Grâce à la Direction interministérielle du numérique au ministère de la Transformation et de la Fonction publiques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) diffuse un tableau des solutions de vidéoconférence. Nous vous le communiquerons.
L'ANSSI a formulé des recommandations pour les agents de l'État pendant la crise. Elle a notamment certifié Jitsi. Private Discuss, évoqué par notre collègue Jean-Luc Fugit, est en cours de certification. Nous avons également entendu Tixeo, sur leur propre plateforme sécurisée. Cela nous a cependant remis en mémoire que le système le plus sûr emporte avec lui quelques contraintes, notamment de téléchargement et d'ergonomie.
Ceci me permet d'évoquer un risque nouveau, celui du shadow IT, ou informatique cachée. Quand une entreprise propose à ses employés des solutions qui ne sont pas ergonomiques, ceux-ci recourent en fait à une autre solution. C'est par conscience professionnelle que le travailleur contourne les recommandations du service informatique. Il veut en effet pouvoir télécharger, envoyer un document, faire une visioconférence, etc. Si les contraintes d'utilisation sont trop nombreuses, il y a donc un risque réel de shadow IT, qui est bien sûr la pire des solutions. Or il n'est pas rare qu'un responsable informatique découvre au détour d'une conversation que les employés de son entreprise ne suivent pas ses recommandations. Se pose ainsi la question de l'équilibre entre le niveau des contraintes fixées et l'usage réel au vu du risque de contournement.
Nos auditions nous ont cependant conduit à faire le constat que les systèmes les plus sûrs sont aussi les moins ergonomiques. Aussi recommandons-nous que chaque organisation fasse son propre arbitrage. Il est évident qu'une entreprise de la défense ne va peut-être pas avoir les mêmes contraintes qu'une administration. Encore faut-il aussi prendre en compte la nature des sujets abordés. Voilà pour ce qui est des questions de sécurité.
J'en viens aux applications américaines. Les entreprises américaines sont tenues, en vertu du Cloud Act de 2018 et du Patriot Act de 2001, de coopérer avec la justice et les services de renseignement des États-Unis, quel que soit le lieu d'hébergement de leurs données. Il faut que nous en ayons conscience. Il est aussi de notre responsabilité de parlementaires de veiller à ce que les entreprises et organisations en France en aient aussi parfaitement conscience.
S'agissant des données personnelles, la Cour de justice de l'Union européenne a jugé, dans son arrêt « Schrems II » du 16 juillet 2020, que le Privacy Shield, c'est-à-dire l'accord de 2016 qui permet les transferts de données personnelles vers les États-Unis, est contraire au Règlement général sur la protection des données (RGPD). Elle a en effet considéré que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive et insuffisamment encadrée, et n'offrait pas de réelle possibilité de recours.
La Commission nationale de l'informatique et des libertés (CNIL) a confirmé en mai 2021 le risque d'accès illégal aux données, a appelé à des évaluations et a proposé un accompagnement, tout en reconnaissant – tenez-vous bien – « l'absence de solution alternative satisfaisante à ce stade ». Le constat n'est absolument pas réjouissant, mais il nous appartient de le faire.
La Z oom fatigue est aujourd'hui scientifiquement établie. Il ne s'agit pas d'une simple impression. La question est à présent : comment gérer cet obstacle ? Un certain nombre de solutions sont proposées. Elles sont évoquées en page 3 de la note, sous l'intitulé : « Du bon usage de la technologie, réalité virtuelle ou collaboration augmentée ». Une illustration montre que le mode d'affichage « galerie » de Teams peut être remplacé par ce que Microsoft appelle le mode « together » ou « ensemble ». Les études montrent, à l'électro-encéphalogramme, une baisse du stress avec ce dernier, parce qu'il offre une vision qui se rapproche de la réalité. Plutôt que le mode « galerie », on peut aussi ne visualiser que l'intervenant. Dans une réunion réelle tout le monde sait qu'une personne qui ne s'exprime pas n'est pas regardée par les participants. Or, le mode « galerie » donne le sentiment que tous les regards se portent sur vous – votre cerveau l'interprète ainsi, mais c'est erroné –même lorsque vous ne parlez pas. La science a clairement établi que c'est une source de stress. Certaines modalités d'usage de la visioconférence doivent donc être préconisées. Il existe d'autres exemples, comme l'anxiété du miroir. L'une des possibilités consiste à désactiver cette fonctionnalité, en acceptant l'idée de ne pas se voir pendant la visioconférence.
Enfin, pour revenir sur une interrogation soulevée par Catherine Procaccia, il est vrai qu'initialement je souhaitais concentrer mon travail sur les questions de sécurité. Mais au fur et à mesure des auditions, je me suis rendu compte que les sujets relevant des neurosciences ou concernant de la Z oom fatigue nécessitaient d'être creusés parce que tout le monde en parle et que personne ne sait comment le traiter scientifiquement. Les études sont récentes et il nous est apparu intéressant de les mettre en relief.