Note de la rédactrice : Compte tenu de l'augmentation récente du travail à distance causée par l'épidémie de la maladie du coronavirus 2019 (COVID-19), de nombreux professionnels du droit intègrent maintenant des outils dans leur flux de travail de communication d'entreprise qu'ils n'ont jamais utilisés auparavant ou n'ont jamais utilisés dans des environnements exigeant la défendabilité juridique des communications. L'un de ces outils est la plateforme de téléconférence Zoom. Vous trouverez ci-dessous une série d'extraits de notes d'information, d'articles et de poursuites qui peuvent être utiles pour examen par les professionnels et les fournisseurs de données et de recherche juridique lorsqu'ils évaluent l'utilisation de Zoom à l'appui de la conduite de la découverte électronique.
Note d'information complète de la Commission pour la protection des données (DPC) Irlande
Conseil sur la protection des données pour la vidéoconférence
Compte tenu de l'augmentation récente du travail à distance, rendue nécessaire par les mesures d'atténuation de la COVID-19, ainsi que de l'augmentation du nombre de personnes qui restent en contact avec des amis et des membres de la famille, le nombre de visioconférences et d'appels vidéo a augmenté de façon spectaculaire. Cela a également conduit les utilisateurs à utiliser des applications et des services qu'ils n'ont peut-être pas utilisés auparavant, ou utilisent maintenant pour différentes raisons — c'est-à-dire à utiliser une application qu'ils utilisent habituellement à des fins personnelles maintenant à des fins professionnelles ou vice versa.
Des préoccupations ont été soulevées quant à la façon d'utiliser ces technologies pour rester en contact avec vos collègues et vos proches d'une manière sûre et sûre et garantissant un niveau adéquat de protection des données.
Voici quelques conseils pour aider les particuliers et les organisations (comme les employeurs qui pourraient mettre en place des dispositifs de vidéoconférence nouveaux ou accrus pour les employés) à utiliser ces services de façon sécuritaire.
Conseils pour les particuliers
Assurez-vous que l'appareil que vous utilisez pour les appels vidéo dispose des mises à jour nécessaires, telles que les mises à jour du système d'exploitation (comme iOS ou Android) et les mises à jour logicielles/antivirus (et assurez-vous qu'il dispose d'un antivirus et d'un logiciel de sécurité en ligne).
Essayez d'utiliser des services que vous connaissez et dont vous avez confiance, qui ont fait des recherches sur, ou qui ont été approuvés et suggérés par votre employeur, etc., pour la vidéoconférence ou la vidéoconférence.
Prenez le temps de lire la politique de confidentialité ou de protection des données du service pour vous assurer avec qui vos données personnelles sont partagées, où elles seront stockées ou traitées, et à quelles fins elles seront utilisées, entre autres informations.
Pensez à deux fois aux autorisations pour les données ou les capteurs qui vous sont demandés : Avez-vous vraiment besoin de partager votre emplacement ou votre liste de contacts par exemple ? À quoi serviront ces données ?
Si les renseignements relatifs à la protection des données ou à la vie privée sont inadéquats ou si trop d'informations ou d'accès à votre appareil sont recherchés, vous devriez vous méfier de partager des données personnelles avec ce service, et peut-être vouloir prendre d'autres mesures, ou envisager un autre service.
Assurez-vous que votre appareil est utilisé dans un endroit sûr, par exemple, gardez un œil sur ce (ou qui) peut être vu à partir de votre appareil photo, et assurez-vous de vous déconnecter, de désactiver ou de désactiver la vidéo, le cas échéant, lorsque vous partez ou faites une pause.
Considérez la protection des données et les droits à la vie privée d'autrui avant de publier ou de partager une photo ou une vidéo d'un appel vidéo contenant leur image, leur voix et/ou leurs coordonnées.
Lisez nos conseils généraux sur la sécurité en ligne en cas de pandémie
Conseils pour les organisations
Les employés devraient faire appel à vos fournisseurs de services contractuels pour les communications liées au travail. Assurez-vous d'être satisfait des fonctionnalités de confidentialité et de sécurité des services que vous leur demandez d'utiliser. L'utilisation ponctuelle d'applications ou de services par des particuliers ne devrait pas être encouragée.
Essayez de vous assurer que les employés utilisent des comptes professionnels, des adresses électroniques, des numéros de téléphone, etc., dans la mesure du possible, pour des vidéoconférences liées au travail, afin d'éviter la collecte inutile de leurs coordonnées personnelles ou de leurs coordonnées sur les réseaux sociaux.
Veiller à ce que des politiques et des lignes directrices claires, compréhensibles et à jour soient fournies aux utilisateurs de la vidéoconférence, afin qu'ils sachent quelles règles doivent suivre et quelles mesures doivent prendre pour minimiser les risques liés à la protection des données. Cela devrait inclure des renseignements sur les contrôles que les services fournissent et qui sont à leur disposition pour protéger leur sécurité, leurs données et leurs communications.
Mettre en œuvre ou conseiller les employés de mettre en œuvre des contrôles de sécurité appropriés comme les contrôles d'accès (comme l'authentification multifactorielle et des mots de passe uniques forts) et limiter l'utilisation et le partage des données à ce qui est nécessaire.
Lorsque les services de vidéoconférence doivent être utilisés pour des raisons organisationnelles, avoir une politique cohérente concernant les services qui sont utilisés et comment, et offrir par le biais d'un VPN ou d'un accès réseau distant lorsque cela est possible.
Évitez de partager les données de l'entreprise, les emplacements des documents ou les liens hypertexte dans toute installation de « chat » partagée qui peut être publique, car ceux-ci peuvent être traités par le service ou l'appareil de manière dangereuse.
Lisez nos directives sur la protection des données personnelles lorsque vous travaillez à distance et nos conseils sur la sécurité des données et assurez-vous que les points contenus dans ce document sont clairement indiqués aux employés.
Lisez la note d'information originale à l'adresse Conseils sur la protection des données pour la vidéoconférence
Note d'information complète de la Commission pour la protection des données (DPC) Irlande
Protection des données personnelles lorsque vous travaillez à distance
Appareils
Veillez à ce que les appareils, tels que les USB, les téléphones, les ordinateurs portables ou les tablettes, ne soient pas perdus ou égarés,
Assurez-vous que tout appareil dispose des mises à jour nécessaires, telles que les mises à jour du système d'exploitation (comme iOS ou Android) et les mises à jour logicielles/antivirus.
Assurez-vous que votre ordinateur, votre ordinateur portable ou votre appareil est utilisé dans un endroit sûr, par exemple, où vous pouvez le garder à vue et minimiser qui d'autre peut voir l'écran, en particulier si vous travaillez avec des données personnelles sensibles.
Verrouillez votre appareil si vous devez le laisser sans surveillance pour quelque raison que ce soit.
Assurez-vous que vos appareils sont éteints, verrouillés ou stockés soigneusement lorsqu'ils ne sont pas utilisés.
Utilisez des contrôles d'accès efficaces (comme l'authentification multifactorielle et des mots de passe forts) et, le cas échéant, le chiffrement pour restreindre l'accès à l'appareil et réduire le risque si un appareil est volé ou égaré.
En cas de perte ou de vol d'un appareil, vous devez prendre immédiatement les mesures nécessaires pour assurer une effacement de la mémoire à distance, si possible.
E-mails
Suivez toutes les politiques applicables dans votre organisation concernant l'utilisation du courrier électronique.
Utilisez des comptes de messagerie professionnelle plutôt que des comptes personnels pour les e-mails liés au travail impliquant des données personnelles. Si vous devez utiliser un e-mail personnel, assurez-vous que le contenu et les pièces jointes sont cryptés et évitez d'utiliser des données personnelles ou confidentielles dans les lignes d'objet.
Avant d'envoyer un e-mail, assurez-vous de l'envoyer au bon destinataire, en particulier pour les courriels impliquant de grandes quantités de données personnelles ou de données personnelles sensibles.
Accès au cloud et au réseau
Dans la mesure du possible, utilisez uniquement les réseaux ou services cloud de confiance de votre organisation et respectez les règles et procédures organisationnelles relatives à l'accès au Cloud ou au réseau, à la connexion et au partage de données.
Si vous travaillez sans accès au cloud ou au réseau, assurez-vous que toutes les données stockées localement sont sauvegardées de manière adéquate et sécurisée.
Enregistrements papier
Il est important de se rappeler que la protection des données s'applique non seulement aux données stockées ou traitées électroniquement, mais aussi aux données personnelles sous forme manuelle (telles que les enregistrements papier) lorsqu'elles font partie d'un système de classement.
Lorsque vous travaillez à distance avec des documents papier, prenez des mesures pour assurer la sécurité et la confidentialité de ces documents, par exemple en les gardant verrouillés dans un classeur ou un tiroir lorsqu'ils ne sont pas utilisés, en les éliminant en toute sécurité (p. ex., déchiqueter) lorsqu'ils ne sont plus nécessaires et en vous assurant qu'ils ne sont pas laissés quelque part. où ils pourraient être égarés ou volés.
Si vous avez affaire à des dossiers qui contiennent des catégories particulières de données personnelles (p. ex., les données sur la santé), vous devriez prendre des précautions supplémentaires pour assurer leur sécurité et leur confidentialité, et supprimer ces dossiers uniquement d'un endroit sécurisé où il est strictement nécessaire de mener à bien votre travail.
Dans la mesure du possible, vous devez conserver un registre écrit des dossiers et dossiers qui ont été ramenés à la maison, afin de maintenir de bonnes pratiques d'accès aux données et de gouvernance.
Lisez la note d'information originale sur la protection des données personnelles lorsque vous travaillez à distance
Extrait d'un article de Nick Statt via The Verge
Google interdit à ses employés d'utiliser Zo0m pour des raisons de sécurité
Google interdit l'utilisation de la plateforme de téléconférence Zoom pour les employés. La société évoque des problèmes de sécurité avec l'application qui sont apparus depuis que Zoom est devenu l'un des services les plus populaires pour le chat vidéo gratuit pendant la pandémie de COVID-19. Les nouvelles ont été rapportées pour la première fois par BuzzFeed News plus tôt aujourd'hui [8 avril 2020].
Google a envoyé un e-mail à ses employés la semaine dernière au sujet de l'interdiction, informant les travailleurs qui avaient installé l'application Zoom sur leurs machines fournies par Google que le logiciel ne fonctionnerait bientôt plus. Il est à noter que Google propose son propre concurrent Zoom d'entreprise appelé Meet dans le cadre de son offre G Suite.
Parmi les autres problèmes, mentionnons les enregistrements Zoom exposés, le partage de données non divulguées avec Facebook, les profils LinkedIn exposés et un programme d'installation « malware-like » pour macOS. L'entreprise est maintenant confrontée à une véritable réaction en matière de protection de la vie privée et de sécurité. Zoom a réagi en faisant de la course pour boucher les trous et renforcer les protections des consommateurs et des entreprises afin d'écarter la concurrence acharnée de Microsoft Teams et Skype, des applications G Suite de Google et d'autres fournisseurs de téléconférence plus traditionnels. Zoom a déclaré plus tôt ce mois-ci qu'il mettrait en pause les nouvelles fonctionnalités pendant 90 jours pour se concentrer sur la confidentialité et la sécurité.
Lire l'article complet de Google interdit à ses employés d'utiliser Zo0m pour des problèmes de sécurité
Extrait d'un article de Matthew Finnegan via Computerworld
Zoom frappé par une poursuite intentée par un investisseur alors que les préoccupations en matière de sécurité et de protection de la vie privée se montent
Les défis auxquels Zoom est confronté continuent de se développer, car l'entreprise est maintenant confrontée à un procès en faveur des investisseurs et de plus en plus d'organisations interdisent l'utilisation de l'application de vidéoconférence pour des raisons de confidentialité et de sécurité. L'entreprise a également redoublé d'efforts pour améliorer ses pratiques en matière de sécurité et de protection de la vie privée en embauchant l'ancien CSO de Facebook comme consultant.
Zoom a connu une augmentation de l'utilisation au cours des dernières semaines alors que l'auto-isolement en réponse à la pandémie augmente la demande de logiciels vidéo. Alors que sa popularité a augmenté, tant pour les affaires que pour les particuliers, et que le cours des actions de l'entreprise a grimpé, Zoom a subi des pressions sur plusieurs fronts.
Le mardi [7 avril 2020], l'actionnaire Michael Drieu a intenté une action devant une cour fédérale de Californie, alléguant que Zoom « surestimait significativement » le degré de cryptage de sa plate-forme, omettant de divulguer ces « lacunes » aux actionnaires.
Zoom a admis le 1er avril qu'il y avait une « divergence » dans sa définition du chiffrement de bout en bout par rapport à la définition communément acceptée. Drieu affirme que lui et d'autres actionnaires ont subi des « pertes et dommages importants » en raison d'une baisse du cours de l'action de Zoom après l'admission.
Lisez l'article complet de Zoom Hit By Investor Lawsuit As Security, Privacy Concerts Mount
Extrait d'un recours collectif intenté contre Zoom Video Communications
Cullen c. Zoom Video Communications, Inc.
Tribunal de district des États-Unis pour le district du nord de la Californie, 30 mars 2020
Zoom, cependant, n'a pas réussi à protéger correctement les informations personnelles des millions de plus en plus d'utilisateurs de son application logicielle (« Zoom App ») et de sa plateforme de visioconférence. Lors de l'installation ou à chaque ouverture de l'application Zoom, Zoom recueille les informations personnelles de ses utilisateurs et communique, sans préavis ou autorisation adéquate, ces informations personnelles à des tiers, y compris Facebook, Inc. (« Facebook »), ce qui empiète sur la vie privée de millions d'utilisateurs.
Dossier 5:20 -cv-02155 Document 1 Déposé 03/30/20 (PDF)
Zoom-Complaint-Case 5-20-cv-02155 Document 1 Déposé 033020
Extrait d'un recours collectif intenté contre Zoom Video Communications
Drieu c Zoom Video Communications, Inc. et al
Tribunal de district des États-Unis pour le district du nord de la Californie, 7 avril 2020
La vérité sur les lacunes du cryptage logiciel de Zoom a commencé à se faire jour dès juillet 2019. Cependant, en grande partie à cause de l'obscurité de la Société, ce n'est qu'après la pandémie de COVID-19 en mars et avril 2020, avec des entreprises et d'autres organisations qui comptent de plus en plus sur le logiciel de communication vidéo de Zoom pour faciliter les activités de travail à distance, car les gouvernements mettent de plus en plus en place des refuges dans les locaux. , que la vérité a été plus complètement mise à nu dans une série de divulgations correctives. Comme il est apparu clairement à la suite d'une série de reportages et d'admissions de la Société que Zoom avait considérablement surestimé le degré de cryptage de son logiciel de communication vidéo et que les organisations ont par conséquent interdit à ses employés d'utiliser Zoom pour des activités professionnelles, le cours des actions de la Société chuté, les investisseurs nuisibles.
Décision 5:20 -cv-02353 Document 1 Déposé 04/07/20 (PDF)
Zoom-Complaint-Case 3-20-cv-02353 Document 1 Déposé 040720
Extrait d'un article d'Oded Gal via le Zoom Blog
Réunions/Webinaires sur le zoom et le chiffrement
Compte tenu de l'intérêt récent porté à nos pratiques de chiffrement, nous voulons commencer par nous excuser pour la confusion que nous avons causée en suggérant incorrectement que les réunions Zoom étaient capables d'utiliser le chiffrement de bout en bout. Zoom s'est toujours efforcé d'utiliser le cryptage pour protéger le contenu dans autant de scénarios que possible, et dans cet esprit, nous avons utilisé le terme cryptage de bout en bout. Bien que nous n'ayons jamais eu l'intention de tromper nos clients, nous reconnaissons qu'il existe une divergence entre la définition communément acceptée du chiffrement de bout en bout et la façon dont nous l'utilisions. Ce blog a pour but de corriger cette divergence et de clarifier exactement comment nous chiffrons le contenu qui se déplace sur notre réseau.
L'objectif de notre conception de chiffrement est de fournir le maximum de confidentialité possible tout en répondant aux divers besoins de notre clientèle.
Pour être clair, dans une réunion où tous les participants utilisent des clients Zoom et où la réunion n'est pas enregistrée, nous chiffrons tous les contenus vidéo, audio, partage d'écran et chat sur le client expéditeur, et ne le déchiffrons à aucun moment avant qu'il n'atteigne les clients récepteurs.
Lire l'article complet à The Facts Around Zoom and Encryption Meetings/Webinars
Un extrait d'un article de Maria Crimi Speth de Jaburg Wilk
Comment Privé est Zoom Vidéoconférence ?
Beaucoup d'entre nous se retrouvent à assister à des réunions par vidéoconférence, comme Zoom. Vous pourriez même avoir des interactions confidentielles avec vos clients, fournisseurs de soins médicaux ou fournisseurs juridiques. Si vous vous demandez dans quelle mesure ces interactions sont sécurisées, nous avons analysé les politiques de sécurité, de droit et de confidentialité de Zoom (mises à jour le 18 mars 2020) pour vous aider à rester informé sans avoir à lire tous les petits caractères.
Lisez l'article complet sur How Private is Zoom® Videoconference ?
Un extrait de la politique de confidentialité de Zoom par Aparna Bawa via Zoom
Politique de confidentialité de Zoom
Chez Zoom, assurer la confidentialité et la sécurité de nos utilisateurs et de leurs données est notre priorité absolue. Nous voulons répondre aux préoccupations récentes concernant la politique de confidentialité de Zoom.
Nous tenons à souligner que :
Zoom ne vend pas les données de nos utilisateurs.
Zoom n'a jamais vendu de données utilisateur dans le passé et n'a pas l'intention de vendre les données des utilisateurs à l'avenir.
Zoom ne surveille pas vos réunions ou leur contenu.
Zoom se conforme à toutes les lois, règles et règlements applicables en matière de protection de la vie privée dans les juridictions dans lesquelles il exerce ses activités, y compris le RGPR et la CCPA.
Nous ne modifions aucune de nos pratiques. Nous mettons à jour notre politique de confidentialité [29 mars 2020] pour être plus claire, explicite et transparente.
Lire l'article complet de la Politique de confidentialité de Zoom
Lecture supplémentaire
La course à la ligne de départ ? Annonces récentes d'examen sécurisé à distance
Les cyberacteurs et les criminels : deux mises à jour sur la cybersécurité du FBI
Source : CompleDiscovery