconférence). Elles sont sans préjudice d’enquêtes que l’un ou l’autre des cosignataires pourrait avoir entreprises à l’extérieur du cadre de cet exercice. Il ne s’agit pas non plus de pratiques de Houseparty, puisque cette dernière n’a pas participé à l’exercice en question mené par les cosignataires.
En outre, bien que Microsoft, Google, Cisco et Zoom aient décrit certaines caractéristiques relatives à l'utilisation de leurs plateformes de vidéoconférence dans des contextes particuliers, tels que la télésanté ou la formation à distance, nous n'avons pas examiné ni traité ces aspects en détail. Par conséquent, nos commentaires et observations portent sur l’utilisation générale des plateformes de vidéoconférence par le grand public; ils ne portent pas sur leur utilisation pour communiquer des renseignements sensibles.
1. Sécurité
Tests - Il est essentiel de tester régulièrement les mesures de sécurité pour s’assurer qu’elles restent fiables face à des menaces en constante évolution. Diverses approches ont été signalées à cet égard, notamment les suivantes : tests de pénétration; modélisation des menaces; programmes de « primes à la faille détectée »; vérifications indépendantes; certification reconnue au niveau international; et utilisation de code source ouvert pour permettre un examen par des tiers. Les cosignataires recommandent aux entreprises de vidéoconférence d’adopter une approche exhaustive en superposant plusieurs de ces mesures dans le cadre d’une stratégie globale de tests de sécurité, appliquée de manière récurrente.
Employés et tiers - Il est important que les employés et les tiers sous-traitants comprennent bien leurs obligations en ce qui concerne l’accès et le traitement des renseignements personnels, et qu’ils les respectent. Parmi les exemples de pratiques exemplaires signalés, citons les suivants : vérifications préalables à l’embauche; formation régulière des employés sur la protection de la vie privée et la sécurité; mesures de validation des tiers, au moyen de comités de sélection et d’examen des fournisseurs; vérifications régulières auprès des tiers, ce qui comprend l’enregistrement de l’accès des sous-traitants aux renseignements personnels; et principe du moindre privilège pour les contrôles d’accès, selon lequel l’accès des employés est limité à ce qui est nécessaire dans le cadre de leurs fonctions professionnelles.
2. Protection de la vie privée dès la conception et protection des données par défaut
Programmes de protection de la vie privée - La protection des données et de la vie privée ne peut être simplement ajoutée après coup à ce qui existe déjà; pour que les mesures à cet égard fonctionnent dans la pratique, elles doivent y être pleinement intégrées. Des programmes détaillés de protection de la vie privée ont été signalés comme étant en place ou en cours d’élaboration. Ces programmes permettent d’enchâsser diverses exigences à même les services de vidéoconférence, de la conception au déploiement : réalisation d’évaluations des facteurs relatifs à la vie privée pour toutes les nouvelles fonctionnalités de vidéoconférence; communications régulières entre les équipes chargées de la protection de la vie privée, de la sécurité et du développement; et respect du principe de minimisation des données. Les cosignataires recommandent à toutes les entreprises de vidéoconférence d’opter pour une stratégie globale de protection de la vie privée, en adoptant un programme ou un cadre général en la matière au sein de leur organisation.
Paramètres par défaut - Les cosignataires recommandent à toutes les entreprises de vidéoconférence de définir les paramètres de leurs services de façon à protéger de manière optimale la vie privée par défaut. Nous en avons vu des exemples dans la pratique : mots de passe requis par défaut; salles d’attente virtuelles par défaut; paramètres par défaut de protection de la vie privée uniformes dans les versions « navigateur » et « application » des services de vidéoconférence; et vidéo et microphone désactivés par défaut.
3. Connaître son public
Fonctionnalités améliorées - L’utilisation des services de vidéoconférence a fortement augmenté dans des contextes où les discussions et les renseignements communiqués sont particulièrement sensibles, par exemple dans les domaines de l’éducation et des soins de santé. Les entreprises de vidéoconférence doivent mettre en place des mesures de sécurité et de protection de la vie privée rigoureuses afin de protéger adéquatement les données personnelles dans ces environnements plus sensibles. Bien que les cosignataires n’aient pas, au cours de cet exercice, étudié à fond l’utilisation des plateformes de vidéoconférence dans de tels contextes, certains exemples de bonnes pratiques leur ont été signalés : accès aux réunions contrôlé par l’enseignant; contrôle exclusif par l’enseignant des fonctions de partage d’écran; partage d’écran sécurisé des documents relatifs à la santé.
Orientation - Les particuliers et les entreprises utilisent de plus en plus les services de vidéoconférence, et ce, à des fins très diverses. Le fait de fournir à des groupes précis une orientation personnalisée en matière de sécurité et de protection de la vie privée constitue une bonne pratique pour faire en sorte que les utilisateurs soient plus confiants dans l’utilisation du service de vidéoconférence et dans le choix des paramètres et des fonctionnalités qui leur conviennent le mieux. Les cosignataires ont vu des exemples d’orientations personnalisées : orientations et documentation pour les enseignants et les administrateurs scolaires; orientations et conseils pour les parents; blogues pour les utilisateurs de marques d’ordinateurs portables populaires; et tutoriels vidéo pour les entreprises clientes.
4. Transparence
Avis multicouches - L’un des principes fondamentaux des régimes de protection des données et de la vie privée dans le monde entier est de tenir les gens informés de la manière dont leurs renseignements sont recueillis et utilisés, et des raisons qui sous-tendent la collecte et l’utilisation de ces renseignements. De bons exemples d’une approche « multicouches » à cet égard ont été signalés aux cosignataires : avis de confidentialité détaillés et tableaux de bord délimitant les différentes catégories de renseignements personnels recueillis; fonctionnalités de contrôle de la protection de la vie privée; avis contextuels avant les appels vidéo; notifications écrites ou audibles survenant pendant les appels, pour indiquer la collecte de données par enregistrement ou la transcription.
Tiers - Les entreprises et les consommateurs sont de plus en plus conscients de la façon dont les renseignements personnels sont communiqués à des tiers pour certaines fins, et sont de plus en plus préoccupés par la situation. Il doit être clairement indiqué aux utilisateurs à qui leurs renseignements seront communiqués et pour quelles raisonsNote de bas de page 1. Parmi les exemples signalés de bonnes pratiques à cet égard, citons les suivants : avis de confidentialité détaillant les catégories de renseignements personnels communiqués, les sous-traitants auxquels ces renseignements sont communiqués et les raisons pour lesquelles ceux-ci traitent ces renseignements; périodes de notification de six mois avant le recours à de nouveaux sous-traitants tiers; publication de rapports sur les mesures de transparence qui font état des demandes d’accès aux données formulées par des services policiers et des gouvernements.
5. Contrôle exercé par l’utilisateur final
Contrôle des réunions - Il est important que les utilisateurs disposent de contrôles intuitifs et clairs pour leur interaction avec un service de vidéoconférence, et qu’ils soient avisés des renseignements recueillis à leur sujet. Les cosignataires ont vu de bons exemples de ces contrôles dans la pratique, notamment les suivants : possibilité de ne pas recevoir les rapports de présence ou de participation; arrière-plans virtuels et flous; consentement de l’utilisateur avant que l’hôte ne coupe le son ou n’active la vidéo; possibilité de signaler le comportement inapproprié d’un utilisateur (ou expulsion par les hôtes).
Gestion des risques - En rendant publics des renseignements relatifs à une réunion, par exemple en les publiant sur les médias sociaux, les utilisateurs de services de vidéoconférence peuvent, sans le savoir, mettre en péril la vie privée et la sécurité des autres participants. En plus du matériel didactique présenté dans les produits d’orientation, les cosignataires ont constaté le recours à certaines approches innovantes pour atténuer ce risque, comme un outil permettant de balayer les médias sociaux et d’alerter les hôtes des réunions à risque, les encourageant ainsi à sécuriser la réunion ou à en programmer une nouvelle.
Recommandations
En plus de cerner les bonnes pratiques, les cosignataires ont vu la possibilité de renforcer ou d’améliorer certaines des mesures indiquées. Vous les trouverez plus bas.
Tout comme pour les bonnes pratiques dont il a été question précédemment, les possibilités qui sont présentées ci-dessous se rapportent uniquement à ce que les cosignataires ont appris lors de cet exercice. Elles ne sont pas issues d’enquêtes que l’un ou l’autre des cosignataires pourrait avoir entreprises à l’extérieur du cadre de cet exercice, ou pourrait entreprendre dans le futur, et sont sans préjudice de telles enquêtes. Il ne s’agit pas non plus de possibilités ayant un rapport avec des pratiques de Houseparty, puisque cette dernière n’a pas participé à l’exercice en question mené par les cosignataires.
1. Chiffrement
Les cosignataires prennent acte que les entreprises de vidéoconférence utilisent au minimum le chiffrement standard de l’industrie. Ils saluent également le développement ou la mise en œuvre du chiffrement de bout en bout (où l’hôte de la réunion crée une clé et où seuls celui-ci et les participants y ont accès) dans certaines circonstances. Ils reconnaissent que cela peut engendrer certaines limites de fonctionnalité, comme l’impossibilité pour les utilisateurs de se joindre à la réunion par téléphone et la perte de la transcription, mais reconnaissent également que de telles limites peuvent s’avérer bénéfiques dans certaines circonstances.
Afin d’améliorer la stratégie des entreprises de vidéoconférence en matière de chiffrement, les cosignataires recommandent ce qui suit :
- mettre le chiffrement de bout en bout à la disposition de tous les utilisateurs de services de vidéoconférence, qu’il s’agisse d’entreprises ou de consommateurs, de services payants ou de services gratuits, notamment en développant et en mettant en œuvre le chiffrement de bout en bout en tant qu’option pour les appels vidéo à plusieurs participants;
- fournir aux utilisateurs des renseignements clairs et facilement compréhensibles sur les différents niveaux de sécurité et les limites du chiffrement « standard » par rapport à celui de bout en bout;
- signaler plus clairement les paramètres et les renseignements relatifs à la réunion pour permettre aux hôtes de la réunion et/ou aux utilisateurs de sélectionner le type de chiffrement qu’ils souhaitent, afin que les participants à la réunion puissent facilement voir le type de chiffrement utilisé dans le cadre de la réunion;
- utiliser le chiffrement de bout en bout par défaut dans les contextes sensibles où il y a des rencontres individuelles, comme dans le domaine de la télésanté.
2. Utilisation secondaire des données
Il est important que les services de vidéoconférence établissent une relation de confiance avec leurs utilisateurs en n’utilisant les renseignements concernant ces derniers que de la manière à laquelle ils pourraient raisonnablement s’y attendre. Les cosignataires reconnaissent que de nombreuses entreprises n’utiliseront les renseignements personnels que pour fournir les fonctions de base nécessaires au fonctionnement de leur service de vidéoconférence, et ne les conserveront pas plus longtemps que nécessaire à cette fin.
Toutefois, lorsque les renseignements personnels sont utilisés à des fins secondaires, les entreprises de vidéoconférence devraient l’indiquer explicitement aux utilisateurs au moyen de messages proactifs, bien visibles et facilement compréhensibles, où l’on précise quels renseignements sont utilisés et pour quelles fins.
Si au nombre des objectifs secondaires se trouvent de la publicité ciblée ou l’utilisation de témoins de connexion, il est recommandé aux entreprises de vidéoconférence de n’y donner suite que si les utilisateurs ont donné leur consentement exprès à cet égard.
3. Centres de données
Le lieu où les données sont conservées et la façon dont elles circulent au-delà des frontières et dans le monde entier sont des considérations de plus en plus importantes, en particulier pour les entreprises clientes de services de vidéoconférence qui cherchent à garantir des niveaux appropriés de protection des renseignements personnels.
Certaines mesures positives ont été signalées à cet égard, et les cosignataires recommandent que toutes les entreprises de vidéoconférence :
- soient totalement transparentes avec les utilisateurs sur les lieux où les données sont stockées et les lieux où elles transitent;
- dans la mesure du possible, donnent aux utilisateurs le choix des lieux et des juridictions où leurs données sont stockées et par où elles transitent;
- mettent en œuvre des mesures, contractuelles ou autres, pour garantir que les renseignements sont protégés de manière adéquate lorsqu’ils sont communiqués à des tiers, y compris dans d’autres pays.
Prochaines étapes
La plupart des gens trouvent les services de vidéoconférence très utiles depuis le début de la crise sanitaire mondiale. Pour beaucoup, ces services ont permis d’établir un lien vital. Notre dépendance à l’égard des services de vidéoconférence et leur utilisation en général devraient se poursuivre tout au long de la pandémie, et même après.
Des normes élevées, des mesures solides et des pratiques exemplaires en matière de sécurité et de protection de la vie privée dans le secteur des services de vidéoconférence sont importantes pour pouvoir déployer ces services de façon sûre et maintenir la confiance des professionnels et des particuliers.
Les cosignataires remercient donc Microsoft, Google, Cisco et Zoom de s’être mobilisées à cet égard et d’avoir offert leur collaboration.
Les cosignataires continueront à se tenir à la disposition de toutes les entreprises de vidéoconférence pour soutenir le maintien et le développement de leurs services dans le respect de la vie privée, en toute sécurité et en toute confiance.
- Date de modification :