L’explosion du télétravail et du travail hybride ont généralisé l’utilisation de solutions de visioconférences dans les organisations. Des outils qui impliquent le traitement d’une multitude de données personnelles des collaborateurs de votre entreprise.

Protégez vos salariés et votre activité

Déployer une solution de visioconférence au sein de votre organisation implique le traitement des données personnelles de l’ensemble de vos collaborateurs. Celles-ci sont de différentes natures et comportent des informations sur vos salariés mais aussi sur votre activité.

Ainsi, en fonction de la demande, les noms, prénoms, ou encore identifiants et mots de passe des utilisateurs sont des données personnelles qui peuvent être récoltées, tout comme les intitulés de réunions, leurs dates ou la liste des participants.

Dans la plupart des organisations, et notamment celle dans des secteurs sensibles, ces données doivent rester strictement confidentielles. Il est donc impératif de disposer d’une vue claire sur la façon dont sont traitées les données personnelles.

5 questions indispensables à se poser

1/ Par qui sont traitées mes données ?

Le responsable du traitement détermine les finalités et les moyens d’un traitement de données personnelles. Le sous-traitant des données personnelles traite des données personnelles pour le compte du responsable de traitement.

Selon l’utilisation de ses services, TIXEO est responsable du traitement des données personnelles ou sous-traitant pour le compte de ses clients Cloud.

2/ Pourquoi sont-elles utilisées ?

Il s’agit des finalités fixées par le responsable du traitement et qui justifient l’utilisation des données personnelles.

Par exemple, Tixeo traite des données personnelles lors d’une réunion en visioconférence pour générer un historique de réunions, nécessaire à son client et pour permettre de retrouver les participants ayant participé à une réunion.

3/ Où sont-elles hébergées ?

Une question essentielle puisque l’hébergement des données personnelles est un facteur clé pour déterminer leur niveau de protection.

En effet, au sein de l’Union Européenne, le RGPD exclut toute possibilité d’héberger des données personnelles à l’étranger ou de transférer des données dans un pays tiers, sans accord contractuel prévu au préalable.

En dehors de l’Union Européenne, les réglementations sont beaucoup plus souples. Aux Etats-Unis, le Cloud act, série de lois extraterritoriales, permet aux autorités de contraindre les éditeurs, situés sur le territoire américain, à fournir les données relatives aux communications électroniques, qu’elles soient stockées sur des serveurs américains ou étrangers.

Tixeo héberge l’ensemble de ses données en France, auprès d’OVH, entreprise française et leader européen du cloud.

4/ Quelle est leur durée de conservation ?

Les données traitées peuvent être conservées durant une durée limitée. Celle-ci doit être clairement spécifiée.

5/ Quelles sont les mesures de protection des données personnelles mises en œuvre ?

La conformité au RGPD d’une solution de visioconférence est un premier gage de sécurité.

Tixeo va plus loin en prenant un certain nombre de précautions pour maximiser la sécurité des données. Parmi elles, le chiffrement des disques durs des postes de travail du personnel traitant des données personnelles ou encore la vérification de la conformité des sous-traitants avec l’article 28 du RGPD.

En effet, la sécurité fait partie de l’ADN de Tixeo : sa solution de visioconférence européenne est la plus sécurisée du marché et est certifiée et qualifiée par l’ANSSI.

Découvrez comment Tixeo traite vos données personnelles

Dans son guide RGPD, Tixeo explique en toute transparence sa politique en matière de protection des données personnelles.

En un clic, sélectionnez votre profil utilisateur et découvrez toutes les informations concernant le traitement de vos données personnelles par Tixeo, solution de visioconférence 100% conforme au RGPD.

Alors que 42% des européens sont inquiets quant à l’utilisation de leurs données personnelles (selon cette étude parue en 2022), être conforme au RGPD (Règlement Général pour la Protection des Données personnelles) est un enjeu de plus en plus important pour les entreprises. À l’heure de la digitalisation du travail, cette conformité est aujourd’hui un réel gage de fiabilité.

Tixeo, leader européen de la visioconférence sécurisée, est 100% conforme au RGPD.

Pour protéger les données personnelles des utilisateurs

Lorsqu’une solution de visioconférence est utilisée au sein d’une organisation, des données personnelles sont collectées et traitées.

Voici un exemple de données personnelles qui peuvent faire l’objet d’un traitement par l’éditeur de la solution:

• les listes de participants aux réunions,
• leurs noms et coordonnées électroniques,
• les horaires et dates des visioconférences,
• les identifiants ou encore les mots de passe

Avant même d’utiliser la solution, une collecte de données personnelles peut même déjà avoir été réalisée. Par exemple, si une demande d’essai ou de contact a été faite : le nom, l’adresse mail ou le numéro de téléphone du demandeur ont été traités.

Il est donc essentiel d’avoir connaissance de l’ensemble des mesures prises par l’éditeur de visioconférence pour protéger les données.

Une condition incontournable : l’origine européenne de la solution

En Europe, le RGPD encadre fermement le traitement des données personnelles.

Il exclut notamment toute possibilité de transférer des données dans un pays tiers, sans accord contractuel prévu au préalable. Le RGPD impose également aux éditeurs de notifier toutes les informations relatives aux données personnelles qu’ils collectent comme : les supports de collecte, les finalités, la base légale ou encore la durée de conservation. Les visioconférences européennes sont soumises à ce règlement.

En dehors de l’Union Européenne, les solutions de visioconférence ne sont pas soumises au RGPD.

La plupart des grands éditeurs, notamment présents sur le sol américain, répondent à des réglementations étrangères, très souples en matière de protection des données. Le Cloud Act en fait d’ailleurs partie. Cette série de lois extraterritoriales permet aux autorités, sous certaines conditions, de contraindre les éditeurs, situés sur le territoire américain, à fournir les données relatives aux communications électroniques, stockées sur des serveurs américains ou étrangers.

Tixeo offre une totale transparence sur le traitement des données personnelles

En tant qu’acteur engagé pour la sécurité des visioconférences, Tixeo place la conformité au RGPD au cœur de ses engagements. Il est impératif que ses clients, évoluant dans des secteurs sensibles et stratégiques, bénéficient d’une protection optimale des données personnelles de leurs utilisateurs.

Tous les moyens de sécurité sont mis en œuvre, notamment en interne, pour assurer cette protection. Parmi ces mesures : le chiffrement des disques durs des postes de travail du personnel traitant des données personnelles ou encore la vérification de la conformité des sous-traitants.

Mais il ne suffit pas de l’affirmer !

Tixeo met à disposition de ses clients et utilisateurs un guide RGPD pédagogique et facile à appréhender.

Dans ce guide, il suffit de sélectionner son profil (client Tixeo, testeur de la solution, invité à la visioconférence…), pour accéder, en un seul clic, à toutes les informations sur le traitement de ses données personnelles.

Une étude a récemment montré qu’il était possible d’accéder à des informations affichées sur l’écran d’un participant à une visioconférence, à travers le reflet de ses lunettes. Un nouveau risque d’espionnage à prendre au sérieux ?

Des données sensibles peuvent être exposées

Ce sont des chercheurs de l’université du Michigan aux États-Unis et de l’université de Zhejiang en Chine qui ont fait cette révélation. Dans un article intitulé « Private Eye : On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing” , ils expliquent « avoir réussi à reconstruire et reconnaître, avec une précision de plus de 75%, des textes à l’écran dont la hauteur est aussi faible que 10 mm avec une webcam 720p ». Autrement dit, il serait possible pour un participant d’une visioconférence de lire des textes présentant une taille de police de 28 points, dans le reflet des lunettes d’un autre participant à la réunion en ligne.

Néanmoins, l’étude précise qu’un certain nombre de conditions doivent être réunies pour que le déchiffrage du texte soit possible. La luminosité de l’écran, le type de verres de lunettes ou encore la lumière ambiante sont autant de critères qui vont amoindrir le risque d’espionnage.

De plus, il est actuellement impossible pour les chercheurs d’analyser des textes d’une police de 9 à 12 points.

Un risque de cybersécurité qui pourrait s’accentuer à l’avenir 

Avec les progrès technologiques, notamment ceux de la 4K, les chercheurs estiment qu’il sera de plus en plus facile de lire les textes à travers les webcams. Ce type d’espionnage des visioconférences est donc susceptible de s’accentuer.

Et pour cause : les visioconférences regorgent de données souvent confidentielles, liées à l’activité des entreprises et des organisations. L’usage d’outils de visiocollaboration est aujourd’hui massivement adopté : toutes les fonctions de l’entreprise peuvent donc être visées.

La sécurité des visioconférences en question

Pour l’heure, ce type d’espionnage, via le reflet des lunettes des participants, ne semble pas  se généraliser massivement. Mais la vigilance doit cependant rester de mise sur la sécurité des visioconférences.

En effet, l’espionnage des réunions en ligne, notamment par le biais de backdoors ou de failles de sécurité, est un risque qui lui est déjà bien réel. Le chiffrement de bout en bout des flux de communication permet notamment d’éviter tout risque d’espionnage et vol de données. Une solution de visioconférence Secure by Design est également recommandée : elle intègre, dès sa conception, des mécanismes de sécurité pour renforcer la fiabilité du logiciel.

Chiffrer l’ensemble des communications audio, vidéo et data échangées lors d’une visioconférence, c’est possible avec la technologie de chiffrement de bout en bout de Tixeo. Mais comment ça marche ?

Pourquoi utiliser le chiffrement de bout en bout ?

Durant des réunions en visioconférence, de nombreuses informations personnelles et confidentielles sont échangées. Sans protection, ces données sont susceptibles d’être interceptées et écoutées. Ce risque d’intrusion a des conséquences particulièrement graves pour les entreprises, qui peuvent être exposées à des vols de données et à de l’espionnage industriel.

Une technologie fiable pour des échanges confidentiels

Le chiffrement de bout en bout (E2EE) est un système de transmission des données (audio, vidéo et data). Il permet uniquement à l’émetteur et au(x) destinataire(s) de déchiffrer ces données sans aucune phase de déchiffrement entre eux. Toute écoute et espionnage informatique sont impossibles. C’est le seul procédé qui garantit une confidentialité totale des communications.

La technologie de visioconférence Tixeo intègre un réel chiffrement de bout en bout dans une visioconférence, quel que soit le nombre d’utilisateurs connectés. Seuls les participants à la réunion, qui possèdent les clés de chiffrement, sont en mesure d’accéder aux échanges. Tixeo, le propre éditeur, ne peut pas non plus intercepter les communications.

L’architecture unique de chiffrement de bout en bout de Tixeo

Le chiffrement de lien est effectué en TLS (Transport Layer Security). Le chiffrement de bout en bout (de client à client) des flux audio, vidéo, et data est réalisé en AES 256 (Advanced Encryption Standard 256), avec un échange de clés Diffie-Hellman. Toutes les transmissions de données via les solutions Tixeo sont ainsi garanties à un niveau de sécurité optimal.

L’échange de clés Diffie Hellman

Il s’agit du mécanisme choisi par Tixeo, utilisé pour l’échange de clés du chiffrement de bout en bout. Lorsqu’un utilisateur se connecte à son compte Tixeo, une clé de chiffrement éphémère lui est attribuée et est stockée sur son appareil. Elle permet de chiffrer l’ensemble de ses communications audio, vidéo et data.

Pour échanger avec un autre utilisateur, sa clé de chiffrement est communiquée à son interlocuteur, et vice versa. Si d’autres utilisateurs tentaient d’accéder à leurs communications, ils ne verraient qu’une suite de chiffres illisibles. À la prochaine connexion au logiciel, une nouvelle clé de chiffrement sera attribuée à l’utilisateur.

Aucune trace des communications ne peut être retrouvée grâce à ce procédé.

Le vrai et faux du chiffrement de bout en bout

Toutes les visioconférences chiffrent leurs communications ?

Faux !

Certaines visioconférences traditionnelles revendiquent un chiffrement de bout en bout des communications. Dans la plupart des cas, il s’agit d’un simple chiffrement de lien SRTP (Secure Real-time Transport Protocol). En clair, cette technologie chiffre uniquement les flux transitant entre l’utilisateur et le serveur de communication. Il est ainsi très facile d’accéder aux données déchiffrées quand celles-ci transitent par leurs serveurs. Avec la technologie sécurisée de Tixeo, le serveur relaie une version chiffrée des échanges que personne n’est capable de déchiffrer s’il ne possède pas la clé.

Certains systèmes de visioconférence traditionnels sont d’ailleurs basés sur des protocoles SIP ou H.323. Du fait de cette architecture, ces systèmes ne peuvent pas intégrer nativement des mécanismes de chiffrement de bout en bout.

Le chiffrement de bout en bout n’est pas possible dans certains pays ?

VRAI !

En dehors de l’Europe, les garanties de protection des données sont limitées. Le chiffrement de bout en bout des communications est même parfois inexistant ou interdit.

Depuis plus de 20 ans, aux Etats-Unis, la loi antiterroriste «USA PATRIOT Act» autorise potentiellement l’écoute de n’importe quel type de communication électronique. Ainsi, les agences gouvernementales américaines imposent aux entreprises nationales IT, opérant sur le territoire des Etats-Unis ou ailleurs, de mettre à disposition (si nécessaire) des moyens de collecte de données ou «backdoors» (portes dérobées). Le risque d’espionnage est alors élevé si on considère que ces backdoors sont susceptibles d’être utilisées par des entités malintentionnées. De plus, ces écoutes ne se limitent pas aux Etats-Unis. Les entreprises dans d’autres pays sont contraintes par des règlementations équivalentes.

L’origine d’une technologie de chiffrement reste donc un élément crucial à prendre en compte au moment de choisir une solution de visioconférence. En France, aucun texte n’interdit le chiffrement de bout en bout, aucune loi ne peut contraindre un éditeur à fournir des clés de chiffrement. Ce cadre légal est d’une importance capitale : il garantit une protection optimale contre toute tentative d’écoute.

Les communications dans une visioconférence non sécurisée peuvent, à tout moment, être écoutées et enregistrées. L’accès aux réunions en ligne doit être contrôlé, tout comme cela est fait pour des réunions en présentiel.

La visioconférence, une mine d’information pour les cybercriminels

L’utilisation de la visioconférence n’est plus occasionnelle : elle est quotidienne pour la majorité des entreprises. Réunions du CoDir ou d’équipes, réunions de crise, bilan financier et présentation de la stratégie business sont autant de moments essentiels qui sont organisés aujourd’hui en mode hybride ou en distanciel.

En télétravail, les informations échangées quotidiennement entre les collaborateurs peuvent aussi être stratégiques.

Lors de ces réunions en ligne ou ces conférences virtuelles, cette multitude de données sensibles circulent. C’est une mine d’or pour les cybercriminels qui font tout pour y accéder.

Des intrusions non désirées dans les visioconférences

Durant la crise sanitaire, le phénomène de « zoombombing » est apparu dans les visioconférences. Ce phénomène tient son nom de plusieurs intrusions non désirées dans des visioconférences Zoom en 2020. Il peut s’agir de simples trolls mais parfois, l’intrusion va plus loin.

Même les réunions les plus stratégiques sont impactées par ce phénomène : le journaliste hollandais Danier Verlaan était parvenu à infiltrer la visioconférence confidentielle des ministres de la Défense de l’Union européenne. Ces intrusions sont une porte ouverte à l’espionnage industriel.

Plusieurs enquêtes avaient également été menées par le FBI concernant des pirates qui s’étaient infiltrés dans des réunions en ligne, menaçant les participants avec des messages racistes, homophobes ou antisémites.

Une hausse des deepfakes dans les cyberattaques

Outre le zoombombing, une méthode d’intrusion dans les réunions en ligne fait de plus en plus parler. Il s’agit du deepfake, ce procédé qui permet de prendre l’apparence d’une autre personne.

VMware, fournisseur de solutions cloud, a récemment publié une étude sur le sujet. Il a interrogé 125 professionnels de la cybersécurité et 2/3 d’entre eux affirment que l’utilisation de deepfakes à l’occasion d’une cyberattaque a augmenté de 13%, par rapport à l’année dernière.

Ces pirates utilisant le deepfake visent de plus en plus les outils de visioconférence en entreprise. C’est le cas lors d’entretiens d’embauche en visioconférence notamment, et particulièrement dans le secteur des nouvelles technologies. Ces cybercriminels utilisent le deepfake et tentent de se faire recruter afin de récolter des informations sur l’entreprise.

Comment éviter ces intrusions dans une visioconférence ?

Pour limiter les risques d’intrusions, une visioconférence doit donc présenter certains critères de sécurité, plus ou moins importants selon les risques. Par exemple, une réunion en ligne d’un CoDir, où de nombreuses informations confidentielles sont partagées, nécessite forcément un niveau de sécurité maximal.

Authentifier les participants

Dans sa solution de visioconférence, Tixeo inclut une authentification avec login et mot de passe (chiffré et non-réversible). Ce procédé est particulièrement adapté pour les réunions en ligne sensibles. En effet, seuls les utilisateurs authentifiés et invités pourront y accéder. L’organisateur devra valider leur accès et sera ainsi totalement maître des participants à sa visioconférence.

Garder le contrôle des participants

L’organisateur doit également garder un contrôle total sur les participants à sa réunion en ligne, que ce soit avant ou pendant la visioconférence. En cas d’intrusion, cela permet de réagir vite et de limiter les impacts.

L’organisateur peut supprimer à tout moment des personnes initialement invitées à une réunion. C’est ce que propose Tixeo qui va même encore plus loin en offrant la possibilité de déléguer les droits d’organisation et de gestion d’une réunion, dès l’étape de planification.

Par exemple : Alice pourra organiser une réunion en ligne et donner les droits de gestion à Bob. Bob pourra ensuite retirer Alice de la réunion. Cette fonction est particulièrement intéressante pour les personnes souhaitant déléguer la mise en place d’une visioconférence tout en ayant un contrôle total sur celle-ci.

Qui dit visioconférence européenne, dit conformité au RGPD ?

Le Cloud Act est en opposition totale au Règlement général Européen sur la protection des données (RGPD). Beaucoup plus exigeant, le RGPD encadre fermement l’utilisation et le traitement des données, que ce soit par l’éditeur lui-même ou par des tiers.

Une solution de visioconférence européenne héberge l’ensemble de ses données sur le territoire européen. Elle est donc conforme au RGPD et respectueuse des données de l’entreprise.

Tixeo, leader européen de la visioconférence sécurisée, est 100% conforme au RGPD et va même plus loin. En effet, la conception et le développement des logiciels sont exclusivement réalisés en France, en interne et sa technologie propriétaire n’est pas soumise aux législations étrangères. Les serveurs Tixeo sont hébergés sur le territoire français et Tixeo veille à ne choisir que des hébergeurs cloud souverains et européens. Le but ? Prévenir tout risque de dépendance aux puissances extra-européennes et garantir une protection maximale des données.

Pour lutter contre l’espionnage dans la visioconférence

Dans le contexte géopolitique tendu que nous connaissons, il est important que les entreprises françaises puissent bénéficier d’outils de visioconférence sécurisés et souverains. Ces derniers ne sont pas soumis à des puissances extérieures et les risques de fuites de données sont plus faibles. De plus, la recrudescence de cyberattaques à travers le monde peuvent mettre en péril certaines organisations. Une raison supplémentaire, s’il en fallait une, de protéger ses communications en visioconférence.

En 2021 déjà, Renaud Ghia (CEO de Tixeo) co-signait une tribune pour alerter sur ce besoin d’une plus grande souveraineté numérique.

L’espionnage des communications audio et vidéo est courant mais peut être évité. Dans sa solution de visioconférence sécurisée et européenne, Tixeo intègre notamment un véritable chiffrement de bout-en-bout des communications (vidéo/audio/data). Cette technologie offre ainsi une confidentialité absolue des communications et une véritable indépendance aux entreprises. Aucune porte dérobée ne permet d’accéder aux communications.

Faire le choix d’une visioconférence européenne, c’est opter pour une meilleure protection des données grâce au RGPD. Une protection qui sera renforcée si la solution de visioconférence présente un haut niveau de sécurité.