Le service de réunions en ligne Zoom devenu incroyablement populaire depuis le coronavirus ne répond pas aux exigences GDPR en termes de confidentialité. Voilà du moins ce que prétend la ville allemande d’Hambourg.
Hambourg – deuxième plus grande ville d’Allemagne – avertit que le logiciel de visioconférence en ligne de la firme américaine Zoom enfreint la réglementation européenne sur la protection des données (GDPR ou AVG). Cet avertissement émane en fait de l”Hamburgische Beauftragte für Datenschutz und Informationsfreiheit’ (‘HmbBfDI’), l’organisation gouvernementale hambourgeoise qui veille à la protection des données et au respect de la vie privée, à savoir le pendant de l’Autorité de protection des données dans notre pays. L’avertissement est adressé dans un premier temps à la ‘Senatskanzlei der Freien und Hansestadt Hamburg’ (‘FHH’), la chancellerie sénatoriale de la ville libre et hanséatique d’Hambourg.
Le service de protection des données d’Hambourg fustige surtout le fait que les données des utilisateurs soient transférées aux Etats-Unis, avant d’y être traitées. La HmbBfDI suit ainsi l’arrêt Schrems II de la Cour supérieure européenne de Justice. Il y a plus d’un an, cette Cour avait en effet prononcé un jugement relatif aux flux de données entre l’UE et les Etats-Unis. Les entreprises qui envoient des données personnelles de l’UE vers d’autres régions légales dans le monde, doivent donner les mêmes garanties en matière de confidentialité que l’UE, avait jugé la Cour. Dans la pratique, ce jugement avait supprimé le Privacy Shield, un accord passé entre l’UE et les Etats-Unis, destiné à permettre aux entreprises telles Facebook – dans le cas présent Zoom – de transférer des données personnelles.
Plus près de nous, la Vlaamse Toezichtcommissie (commission de contrôle flamande) avait l’année dernière aussi émis un avis négatif du genre sur l’utilisation de la firme ‘cloud’ américaine AWS. Cet avis passait à l’époque aussi pour être une conséquence directe de l’arrêt Schrems II. Le contrôleur européen en charge de la protection des données (EDPS) mène actuellement aussi une enquête sur les contrats conclus entre Amazon et Microsoft avec des institutions européennes. Ces contrats pourraient en effet ne plus satisfaire à la législation de l’UE en matière de transfert de données vers des pays extérieurs à cette dernière, selon le directeur d’EDPS, Wojciech Wiewiórowski, il y a quelques mois. Entre-temps, des négociations sont bien cours entre la Commission européenne et les Etats-Unis à propos d’un nouvel accord global sur les échanges de données.
La chancellerie sénatoriale n’a que faire de l’avertissement. Dans un article paru sur le site d’actualité IT allemand Golem, un porte-parole réagit en disant que ‘Zoom assure sur le plan technique un cryptage bout-à-bout impeccable et garantit au niveau contractuel qu’aucun élément du contenu d’une visioconférence – ni des paroles ni des enregistrements vidéo – n’est accessible par l’entreprise ou n’est susceptible de tomber entre les mains de tiers’.
Dans une brève réaction à Data News, Zoom prétend que ‘le respect de la vie privée et la sécurité sont ses top-priorités’. Zoom ajoute qu’elle ‘fait tout pour satisfaire aux lois, règles et consignes de confidentialité d’application dans les régions où elle est active, dont le GDPR.’ L’entreprise affirme pour terminer que spécifiquement pour le transfert des données personnelles, elle s’en tient en Europe aux ‘EU Standard Contractual Clauses (SCC)’ et qu’elle met un ‘Data Transfer Impact Assessment’ à la disposition des clients désireux de vérifier l’impact de l’arrêt Schrems II sur leur situation personnelle.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici