En cette période de confinement lié à la pandémie de COVID-19, nous sommes amenés à faire évoluer nos habitudes et pratiques de travail.
Ainsi, de nombreux professionnels, forcés de passer au télétravail, ont été conduits à télécharger diverses applications telles que Skype, WhatsApp, Zoom, Discord, Twitch, etc., leur permettant de réaliser des visioconférences, appels vidéo, échanges de documents ou photos, et appels vocaux gratuits.
Dans le secteur médico-social, ces diverses applications sont également utilisées par les professionnels afin de conserver le lien avec leurs usagers ou entre les usagers et leurs familles.
Se pose alors la question de la collecte et de la gestion des données personnelles par les sociétés détentrices de ces applications, dont la plupart sont basées aux Etats-Unis, et plus généralement la question du respect de la vie privée de leurs utilisateurs.
En effet, la quasi-totalité des applications numériques collecte des données personnelles sur leurs utilisateurs, pour analyser l’usage de leurs services ou à des fins commerciales.
Certaines applications sont, cependant, particulièrement intrusives et collectent automatiquement outre vos nom, adresse mail, numéro de téléphone, adresse postale et adresses IP, le genre d’appareil que vous utilisez, la version du système d’exploitation et l’identifiant de votre appareil, l’endroit où vous vous trouvez, les services que vous utilisés, ou encore diverses métadonnées, comme la durée des vidéoconférences, le nombre de participants, les noms et e-mails des personnes y participants, etc.
Par ailleurs, certaines applications ne chiffrent pas ou pas réellement les données, permettant ainsi l’accès à ces données par des employés ou des tiers indélicats.
Certaines applications ont, également, montré des failles de sécurité telles que l’accès aux webcams et micro d’utilisateurs sans leur consentement par des pirates.
Les données collectées par ces applications peuvent être stockées et hébergées aux Etats-Unis ou autres pays où se situent les centres de données.
Il convient, toutefois, de préciser que même si les données recueillies sont hébergées à l’étranger, les transferts de données en dehors de l’Europe sont soumis au Règlement général sur la protection des données (RGPD).
Ainsi, les principes relatifs au traitement des données à caractère personnel énumérés à l’article 5 du RGPD doivent être respectés. Ce qui signifie que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente. Elles doivent, également, être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
L’utilisateurs dispose, également, d’un droit de rectification et d’un droit d’effacement de données le concernant.
Toutefois, si bons nombres d’applications affirment ne pas vendre les données de leurs utilisateurs et respecter le RGPD, nous vous invitons à être vigilants. Ainsi, l’application ZOOM vient d’être épinglé pour des fuites de données massives notamment vers Facebook qui en fait un usage mercantile.
L’application du RGPD en dehors de l’Europe pourra se révéler difficile.
Ainsi, afin de protéger la vie privée de vos salariés et, le cas échéant, de vos usagers et de leurs familles, il est recommandé de paramétrer correctement votre application avant de l’utiliser et d’inviter vos collaborateurs et usagers à faire de même.
Nous vous recommandons, également, si vous imposez l’utilisation de ces applications à vos collaborateurs, usagers ou à leurs familles, de solliciter, préalablement, l’accord écrit de ces derniers pour être contactés via ces applications.
La responsabilité du responsable de traitement dans le cadre d’une violation de données
La Cour de justice de l'Union Européenne a récemment abordé un sujet crucial : qui est responsable en cas de violation des données personnelles ? Selon le RGPD, le responsable du traitement des données doit prouver qu'il a pris toutes les mesures nécessaires pour...
