Zoom est-il sécurisé ? Chiffrement, confidentialité et sécurité en 2026

Ce guide est indépendant. Il n'est ni affilié à Zoom Communications, Inc., ni approuvé par cette entreprise.

Votre service informatique vient d'approuver Zoom pour l'ensemble de l'entreprise, mais une recherche rapide fait apparaître des articles sur les fuites de données, le « Zoombombing » et les procès liés à la confidentialité. Alors, quelle est la réalité : Zoom est-il suffisamment sécurisé pour les conversations confidentielles de votre équipe, ou prenez-vous un risque à chaque clic sur « Rejoindre la réunion » ?

La réponse courte : Zoom en mars 2026 est nettement plus sécurisé que durant la période chaotique de 2020. L'entreprise a ajouté le chiffrement de bout en bout, revu ses pratiques de traitement des données et obtenu des certifications de conformité qui n'existaient pas il y a cinq ans. Mais « plus sécurisé » ne signifie pas « infaillible ». Vos paramètres, vos habitudes et votre forfait influencent le niveau réel de protection de vos réunions.

Ce guide détaille précisément ce que Zoom protège, les failles qui subsistent et les mesures concrètes à prendre. Voici les faits pour agir en connaissance de cause.

Comment fonctionne réellement le chiffrement de Zoom

Zoom chiffre les réunions, mais le type de chiffrement a son importance. Comprendre la différence vous permet de déterminer si Zoom est suffisamment sécurisé pour vos besoins spécifiques.

Chiffrement par défaut (AES 256 bits GCM) : Chaque réunion Zoom utilise le chiffrement AES 256 bits en mode Galois/Counter depuis mars 2026. Les données sont chiffrées entre votre appareil et les serveurs de Zoom. Il s'agit du même standard de chiffrement que celui utilisé par les banques et les organismes gouvernementaux. Un attaquant interceptant le flux de données ne verrait que des données illisibles.

Le bémol : les serveurs de Zoom peuvent techniquement déchiffrer les données car ils détiennent les clés de chiffrement. C'est ce qu'on appelle le « chiffrement en transit ». Pour la plupart des réunions d'équipe et des points projets, ce niveau de protection est largement suffisant.

Chiffrement de bout en bout (E2EE) : Zoom a introduit le E2EE optionnel fin 2020 et l'a développé depuis. Lorsque le E2EE est activé, seuls les participants à la réunion détiennent les clés de déchiffrement. Les serveurs de Zoom ne peuvent pas lire le contenu. En mars 2026, le E2EE est disponible sur tous les forfaits payants et le forfait gratuit pour les réunions jusqu'à 200 participants.

Le compromis : activer le E2EE désactive l'enregistrement dans le cloud, la transcription en temps réel, les sondages et les salles de sous-commission. Vous choisissez la confidentialité maximale au détriment de la commodité.

Zoom Phone et Zoom Mail : Les appels Zoom Phone utilisent le même chiffrement AES 256 bits GCM. Zoom Mail (lancé en 2023) utilise le E2EE par défaut pour les messages entre utilisateurs Zoom Mail, les clés étant stockées uniquement sur les appareils.

Par exemple : votre équipe juridique examine un document de fusion lors d'un appel Zoom. Avec le chiffrement standard, l'appel est protégé contre les écoutes extérieures, mais Zoom pourrait théoriquement y accéder. Avec le E2EE activé, même les employés de Zoom ne peuvent pas écouter. Pour cette revue juridique, le E2EE justifie les compromis fonctionnels.

Quelles données Zoom collecte-t-il (et qui y accède) ?

Le chiffrement protège les données en transit. Mais qu'en est-il des données stockées sur les serveurs de Zoom ? C'est là que le tableau de la confidentialité se complexifie.

Données collectées par Zoom en mars 2026 :

• Informations de compte (nom, adresse e-mail, numéro de téléphone, fonction)
• Métadonnées de réunion (date, heure, durée, liste de participants, adresses IP)
• Informations sur l'appareil (version de l'OS, type d'appareil, identifiants uniques)
• Contenu que vous choisissez de stocker (enregistrements cloud, messages de chat, tableaux blancs)
• Données d'utilisation (fonctionnalités utilisées, fréquence, indicateurs de performance)

Données que Zoom déclare ne pas vendre : Dans sa politique de confidentialité mise à jour (révisée en janvier 2026), Zoom affirme ne pas vendre de données personnelles à des tiers et ne pas utiliser le contenu audio, vidéo ou de chat des réunions pour entraîner des modèles d'IA sans le consentement du client.

Le mot « consentement » est important. En août 2023, Zoom a fait face à une vive polémique lorsqu'une mise à jour de sa politique de confidentialité semblait accorder à l'entreprise le droit d'utiliser les données clients pour l'entraînement d'IA. Zoom a rapidement révisé sa politique après le tollé public, ajoutant un langage explicite d'adhésion volontaire. En mars 2026, les fonctionnalités AI Companion nécessitent l'approbation de l'administrateur du compte avant tout traitement de données de réunion à des fins de résumés IA.

Contrôles de résidence des données : Les administrateurs de comptes payants peuvent choisir dans quelles régions les centres de données traitent leurs informations. Les options comprennent les États-Unis, l'Europe, l'Asie-Pacifique et d'autres régions. Les comptes gratuits voient leurs données acheminées vers le centre de données le plus proche.

Intégrations tierces : La place de marché d'applications de Zoom comprend des centaines d'intégrations. Chaque application tierce a sa propre politique de confidentialité. En installant une application Zoom, vous accordez à son développeur l'accès à certaines données de réunion. Examinez attentivement ces autorisations. Un outil de planification peut demander plus de données que nécessaire.

L'historique de sécurité de Zoom : incidents et correctifs

Impossible d'évaluer la sécurité actuelle de Zoom sans comprendre ce qui s'est mal passé auparavant. Voici une chronologie des incidents les plus notables et des réponses de Zoom.

Avril 2020 : épidémie de Zoombombing. Lorsque la pandémie a poussé des millions de personnes sur Zoom du jour au lendemain, des individus non invités ont commencé à perturber des réunions avec du contenu offensant. La cause : les réunions n'avaient ni mot de passe ni salle d'attente par défaut, et les identifiants de réunion étaient faciles à deviner. Zoom a réagi en activant par défaut les mots de passe et les salles d'attente pour toutes les nouvelles réunions. L'entreprise a indiqué que ces changements avaient significativement réduit les accès non autorisés.

Avril 2020 : allégations trompeuses sur le chiffrement. Des chercheurs en sécurité ont découvert que Zoom commercialisait un « chiffrement de bout en bout » alors qu'il s'agissait en réalité d'un chiffrement TLS standard en transit. La FTC a enquêté, et en novembre 2020, Zoom a accepté de mettre en place un programme de sécurité avec des évaluations biennales par des tiers. Le véritable E2EE a été lancé en octobre 2020.

Avril 2020 : données transitant par la Chine. Certains appels d'utilisateurs hors de Chine ont été acheminés via des centres de données chinois. Zoom a attribué cela à une erreur de capacité lors du pic pandémique et a rapidement ajouté des contrôles de routage des données permettant aux administrateurs de choisir les régions de traitement.

2020 : le SDK Facebook partageant des données d'appareil. L'application Zoom pour iOS envoyait des données analytiques d'appareil à Facebook, même pour des utilisateurs sans compte Facebook. Zoom a supprimé le SDK Facebook quelques jours après le signalement. L'incident a conduit à un recours collectif réglé pour 85 millions de dollars en août 2021.

Mars 2023 : vulnérabilité Google Project Zero. Une vulnérabilité critique zero-click (CVE-2023-28597) permettait l'exécution de code à distance. Zoom a publié un correctif peu après la divulgation responsable et a mis à jour automatiquement les clients concernés.

Années récentes. La page des bulletins de sécurité de Zoom montre un traitement continu des vulnérabilités, ce qui est une pratique standard pour les grandes plateformes logicielles. Aucune violation majeure ni exposition de données n'a été largement signalée depuis les incidents de 2020.

Le schéma est clair : l'année 2020 a été chaotique pour Zoom, portée par une croissance explosive qui a dépassé son infrastructure de sécurité. Depuis, l'entreprise déclare avoir massivement investi dans la sécurité et renforcé son équipe CISO. La question n'est pas de savoir si Zoom a eu des problèmes, mais s'il les a résolus. Les preuves indiquent que oui, du moins pour les problèmes connus.

Zoom est-il sécurisé pour l'entreprise, la santé et la thérapie ?

Différents secteurs ont besoin de différents niveaux de sécurité. Voici où se situe Zoom concernant les certifications pertinentes.

SOC 2 Type II : Zoom détient un rapport SOC 2 Type II en cours de validité, ce qui signifie qu'un auditeur indépendant a vérifié ses contrôles de sécurité sur une période prolongée. C'est la certification de base que la plupart des entreprises exigent de leurs fournisseurs SaaS.

ISO 27001 : Le système de management de la sécurité de l'information de Zoom est certifié ISO 27001 en mars 2026. C'est la norme internationale pour la gestion des données sensibles.

Conformité HIPAA : Zoom propose une configuration conforme HIPAA pour les professionnels de santé sur les forfaits payants (Business et supérieurs). Cela inclut un BAA (Business Associate Agreement) signé, l'enregistrement cloud désactivé par défaut et la disponibilité du E2EE. Zoom indique que des milliers de professionnels de santé utilisent la plateforme pour la télémédecine (voir la page santé de Zoom).

Zoom est-il sécurisé pour la thérapie ? Oui, lorsqu'il est correctement configuré. Les thérapeutes doivent utiliser un forfait payant avec BAA, activer la salle d'attente, désactiver le transfert de fichiers et idéalement activer le E2EE. Pour un guide détaillé, consultez notre guide de conformité HIPAA de Zoom.

RGPD : Zoom fournit des Accords de traitement des données (DPA) pour les clients de l'UE et prend en charge la résidence des données dans des centres de données européens. Les Clauses contractuelles types (CCT) couvrent les transferts internationaux de données.

FedRAMP : Zoom for Government bénéficie de l'autorisation FedRAMP Moderate, ce qui signifie qu'il répond aux normes fédérales de sécurité américaines. Cette version fonctionne sur une infrastructure distincte du Zoom grand public.

Éducation (FERPA/COPPA) : Zoom for Education est conçu pour répondre aux exigences FERPA et n'utilise pas les données des élèves à des fins publicitaires. Les établissements scolaires doivent utiliser des comptes Zoom for Education (et non des comptes personnels) pour garantir la conformité.

Les organisations de santé doivent consulter un professionnel qualifié en conformité HIPAA avant de s'appuyer sur une plateforme de visioconférence pour des informations de santé protégées. Le forfait gratuit ne donne pas droit au BAA, et les paramètres par défaut seuls ne satisfont pas les exigences HIPAA.

8 paramètres de sécurité Zoom à modifier dès aujourd'hui

Les paramètres par défaut de Zoom sont raisonnablement sécurisés, mais « raisonnablement » ne suffit pas pour les réunions sensibles. Ces huit modifications prennent environ cinq minutes et comblent les failles les plus courantes.

1. Exiger des codes d'accès pour les réunions. Rendez-vous dans Paramètres > Sécurité sur le portail web Zoom. Activez « Exiger un code d'accès lors de la planification de nouvelles réunions ». Cette option est activée par défaut sur la plupart des comptes en 2026, mais vérifiez qu'elle n'a pas été désactivée.

2. Activer la salle d'attente. Dans Paramètres > Sécurité, activez « Salle d'attente ». Chaque participant doit attendre l'approbation de l'hôte avant de rejoindre la réunion. C'est la défense la plus efficace contre les invités indésirables.

3. Verrouiller la réunion une fois tout le monde présent. Lorsque tous les participants ont rejoint, cliquez sur Sécurité dans la barre d'outils et sélectionnez « Verrouiller la réunion ». Plus personne ne pourra la rejoindre, même avec le bon lien et le bon code.

4. Désactiver le transfert de fichiers dans le chat. Dans Paramètres > En réunion (Basique), désactivez « Transfert de fichiers ». Cela empêche les participants d'envoyer des fichiers potentiellement malveillants via le chat Zoom.

5. Contrôler le partage d'écran. Dans Paramètres > En réunion (Basique), définissez « Qui peut partager ? » sur « Hôte uniquement » pour les réunions sensibles. Vous pouvez toujours accorder l'autorisation à des participants spécifiques pendant l'appel.

6. Activer le E2EE pour les réunions confidentielles. Dans Paramètres > Sécurité, activez « Autoriser l'utilisation du chiffrement de bout en bout ». Puis, lors de la configuration d'une réunion, sélectionnez « Chiffrement de bout en bout » dans la section Sécurité. Attention : cela désactive l'enregistrement cloud et certaines fonctionnalités de collaboration.

7. Désactiver l'accès avant l'hôte. Dans Paramètres > En réunion (Avancé), désactivez « Autoriser les participants à rejoindre avant l'hôte ». Cela empêche les participants de se trouver dans la salle de réunion sans la présence de l'hôte.

8. Exiger des profils authentifiés. Dans Paramètres > Sécurité, activez « Seuls les utilisateurs authentifiés peuvent rejoindre les réunions ». Cela oblige les participants à être connectés à un compte Zoom, empêchant l'accès anonyme.

Ces paramètres couvrent 90 % des scénarios de sécurité auxquels la plupart des équipes sont confrontées. Pour les 10 % restants, le facteur de risque principal n'est pas la technologie de Zoom, mais le comportement humain : partager publiquement les liens de réunion, réutiliser le même identifiant de réunion pour chaque appel ou cliquer sur des liens suspects dans le chat Zoom.

Zoom est-il à l'abri des hackers ?

Aucun logiciel n'est totalement à l'abri des hackers — quiconque affirme le contraire essaie de vous vendre quelque chose. La meilleure question est : dans quelle mesure Zoom se défend-il contre les vecteurs d'attaque courants ?

Credential stuffing : Les hackers utilisent des mots de passe issus de fuites d'autres services pour tenter de se connecter à des comptes Zoom. En avril 2020, des chercheurs ont signalé que de grandes quantités d'identifiants Zoom circulaient sur des forums du dark web. Il ne s'agissait pas d'une fuite de Zoom : les données provenaient d'utilisateurs ayant réutilisé leurs mots de passe. La parade de Zoom : l'authentification à deux facteurs (2FA), disponible sur tous les comptes depuis septembre 2020. Si vous n'avez pas encore activé la 2FA sur votre compte Zoom, faites-le aujourd'hui.

Zoombombing : Résolu grâce aux codes d'accès par défaut, aux salles d'attente et à la possibilité de verrouiller les réunions (détaillé dans la section paramètres ci-dessus).

Exploits zero-day : Zoom maintient un programme de bug bounty via HackerOne, récompensant les chercheurs qui signalent des vulnérabilités. L'entreprise s'associe également à des sociétés de sécurité pour des tests d'intrusion réguliers.

Attaques de l'homme du milieu : Le chiffrement AES 256 bits GCM protège contre l'interception. Le E2EE élimine même le risque théorique d'interception côté Zoom.

Ingénierie sociale : Le maillon le plus faible de toute chaîne de sécurité. Les e-mails de phishing imitant des invitations Zoom restent courants. Zoom ne peut pas empêcher un utilisateur de cliquer sur un faux lien « Rejoindre la réunion » menant à une page de vol d'identifiants. Formez votre équipe à vérifier les liens de réunion et à utiliser les intégrations de calendrier plutôt que de cliquer sur des liens d'e-mails inconnus.

Zoom est-il à l'abri des hackers ? Il est aussi sûr que toute grande plateforme cloud lorsque vous utilisez la 2FA, des mots de passe uniques et les paramètres de sécurité décrits ci-dessus. Le plus grand risque n'est pas le code de Zoom — c'est votre hygiène en matière de mots de passe.

Comment la sécurité de Zoom se compare aux autres plateformes

Zoom n'est pas la seule option de visioconférence. Voici comment sa sécurité se positionne par rapport aux principales alternatives en mars 2026.

Microsoft Teams : Utilise également le chiffrement AES 256 bits et propose le E2EE pour les appels individuels (étendu aux appels de groupe fin 2025). Teams bénéficie de l'écosystème de sécurité plus large de Microsoft, notamment l'intégration avec Azure Active Directory et Microsoft Defender. Les certifications de conformité sont comparables à celles de Zoom. Pour les organisations utilisant déjà Microsoft 365, la sécurité de Teams s'intègre étroitement à la gestion d'identité existante. Consultez notre guide des alternatives à Microsoft Teams.

Google Meet : Utilise le chiffrement AES 256 bits pour tous les appels. Google ne propose pas de E2EE sélectionnable par l'utilisateur pour les appels Meet standard (le chiffrement côté client est disponible uniquement sur les plans Workspace Enterprise Plus). Les pratiques de Google en matière de données sont régies par sa politique de confidentialité plus large, qui inclut l'utilisation des données pour l'amélioration des services.

Plateformes basées sur WebRTC (dont Flat.social) : Les plateformes construites sur WebRTC utilisent par défaut le SRTP (Secure Real-time Transport Protocol) avec échange de clés DTLS. L'audio et la vidéo circulent en pair à pair lorsque c'est possible, ce qui signifie que les données ne transitent jamais par un serveur central. Il n'y a pas d'enregistrement cloud car rien n'est stocké côté serveur. Pour les équipes qui souhaitent une confidentialité assurée par l'architecture plutôt que par une politique, les plateformes WebRTC méritent d'être considérées.

Aucune plateforme n'est « la plus sécurisée ». La sécurité dépend de votre modèle de menace. Zoom est un choix solide pour les organisations nécessitant des certifications de conformité, des contrôles d'administration et des fonctionnalités d'entreprise. Pour les équipes privilégiant la collecte minimale de données et une architecture pair à pair, les plateformes de réunions spatiales proposent une approche fondamentalement différente.

Zoom est une marque déposée de Zoom Communications, Inc. Cet article est une publication indépendante qui n'est ni affiliée à, ni approuvée par, ni sponsorisée par Zoom Communications, Inc.

En résumé : Zoom est-il suffisamment sécurisé pour votre équipe ?

Zoom en 2026 est un produit fondamentalement différent de celui qui faisait les gros titres sur la sécurité en 2020. Le chiffrement AES 256 bits protège chaque appel. Le E2EE optionnel est disponible sur tous les forfaits. Les certifications SOC 2, ISO 27001, HIPAA et FedRAMP couvrent les besoins de conformité de la plupart des organisations.

Mais la sécurité ne dépend pas uniquement de la plateforme — elle dépend aussi de son utilisation. Voici votre liste d'actions :

1. Activez l'authentification à deux facteurs sur chaque compte Zoom de votre organisation.
2. Activez les salles d'attente et les codes d'accès pour toutes les réunions planifiées.
3. Utilisez le E2EE pour toute réunion impliquant des informations confidentielles (juridique, financier, médical, RH).
4. Vérifiez les autorisations des applications tierces dans vos intégrations Zoom Marketplace chaque trimestre.
5. Maintenez Zoom à jour sur tous les appareils.

Ces cinq étapes vous placent devant 95 % des utilisateurs de Zoom en matière de sécurité. Si votre modèle de menace exige davantage (vous traitez des informations classifiées, opérez sous des lois strictes de souveraineté des données, ou préférez simplement une plateforme qui collecte moins de données par conception), envisagez une alternative basée sur WebRTC où l'audio circule en pair à pair et rien n'est stocké sur un serveur central.

Vos réunions contiennent les idées, les stratégies et les conversations sincères de votre équipe. Elles méritent d'être protégées.