Optimex Data vous se penche sur le sujet de la visioconférence RGPD et vous propose un tableau comparatif des différentes solutions du marché au regard de la protection des données personnelles. Avec la crise sanitaire, le recours aux rendez-vous et réunion en ligne à explosé. Ainsi, le sujet visioconférence et RGPD est devenu prioritaire dans le cadre de la conformité.
En effet, dans le cadre de la protection des données, visioconférence et RGPD vont de pair.
Alors quel logiciel adopter pour la visioconférence et RGPD ?
visioconférence RGPD
Afin de respecter l’actualité « crise sanitaire 2020 » et ses confinements traduite par une demande de « restez chez vous ! », beaucoup de professionnels sont contraints de travailler à la maison avec des outils de télétravail (permettant notamment la visioconférence). Ceux-ci n’ont jamais été autant sollicités, et n’ont d’ailleurs pas été construits initialement pour réaliser autant de connexions en même temps, ce qui peut poser des problèmes de sécurité et de stabilité mais qui déclenche indirectement les problématiques suivantes : « sont-ils conforment aux exigences du RGPD ? », « Assurent-ils un niveau de sécurité suffisant permettant de réduire au maximum les risques de violations de données ? », « Vos données sont-elles, à fortiori, suffisamment protégées ?».
Certains outils ont mieux que d’autres intégré les obligations issues du RGPD, toutefois force est de constater l’inévitable concurrence qui émerge de ces besoins nouveaux. Ce phénomène entraîne des hésitations au niveau des professionnels quant aux choix qu’ils doivent exercer parmi les multiples outils proposés sur le marché.
L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer les différents logiciels de visioconférences existants, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.
Tixeo
- Conformité au RGPD: Tixeo est recommandé par la CNIL.
- Fonctionnalités soucieuses du RGPD :
- Tixeo vous assure un accès sécurisé à vos réunions,
- Une autorisation est requise pour partager et prendre le contrôle du bureau,
- Néanmoins, la création d’un compte est requise pour pouvoir utiliser ce logiciel.
- Sécurité: Tixeo est certifié par l’ANSSI (très bon niveau de sécurité).
- Prix: le prix du logiciel est élevé, ce qui serait susceptible de représenter un inconvénient pour les petites entreprises à budget limité. En effet, les entreprises telles que Orange ou encore le Crédit Agricole utilisent Tixeo.
- Langues: français, allemand, anglais, espagnol, chinois…
Avantage incontestable :
Le siège social de ce logiciel se situe en France, et des filiales sont installées en Allemagne et en Espagne, autrement dit cet outil ne réalise aucun transfert en dehors de l’UE.
Wire
- Conformité au RGPD: Wire est entièrement conforme au RGPD et aide ses clients à faire face aux exigences du RGPD
- Fonctionnalités soucieuses du RGPD :
- Un utilisateur enregistré avec une identité vérifiée (adresse e-mail ou numéro de téléphone) peut établir des connexions avec d’autres utilisateurs enregistrés. Les connexions sont établies lorsqu’un utilisateur envoie une demande de connexion à un autre et que cette demande est acceptée.
- Les conversations sont séparées les unes des autres, et un utilisateur doit faire partie d’une conversation afin d’en voir le contenu.
- A chaque déconnexion, une fenêtre « clear data » s’ouvre et vous pouvez cocher une case afin que toutes vos informations et conversations soient supprimées de l’appareil.
- Sécurité: Wire a été fortement recommandé par la CNIL allemande (Hamburg Data Protection Authority. La sécurité du logiciel est centralisée autour d’un chiffrement activé par défaut de bout en bout et l’Open Source y est de guise.
- Prix: la tarification de cet outil est abordable, ce qui en fait un atout majeur.
- Langues: Wire est accessible en français, anglais et allemand.
Avantage incontestable :
Le siège social de Wire se situe en Suisse et il est entièrement conforme aux lois strictes sur la protection des données en Suisse et dans l’Union européenne. Soucieux de la protection de votre vie privée, Wire n’effectue aucun profilage et n’exploite pas vos données dans un quelconque but commercial (aucune publicité, bannière, popup...).
Zoom
- Conformité au RGPD: bien que tout ne soit pas parfait, force est de constater les efforts de Zoom dans sa mise en conformité RGPD.
- Fonctionnalités soucieuses (ou non) du RGPD :
- Zoom propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
- Pour utiliser ce logiciel, vous devez vous créer un compte.
- Sécurité:
- Fortement utilisé pendant la pandémie Covid19, Zoom a fait l’objet de plusieurs analyses qui ont démontré un niveau de sécurité insuffisant (pas de consentement, lien étroit avec d’autres plateformes, mauvais système de cryptage…).
- A la suite de ces critiques, Zoom a procédé à un renforcement de sa sécurité le 8 avril 2020, notamment en ce qui concerne le chiffrement des données.
- Prix: le logiciel propose une version gratuite et une version payante.
- Langues: chinois, anglais, français, allemand, italien, japonais, coréen, portugais, russe, espagnol et vietnamien.
Points de vigilance :
Le siège social de Zoom est en Californie aux USA. En utilisant Zoom, vous acceptez le fait que vos données personnelles puissent être transférées ou stockées aux Etats Unis ou dans tout autre pays du monde. Soyez vigilants car ces pays en question peuvent posséder des règles de protection des données différentes et moins protectrices que celles prévues en France.
Teams
- Conformité au RGPD: plusieurs fonctionnalités sont proposée afin de vous donner la possibilité de gérer vous-même la protection, la prévention et la gouvernance de vos données, mais en ce qui concerne une véritable conformité au RGPD, cette dernière mériterait d’être approfondie.
- Fonctionnalités soucieuses du RGPD :
- Authentification multi facteur
- Pas d’exploitation de vos données à des fins publicitaires
- Teams propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
- Suppression des données après résiliation ou à l’expiration de votre abonnement….
- Sécurité:
- Teams n’effectue aucun profilage.
- Teams utilise la sécurité intelligente (automatisation et intelligence intégrées) : niveau de sécurité incomplet.
- Prix: le logiciel propose une version gratuite et une version payante. . A noter que Teams est utilisé par des entreprises privées telle que l’Oréal, mais également les entreprises ayant souscrit à la suite Office 365.
- Langues: français, anglais, espagnol, italien, russe et coréen
Points de vigilance :
- Des institutions européennes de Microsoft existent, et à ce propos, le CEPD (Comité européen de la protection des données) a publié le 2 juillet 2020, un document présentant ses conclusions et recommandations pour l’utilisation de Microsoft par les institutions européennes.
- Toutefois, la suite Office 365 pour les mails et pour OneDrive garantit un hébergement dans l’UE.
En revanche, pour toutes les prestations annexes tels que Teams, des transferts de données hors UE peuvent être effectués.
Google Meet
- Conformité au RGPD: Google Meet ne représente en aucun cas, dans sa conception, l’outil idéal de conformité RGPD (manque de précision au niveau des principes et droits RGPD notamment)
- Fonctionnalités soucieuses (ou non) du RGPD:
- Demandes répétitives d’accès au micro et à la caméra de votre machine
- Obligation de créer un compte pour pouvoir utiliser le logiciel
- Accès difficile aux informations relative à la protection des données et à la sécurité du logiciel.
- Sécurité:
- Les données sont chiffrées lorsqu’elles sont en transit : c’est-à-dire qu’elles sont chiffrées par intranet, par des réseaux privés.
- Les enregistrements des clients stockés dans Google Drive sont chiffrés au repos.
- Prix : l’outil de visioconférence est inclus avec la GSuite, la suite payante d’outils payant d’outils bureautique proposé par Google.
- Langues: français, anglais, multilingue.
Points de vigilance :
En observant les conditions générales de Google, on constate plusieurs difficultés au niveau juridique et technique. En effet, Google Meet (outil de visioconférence inclus avec la GSuite, donc suite payante) est basé aux USA en Californie, autrement dit c’est le droit américain qui sera applicable dans toutes vos relations contractuelles. Il faut donc noter qu’en confiant vos données à Google, vous ne maitrisez pas juridiquement l’exploitation de vos données, ce qui peut être extrêmement problématique.
Interstis
- Conformité au RGPD: Interstis respecte les droits et les principes du RGPD et ne procède à aucune exploitation commerciale des données.
- Fonctionnalités soucieuses (ou non) du RGPD
- Les offres contiennent une clause de réversibilité des données qui oblige le logiciel à restituer les données aux utilisateurs s’il y a rupture contractuelle.
- L’utilisation du logiciel nécessite la création d’un compte.
- Sécurité:
- La sécurité des installations a été recommandée par l’ANSSI.
- Fort niveau de sécurité car les échanges d’informations sur la plateforme sont cryptées par un algorithme de chiffrement AES 128 bit dont la clé est différente pour chaque groupe de travail.
- Prix: Interstis propose une version gratuite et une version à la carte. Cet outil est fortement utilisé par des Communautés de Communes, des Mairies, des associations, des collectivités territoriales.
- Langues: français, anglais, multilingue.
Avantage incontestable :
Interstis est hébergé en France, autrement dit les données sont elles aussi hébergées en France dans des datacenter (donc pas de transferts de données en dehors de l’UE).
Cisco Webex
- Conformité au RGPD: aucune information ne permet d’évaluer à ce jour si ce logiciel est conforme ou non au RGPD (aucune mention dans la politique de confidentialité)
- Fonctionnalités soucieuses (ou non) du RGPD :
- Le logiciel a publié une liste pratique ayant pour unique intérêt d’informer les organisateurs des gestes à adopter dans le but de sécuriser leurs réunions. En effet, ce dernier n’apporte pas de précisions sur son rôle au sein de cette protection.
- L’utilisation du logiciel nécessite une inscription (donc une collecte de vos données)
- Sécurité: « tout ce qui est dit, partagé, et tapé » est protégé par un chiffrement
- Prix: Cisco Webex propose une version gratuite ainsi qu’une version payante. On constate que le coût parait relativement élevé pour les petites entreprises à budget limité (prix par hôte).
- Langues: français, anglais, espagnol, chinois, coréen, italien, allemand.
Points de vigilance :
Cisco est basé aux USA en Californie, il s’agit d’une entreprise internationale qui peut de ce fait être amenée à transférer des informations personnelles vers Cisco aux USA, ou encore vers une filiale de Cisco dans n’importe quel pays. Autrement dit, en utilisant ce logiciel et donc en communiquant vos données vous acceptez qu’elles puissent être transférées, traitées et stockées en dehors de l’UE.
Go to meeting (produit de LogMeIn) :
- Conformité au RGPD: LogMeIn a mis en place un engagement constitué de plusieurs documents PDF ayant pour objectif de répondre aux exigences du RGPD.
- Fonctionnalités soucieuses (ou non) du RGPD :
- L’utilisation du logiciel nécessite une inscription
- Sécurité: les fonctions de sécurité avancées sont proposées en option (par exemple une connexion SAML SSO requise).
- Prix: le logiciel ne propose pas de version gratuite (Uniquement un essai gratuit de 14 jours)
- Langues: anglais, français, multilingue
Points de vigilance :
La politique de confidentialité de LogMeIn consacre une partie sur la notion particulière du Privacy Shield et à son invalidation. Toutefois, il est précisé qu’il existe d’autres mécanismes de transfert de données (signature de l’Addendum de traitement des données ou encore des clauses contractuelles types).
Mikogo
- Conformité au RGPD: Mikogo est conforme au RGPD (respect des droits et des principes)
- Fonctionnalités soucieuses du RGPD :
- Les identifications de session se font de manière unique avec un mot de passe de session.
- Ceux qui partagent leur contenu d’écran et participent à une session ont donné leur accord au préalable.
- Aucune donnée de réunion n’est enregistrée.
- Outils de supervision de réseaux et outils de détection d’intrusion vous garantissent qu’aucun intrus ne pourra joindre une session et voir l’écran d’un autre participant.
- Un participant ne peut ni voir ni contrôler un autre ordinateur sans avoir obtenu l´accord explicite de son propriétaire.
- Sécurité :
- Mikogo use d’un bon système de cryptage (AES 256 bit) avec un chiffrement SSL de 128 bits du site web.
- Prix: ce logiciel propose une version gratuite et des versions payantes. A noter que des sociétés telles que Disney ou Yamaha utilisent Mikogo.
- Langues: français, anglais, allemand, brésilien, espagnol, italien, russe, chinois.
Points de vigilance :
Bien que basé en Europe (Allemagne), il faut noter qu’en utilisant ce logiciel et en contactant l’entreprise par courriel ou par le biais d’un formulaire de contact, vos informations sont automatiquement stockées dans le système CRM, qui est fourni par Salesforce Inc. (basé aux Etats Unis). Il n’est donc pas à exclure que vos données puissent être transférées et traitées dans un pays tiers (les USA par exemple) ou que vos données, stockées dans l’UE, soient accessibles depuis des pays tiers.
Conclusion
Nous vous conseillons, avant de télécharger un de ces outils, de :
- Privilégier les solutions qui protègent la vie privée et respectent les exigences du RGPD
- Ne pas télécharger cet outil depuis un site web ou une source inconnus
- N’utilisez que les applications pour lesquelles l’éditeur vous indique
clairement comment vos données sont réutilisées (dans l’application elle-même
ou sur son site web, par exemple) - Vérifier que l’éditeur a mis en place des mesures de sécurité essentielles,
comme le chiffrement des communications de bout en bout - Sécuriser au maximum votre réseau Wi-Fi (mot de passe robuste par exemple, ou penser à inclure au sein de votre organisme un générateur de mot de passe tel que Keepass par exemple)
- Être vigilant sur les éventuels transferts de données hors UE
Notre coup de cœur :
L’équipe Optimex Data a eu un véritable « coup de cœur » pour Wire. Ce logiciel est non seulement conforme au RGPD, mais son niveau de sécurité (notamment en ce qui concerne le chiffrement des données) est tout à fait adapté. Le logiciel est extrêmement facile d’utilisation, et vous propose lors d’une suppression de compte de supprimer toutes vos données. Encore, il propose des Guest Rooms, donc pas besoin pour vos clients, ou pour des personnes que vous souhaitez inviter, de se créer un compte Wire, il suffira de leur envoyer un lien qui leur permettra de vous rejoindre !