Non, il est extrêmement peu probable que l’application Zoom soit compatible avec le RGPD, car l’application est éditée par une société basée aux États-Unis et car les données à caractère personnel traitées par l’éditeur sont transférées aux États-Unis et dans d’autres pays, sans savoir réellement lesquels.

L’application Zoom est éditée par la société ZOOM VIDEO COMMUNICATIONS INC, comme l’affirme la « déclaration de confidentialité de Zoom »[1] publiée sur son site Internet « ZOOM.US ». Cette société est basée aux États-Unis, c’est-à-dire dans un pays qui ne garantit pas une protection des données personnelles au moins équivalente au RGPD, principalement en raison de la surveillance de masse réalisée par les services de renseignement américains[2].

De plus, les données à caractère personnel traitées par Zoom[3], comme les informations sur les participants des réunions, le contenu des communications ou la voix des personnes, sont transférées aux États-Unis, « ainsi que dans d’autres pays », sans préciser lesquels.

« en utilisant les produits et services Zoom ou en fournissant des données à caractère personnel […], vous reconnaissez que vos données à caractère personnel peuvent être transférées ou stockées aux États-Unis où nous sommes établis, ainsi que dans d’autres pays en dehors de l’EEE, de la Suisse et du Royaume-Uni. Ces pays peuvent posséder des règles de protection des données différentes et moins protectrices que celles de votre pays. »

Sans avoir une liste exhaustive des pays destinataires des données, il est impossible d’évaluer les conditions dans lesquelles les données seront traitées. Il est donc extrêmement improbable que ZOOM puisse être utilisé conformément aux exigences du RGPD. L’agence de protection des données de Hambourg est d’ailleurs arrivée à la même conclusion[4] et a demandé au Sénat local de ne plus utiliser les services de Zoom :

« Le Commissaire de Hambourg pour la protection des données et la liberté d’information (HmbBfDI) a officiellement mis en garde [le Sénat] contre l’utilisation de la solution de vidéoconférence de Zoom Inc. dans la variante dite à la demande. Cela enfreint le Règlement Général sur la Protection des Données (RGPD), car cette utilisation implique le transfert de données à caractère personnel vers les États-Unis. […]
Ainsi, les données des employés des pouvoirs publics et des participants aux appels externes seront exposées au danger de la surveillance de masse aux États-Unis, contre laquelle il n’existe pas de possibilités de protection juridique suffisantes. »

Peut-on, dans ces conditions, configurer l’application Zoom pour l’utiliser en respectant le RGPD ? Difficile, à moins peut-être de s’assurer que les données communiquées à Zoom ne soient pas considérées comme des données à caractères personnel, ce qui pourrait peut-être être réalisé en anonymisant en amont les données relatives aux utilisateurs et en chiffrant les communications de bout-en-bout ; encore faut-il faire confiance au chiffrement développé par Zoom, ce qui est difficile à faire étant donné que l’éditeur s’est déjà vu reprocher, notamment par la FTC[5][6], d’avoir menti sur la sécurité et la confidentialité des communications.

Notes et références

  1. La politique relative à la protection des données de Zoom en langue française est disponible sur le site de Zoom.
  2. Les données à caractère personnel ne peuvent pas être transférées vers les États-Unis, car le pays ne garantit pas un niveau de protection équivalent au RGPD. Voir « Peut-on transférer des données à caractère personnel vers les États-Unis ? ».
  3. La liste complète des données à caractère personnel traitées par Zoom est disponible dans la politique de confidentialité de Zoom, section « Quelles sont les données à caractère personnel que nous recevons ? ».
  4. L’agence de protection des données de Hambourg a demandé au Sénat local de ne plus utiliser les services de Zoom. Voir « ZOOM – L’Autorité de protection des données de Hambourg avertit que l’utilisation de Zoom enfreint le RGPD ».
  5. La FTC a fait de nombreux reproches à l’éditeur de Zoom, notamment sur la sécurité et la confidentialité des communications. Voir « ZOOM – L’éditeur s’engage à prendre des mesures de sécurité et à ne plus faire de fausses déclarations sur sa sécurité pour mettre fin à une plainte de la FTC ».
  6. Une action de groupe a également fait de nombreux reproches à l’éditeur de Zoom, notamment sur la sécurité et la confidentialité des communications. Voir « ZOOM – L’éditeur accepte de payer $85m pour mettre fin à une action de groupe l’accusant de partager des données personnelles et de prétendre chiffrer les communications de bout-en-bout ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données
  • FTC : Federal Trade Commission