Le 6 août 2023, Stack Diary a publié un article soulignant que Zoom incluait dans ses conditions de service (ToS) des clauses ayant des implications considérables pour la collecte et l'utilisation des données personnelles.
Plus précisément, certaines parties des conditions d'utilisation de Zoomlaissent entendre que l'entreprise utilise des informations personnelles pour former des modèles d'apprentissage automatique et d'intelligence artificielle (IA).
Non seulement cette pratique semblait enfreindre plusieurs lois de l'Union européenne, mais elle s'est également répandue rapidement, suscitant un tollé général.
Zoom aréagi en publiant un billet de blog et en modifiant ses conditions d'utilisation à deux reprises, mais nous avons encore des questions à poser.
Examinons plus en détail la controverse sur les conditions d'utilisation du siteZoom .
Pourquoi les conditions d'utilisation de Zoom ont-elles été controversées ?
Lorsque vous créez un compte Zoom , conformément au texte d'introduction de leurs conditions de service, vous acceptez et êtes légalement lié par l'ensemble de leurs conditions générales.
Ils indiquent en caractères gras :
"Votre acceptation du présent accord crée un contrat juridiquement contraignant entre vous et Zoom."
Mais le 6 août, Stack Diary a révélé certaines parties des conditions de Zoom, laissant entendre qu'elles utilisaient des données personnelles d'une manière qui pourrait enfreindre des lois telles que le règlement général sur la protection des données (GDPR).
Vous trouverez ci-dessous une capture d'écran des CGU de Zoom telles qu'elles apparaissaient le 6 août, récupérées sur archive.org.
Les couleurs surlignées que j'ai ajoutées représentent différentes exigences légales concernant le GDPR auxquelles je ferai référence tout au long de cet article :
- Bleu : ZoomDéfinition des données sur le contenu des clients et des données générées par les services.
- Vert : Zoombase légale utilisée pour justifier le traitement des données relatives au contenu des clients et des données générées par les services.
- Yellow : Zoompour traiter à la fois les données relatives au contenu des clients et les données générées par les services.
La section surlignée en jaune de l'article 10.4 de ces conditions d'utilisation indique que l'entreprise peut utiliser les informations des utilisateurs pour former son IA et d'autres modules d'apprentissage automatique, tels que Zoom IQ.
Deux paragraphes plus haut, dans la section verte du point 10.2, Zoom a invoqué le consentement comme base juridique pour collecter les types de données spécifiques.
Il n'y avait qu'un seul problème : Zoom n'avait jamais obtenu le consentement légal des utilisateurs, ce qui constituait une violation directe de l'article 4 du GDPR.
Dans la section suivante, nous examinerons plus en détail la manière dont cela a enfreint les lois de l'UE sur la protection de la vie privée.
Les conditions d'utilisation de Zoompourraient enfreindre le GDPR
La version initiale des CGU de Zoomdéfinissait deux types de données :
- le contenu du client (défini à l'article 10.1)
- Données générées par le service (définies dans la section 10.2)
Voir les définitions exactes dans les sections surlignées en bleu dans la capture d'écran que j'ai partagée ci-dessus.
Mais essentiellement, le contenu client représentait les données des clients et des utilisateurs finaux générées à l'aide de la plateforme Zoomet qui sont légalement qualifiées d'informations personnelles.
Il s'agit d'informations telles que des données, du contenu, des fichiers, des documents et d'autres éléments que les utilisateurs peuvent télécharger ou fournir lorsqu'ils utilisent les services de Zoom.
En revanche, les ToS définissent les données générées par les services comme suit :
... toutes les données télémétriques, les données d'utilisation des produits, les données de diagnostic et les contenus ou données similaires que Zoom recueille ou génère en rapport avec votre utilisation ou celle de vos utilisateurs finaux des services ou du logiciel".
Également appelé métadonnées, ce type d'information peut inclure des données personnelles définies par l'article 4 du GDPR, comme l'ont confirmé de récentes affaires judiciaires, telles que l'affaire Digital Rights Ireland.
Ces définitions sont suivies d'une liste d'objectifs pour lesquels Zoom peut utiliser ces données, notamment le "développement de produits et de services", le "marketing" et, en particulier, "l'apprentissage automatique et l'intelligence artificielle".
Cependant, selon l'article 4 du GDPR, le consentement légal signifie :
"toute manifestation de volonté , libre,spécifique, éclairée et univoque par laquelle la personne concernée accepte, parune déclaration ou par uneaction positive claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement".
ZoomLes conditions d'utilisation du 6 août n'ont en aucun cas respecté cette définition juridique, et voici pourquoi :
- La section 10.2 de ses conditions d'utilisation contenait une liste d'objectifs pour lesquels l'utilisateur aurait donné son accord, auquel cas le consentement ne pouvait pas être considéré comme "spécifique".
- Zoom n'a jamais demandé à l'utilisateur de donner son consentementpar une action (dans le monde de la protection de la vie privée, on parle de consentement "opt-in").
- Enfin, on peut faire valoir que le consentement dans ce scénario ne pouvait pas être "donné librement", puisque tout utilisateur qui refusait n'avait qu'une seule alternative : ne pas utiliser les services de Zoom(TechCrunch).
ZoomL'exécution pas si nécessaire d'un contrat par la Commission européenne
Techniquement, l'exécution d'un contrat est une base légale spécifique pour le traitement des données, telle que définie par le GDPR.
Le GDPR permet à un responsable du traitement de traiter les données personnelles "nécessaires à l'exécution d'un contrat".
Cela pourrait-il s'appliquer à Zoom?
Pour reprendre un deuxième point souligné par l'article de Stack Diary, la section 10.4 de Zoomgarantit une "licence perpétuelle, mondiale, non exclusive, libre de redevances, pouvant faire l'objet d'une sous-licence et transférable ..." pour toute utilisation des données du contenu du client.
Zoom a justifié cela comme étant "nécessaire pour fournir les services", y compris le soutien et l'amélioration de ses services, le marketing, l'analyse, l'assurance qualité, l'apprentissage automatique et l'intelligence artificielle.
En d'autres termes, ils traitent le contenu des clients pour exécuter un contrat.
Mais dans ce cas, les objectifs énumérés par Zoom ne seraient très probablement pas qualifiés de nécessaires - le marketing, l'analyse, l'apprentissage automatique et l'intelligence artificielle ne sont pas essentiels aux services de communication de Zoom.
ZoomPossible violation de la directive "vie privée et communications électroniques" par les conditions d'utilisation du site web
En violant la définition du consentement de l'article 4 du GDPR, Zoom violerait également une autre loi de l'UE, la directive "vie privée et communications électroniques".
Plus précisément, l 'article 5 de la directive "vie privée et communications électroniques" interdit :
"l'écoute, la mise sur écoute, le stockage ou d'autres types d'interception ou de surveillance des communications et des données relatives au trafic y afférentes par des personnes autres que les utilisateurs, sans le consentement des utilisateurs concernés..."
La directive "vie privée et communications électroniques" utilise la même définition juridique du consentement que le GDPR et, comme je l'ai déjà expliqué, Zoom ne répondait pas de manière adéquate aux lignes directrices concernant le consentement "opt-in".
Comment Zoom a-t-il réagi ?
Après l'effet boule de neige de la mauvaise presse, Zoom a rapidement mis à jour ses conditions de service dans les 24 heures et a publié un article de blog répondant à la controverse.
Cependant, les changements étaient encore insuffisants, ce qui a conduit à une troisième mise à jour qui nous a laissé avec plusieurs questions et inquiétudes.
Dans la section suivante, j'aborderai les deux versions de leurs conditions d'utilisation et j'expliquerai pourquoi elles sont toujours troublantes.
Une première tentative de mise en conformité infructueuse
Après les réactions négatives des consommateurs et de la presse, Zoom a rapidement mis à jour ses CGU le 7 août 2023.
À la fin de la section 10.4, ils ont ajouté une brève déclaration qui spécifie ce qui suit :
"Nonobstant ce qui précède, Zoom n'utilisera pas le contenu audio, vidéo ou de chat des clients pour former nos modèles d'intelligence artificielle sans votre consentement."
Pour la postérité, vous trouverez ci-dessous une capture d'écran de cette version éphémère des CGU de Zoom , une fois de plus récupérée sur archive.org.
Si cette mesure était censée clarifier la situation, elle a en fait posé de nouveaux problèmes.
Tout d'abord, la présente déclaration ne s'applique qu'au contenu des clients.
Par conséquent, la collecte des données générées par les services sur la base de la définition illégale du consentement donnée par Zoomresterait non conforme aux lois européennes sur la protection de la vie privée.
Deuxièmement, cette déclaration implique que le traitement par Zoomdu Contenu Client ne reposerait pas sur la base légale GDPR de "l'exécution du contrat" (ce qui était impossible au départ).
Au lieu de cela, ils s'appuient explicitement sur le consentement, dont nous avons déjà établi qu'il n'était pas valable.
ZoomLes conditions d'utilisation actuelles du site et la question des métadonnées
La troisième fois est la bonne, n'est-ce pas ? Eh bien, peut-être pas tant que ça dans le cas des ToS de Zoom .
Le 11 août 2023, Zoom a de nouveau mis à jour ses conditions, faisant finalement marche arrière en ce qui concerne l'intelligence artificielle.
Vous trouverez ci-dessous une capture d'écran de la version actuelle de la section 10.
Voyons rapidement ce qui a changé.
Tout d'abord, vous remarquerez que la section est beaucoup plus courte dans l'ensemble. Il n'est plus fait mention de l'utilisation de vos données à des fins d'apprentissage automatique et d'intelligence artificielle, si ce n'est dans le texte en gras de la section 10.2 :
Zoom n'utilise aucun de vos contenus audio, vidéo, de chat, de partage d'écran, de pièces jointes ou d'autres contenus clients de type communication (tels que les résultats des sondages, les tableaux blancs et les réactions). communications - comme le contenu client (tels que les résultats des sondages, les tableaux blancs et les réactions) - pour entraîner ou des modèles d'intelligence artificielle tiers. pour entraîner Zoom ou des modèles d'intelligence artificielle de tiers".
Habituez-vous à cette phrase, car elle apparaît maintenant deux fois dans leur politique de confidentialité, qui régit également la manière dont ils accèdent, traitent et utilisent les informations personnelles de leurs utilisateurs.
En outre, Zoom a supprimé la plupart des termes relatifs au consentement et vous a chargé d'informer vos "utilisateurs finaux" de toute loi applicable exigeant que vous obteniez le consentement pour l'utilisation par des tiers.
Bien que cette solution puisse être considérée comme satisfaisante pour les utilisateurs de Zoom qui ne souhaitent pas que leurs données soient utilisées pour la modélisation de l'IA, la question des données générées par les services, ou métadonnées, demeure.
Les métadonnées peuvent être des données à caractère personnel dans la mesure où elles permettent de remonter à une personne, et les conditions actuelles donnent à Zoom un contrôle total sur ces données.
Les métadonnées pouvant être des données à caractère personnel, ces termes ne sont pas conformes aux lois européennes sur la protection de la vie privée, telles que le GDPR et la directive ePrivacy.
Comme indiqué précédemment, les entités soumises au GDPR ne doivent traiter ces métadonnées qu'après avoir obtenu un consentement actif, et non le consentement implicite décrit par Zoom dans sa politique mise à jour.
Dans la section suivante, ma collègue et experte en confidentialité des données ( fellow ), Masha Komnenic, nous en dit plus sur la version actuelle des conditions d'utilisation de Zoom.
L'examen de l'utilisation des données par Zoompour les fonctions de QI soulève des inquiétudes en matière de protection de la vie privée.
L'article 10.1 des conditions de service de Zoomdéfinit le "contenu client" comme englobant diverses formes de données et de matériels générés ou fournis par les utilisateurs dans le cadre de leurs services.
Toutefois, une analyse plus approfondie de leurs pratiques d'utilisation des données pour fournir les fonctions du QI Zoom soulève plusieurs questions relatives à la vie privée qui méritent d'être prises en compte.
Examinons ces questions plus en détail.
Violation potentielle de la vie privée par les métadonnées et les données personnelles
Bien que Zoom précise qu'elle n'utilise pas de contenu audio, vidéo, de chat ou d'autres communications pour entraîner ses modèles d'IA, l'accent mis par l'entreprise sur le "contenu client" crée une faille qui pourrait poser des problèmes de protection de la vie privée.
Zoom affirme que ses données ne relèvent pas des données à caractère personnel, ce qui peut ne pas être valable.
Même les métadonnées associées au contenu des clients peuvent contenir des informations sensibles et personnelles, et il est préoccupant que le site Zoom n'aborde pas explicitement ce risque de violation de la vie privée.
En outre, la nécessité de collecter de telles données pour l'entraînement des modèles d'IA, en particulier lorsque des données accessibles au public peuvent servir à cette fin, soulève des questions valables sur leurs pratiques en matière de collecte de données.
Modèles d'IA de tiers et conservation des données
Les fonctionnalités de Zoom IQ utilisent également des modèles d'IA de tiers, ce qui ajoute encore à la complexité de la plateforme.
Selon les conditions, les tiers peuvent conserver temporairement les données des clients pour des raisons de "confiance et de sécurité" ou de "respect de la loi".
Mais cela pourrait poser des problèmes de surveillance, notamment en ce qui concerne la collecte de renseignements sur les conversations.
La clause actuelle suggère que des tiers peuvent partager des données avec le gouvernement américain si nécessaire, ce qui crée une possibilité d'intrusion dans la vie privée sans limites claires ni mesures de réparation.
L'importance de la vigilance des internautes
En conclusion, bien que Zoom affirme qu'il n'utilise pas directement le contenu des communications des utilisateurs pour entraîner ses modèles d'intelligence artificielle, les ambiguïtés de ses termes soulèvent d'importantes préoccupations en matière de protection de la vie privée.
La catégorisation large du "contenu client" et la possibilité que les métadonnées contiennent des données à caractère personnel soulignent la nécessité de mesures de protection des données plus strictes et d'une éventuelle redéfinition de la portée du contenu client.
En outre, l'implication de modèles d'IA tiers et la conservation temporaire de données par ces entités à diverses fins soulèvent des questions valables concernant la sécurité et la confidentialité des interactions des utilisateurs sur la plateforme.
En tant qu'utilisateurs, nous devons être vigilants quant à la manière dont nos informations personnelles sont traitées et demander plus de clarté et de responsabilité dans ces pratiques de traitement des données.
Ce que nous pouvons apprendre de la controverse sur Zoom ToS
Zoom a enseigné aux chefs d'entreprise une chose fondamentale, que nous chantons ici à Termly depuis des années : les consommateurs s'intéressent à ce que vous faites de leurs données personnelles .
Vous ne pouvez pas tromper vos utilisateurs ou ajouter des paragraphes sournois à vos politiques juridiques dans l'espoir que cela vous permette de collecter et de traiter des données à caractère personnel d'une manière qui contourne les lois sur la protection des données.
Vos clients sont attentifs ; si vous les contrariez comme Zoom, les conséquences seront désastreuses.
Comment prouver que vous êtes une entreprise respectueuse de la vie privée ? Voici quelques conseils :
- Publier une politique de confidentialité précise, facile à comprendre et conforme aux lois applicables en matière de confidentialité des données.
- Veillez à ce que les détails de vos conditions de service respectent également les lois applicables.
- Soyez honnête quant aux cookies que vous utilisez et à leur fonction, et donnez à vos utilisateurs la possibilité de les choisir.
- Facilitez la tâche de vos consommateurs en leur permettant de soumettre des demandes d'action concernant leurs droits en matière de confidentialité des données. L'un des moyens d'y parvenir est d'utiliser le formulaire DSAR.
- Obtenez le consentement explicite des utilisateurs (et n'insérez pas de clause de consentement implicite).
- Permettez à vos utilisateurs de changer facilement d'avis et de retirer leur consentement (ou d'y revenir) à tout moment.
- mettre en place des systèmes de sécurité pour protéger l'intégrité et la confidentialité des données à caractère personnel que vous collectez, traitez et utilisez.
Résumé
Nous vivons à une époque où un scandale lié aux conditions d'utilisation peut, du jour au lendemain, ébranler la réputation d'une plateforme de vidéoconférence géante telle que Zoom - un service qui était autrefois utilisé par pratiquement tout le monde en ligne, que ce soit sur le plan personnel ou professionnel.
Une chose est sûre : les gens lisent vos politiques juridiques.
La manière dont vous présentez ces informations et dont vous collectez, traitez et utilisez les données personnelles est importante.
Nous utilisons tous le même internet, alors pourquoi ne pas le faire dans les règles de l'art ? Comme toujours, Termly est là pour vous aider.
