Les conseils de la CNIL pour utiliser les outils de visioconférence
De nombreux professionnels, comme les enseignants, utilisent des outils de discussion et de visioconférence dans le contexte pandémique. Ces logiciels, souvent gratuits, doivent toujours offrir des garanties de protection de la vie privée des utilisateurs. La CNIL rappelle quelques règles de vigilance.
De manière générale, la CNIL recommande d’être attentif quant aux applications utilisées :
- lisez toujours les conditions d’utilisation ;
- n’utilisez pas des applications qui ne vous garantissent pas la confidentialité des communications ou qui utilisent vos données pour d’autres finalités.
Quels sont les usages dans le cadre du confinement ?
Les outils de visioconférence se basent sur une technologie de VoIP (voix sur IP) qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam et nécessitent d’être connectés à internet.
En cette période, ces logiciels sont principalement plébiscités par les entreprises pour permettre la tenue de réunion, ainsi que par les enseignants pour assurer des cours à distance et communiquer avec leurs élèves.
La gratuité apparente peut être un modèle économique
Il existe une multitude de modèles économiques pour ces outils, notamment :
- la publicité (qui peut être, sur votre téléphone, in-app ou hors-app ;
- un abonnement facultatif à un service qui permet d’avoir des fonctionnalités supplémentaires, ou débride certaines fonctionnalités de base (comme le nombre maximum d’utilisateurs simultanés sur un serveur).
La gratuité des applications n’est souvent qu’apparente et elles peuvent rentabiliser leur service en traitant des informations vous concernant, comme vos nom et prénoms, adresse courriel, numéro de téléphone, etc.
Pourquoi faut-il rester vigilant concernant vos données ?
Les applications sont tenues d’informer, de façon complète, les utilisateurs de l’usage fait de leurs données. Il doit notamment être possible de savoir quelles informations sont enregistrées et réutilisées, et dans quel objectif.
Les informations collectées sur vous ne se limitent pas nécessairement à ce que vous avez directement fourni et peuvent s’étendre à d’autres types de données techniques permettant de vous ré-identifier (adresse IP, identifiant de l’appareil, cookies ou technologies analogues). Dans tous les cas, ces informations ne doivent pas être collectées à votre insu.
Vos conversations, dans un contexte privé ou professionnel, peuvent révéler beaucoup d’informations, soit intimes, soit protégées par une obligation de confidentialité par rapport à vos activités professionnelles.
Quels conseils pour les utilisateurs ?
- Privilégiez les systèmes de visioconférence qui protègent la vie privée. Vérifiez les conditions d’utilisation de votre logiciel pour vous assurer que ces outils garantissent la confidentialité de vos données et ne les réutilisent pas pour d’autres finalités. L’ANSSI a certifié Tixeo pour les administrations, les Opérateurs d’Importance Vitale (OIV) et les entreprises soucieuses de leur sécurité. La direction interministérielle du numérique (DINUM) et la Direction Générale de l'Administration et de la Fonction Publique (DGFAP) fournissent un tableau comparatif pour vous accompagner dans le choix d’une solution qui convient à votre besoin.
- évitez de télécharger l’application depuis un site web ou une source inconnus ;
- n’utilisez que les applications pour lesquelles l’éditeur vous indique clairement comment vos données sont réutilisées (dans l’application elle-même ou sur son site web, par exemple) ;
- lisez les commentaires des utilisateurs sur des forums de discussion ou, depuis votre téléphone, dans les magasins d’applications ;
- vérifiez que l’éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout ;
- sécurisez votre réseau Wi-Fi avec un mot de passe robuste, en activant le chiffrement WPA2 ou WPA3 ;
- assurez-vous que votre antivirus et votre pare-feu sont à jour.
- lorsque cela est possible, limitez le nombre d’informations fournies lors de l’inscription : utilisez un pseudonyme et une adresse mail dédiée, vérifiez les options de confidentialité proposées lors de la création du compte, etc. ;
- utilisez un mot de passe différent de ceux utilisés sur les autres services en ligne ;
- lisez les conditions générales d’utilisation (CGU), notamment ce qui est indiqué en matière de protection des données personnelles, toutes les entreprises fournissant un service à des utilisateurs européens étant tenues d’appliquer le règlement général sur la protection des données (RGPD).
- prenez le temps de regarder les paramètres de l’application, notamment en ce qui concerne la protection de votre vie privée (vérifiez, par exemple, s’il existe des options vous permettant de télécharger vos données ou de limiter l’utilisation de certaines informations) ;
- sur votre ordinateur ou votre téléphone, fermez l’application lorsque vous ne l’utilisez plus, notamment si le microphone ou la webcam sont activés ;
- désactivez votre microphone et votre webcam lorsque vous ne les utilisez pas. Vous pouvez également masquer physiquement votre webcam, par exemple avec un bout de ruban adhésif ou un cache ;
- soyez particulièrement vigilant(e) lorsque des personnes mineures utilisent ces services, notamment s’il s’agit de vos élèves.