Sécurité et RGPD de l'infrastructure vidéo Leagora
Réponse courte
La sécurité et la conformité RGPD d'une infrastructure vidéo reposent sur le chiffrement des flux, le contrôle d'accès, la résidence des données (hébergement France), la gouvernance des enregistrements et un DPA documentant les sous-traitants. Cette page synthétise les engagements techniques pour les DSI, RSSI et DPO — sans substituer à un audit juridique.
Chiffrement et transport
| Couche | Mécanisme | Portée |
|---|---|---|
| Signalisation | HTTPS / WSS (TLS 1.2+) | Métadonnées de session |
| Flux média | DTLS-SRTP (WebRTC) | Audio, vidéo, partage d'écran |
| API | HTTPS, tokens signés | Création salles, webhooks |
| Stockage | Chiffrement au repos (selon option) | Enregistrements, replays |
WebRTC chiffre les flux par défaut ; la conformité RGPD dépend aussi de où transitent et où sont stockés ces flux. Voir le hub RGPD vidéo.
Contrôle d'accès et identité
- Authentification : comptes internes, SSO/OIDC/SAML (Azure AD, Okta, Keycloak, LDAP) ;
- Tokens éphémères : accès participant limité dans le temps, scopes publish/subscribe ;
- Rôles : modérateur, participant, observateur selon le produit ou l'API ;
- Isolation multi-tenant : configuration et données séparées par client sur la plateforme.
L'intégration identité est détaillée dans intégration vidéo.
Logs, monitoring et rétention
| Type | Finalité | Bonne pratique |
|---|---|---|
| Logs applicatifs | Support, audit sécurité | Rétention limitée, zone UE |
| Métriques WebRTC | Qualité réseau (ICE, packet loss) | Pas de contenu média dans les logs |
| Enregistrements | Replay, conformité métier | Désactivés par défaut si non requis, durée contractuelle |
Le DPO valide la durée de conservation et l'accès aux enregistrements (droits des personnes, effacement). Checklist complète : article visioconférence RGPD.
Résidence des données et sous-traitants
Une infrastructure souveraine exige la cartographie complète :
- SFU et TURN en France ou UE ;
- Signalisation et API en zone contractuelle ;
- Enregistrements et sauvegardes documentés ;
- Sous-traitants ultérieurs (hébergeur cloud, monitoring) listés dans le DPA (art. 28 RGPD).
Piège fréquent : portail « en France » mais TURN ou analytics aux États-Unis. Notre page hébergement France détaille les composants à auditer.
DPA et démarche contractuelle
Leagora fournit un contrat de sous-traitance précisant :
- localisation des traitements ;
- liste des sous-traitants et sous-traitants ultérieurs ;
- mesures de sécurité techniques et organisationnelles ;
- procédure de notification en cas de violation ;
- assistance pour les droits des personnes (accès, effacement).
Les engagements précis sont contractuels et adaptés au projet (cloud France, on-premise, enregistrements activés ou non).
Sécurité réseau (DSI)
Checklist de mise en production :
- STUN/TURN : ports UDP/TCP documentés, test depuis sites clients ;
- Proxy / WSS : signalisation compatible réseau corporate ;
- CSP : iframe et WebSocket autorisés sur le portail embarqué ;
- Sauvegardes : politique RPO/RTO alignée criticité ;
- Revue annuelle : sous-traitants, transferts hors UE, nouvelles intégrations.
Guide technique : STUN et TURN · architecture vidéo.
Sécurité vs conformité : complémentarité
| Sécurité (RSSI) | Conformité (DPO) | |
|---|---|---|
| Focus | Confidentialité, intégrité, disponibilité | Base légale, droits, registre, DPA |
| WebRTC | DTLS-SRTP, durcissement accès | Finalité, information, enregistrements |
| Hébergement | Pare-feu, segmentation | Résidence UE, transferts |
| Exploitation | Monitoring, incident response | Conservation, effacement |
Les deux profils valident conjointement le déploiement avant passage en production.
FAQ
Leagora est-il certifié ISO 27001 ou HDS ?
Les certifications dépendent du périmètre contractuel et de l'hébergeur retenu. Le cadrage sécurité et les exigences sectorielles (santé, public) se traitent au stade appel d'offres / DPA — contact.
Les enregistrements sont-ils obligatoires ?
Non : ils sont optionnels et doivent s'appuyer sur une base légale et une information des participants.
Où trouver une comparatif Teams / Zoom côté RGPD ?
Alternative Teams RGPD et Zoom hébergé France.
Cette page suffit-elle pour un audit CNIL ?
Non : elle structure les questions à poser. Votre DPO complète avec registre des traitements, AIPD si nécessaire et politique interne.
Aller plus loin
- Hub RGPD vidéo : piliers conformité infrastructure
- Hébergement France : cartographie composants
- À propos de Leagora : méthodologie et écosystème
À retenir
- Sécurité vidéo = chiffrement + accès + logs maîtrisés + réseau documenté.
- RGPD = résidence + DPA + enregistrements + sous-traitants transparents.
- leagora.io informe ; le DPA contractuel et votre DPO cadrent l'engagement.
- Cadrage projet : devis.