Données personnelles : pourquoi faut-il se méfier des applications de visioconférence Zoom et Houseparty ?

Avec le confinement imposé dans beaucoup de pays à cause de la pandémie de coronavirus, l’utilisation des applications de communication explosent. Les applications Zoom et Houseparty ont bénéficié de cet engouement. Si ces deux applications américaines permettent de faire du télétravail ou des apéros entre amis, elles sont aussi pointées du doigt pour leur usage des données personnelles. Politiques de confidentialité peu claires, réglementation générale sur la protection des données (RGPD) pas respectée, conversations pas chiffrées... La Cellule Vrai du faux de franceinfo vous explique.

Des données envoyées à Facebook sans le consentement des utilisateurs

Le 26 mars, Motherboard, l’un des sites références de la presse tech américaine, révèle que Zoom, sur sa version pour iPhone, a envoyé à Facebook des données sur ses utilisateurs, même si ces derniers n’étaient pas inscrits sur la plateforme. Ces informations concernaient le modèle de téléphone utilisé, le fuseau horaire ou encore l’adresse IP. Une pratique qui n'est pas étonnante. "Le principe est de récupérer des données pour faire des corrections", explique Jean-Marc Bourguignon à franceinfo. Le directeur technique de Noting2Hide, une association qui propose des outils aux citoyens pour protéger leurs informations personnelles, explique que le fait de faire remonter ces données dites de "télémétrie" est légal. . Ce procédé permet entre autres "d’améliorer le logiciel", ou encore de faire des mises à jour.

En revanche, l'absence de transparence à ce sujet pose problème. Avant que Zoom ne rectifie sa politique de confidentialité le 28 mars, rien sur son site n’indiquait aux utilisateurs que leurs données étaient envoyées à Facebook. Il était juste dit que Zoom pouvait récolter vos "informations de profil Facebook lorsque vous utilisez Facebook pour vous connecter à [leur] produits". Mais, aucune mention n'était faite sur les données personnelles que le réseau social recevait. Dès le lendemain des révélations de Motherboard, Zoom s’est excusé sur son blog et a annoncé la suppression de cette fonctionnalité. Pour que la modification soit effective, l’utilisateur est invité à mettre à jour l’application. Cela n'a pas empêché Letitia James, procureure générale de l’Etat de New York, de lui envoyer une lettre pour "s'assurer que la société prend les mesures appropriées pour garantir la vie privée et la sécurité des utilisateurs", a indiqué un porte-parole de la procureure.

Les conversations ne sont pas chiffrées de bout en bout

Ni Zoom ni Houseparty ne chiffrent de bout en bout les conversations. "Les conversations sont chiffrées entre les utilisateurs eux-mêmes, mais pas entre les utilisateurs et les serveurs de Zoom et Houseparty", indique Jean-Marc Bourguignon. Les deux services peuvent donc déchiffrer les informations présentes sur leurs serveurs et accéder aux informations des utilisateurs. Houseparty explique clairement dans sa politique de confidentialité être "libre d’utiliser le contenu de toutes les communications passées via ses services, dont toute idée, invention, concept ou techniques" même pour "développer, concevoir ou vendre des biens et des services".

Si vous êtes une entreprise par exemple et que vous comptez échanger des informations secrètes sachez que Houseparty et Zoom peuvent accéder à vos conversations.

Suzanne Vergnolle
doctorante en droit et spécialiste de la protection des données personnelles

à franceinfo

Le fait d’accéder à des communications est gênant, car "il y a un principe de secret des communications", précise Suzanne Vergnolle à franceinfo. Toutefois, la doctorante en droit à l’université Paris II Panthéon-Assas et spécialiste de la protection des données personnelles rappelle qu'à partir du moment où l’utilisateur accepte en pleine conscience les conditions du service, ce dernier a rempli son obligation d’information. Malgré cela, plusieurs questions se posent, selon Suzanne Vergnolle, quant à l’utilisation faite du contenu des conversations, notamment en termes de protection de la propriété intellectuelle.

Invités surprise, comportements des utilisateurs surveillés…

L’entreprise de recherche en cybersécurité Check Point Research a révélé une autre faille sur la plateforme Zoom. Elle permet à des personnes de s’inviter dans des réunions pour diffuser des images pornographiques, proférer des insultes racistes ou simplement pour écouter les conversations. Le bureau du FBI à Boston a également indiqué lundi 30 mars dans un communiqué "avoir reçu plusieurs signalements de téléconférences perturbées par des images pornographiques ou haineuses et du langage menaçant". Cela arrive lorsqu’une salle de visioconférence n’a pas été configurée avec un mot de passe. Là aussi, Zoom a annoncé avoir corrigé le problème.

L’application téléchargée 115 000 fois en France durant la semaine du 16 mars a également été critiquée pour son outils "attendee attention tracking", pour "indicateur d’attention" en français. Cette fonctionnalité permet à l’hôte d'une réunion de connaître les comportements de ses invités, notamment de savoir s'ils changent de fenêtre pour aller sur un autre site que celle de la réunion par exemple. D’après Zoom, qui se justifie sur son site, cette fonctionnalité est prévue pour que les enseignants puissent garder un œil sur l’attention de leurs élèves.

Le règlement général sur la protection des données pas respecté

Les applications Zoom et Houseparty collectent des données personnelles très vastes. Houseparty le détaille clairement dans sa politique de confidentialité. Cela va du nom de l'opérateur mobile et des informations de géolocalisation aux "pages que vous visitez avant et après l'utilisation des services". Pour Suzanne Vergnolle, "si Houseparty est assez transparente au sujet des données collectées, cela ne veut pas dire qu’elle respecte le droit européen". La doctorante spécialiste de la protection des données personnelles estime que le principe de minimisation, présent dans le Règlement général sur la protection des données (RGPD), n'est pas respecté. Ce principe garantit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La conformité au RGPD est obligatoire au sein de l’Union européenne, mais vaut aussi pour les organismes hors-UE à partir du moment où leur activité cible des résidents européens.

Quant à l’application Zoom, elle a fait évoluer sa politique de confidentialité deux fois entre le 18 et le 29 mars. Pour Suzanne Vergnolle, cela n’est pas rassurant et interroge sur la mise en œuvre concrète des principes de protection des données. Enfin, Zoom devra encore probablement modifier une nouvelle fois sa politique de confidentialité puisque des chercheurs viennent de découvrir, jeudi 2 avril, quatre nouvelles vulnérabilités informatiques.

Si un internaute français estime que ses données ne sont pas exploitées conformément au RGPD, il peut introduire un recours auprès de la Commission nationale de l'informatique et des libertés (Cnil). Il est également possible de demander à l’entreprise d’exercer un droit d’effacement.