Une lettre ouverte souligne cinq principes de
sécurité et de respect de la vie privée qui requièrent une attention accrue de
la part des services de vidéoconférence.
Six autorités de protection
des données et de la vie privée de pays de quatre continents ont adressé une lettre ouverte aux
sociétés de vidéoconférence (VTC), leur demandant de réévaluer la manière dont
elles protègent les droits à la vie privée et les données des citoyens dans le
monde entier.
Puisque la pandémie nous a retenus dans nos maisons pendant
la pandémie, les services de vidéoconférence ont connu une forte hausse de
leur popularité, notamment pour
rester en contact avec leurs amis et leur famille et pour organiser des réunions de travail,
des cours en ligne et des rendez-vous médicaux virtuels. Toutefois, la hausse
de la demande s’est également accompagnée de rapports soulignant les problèmes de sécurité rencontrés
par certaines des plateformes,
ainsi que de préoccupations directement exprimées auprès des organismes de
réglementation eux-mêmes.
« Cette lettre ouverte a
pour but d’exposer nos préoccupations, de clarifier nos attentes et les mesures
que vous devriez prendre en tant qu’entreprises de services de vidéoconférence
pour atténuer les risques soulevés et, en fin de compte, pour garantir que les
renseignements personnels de nos citoyens sont protégés conformément aux
attentes du public et à l’abri de tout préjudice.», explique la lettre,
cosignée par les commissaires à la protection de la vie privée et les
organismes de réglementation d’Australie, du Canada, de Gibraltar, de Hong
Kong, de Suisse et du Royaume-Uni.
La lettre souligne cinq
principes sur lesquels les sociétés de VTC devraient concentrer leur
attention : la sécurité, le respect de la vie privée dès la conception, la
connaissance de leur public, la transparence et l’équité, et le contrôle par
l’utilisateur final. Elle s’adresse à l’ensemble des entreprises fournissant
des services de vidéoconférence. Toutefois, Microsoft, Cisco, Zoom, House Party
et Google ont reçu la lettre directement.
Les régulateurs attendent des
entreprises qu’elles sécurisent les données des utilisateurs en mettant en
œuvre certaines mesures de sécurité en standard, comme le chiffrement intégral de
toutes les communications et l’authentification à deux facteurs pour
les connexions, ainsi qu’en exigeant des utilisateurs qu’ils utilisent des mots de passe forts.
Les plates-formes VTC doivent également inciter les utilisateurs à se mettre
régulièrement à jour avec la dernière version de leur client de communication.
La lettre poursuit : « Il
convient également de veiller tout particulièrement à ce que les renseignements
soient correctement protégés lorsque des tiers les traitent, y compris dans
d’autres pays. » Ses signataires reconnaissent également que la pandémie a
conduit à une utilisation des plates-formes de CTV différente de celle pour laquelle
elles ont été conçues, ce qui peut ouvrir la porte à des menaces imprévues. Ils
encouragent les entreprises à examiner ces nouveaux cas d’utilisation et à
mettre en œuvre les mesures nécessaires de protection des données et de la vie
privée en conséquence.
Les commissionnaires
soulignent également que « Cela revêt une importance particulière
lorsqu’il s’agit d’enfants, de groupes vulnérables et de contextes où les
discussions qui ont lieu sur les appels sont susceptibles d’être
particulièrement sensibles (dans l’éducation et les soins de santé par
exemple). C’est également le cas lorsqu’on mène des activités dans des
territoires où les questions de droits de la personne et de libertés civiles
pourraient créer un risque supplémentaire pour les personnes qui utilisent la
plateforme. »
En ce qui concerne la
transparence et l’équité, les entreprises sont invitées à être franches sur les
données qu’elles collectent et la manière dont elles les traitent. La lettre
poursuit en avertissant que tout manquement à cette obligation peut entraîner
des violations de la loi et des abus de confiance de la part des utilisateurs.
Les régulateurs de la vie privée s’attendent à recevoir des réponses des
entreprises d’ici le 30 septembre 2020.