Zoom, Teams, Google Meet, WhatsApp, Telegram, Signal, DUST, WICKR, OLVID, Citadel etc, échanges à tout-va, quel encadrement ?

La situation pandémique actuelle a bouleversé nos relations sociales et nos habitudes de travail.  Parmi celles-ci, nombreux sont ceux qui sont amenés à faire des visio-conférences (Zoom, Teams, JITSI, Google Meet, Discord, etc ) et de travailler via les systèmes de messageries instantanées. 

Depuis le début de la crise sanitaire due au coronavirus, ZOOM est devenue l’application la plus téléchargée mondialement. D’autres se partagent également le marché.

Pour autant, beaucoup d’entre vous me demandent s’ils sont obligés de participer à ces visio-conférences, si on peut leur imposer l’horaire et la durée, les obliger à apparaître à l’écran, s’ils peuvent s’opposer à l’enregistrement de la réunion, etc.

Respect des droits et des libertés

La visioconférence est prévue par le Code du travail depuis 2016, mais cette mesure doit être proportionnée à l’objectif poursuivi et ne pas porter une atteinte excessive au respect des droits et libertés, particulièrement au respect de la vie privée. La CNIL recommande de ne pas imposer l’activation de la caméra des salariés lors de visioconférence en application du principe de minimisation des données prévues par le RGPD. En effet, les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5-1.c).

La Commission nationale de l’informatique et des libertés (CNIL) « assimile cette pratique à de la vidéo qui filmerait les agents sur leur poste de travail ». Donc à une surveillance excessive et disproportionnée. En effet, le raisonnement est le même car il s’agit d’une volonté de mettre sous surveillance constante des employés, de surcroit dans leur domicile. Les employeurs doivent mettre en place du contrôle sur ce qui est produit, sur les objectifs etc. et le télétravail ne peut être un prétexte à permettre une surveillance excessive de ce type ».

Cependant, le placement des salariés en télétravail ne neutralise pas le pouvoir de direction de l’employeur qui reste libre d’imposer la tenue de réunions à distance, sous réserve naturellement qu’elles soient organisées pendant les plages horaires de travail. Dans ces conditions, votre employeur peut également décider des modalités d’organisation de ces réunions (conférence téléphonique, visioconférence, etc.). Pour autant, dès lors que la visioconférence n’est pas indispensable à l’exercice de l’activité et que le salarié ne refuse pas par ailleurs de communiquer oralement, il peut, valablement refuser d’allumer sa caméra en invoquant son droit à la vie privée. Ce refus ne sera pas susceptible de sanctions. Donc si vous le souhaitez, vous pouvez assister à une web conférence sans allumer votre caméra.

De leur côté, les initiateurs/animateurs de ces visio-conférences s’interrogent sur l’usage de l’enregistrement de la conférence, sur la confidentialité des échanges et le risque de manipulation des images, qui apparaissent déjà sur les réseaux.

Accord explicite des participants

L’usage des images de la conférence ne peut se faire sans l’accord explicite des personnes qui y participent. L’enregistrement ne peut se faire qu’avec l’accord de l’organisateur de la visio-conférence qui en délimite les contours. Quant à la confidentialité des contenus, s’il s’agit d’échanges entre employeur et employés, ceux-ci sont normalement tenus par une clause de confidentialité stipulée dans leur contrat de travail. S’il s’agit de relations B2B ou B2C, il doit être clairement indiqué dans l’invitation à la visio-conférence, comme au démarrage de celle-ci, l’obligation de confidentialité à laquelle chacun des participants s’engage sans restriction en y assistant. 

Les applications qui proposent le service de visio-conférence sont tenues d’informer, de façon complète, les utilisateurs de l’usage fait de leurs données. Il doit notamment être possible de savoir quelles informations sont enregistrées et réutilisées, et dans quel objectif.

Les informations collectées sur vous ne se limitent pas nécessairement à ce que vous avez directement fourni et peuvent s’étendre à d’autres types de données techniques permettant de vous ré-identifier (adresse IP, identifiant de l’appareil, cookies ou technologies analogues). Dans tous les cas, ces informations ne doivent pas être collectées à votre insu.

Vos conversations, dans un contexte privé ou professionnel, peuvent révéler beaucoup d’informations, soit intimes, soit protégées par une obligation de confidentialité par rapport à vos activités professionnelles.

Applications mobiles et risques de sécurité

L’entrée en vigueur (qui serait repoussée de trois mois en ce qui concerne l’Europe…) de nouvelles conditions d’utilisations sur WhatsApp, impliquant un partage de données plus important avec Facebook, a poussé de nombreux utilisateurs à migrer vers l’application Signal, une messagerie chiffrée par défaut, qui a la particularité de ne quasiment pas collecter de données personnelles et d’avoir laissé son code source en libre accès. Par contre, même si le modèle diffère, ces deux applications identifient les contacts par leur numéro de téléphone et les mettent en relation à l’aide d’un serveur central.

D’autres applications mobiles existent, telle que Telegram, connue pour sa fonctionnalité de discussion groupée pouvant inviter jusqu’à 100 000 membres, présente malgré tout des risques de sécurité, le chiffrement de bout en bout n’étant pas configuré par défaut, vous devez activer manuellement la la fonction de « Secret Chat », sinon les discussions ne seront chiffrées qu’entre votre appareil et le serveur de Télégram.

Une start up française tire aussi son épingle du jeu, Olvid qui ne collecte aucune donnée personnelle. La technologie d’Olvid ne requiert aucune donnée personnelle pour fonctionner : aucun numéro de téléphone, mail, nom, prénom, adresse, date de naissance… … Ils ne sont transmis qu’aux utilisateurs d’Olvid avec lesquels vous décidez d’entrer en contact. Pas d’accès au téléphone, ni au carnet d’adresses.

La particularité d’Olvid est que son protocole de chiffrement ne repose pas sur un serveur global. Elle établit un lien direct entre les interlocuteurset protège leurs échanges et leurs métadonnéessans passer par un tiers de confiance comme le font WhatsApp, Signal et les autres messageries sécurisées.

Demeurent les obligations de respect d’autrui, de loyauté et de fair play qui doivent entourer la bonne marche de ces visio-conférences. Les animateurs/modérateurs des visio-conférences semblent avoir naturellement admis les principes comme des évidences. Par contre, on assiste plus fréquemment à des dérapages lors des échanges sur messagerie. Le prochain billet sera consacré à l’impact et la protection des échanges d’e-mails, de SMS, et des messages échangés à chaud sur les différentes messageries.

N’hésitez-pas à nous poser des questions ou nous faire part de sujets que vous souhaiteriez voir traiter 

Auteur : Maitre Yael Wolmark 
Publié le 3 février 2021

Spécialisée en droit des nouvelles technologies, de l’information, de la communication et de la propriété intellectuelle, Yaël WOLMARK, Avocat au Barreau de Paris et Médiateur Européen. Art & Industry Protection porte un projet singulier : accompagner chacune des étapes de la protection, du développement national, européen, international, économique et juridique des actifs immatériels des entreprises.