Denis JACOPINI présent à Abidjan pour le IT Forum 2016 les 7 et 8 juin 2016

2 jours de networking organisés par CIO Mag et le Club DSI de côte d’Ivoire sous le parrainage de

Bruno Nabagné KONE, Ministre de l’Economie numérique et de la Poste – Côte d’Ivoire

Venez discuter, échanger et dialoguer avec des donneurs d’ordre, rencontrez-les en rendez-vous :

Freddy TCHALA, CEO MTN CI

Euloge SORO-KIPEYA, CEO ANSUT

Nongolougo SORO, CEO SNDI

Mme. Saloua K. BELKZIZ, Présidente de la Fédération APEBI – Maroc

Jean Kacou DIAGOU, Président du CGECI – Côte d’Ivoire

Une vingtaine d’experts partageant leurs retours d’expériences et les meilleures pratiques

Cdt Guelpétchin Ouattara, Directeur de l’Informatique et des Traces Technologiques – Côte d’Ivoire

Yann PILPRE, Expert Sécurité, CEO YPSI

Denis JACOPINI, Expert en Cybercriminalité et Protection des données personnelles

Ange DIAGOU, CEO NSIA Technologies

Frédéric MASSE, Vice-Président SAP

Alain DOLIUM, Expert Transformation numérique PDG SMS Group

vous souhaitez y participer ?

Entrée gratuite mais inscription obligatoire : Cliquez ici

PROGRAMME

Merci à l’auteur de cet article

Réagissez à cet article

Fuites de données de Santé en France

Le Parlement européen a adopté le jeudi 14 avril 2016 le règlement européen sur la protection des données. Le règlement qui sera applicable à partir du 25 mai 2018 dans l’ensemble des pays membres de l’Union européenne. Avec cette jolie annonce que l’on attend depuis des années, je me suis penché sur un cas concret de fuites de données : les dossiers médicaux. A la fin de ma compilation et analyses des datas collectées, ma question est la suivante : Et si la lutte contre la protection de nos données de santé était déjà perdue d’avance ?

Santé et fuite de données : Plus de 200 millions de dossiers médicaux perdus en 1 an

J’ai analysé les établissements de santé américains. Il faut dire que cela est plus simple. La France n’a aucun moyen de contrôle au sujet des fuites d’informations dans le secteur Français de la santé. Et ce n’est pas faute d’avoir des personnes très compétentes au Ministère de la Santé et des Affaires Sociales. Mais en France, pour le moment, aucune obligation n’est faite pour que les patients soient alertés en cas de fuite, de piratage, de perte de leurs données (clé usb, portable…). Sur le sol de l’Oncle Sam, il en est tout autre. La loi Hitech Act (section 13402) impose l’affichage public de toutes fuites d’informations concernant plus de 500 patients dans le même établissement.

En 1 an, la plus grosse fuite de données médicales aux USA aura visé l’Anthem, Inc. Affiliated Covered Entity. Nous sommons alors en mars 2015. 78,8 millions de dossiers suite à un « Hacking/IT Incident Network Server » comme le référence le Ministère américain de la Santé (HHS). Depuis le 1er janvier 2016, 103 établissements de santé (Hôpitaux, centres de soin…) ont été touchés par une perte, un vol, un piratage. Dernier cas en date, 2.213.597 de données de patients piratés au 21st Century Oncology de Floride. Ici aussi, le HHS (U.S. Department of Health and Human Services) parle de « Hacking/IT Incident Network Server« . L’attaque date du 4 avril 2016.

Depuis le 1er janvier 2016, 3.605.511 dossiers de patients américains ont volés, piratés ou perdus. Et en France ?

Article de Damien BANCAL

Réagissez à cet article

Après 3 semaines d’insistance de ZATAZ, la CNIL fait corriger une fuite de données sur le site du PS en quelque heures

Pendant trois semaines, j’ai tenté de faire corriger une fuite de données découverte sur le site du Parti Socialiste. J’ai dû faire appel à la CNIL pour qu’un sympathique communicant de ce parti politique français daigne écouter !

Des fuites de données, j’en croise des dizaines par mois, des centaines par années. Depuis la création de mon blog, voilà plus de trente ans (sur disquette, puis papier) et bientôt 20 ans sur le web, ZATAZ a pu aider plus de 60.000 entreprises, associations, particuliers à se protéger des malveillants du web. Bref, permettre de corriger une fuite de données, une faille, un problème de piratage via le protocole d’alerte ZATAZ.

Dans 99,9% des cas, cela se passe bien, voire très très bien. Pour les cas étatiques, par exemple, l’ANSSI me répond dans la minute, même un dimanche, à 3h du matin. La CNIL ne met pas plus de temps. Seulement, il y a ce 0,1 % de … J’ai un mot en tête, mais n’étant pas grossier de nature, je vous laisse l’imaginer.

Allô ! le Parti Socialiste ? vous avez une fuite de données !
Il y a trois semaines, je constatais une étonnante fuite de données visant un sous domaine du site Internet du Parti Socialiste. Je passerai le côté technique de la chose. Il suffisait de cliquer sur un lien particulièrement formulé vers le sous dossier « Archive » pour que s’ouvre un espace d’administration du portail politique du PS.

Le « oueb » de ce groupe politique fait parti du 0,1 % de cette froideur intellectuelle et de « je-m’en-foutisme » qui pourraient coûter très chers si un interlocuteur moins impliqué que moi avait eu en main l’accès à cette fuite de données. Car fuite de données il y avait. Il était possible d’accéder aux noms, prénoms, adresses physiques, mails des adhérents, montant des cotisations, code dossier, département … de l’espace adhésion (en attente de traitement, transmise, non finalisée et effective).

 
Bref, après deux mails au service presse (sans réponse) ; deux mails aux DSI BS et JW (sans réponse) ; plusieurs Tweets dont une discussion hallucinante avec l’un des DSI que je tentais de contacter, autant dire qu’au bout de trois semaines, j’ai beau faire cela bénévolement, la moutarde commençait à me monter au nez, surtout après la lecture de plusieurs articles indiquant que d’étonnantes adhésions au PS étaient apparues dans plusieurs circonscriptions (Metz, …). Je me suis résolu à contacter des élus du PS officiant dans ma région, ainsi que la CNIL. Autant dire qu’avec la prestigieuse dame, cela n’aura pas pris trois semaines. Deux heures après mon alerte à la Commission Informatique et des Libertés, l’étonnant accès disparaissait du web… [Lire la suite]

 
Article de Damien Bancal

Réagissez à cet article

La CNIL inflige une sanction à Ricard pour défaut de sécurité

Réagissez à cet article

Deux applications accusées d’espionner les coureurs

Si vous ne le savez pas encore, Runkeeper est une application qui permet de mesurer ses performances sportives. Si on parle d’elle aujourd’hui, ce n’est pas vraiment pour les fonctionnalités qu’elles proposent, mais plutôt pour un sujet plus serré. En effet, cette application qui est la possession de la société FitnessKeeper violerait les règles de confidentialité des données personnelles. D’après le NCC (conseil des consommateurs norvégien), afin de pouvoir évaluer l’état de l’utilisateur, elle doit d’abord accéder à des fonctionnalités stratégiques telles que la géolocalisation.

Et le comble dans tout cela, c’est le fait que les données de l’utilisateur ayant été collectées seraient ensuite utilisées pour des finalités commerciales. En effet, elles seraient revendues à des entreprises de publicité et seraient même sauvegardées même après la suppression du compte. En tout cas, c’est ce qu’avance un rapport qui date du 10 mai. Interrogé sur cette question, le fondateur de Runkeeper a indiqué que le problème vient d’un bug. « Nous sommes en train de sortir une nouvelle version de notre application qui élimine ce bug… Nous prenons au sérieux la confidentialité des données des utilisateurs… », a-t-il indiqué. Par ailleurs, outre l’application Runkeeper, le NCC pointe aussi du doigt l’application Tinder, laquelle est une application pour les fans de rencontre amoureuse. Elle, aussi, conserverait les données des utilisateurs, notamment, les photos et les conversations… [Lire la suite]

Réagissez à cet article

Avec l’intelligence artificielle, Facebook en sait autant sur vous que votre conjoint. – Entreprises Numériques

Toute action sur Internet se transforme en données. On s’inquiète à juste titre de l’usage qui est fait de nos données personnelles (voir mon billet sur Safe Harbor). L’annonce par Facebook de « Search FYI » devrait encore attirer notre attention sur la protection de notre vie privée. Avec Search FYI, Facebook peut rechercher des informations dans tous les messages publics publiés par ses membres. Avec le développement de l’intelligence artificielle et l’utilisation du machine learning la valeur des données monte en flèche. Le mot « donnée » est souvent sous-estimé. On comprend bien qu’une photo et un texte postés sur un réseau social sont des données mais on oublie que le simple fait de cliquer sur un « like » devient une donnée aussi importante voire plus. Toute action sur internet laisse une trace numérique qui pourra être exploitée. C’est la base même du marketing digitale qui utilise ces traces numériques laissées sur le parcourt client pour mieux connaitre le consommateur et augmenter l’expérience utilisateur. C’est du donnant donnant : mieux nous sommes connus, mieux nous sommes servis. C’est l’évolution naturelle liée à la transformation numérique.

En analysant les « Likes », Facebook en sait plus sur notre personnalité que nos proches. La personnalité est un concept complexe qui semble difficilement mesurable. Cela touche à des sentiments, des émotions, des valeurs qui nous façonnent et qui nous rendent uniques. On pourrait donc imaginer, voire espérer, que les ordinateurs puissent se montrer impuissants à « quantifier » ce qui nous définit en tant qu’être humain. Pourtant une étude menée par des chercheurs des universités de Cambridge et de Stanford, publiée en janvier 2015, a montré que l’Intelligence Artificielle a le potentiel de mieux nous connaitre que nos proches. Cette étude visait à comparer la précision d’un jugement sur la personnalité réalisé par un ordinateur et des êtres humains. Les chercheurs ont demandé à 86.200 volontaires de leur donner accès à leurs « Likes » sur Facebook et de répondre à un questionnaire de 100 questions sur leur personnalité. Ces données ont été modélisées et le résultat est assez étonnant. On apprend que :

Avec l’analyse de 10 likes, Facebook en sait plus sur nous que nos collèges
Avec 70 likes Facebook en sait plus que nos amis
Avec 150 likes Facebook en sait plus que notre famille
Avec 300 likes Facebook en sait plus que notre conjoint
Quand on sait qu’en moyenne un utilisateur Facebook a 227 Likes, on se dit que nous n’avons plus grand choses à cacher.

Partager des émotions comme on partage des photos ou des vidéos. C’est la prochaine étape qu’imagine Mark Zuckerberg dans le futur. Durant une session de questions réponses sur son profile Facebook, le patron de Facebook a expliqué qu’il pensait que nous aurions à l’avenir la possibilité de partager nos expériences émotionnelles rien que par le seul fait d’y penser. La télépathie appliquée aux réseaux sociaux ? En matière d’Intelligence artificielle il devient difficile de faire la différence entre science-fiction et prévision. Quoiqu’il en soit Gartner a rappelé que c’étaient les algorithmes qui donnaient leur valeur aux données. Le progrès de ces algorithmes et leur complexité justifient qu’on s’intéresse à la protection de notre vie privée. Ils deviennent incontournables dans notre vie moderne, il faut en être conscient… [Lire la suite]

Réagissez à cet article

Pourquoi la vidéosurveillance de Salah Abdeslam pose question légalement ?

Il est aujourd’hui placé en isolement total dans une cellule de 9m2, et deux caméras le filment 24h/24. Cette mesure, tout-à-fait exceptionnelle, est justifiée, selon le Ministre de la Justice français, “conformément aux exigences la Convention Européenne de Sauvegarde des Droits de l’Homme et du droit français de la protection des données personnelles”.

La loi française prévoit un régime dérogatoire s’agissant de la procédure pénale en matière de terrorisme, mais aucune disposition n’envisage spécifiquement la mise en place d’un dispositif de surveillance continue de la cellule d’un détenu. La Cour Suprême française (Cour de Cassation) a retenu à une reprise, en matière de criminalité organisée, la validité de la sonorisation permanente d’une cellule, sur autorisation du juge d’instruction.

Un arrêté français du 23 décembre 2014 autorise le contrôle sous vidéoprotection d’une cellule de protection d’urgence, mais ce texte ne vise que les détenus “dont l’état apparaît incompatible avec leur placement ou leur maintien en cellule ordinaire en raison d’un risque de passage à l’acte suicidaire imminent ou lors d’une crise aigüe” et alors la durée d’enregistrement ne peut dépasser 24 heures consécutives. C’est dans l’une de ces cellules de protection d’urgence pour les détenus suicidaires que monsieur Salah Abdeslam est actuellement détenu. L’arrêté ne serait donc applicable que s’il était démontré un risque imminent de passage à l’acte suicidaire, alors que Monsieur Salah Abdeslam est isolé, ses visites étant très limitées, et complètement isolé des autres détenus à chaque promenade. Il dispose en outre d’un pyjama en papier, sa cellule vide faisant l’objet d’une surveillance accrue par des rondes renforcées toutes les 3 heures. Monsieur Salah Abdeslam lui-même est encadré par une équipe de surveillants et médecins spécialisés dans les personnes dangereuses.

La Cour Européenne des Droits de l’Homme a permis aux détenus de bénéficier d’une véritable protection de leurs droits, en s’appuyant notamment sur l’article 3 de la convention, relatif aux traitements inhumains et dégradants. Les états membres doivent en effet s’assurer que la détention est compatible avec le respect de la dignité humaine et à veiller à ce que la santé et le bien-être du prisonnier soient assurés de manière adéquate. La Cour a déjà tenu compte, dans une affaire d’isolement carcéral et dans un contexte de la lutte contre le terrorisme, de la personnalité du détenu et de sa dangerosité hors norme, pour justifier de la mise en place de telles mesures (CEDH Grande Chambre, 4 juillet 2006, Ramirez Sanchez c/ France).

En matière de vidéosurveillance continue, la Cour Européenne a déjà été saisie de cette question, mais n’y a pas répondu, estimant que le requérant n’avait pas épuisé toutes les voies de recours internes dont il bénéficiait pour contester l’application de la mesure de sa vidéosurveillance (CEDH, Riina c/ Italie, 11 mars 2014). Le requérant, condamné à la réclusion à perpétuité pour association de malfaiteurs de type mafieux et de multiples assassinats se plaignait d’une vidéosurveillance constante dans sa cellule, y compris dans les toilettes.

Conscient de ce vide juridique, le Ministère de la Justice français a saisi l’autorité française de contrôle et de protection des données personnelles (CNIL), en charge notamment des questions liées la conservation des enregistrements et des mesures de vidéoprotection, d’un projet d’arrêté sur la vidéosurveillance en prison. Son avis sera rendu public dans les prochains jours.

En cas d’avis défavorable de la CNIL, l’avocat de Salah Abdeslam serait en droit de contester la mesure et de réclamer, outre une réduction de la mesure de vidéoprotection, une indemnisation financière devant le directeur de la prison, et en cas de rejet, de saisir le juge administratif français d’un recours. A charge pour l’avocat d’inscrire cette procédure de contestation dans une stratégie de défense plus générale… [Lire la suite]

Réagissez à cet article

Google fait semblant de ne rien comprendre à ce qu’exige la Cnil

C’était attendu et il est même surprenant que l’officialisation intervienne si tard. Jeudi, c’est par une tribune publiée dans Le Monde que Google a annoncé avoir interjeté appel contre sa condamnation par la Cnil qui lui reproche une mauvaise application du droit à l’oubli, conformément à la position prise par l’ensemble de ses homologues européennes.

Depuis l’arrêt Google Spain du 12 mai 2014, la justice européenne considère que les Européens ont le droit à ce que des résultats qui affichent des éléments de leur vie privée ne soient plus visibles sur le moteur de recherche. La Cour de justice de l’Union européenne (CJUE) avait en effet estimé que l’indexation des pages Web qui contiennent des informations privées constituait un « traitement de données personnelles », et qu’à ce titre les Européens disposaient du « droit d’opposition et de rectification », traduit en France par la loi informatique et libertés de 1981.

PLUS DE 150 000 RÉSULTATS RENDUS INVISIBLES EN FRANCE

En conséquence, Google a mis en place un formulaire qui permet aux Européens de demander le retrait des résultats qui s’affichent lorsque l’on tape leur nom dans le moteur de recherche. En interne, il a établi une grille d’interprétation qui permet à ses employés de savoir quand accéder à la demande. La CJUE avait en effet laissé à Google la responsabilité d’effectuer l’arbitrage nécessaire entre d’un côté la protection de la vie privée des quidams, et de l’autre le droit à la liberté d’information concernant, par exemple, des personnalités publiques pour lesquelles trouver ou rechercher des informations relèverait d’un intérêt démocratique.

À ce jour, Google a donc reçu des demandes de suppression de 1,5 millions d’URL, et a accepté moins de la moitié d’entre elles. En France, Google a reçu des demandes concernant un peu plus de 306 000 pages web, et a consenti l’effacement pour 49 % d’entre elles. soit un peu plus de 150 000 résultats.

Il est important de comprendre que ces URL sont effacées exclusivement dans les résultats des recherches qui portent précisément sur le nom de la personne concernée. Ils restent dans l’index de Google et peuvent toujours être accessibles par d’autres requêtes plus indirectes, ce que la Cnil n’a jamais reproché à Google.

LE DROIT À L’OUBLI D’UN EUROPÉEN N’EST PAS UNE « INFORMATION ILLÉGALE »

Google a accepté de censurer les résultats sur toutes les recherches effectuées depuis l’Union européenne, en faisant une application territoriale du droit à l’oubli. Il s’applique en Europe, et en Europe seulement. Or ce que la Cnil reproche à Google, c’est de ne pas accepter l’idée que le « droit à l’oubli » est un droit personnel qui est attaché à chaque individu en Europe, et que ce droit reconnu par l’Union européenne à ses concitoyens, imposé par la Charte des droits fondamentaux (article 8), s’exerce par l’individu à l’égard du monde entier.

Dans sa tribune pour Le Monde, Kent Walker, le directeur juridique de Google, cherche très clairement (mais de façon très subtile) à induire les lecteurs en erreur sur la nature du conflit qui l’oppose à la Cnil, et sur les enjeux en présence.

Walker fait croire au public que le droit à l’oubli viserait à faire disparaître une « information illégale » et que cette « information illégale » en Europe pourrait être légale ailleurs dans le monde. Mais c’est tout simplement faux et manipulateur. Ce n’est pas du tout l’information référencée qui est illégale en elle-même. Elle est légale partout. Ce qui est illégal en revanche, c’est le fait pour Google de continuer à afficher une donnée personnelle d’un Européen alors que l’Européen qui bénéficie d’un droit à l’oubli a demandé à ce qu’elle soit supprimée. Et ça, aux yeux de la Cnil, ça devrait rester illégal partout dans le monde, parce que le droit de l’Européen n’est pas limité aux frontières de l’Union européenne.

Il faut donc relire la tribune pour voir à quel point Google tente de déformer le débat en faisant semblant de ne pas en comprendre les termes :

« Depuis maintenant plusieurs siècles, il est juridiquement admis qu’un pays ne peut imposer sa législation aux citoyens d’un autre pays. Une information jugée illégale dans un pays peut donc s’avérer licite dans d’autres : la Thaïlande proscrit les insultes à l’encontre de son roi, le Brésil interdit à tout candidat politique de dénigrer ses concurrents, la Turquie prohibe tout discours portant atteinte à Ataturk ou à la nation. De tel propos sont pourtant autorisés partout ailleurs. En tant qu’entreprise présente dans des dizaines de pays, nous veillons à respecter au mieux ces différences.

(…)

Elle (la CNIL, ndlr) nous demande d’appliquer le droit à l’oubli à toutes les versions de notre moteur de recherche et à tous nos utilisateurs dans le monde. Cette exigence conduirait au retrait de liens vers du contenu tout à fait légal, de l’Australie (google.com.au) au Zimbabwe (google.co.zm), et partout ailleurs dans le monde. »

L’APPLICATION MONDIALE D’UNE LOI ? NON, L’APPLICATION MONDIALE D’UN DROIT

Dès lors, Google invente une question qui n’a en réalité aucun sens. « Si nous devions appliquer la loi française partout dans le monde, combien de temps faudrait-il avant que d’autres pays – peut être moins libres et démocratiques – exigent à leur tour que leurs lois régulant l’information jouissent d’un périmètre mondial ? », interroge la firme. « Ces demandes, si elles se multipliaient, aboutiraient sous peu à ce que des internautes français se voient privés d’informations parfaitement légales en France, au nom d’une loi étrangère ».

Mais encore une fois, il ne s’agit pas d’une loi régulant l’information, mais du respect d’un droit attaché à l’individu.

Est-il à ce point anormal que les habitants du Zimbabwe ou de l’Australie bénéficient sur Internet des droits qui leur sont reconnus dans leur pays ? Est-il à ce point anormal que les Français bénéficient à l’égard des internautes américains, chinois ou chiliens, du respect des droits qui leur sont reconnus en France ?

La France ne demande pas que les droits des Américains soient modifiés, et que leur soient reconnus à eux un droit à l’oubli. Elle demande, par la Cnil, que les droits des Français soient reconnus et protégés y compris aux États-Unis ou ailleurs dans le monde. Ce n’est pas à ce point déraisonnable, et c’est même démocratiquement juste. Sinon, il faudrait inventer un Parlement mondial, pour que les Français puissent défendre la protection de leurs droits y compris ailleurs qu’en France.

En réalité, Google procède à une inversion accusatoire. Il prétend que la Cnil exige l’application mondiale d’un droit, alors que Google demande surtout l’application mondiale d’une violation d’un droit… [Lire la suite]

Réagissez à cet article

Et si la reconnaissance faciale de Facebook était excessive ?

En Californie, trois utilisateurs ont reproché au réseau social n°1 d’avoir « secrètement et sans leur consentement » collecté des « données biométriques dérivées de leur visage ». Ces plaintes ont été jugées recevables par le juge James Donato qui « accepte comme vraies les allégations des plaignants » et juge « plausible » leur demande.

Au sein de l’Union européenne, le danger a rapidement été perçu s’agissant du système de reconnaissance faciale de Facebook qui l’a suspendu en 2012. Mais aux Etats-Unis, bien moins vigilants, cette fonctionnalité a perduré et il apparait bienvenu que la Justice y réagisse enfin. Facebook a constitué des profils qui répertorient les caractéristiques du visage de ses utilisateurs, leur cercle d’amis, leurs goûts, leurs sorties, etc. Avec plus de 3 milliards d’internautes dans le monde, cela revient à ce qu’environ 28% de la population ait un double virtuel rien que sur Facebook.

Facebook is watching you : Reconnaissance faciale, intelligence artificielle et atteinte aux libertés 
Eu égard à leur grand potentiel discriminatoire, les données biométriques sont strictement encadrées par la loi du 6 janvier 1978 puisque d’après son article 25, une autorisation préalable de la Commission nationale de l’informatique et des libertés est indispensable pour mettre en œuvre des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Cela regroupe l’ensemble des techniques informatiques qui permettent d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les conditions générales d’utilisation de Facebook ne sont pas donc pas conformes à la législation française sur les données personnelles, notamment s’agissant de la condition de consentement préalable, spécifique et informé au traitement des multiples données à caractère personnel collectées. Mais le géant de l’internet ne répond qu’à l’autorégulation. Par opposition à la règlementation étatique, la régulation n’entend prendre en compte que la norme sociale, c’est-à-dire l’état des comportements à un moment donné. Si la norme sociale évolue, alors les pratiques de Facebook s’adapteront.

Vers une remise en cause mondialisée des abus de Facebook ?
L’affaire pendante devant les Tribunaux met en lumière le manque de réactivité des américains face aux agissements de Facebook. C’est seulement au bout de 5 années que la Justice s’empare de la question des données biométriques à l’initiative de simples utilisateurs, alors même qu’une action de groupe à l’américaine d’envergure aurait pu être engagée pour mettre sur le devant de la scène les abus de Facebook.

Néanmoins, « mieux vaut tard que jamais » et l’avenir d’une décision répressive ouvre la porte vers de nouveaux horizons pour l’ensemble des utilisateurs. En effet, Facebook prend comme modèle pour toutes ses conditions générales d’utilisation à travers le monde la version américaine de « licencing ». Plus Facebook se verra obligé dans son pays natal à évoluer pour respecter les libertés individuelles des personnes inscrites, plus on s’éloignera du système tentaculaire imaginé par Mark Zuckerberg qui n’est pas sans rappeler celui imaginé par Georges Orwell dans son roman 1984.

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM… [Lire la suite]

Réagissez à cet article

RGPD Règlement européen sur la protection des données : priorité au chiffrement, à l’authentification et aux contrôles d’accès

L’adoption récente du règlement européen sur la protection des données personnelles constitue un tournant pour les entreprises implantées dans l’Union Européenne. En effet, il exige des gestionnaires d’infrastructures et des fournisseurs de services numériques – tels qu’Amazon ou Google – de faire part d’éventuels vols de données et de mettre en place des mesures de sécurité adéquates. Les chefs d’entreprises devraient y voir là un avertissement et commencer dès à présent à évaluer leurs politiques de sécurité, avant que la proposition de loi ne soit approuvée par le Parlement et le Conseil européen.

Où en sont les entreprises européennes en termes de sécurité des données et quelles mesures doivent-elles prendre afin d’être conformes ? A l’heure actuelle, les pare-feu, les antivirus, le filtrage de contenu et la détection des menaces sont les principaux outils utilisés pour se prémunir des vols de données. Ces mesures sont, cependant, insuffisantes, les hackers pouvant franchir aisément ce premier périmètre de sécurité. Dès lors, l’adresse IP des entreprises ou encore les informations de leurs clients peuvent être compromises, comme ce fut le cas avec Volkswagen et la conception de sa Passat.

D’après le Breach Level Index réalisé pour l’année 2015 par Gemalto, plus de 707,5 millions de dossiers clients ont été volés ou perdus à la suite de 1 673 cyberattaques menées de par le monde. Un chiffre qui devrait faire l’effet d’un véritable électrochoc pour les responsables informatiques, d’autant que, fait encore plus inquiétant, 4 % des infractions ont impliqué des données sécurisées (chiffrées partiellement ou en totalité).

Les clients confient des données confidentielles, et ils doivent donc être assurés et convaincus de leur sécurité. Si le lien de confiance avec le client vient à être brisé, il peut être très difficile pour les entreprises de le renouer.

Une de nos récentes études a révélé que plus de la moitié des individus interrogés (57 %) ne traiterait jamais, ou très peu probablement, avec une société ayant perdu des données personnelles suite à une cyberattaque.

Pourquoi ce règlement apparaît aujourd’hui comme une nécessité ?

La sécurité a toujours été un sujet d’actualité, mais suite aux récentes attaques, comme celle de Talk Talk, et le fait que de plus en plus de données personnelles sont collectées en ligne, assurer leur sécurité et maintenir une relation de confiance avec les clients n’a jamais été aussi primordial. A l’heure actuelle, les entreprises européennes ne sont pas tenues de signaler les brèches de données dont elles peuvent faire l’objet, et, de fait, grand nombre d’entre elles ne le font pas. Une fois la nouvelle réglementation en vigueur, elles seront dans l’obligation de révéler ces violations, sous peine de se voir infliger une amende pouvant aller jusqu’à 4 % de leur chiffre d’affaires. C’est pourquoi elles doivent dès à présent opérer un changement de stratégie.

Cependant, il ne s’agit pas là d’un fait nouveau. Cette pratique est déjà en place depuis plusieurs années aux Etats-Unis. C’est pourquoi nous entendons davantage parler des cyberattaques ayant lieu outre-Atlantique que celles se produisant près de chez nous.

Quels sont les principaux enseignements à en tirer ?

Au lieu de se concentrer uniquement sur la protection du périmètre de sécurité, les entreprises devraient plutôt adopter une approche segmentée, protégeant les données à tous les niveaux et barrant le passage aux hackers qui auraient franchi le 1er palier de défense. Cela signifie également que la priorité doit porter sur les données elles-mêmes et sur le fait qu’elles ne puissent être consultées ou utilisées par des personnes non autorisées. Protéger les données par des solutions de chiffrement de bout en bout, d’authentification et des contrôles d’accès permet d’ajouter un niveau de sécurité supplémentaire. En mettant en place des outils de chiffrement, les données subtilisées n’ont plus aucune valeur pour toute personne non autorisée. L’accès peut être sécurisé en utilisant des clés permettant aux personnes habilitées de consulter les informations. Ainsi, en cas d’attaque, les entreprises sont certaines de garantir la sécurité des données de leurs clients.

Informer les clients

Une fois ces mesures sécuritaires mises en place, il est important d’en informer les clients et de les rassurer quant à la pertinence des processus instaurés pour protéger leurs données. Si les entreprises peuvent démontrer qu’elles sont prêtes à se dépasser et à mettre toute leur énergie dans cette démarche, elles seront perçues comme innovantes et dignes de confiance.

La sécurité est un effort mutuel. S’il est important d’informer les clients sur le travail qui est fait pour assurer leur sécurité, il est tout aussi primordial qu’ils sachent comment se protéger eux-mêmes. De plus, s’adresser à un utilisateur averti permettra de lui proposer un meilleur service client.

L’adoption du nouveau règlement européen sur la protection des données donne aux entreprises la possibilité de prendre les devants et montrer dès à présent à leurs clients qu’elles prennent ce sujet très au sérieux. Elles ne doivent pas seulement se soucier d’être conformes ou pas, mais comprendre qu’il s’agit là d’une nécessité essentielle à leur réussite. Les utilisateurs sont de plus en plus conscients qu’ils confient des données sensibles aux entreprises, leur demandant, de fait, d’en être responsables. La montée en puissance de cette prise de conscience doit aller de pair avec un niveau d’exigence plus élevé vis-à-vis des structures hébergeant ces informations. Ne pas prendre ce sujet au sérieux pourrait non seulement être préjudiciable en cas d’attaque, mais également nuire à la confiance instaurée avec les clients. Perdre ce lien les incitera à se tourner vers des concurrents jugés plus fiables… [Lire la suite]

Réagissez à cet article