Notre nouvel article de blog sur le thème de la protection des données a été rédigé par notre collègue Heiko Abmeyer. Il explique ici pourquoi le RGPD est pour lui un thème central.

Qu’est-ce que tu fais exactement chez innovaphone ?
Je travaille chez innovaphone depuis 2007 et suis membre de l’équipe de gestion des partenaires en Allemagne et responsable de la région nord de l’Allemagne. J’ai passé de nombreuses années à Berlin où j’ai établi de nombreux contacts avec les autorités et des organisations chargées de la sécurité.

Pourquoi le sujet du RGPD te tient-il à ce point à cœur ?
Disons que les « incidents d’espionnage entre amis » – c’est très gentiment formulé - ont démontré que nous faisions de nos données un usage très imprudent, parce que nous pensons qu’elles sont probablement sécurisées. Je me suis posé la question de ce que l’on pouvait en faire de ces données. Les géants de la tech gagnent de l’argent grâce à la connaissance qu’ils ont de nos actions présentes et sont même en mesure d’anticiper nos actions futures. Alors vu le nombre de communications que j’ai au quotidien, je ne peux qu’en déduire que de nombreux contenus personnels atterrissent quelque part dans des silos de données. Et qu’en advient-il ? Je n’en ai malheureusement aucune idée. La seule chose, qui relève de ma propre responsabilité, c’est d’être très vigilant : qu’est-ce que je communique et dans quelle circonstance, avec qui est-ce je partage les informations et surtout : sur quelle plateforme. Ç’est assez rassurant de savoir que tout ce qui me concerne n’est pas stocké aux quatre coins du globe.

Protection des données, RGPD...
ça rime avec naïveté !

par Heiko Abmeyer | 21 septembre 2022

C’était comment déjà les visioconférences avant le Covid ?

Ça vous rappelle quelque chose ? Je reçois une invitation à participer à une réunion en ligne, je clique sur le lien, je vérifie le casque et la caméra, vite un coup d’œil à ma coiffure et c’est parti. Incroyable la rapidité avec laquelle la pandémie a changé nos habitudes et accoutumé à enchainer les réunions virtuelles, non ? Comment faisait-on avant ? On s’en souvient à peine. Mais il y avait bien quelque chose ? Ah voilà : on communiquait par téléphone, tout simplement ! Ou par e-mail ! C’est vrai que chez innovaphone, avant le Covid nous avions déjà une solution vidéo pour les conférences à trois et même avec reconnaissance du locuteur pour les réunions avec de nombreux participants - on ne voyait que la vidéo de la personne en train de parler, c’était assez simple. Après la pandémie cela n’aurait plus été suffisant ! Alors c’est vraiment cool que notre plateforme innovaphone PBX avec son application de visioconférence et ses outils collaboratifs ait aussi bien évolué et puisse être utilisée au choix sur site et dans le Cloud.

Inconnu au bataillon : le concept du numéro unique

J’entends souvent : « Oui, mais, nous avons installé quelque chose à cause de la pandémie ». Je préfère parfois ne pas savoir dans quels pétrins - soi-disant state-of-the-art - le service informatique s’est fourré. « Les collaborateurs finiront par s’y habituer » : autre phrase qui n’aurait pas existé avant la pandémie. Et malheur au fabricant qui ne peut pas reproduire la touche spéciale, extrêmement importante, du téléphone de Monsieur ou Madame XYZ : « Eh bien, nous irons voir ailleurs… ». Résultat ? Interruptions de la connexion et mauvaise qualité audio. Le concept du numéro unique ? « Jamais entendu parler » ! Je découvre de plus en plus de numéros GSM personnels s’afficher lorsqu’on m’appelle sur mon téléphone ou mon softphone. Lorsque je demande pourquoi quelqu’un m’appelle avec son téléphone portable personnel, on me répond : « Tu sais, nous sommes censés utiliser XYZ. Mais ça ne marche pas, alors c’est plus rapide sur le portable ». Méditons cela un instant...

Quelles sont les informations divulguées au cours d’une visioconférence ?

Quand je repense aux difficultés rencontrées chez le client lorsqu’il s’agissait d’informations sur le statut de présence. Il fallait à la fois tout voir mais ne rien montrer : « Absolument personne ne doit voir les informations du calendrier de Madame XYZ ». Une fois de plus, je me dis que c’est une chance que chez innovaphone nous ayons une solution aussi précise pour définir individuellement les paramètres de confidentialité.  Petite parenthèse : connaissez-vous l’article de blog de mon collègue Johannes sur le thème de la gestion de la présence ?

Mais que se passe-t-il lorsque je participe à une réunion en ligne ? Qui peut voir mon nom, qui voit le nom de mon entreprise ? Qu’est-ce que je révèle pour pouvoir participer à une conférence ? Et que se passe-t-il pendant la conférence ? Est-ce que c’est enregistré ? Maintenant, tout le monde va dire : « Mais non, tout est conforme à la protection des données ». Ou - encore mieux : « Sinon, tu penses bien qu’on ne l’utiliserait pas. »

Des années lumières séparent la protection des données aux USA du RGPD européen

Avez-vous déjà entendu parler du « Privacy Shield » ou « bouclier de la protection des données » ? C’est en quelque sorte la loi sur la protection des données aux États-Unis. En gros : « (..) certains programmes de surveillance permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale ne prévoient aucune limitation du pouvoir conféré aux autorités américaines, ni l’existence de garanties pour les personnes potentiellement ciblées non américaines. » ¹ O.k., ce n’est qu’un court extrait, mais ça veut déjà tout dire.
Du point de vue des défenseurs européens de la protection des données, cela ne règle rien du tout de ce qui est couvert par le RGPD. C’est pourquoi il existe un arrêt dit « Schrems II » rendu par la Cours de Justice de l’Union Européenne. Ce jugement invalide le Privacy Shield, en précisant que « les transferts de données à caractère personnel vers les États-Unis sur la base du Privacy Shield ne sont pas autorisés. De tels transferts doivent donc être convertis à des régimes juridiques équivalents ou cesser immédiatement. » ² 

Mais voici le « Clarifying Lawful Overseas Use of Data Act » en abrégé « CLOUD Act ». Toujours les USA puisque c’est une loi fédérale américaine promulguée en 2018 qui permet « aux forces de l’ordre ou aux agences de renseignement américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de Cloud computing des informations stockées sur leurs serveurs... Que ces données soient situées aux États-Unis ou à l’etranger. » ³

Sécurité des données et lutte contre la cybercriminalité

J’estime que la lutte contre la cybercriminalité est une très bonne chose, ici comme au niveau international. Les lois devraient veiller à ce que, d’une part, mes données soient en sécurité et que, d’autre part, elles puissent être utilisées par d’autres institutions. Pourtant, lorsque je participe à une réunion en ligne et que le service est proposé par une entreprise américaine, mes données ne sont pas en sécurité. Je suppose également, et je le pense sérieusement, que la visioconférence est non seulement enregistrée, mais que les paroles sont retranscrites, sous forme de texte : les systèmes de reconnaissance vocale sont des technologies très avancées qui peuvent être activés comme un service normal. ⁴

Maintenant, prenons le CLOUD Act et imaginons qu’une institution américaine souhaite y avoir accès. Reçoit-elle alors vraiment la visioconférence ou « seulement » sa retranscription. ? Et que se passe-t-il en cas de fuite d’informations ? Qui aura accès à ces données ?

Si, ça existe des plateformes de visioconférence respectueuses de la confidentialité !

Mais bon, je n’ai rien à cacher ! Ok, au cours d’une réunion en ligne nous évoquons les projets, certains processus, le dernier modèle d’appareil comme prototype, la nouvelle version du logiciel avec de toutes nouvelles fonctionnalités. On partage les plans de construction, on discute d’informations non divulguées. Nous bavardons aussi de temps en temps, pensons aux vacances et nous souhaitons un bon week-end. Ce ne sont pas des choses qui mettent l’entreprise en danger. Si ?

Avec tout ça, comment les défenseurs de la protection des données vont-ils pouvoir s’en sortir ? C’est très simple : si vous ne le faites pas déjà, commencez à vous intéresser à des systèmes qui protègent et sécurisent réellement vos données ! L’utilisateur ne doit pas s’habituer à des solutions qui peuvent plus tard représenter un risque pour l’entreprise, n’est-ce pas ? Donnez-lui des outils qui lui permettent de communiquer en toute sécurité. J’ai hâte de présenter notre prochaine plateforme de visioconférence V13r3 ! En toute confidentialité bien-sûr !

[3] https://www.usine-digitale.fr/article/le-cloud-act-un-texte-securitaire-americain-qui-inquiete.N800995
[4] https://www.journaldunet.fr/web-tech/guide-de-l-intelligence-artificielle/1501849-reconnaissance-vocale/