La protection des données personnelles est plus que jamais au cœur des préoccupations européennes. À l’heure où le télétravail est à nouveau une priorité, il y a matière à repenser le choix des outils utilisés, pour que chacun reste maître de ses données. Empreinte Digitale revient sur les dernières mesures prises en faveur de la protection des utilisateurs et les écueils de certaines solutions, avant d’évoquer les alternatives existantes !

L’Europe ne cède rien sur la protection des données, la France veut sensibiliser les utilisateurs

Nous l’évoquions dans notre dernier article sur la protection des données et la gestion des cookies : le rejet du Privacy Shield le 16 juillet 2020 par la Cour de Justice de l’Union Européenne (CJUE) marque une forte volonté de ne faire aucun compromis sur l’application du Règlement Général de Protection des Données (RGPD). Rappelons que cet accord encadrait le passage des données personnelles des citoyens européens vers des serveurs américains.

Dès lors, si les transferts de données personnelles vers les États-Unis ne sont plus conformes au RGPD, il est plus qu’urgent de s’interroger sur les solutions que nous utilisons quotidiennement et sur les informations que nous leur laissons. D’autant plus que la collecte de ces données par les États-Unis échappe à tout contrôle de la législation française et de l’usager. Notons que les infrastructures basées en Europe, mais gérées par des entreprises américaines, ou européennes commerçant avec les États-Unis, sont également concernées (c’est tout l’enjeu du Cloud Act) .

C’est dans ce climat que la France souhaite sensibiliser les utilisateurs quant aux risques pris. Dans cette optique, le Sénat a, le 22 octobre dernier, approuvé en première lecture un amendement proposant la mise en place d’un “cyberscore”. L’objectif : informer les internautes sur le niveau de sécurité de certaines solutions en ligne et, plus particulièrement, sur le degré de protection de leurs données personnelles. Cette notation devrait concerner en priorité les acteurs majeurs du secteur, qui tutoient les cinq millions de connexions mensuelles.

Une mesure qui fait bien évidemment écho à la récente utilisation massive d’outils en ligne aux pratiques obscures, voire totalement en contradiction avec le RGPD.

Télétravail : des outils avec des pratiques troubles sur la protection des données

© Pexels, Anna Shvets

La période du confinement, et la situation sanitaire actuelle, ont accéléré la pratique du télétravail. Dès lors, nombreux sont les utilisateurs qui ont eu recours à des solutions de visioconférence ou des applications collaboratives : ainsi Zoom a connu un pic de 300 millions d’utilisateurs tandis que Microsoft Teams affichait une fréquentation record de 200 millions de participants !

Pourtant, rares sont ceux qui ont prêté attention à la politique de protection des données de ces solutions qui parfois contournent le RGPD.

Dès le début du confinement, c’est justement l’application de visioconférence américaine Zoom qui s’est retrouvée au cœur de la controverse, notamment pour des brèches en matière de sécurité, mais aussi des conversations non-cryptées de bout en bout et des transferts de données vers Facebook, sans le consentement de l’utilisateur. Des manquements au RGPD également recensés sur d’autres applications, comme le révélait une étude du Consumer Report qui souligne les failles des solutions de grandes firmes, lesquelles collectent également des informations sur leurs utilisateurs, pendant les vidéoconférences.

Pour dire les choses simplement : en utilisant une solution propriétaire, vous êtes face à une véritable “boîte noire”, à laquelle vous confiez vos données personnelles, sans vraiment savoir dans quel but elles sont collectées, ni pour quelle utilisation ultérieure sans être en mesure d’auditer le code source à la recherche de failles potentielles. À l’heure du rejet du Privacy Shield, le stockage de données personnelles sur des serveurs américains est une question délicate qui agite les entreprises du numérique. D’autant plus que la France fait déjà marche arrière sur le stockage de certaines informations sensibles, comme celles du Health Data Hub qui devaient être confiées au géant américain Microsoft.

Garantir la protection et la sécurité des données : privilégier des logiciels libres et un hébergement éthique

© Empreinte Digitale

Alors que s’instaure une nouvelle période sanitaire délicate, il est indispensable de privilégier des solutions respectueuses du cadre légal instauré par le RGPD. C’est particulièrement le cas de certaines professions pour lesquelles la confidentialité dans le traitement des données est un prérequis.

Garder le contrôle sur ses données personnelles, c’est préserver la liberté et l’autonomie de l’utilisateur ! C’est ce à quoi s’attachent les solutions libres et open source, ainsi que les opérateurs de cloud indépendants.

Définissons ces termes avant de continuer :

• Un logiciel est défini comme libre s’il offre aux utilisateurs la possibilité d’être exécuté, mais aussi d’être étudié au niveau de son code source afin d’être modifié, copié et distribué à d’autres. Le libre, c’est aussi, plus globalement, une véritable philosophie qui s’attache à protéger la liberté de l’utilisateur avec des outils qui bénéficient à tous; cela rejoint la notion de “biens communs”.
• Le terme open source renvoie, quant à lui, à un code source ouvert et consultable. Si logiciels libres et open source sont intrinsèquement liés, pour les défenseurs du libre, l’open source reste avant tout une démarche méthodologique et technique.
• Un cloud indépendant est une infrastructure qui se démarque par une démarche éthique et affirme son indépendance vis-à-vis des GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et des réglementations hors cadre européen.

Cette éthique propre au logiciel libre et open source, nous y sommes très attachés chez Empreinte Digitale. C’est d’ailleurs pour cela que nous utilisons ces technologies pour tous nos projets de développement sur-mesure et pour nos centres serveurs localisés en France.

En utilisant des outils libres et open source qui se disent en conformité avec le Règlement Général de Protection des Données, vous avez en partie le contrôle sur le traitement de vos données personnelles. En effet, grâce à la transparence du code source, il est possible d’auditer le cœur même du logiciel : vous savez quelles informations sont collectées et par quel biais.

D’où l’importance de bien choisir les outils que vous utilisez pour télétravailler ! Avec un logiciel de visioconférence comme Jitsi, vos données sont en sécurité et vos conversations chiffrées. Ce n’est d’ailleurs pas un hasard si cet outil est recommandé aux administrations publiques par le Socle Interministériel de Logiciels Libres.

Cependant, pour garantir un niveau acceptable en matière de sécurité des données, il est indispensable que toute la chaîne soit vertueuse : que ce soit le chiffrement entre les usagers et les serveurs pour assurer la confidentialité, mais aussi l’emplacement géographique et les opérateurs concernés par le traitement des données.

Pour être précis, un logiciel libre hébergé dans un cloud public géré par un GAFAM (Google, Apple, Facebook, Amazon et Microsoft) aux États-Unis (ou tout autre opérateur hors de l’Union Européenne) ne pourra pas garantir le respect des législations européennes ; contrairement au même logiciel, hébergé dans un cloud indépendant et souverain en France.

S’appuyer sur des infrastructures gérées selon une éthique numérique responsable, c’est pouvoir compter sur l’application de principes de loyauté et de transparence. En privilégiant des acteurs de l’hébergement localisés en France, vous savez exactement où sont stockées vos données et qui les traite : vos données vous appartiennent vraiment.