top of page

Fuite de données, RGPD et responsabilité du professionnel à l’heure du télétravail


Depuis l’annonce du confinement, l’utilisation des plateformes de visioconférence a explosé de façon spectaculaire pour tous les professionnels en télétravail.

Ce fonctionnement respecte-t-il le RGPD ? Quels sont les risques ?



De nombreuses plateformes en ligne proposent des services gratuits de visioconférence et/ou de travail de groupe : ZOOM, SKYPE, WHATSAPP, FACEBOOK, LIVESTORM,etc.


Derrière l’apparente fluidité de ces plateformes et applications, se cachent en réalité de nombreuses problématiques de cybersécurité et de fuites de données.


Ainsi, certaines des entités citées ci-avant, ont vu leur politique de protection des données et/ou l’intégrité de leur système remise en cause au regard de la protection des données sur les derniers mois.


Tour d’horizon non exhaustif :


- ZOOM


Le 31 mars dernier, le magazine VICE révélait un défaut de gestion des données de la plateforme ayant généré une faille de sécurité importante. [1] ZOOM aurait regroupé dans des répertoires communs, les mails (et toutes les informations y étant rattachées) ayant un nom de domaine identique, permettant à chaque utilisateur inclus dans le répertoire d’avoir accès à toutes les informations des autres.


Le 23 mars 2020, il avait également été révélé que l'application IOS de ZOOM envoyait des données d'analyse des informations des utilisateurs à la plate-forme « GRAPH » de FACEBOOK via une interface de programmation.[2]


THE INTERCEPT a également publié une enquête indiquant que les communications audios et vidéos ne seraient pas chiffrées de bout en bout sur ZOOM, exposant ainsi les utilisateurs à des écoutes.[3]


Enfin, les liens générés pour créer une réunion en visioconférence sont courts et constitués d’une série de numéro. Ce qui permettrait à des utilisateurs mal intentionnés d’arriver dans une conversation à laquelle ils ne sont pas invités en modifiant simplement les numéros des liens.


Ce phénomène appelé Zoombombing a pris une telle importance que le FBI lui-même a ouvert une enquête.[4]


- WHATSAPP :


L’entreprise a été épinglée après que des internautes ont mis en évidence qu’il était aisé de retrouver les informations personnelles des utilisateurs lors de l’abonnement aux chaines créées. [5]


Par ailleurs des liens générés pour inviter d’autres utilisateurs à une conversation auraient été indexés par des moteurs de recherche.


En conséquence, des numéros de téléphone et des conversations privées ont été rendues publiques pendant des semaines. [6]


Enfin, en 2019, le site O1net.com avait démontré comment il était possible de retrouver l’intégralité des informations du profil d’un utilisateur avec uniquement son numéro de téléphone sans même que l’utilisateur n’en soit informé. [7]


- MICROSOFT via SKYPE :


Au même titre que FACEBOOK ou GOOGLE, Microsoft avait été visée par des accusations d’écoutes illégales lors d’un échange entre utilisateurs.[8]


Si les deux premiers ont mis fin, officiellement, à ces pratiques, Microsoft a maintenu sa politique et simplement modifié ses conditions d’utilisation et sa politique de confidentialité.


Malgré la polémique, l’entreprise maintient donc l’écoute de conversations de ses utilisateurs aux fins « d’amélioration du service » lors de l’utilisation du logiciel de traduction ou de l’assistant vocal CORTANA.


----


L’on pourrait croire que ces sujets concernent exclusivement les particuliers, plus précisément les « personnes physiques identifiables », qui seraient les cibles et victimes directes des exploitations de données.


En réalité cela concerne également les professionnels.


Avec une différence majeure : LES PARTICULIERS ONT DES DROITS, LES PROFESSIONNELS ONT DES OBLIGATIONS.


Ceci résulte de la dualité fondamentale instaurée par le Règlement Général sur la Protection des Données ou RGPD.


Le RGPD existe pour protéger les individus de l’exploitation de leur donnée, et pour ce faire, il impose un principe de responsabilité renforcée aux professionnels amenés à traiter des données à caractère personnel.


A l’heure du télétravail et face aux difficultés de sécurisation des données des plateformes en ligne, quelle est la responsabilité du professionnel organisant des échanges avec ses clients via celles-ci ?


Cette question complexe trouve un début de réponse à la lecture du RGPD. [9]

Ainsi, cette réglementation crée un principe « d’accountability », de « responsabilité », du professionnel en raison de sa casquette de « responsable du traitement ».


Ce responsable doit assurer la sécurité des données à caractère personnel qu’il traite depuis leur collecte jusqu’à leur stockage et/ou suppression.


La définition des « données à caractère personnel » est la suivante : « Toute information se rapportant à une personne physique identifiée ou identifiable […]. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; (article 4 du RGPD)

Ainsi, le professionnel est garant de la sécurité des données « bruts » d’identification (nom, prénoms, adresse, etc) mais également de l’ensemble des données se rapportant à la personne identifiée.

La sécurisation de ces données aussi doit être assurée dès la collecte. Comment s’en assurer en cas d’utilisation de visio-conférence ?


En fonction de la plateforme utilisée, l’échange peut être écouté, les identifiants et information du client peuvent être exploités par des tiers ou être récupérés sur la toile.


En pratique, cela revient à organiser un rendez-vous client en pleine rue bondée avec un haut-parleur !


Le client serait alors victime d’une fuite de ses données en raison de l’intervention du professionnel qui lui aura demandé d’utiliser la plateforme en question.


Dans ce cas, qu’en est-il de la responsabilité du professionnel au regard du RGPD ?


L’article 32 du RGPD indique : « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […]. »


Sur le fondement de cet article, la CNIL a déjà eu l’occasion de prononcer plusieurs condamnations d’importance au cours de l’année 2019 qui donnent matière à réfléchir.


Deux de ces condamnations ont été prononcées à l’encontre de sociétés qui avaient créé un accès client via leur site internet, pour que ceux-ci y déposent des documents de travail et/ou confidentiels.


Dans les deux cas, il s’est avéré qu’en modifiant une lettre ou un chiffre de l’URL générée pour un accès-client, il était possible d’accéder aux dossiers d’autres clients et à leurs documents.


Ce grave défaut de sécurité, parmi d’autres, a été payé lourdement par les sociétés en question, à hauteur de 180 000 euros d’amende[10] et 400 000 euros d’amende. [11]


Or, l’une des sociétés avait une activité de courtier en assurance et la seconde de gestion immobilière.


Aucune n’était à l’origine de la création de son site et/ou de son codage.


Le défaut de sécurité initial ne leur était pas imputable, pour autant ce sont elles qui ont subi les condamnations pour défaut de sécurité pour avoir exposé leur client à la fuite de leur donnée sans prendre les mesures minimales de sécurité attendues d’elles en qualité de responsable du traitement.


La question se pose donc de savoir si ce même raisonnement pourrait être appliqué aux professionnels faisant usage de plateforme visio non sécurisées ?


D’aucun pourrait dire que ce questionnement relève de l’extrapolation et de l’hypothétique au regard de la responsabilité des plateformes elles-mêmes et avant celle des professionnels.


Ceci serait oublier un peu rapidement l’exemple anglais en matière de piratage.


L’ICO, la CNIL anglaise, est en cours de procédure pour condamner la société BRITISH AIRWAYS[12] et la société MARRIOTT [13] à des amendes records sur la base de l’article 32 du RGPD suite aux piratages de leurs systèmes.


L’ICO a considéré que les deux sociétés n’avaient pas mis en œuvre tous les moyens à leurs dispositions pour éviter cette fuite de données.


Il peut être considéré pourtant que le piratage d’un système relève d’un événement extérieur, incertain, malveillant et irrésistible ne pouvant être reproché aux sociétés victimes.


Pour autant, il a été estimé que les moyens techniques mise en place pour réellement éviter qu’un tel événement ne se produise était insuffisant et que les systèmes informatiques utilisés par les sociétés étaient « fragiles ».


Les sanctions, proportionnelles au chiffre d’affaire, seront colossales.


----

Dans ces circonstances, il est peu probable qu’il soit fait preuve de clémence à l’égard des professionnels.


Ceci d’autant plus que les préconisations de la CNIL en matière de télétravail incite à organiser la sécurité non seulement des supports de travail (antivirus, identification individuel) mais également des flux et échanges entre les personnes.


Au regard de ces différentes décisions, du principe de responsabilité renforcée pesant sur les professionnels et de la période inédite de confinement, il est plus que conseillé aux professionnels de se prémunir contre toutes mauvaises surprises et de s’orienter vers des moyens de communications réputés inviolables jusqu’à preuve du contraire.


Dans le cas contraire, les amendes infligées pourraient être conséquentes et menacer la pérennité de l’activité des professionnels ayant fait usage de moyens non sécurisés pour échanger avec leurs clients, qu’ils soient des particuliers ou des professionnels.



SOURCES :

[1] https://www.vice.com/fr/article/k7e95m/zoom-divulgue-les-donnees-de-ses-utilisateurs-a-des-inconnus [2] https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account [3] https://theintercept.com/2020/03/31/zoom-meeting-encryption/ [4] https://www.forbes.fr/technologie/visio-conference-attention-au-zoom-bombing/?cn-reloaded=1 [5] https://digitalactu.fr/whatsapp-une-eventuelle-fuite-de-donnees-personnelles/ [6] https://www.lettreaudiovisuel.com/fuite-de-donnees-chez-whatsapp/ [7] https://www.01net.com/astuces/comment-whatsapp-permet-a-des-inconnus-de-vous-espionner-a-votre-insu-1668549.html [8] https://www.lefigaro.fr/secteur/high-tech/microsoft-ecoute-des-conversations-skype-pour-son-intelligence-artificielle-20190809 [9] https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679 [10] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992 [11] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1 [12] https://www.lemonde.fr/pixels/article/2019/07/08/204-millions-d-euros-d-amende-pour-british-airways-apres-un-vol-massif-de-donnees-bancaires-de-ses-clients_5486817_4408996.html [13] https://www.zdnet.fr/actualites/rgpd-la-cnil-anglaise-menace-mariott-d-une-amende-de-110-millions-d-euros-39887431.htm

0 commentaire
bottom of page