Six autorités de protection des données et de la vie privée de pays de quatre continents ont adressé une lettre ouverte aux sociétés de vidéoconférence (VTC), leur demandant de réévaluer la manière dont elles protègent les droits à la vie privée et les données des citoyens dans le monde entier.
Puisque la pandémie nous a retenus dans nos maisons pendant la pandémie, les services de vidéoconférence ont connu une forte hausse de leur popularité, notamment pour rester en contact avec leurs amis et leur famille et pour organiser des réunions de travail, des cours en ligne et des rendez-vous médicaux virtuels. Toutefois, la hausse de la demande s'est également accompagnée de rapports soulignant les problèmes de sécurité rencontrés par certaines des plateformes, ainsi que de préoccupations directement exprimées auprès des organismes de réglementation eux-mêmes.
« Cette lettre ouverte a pour but d’exposer nos préoccupations, de clarifier nos attentes et les mesures que vous devriez prendre en tant qu’entreprises de services de vidéoconférence pour atténuer les risques soulevés et, en fin de compte, pour garantir que les renseignements personnels de nos citoyens sont protégés conformément aux attentes du public et à l’abri de tout préjudice.», explique la lettre, cosignée par les commissaires à la protection de la vie privée et les organismes de réglementation d'Australie, du Canada, de Gibraltar, de Hong Kong, de Suisse et du Royaume-Uni.
La lettre souligne cinq principes sur lesquels les sociétés de VTC devraient concentrer leur attention : la sécurité, le respect de la vie privée dès la conception, la connaissance de leur public, la transparence et l'équité, et le contrôle par l'utilisateur final. Elle s'adresse à l’ensemble des entreprises fournissant des services de vidéoconférence. Toutefois, Microsoft, Cisco, Zoom, House Party et Google ont reçu la lettre directement.
Les régulateurs attendent des entreprises qu'elles sécurisent les données des utilisateurs en mettant en œuvre certaines mesures de sécurité en standard, comme le chiffrement intégral de toutes les communications et l'authentification à deux facteurs pour les connexions, ainsi qu'en exigeant des utilisateurs qu’ils utilisent des mots de passe forts. Les plates-formes VTC doivent également inciter les utilisateurs à se mettre régulièrement à jour avec la dernière version de leur client de communication.
La lettre poursuit : « Il convient également de veiller tout particulièrement à ce que les renseignements soient correctement protégés lorsque des tiers les traitent, y compris dans d’autres pays. » Ses signataires reconnaissent également que la pandémie a conduit à une utilisation des plates-formes de CTV différente de celle pour laquelle elles ont été conçues, ce qui peut ouvrir la porte à des menaces imprévues. Ils encouragent les entreprises à examiner ces nouveaux cas d'utilisation et à mettre en œuvre les mesures nécessaires de protection des données et de la vie privée en conséquence.
Les commissionnaires soulignent également que « Cela revêt une importance particulière lorsqu’il s’agit d’enfants, de groupes vulnérables et de contextes où les discussions qui ont lieu sur les appels sont susceptibles d’être particulièrement sensibles (dans l’éducation et les soins de santé par exemple). C’est également le cas lorsqu’on mène des activités dans des territoires où les questions de droits de la personne et de libertés civiles pourraient créer un risque supplémentaire pour les personnes qui utilisent la plateforme. »
En ce qui concerne la transparence et l'équité, les entreprises sont invitées à être franches sur les données qu'elles collectent et la manière dont elles les traitent. La lettre poursuit en avertissant que tout manquement à cette obligation peut entraîner des violations de la loi et des abus de confiance de la part des utilisateurs. Les régulateurs de la vie privée s'attendent à recevoir des réponses des entreprises d'ici le 30 septembre 2020.
