Ressentez-vous une préoccupation des citoyens concernant leur vie privée ?

Ce n’est pas vraiment une préoccupation à ce stade, sauf pour une minorité, environ 5 à 10% de la population d’après certains sondages. Cette minorité comprend la manipulation commerciale dont elle est l’objet et, conséquemment, le poids du ciblage dans son comportement. Le constat intéressant est qu’aujourd’hui ce ne sont plus spécifiquement les « geeks » qui prennent conscience de cette manipulation, mais des profils de plus en plus variés. Cela se traduit pour la grande majorité par un agacement de la population, parfois même une exaspération liée à la sensation d’être un produit. La puissance des géants devient dérangeante, les big tech sont en train de devenir les méchants.

Comment cette évolution se traduit-elle depuis l’entrée en vigueur du RGPD ?

Je ressens une meilleure compréhension des enjeux de protection de la vie privée, notamment lorsque je donne mon pitch. Je pense que les réactions que je récolte sont un bon échantillonnage de l’ère du moment. Il y a 4 ans, je passais parfois pour un fou : « la confidentialité, ça n’intéresse personne », « le modèle GAFA c’est le seul qui fonctionne pour internet », etc. Aujourd’hui, ce n’est plus du tout le cas : c’est un marqueur énorme, très tangible.

Que propose Cozy Cloud pour les aider ?

Aujourd’hui, nos données ne sont déjà pas sous notre contrôle, mais elles sont également dispersées. Ainsi, l’usage que l’on peut en tirer est limité, voire freiné. La vie numérique se fragmente du fait de sa diversification : vie scolaire, parcours de santé, interactions avec les pouvoirs publics, objets connectés, etc. Toutes ces données circulent dans des écosystèmes étanches les uns par rapport aux autres, et cela crée une friction : c’est l’enfer des mots de passe, téléchargements, synchronisations, back-ups, etc. De ce fait, la force d’Apple consiste à créer une intégration, un maillage entre toutes ces données : l’utilisateur reçoit une invitation dans ses mails, elle est ajoutée sur son agenda, qui se synchronise avec son smartphone, lequel conduira bientôt sa voiture à destination… En interconnectant toutes ces données, Apple est devenue l’une des premières valeurs boursières !

Le fait d’ôter de la friction entre ces écosystèmes étanches et d’ajouter de la simplicité aux usages numériques a donc une valeur énorme. Une barrière persiste : l’isolation des données les unes par rapport aux autres. Pour un numérique utile, pratique, commode et personnalisé, il faut réunir les données.

En Europe, le système politique donne à l’individu une place centrale : aujourd’hui, grâce au RGPD, l’individu dispose d’un droit à la portabilité. C’est un droit fort pour l’usager, ainsi qu’un véritable levier pour Cozy Cloud et pour tous ceux qui se veulent des tiers de confiance. Il ne s’agit pas d’un droit de téléchargement, mais véritablement d’un droit au transfert pour l’utilisateur. Ce droit modifie totalement les règles du jeu.

Grâce à ce droit, l’individu est rendu légitime pour réconcilier les données : il dispose, d’une part des logins et mots de passe, d’autre part de la légitimité légale. En appuyant Cozy Cloud sur cette double légitimité, nous offrons à l’individu une plateforme numérique personnelle, dont il garde le contrôle, et dans laquelle il peut centraliser toutes ses données et accéder à de nouveaux services numériques.

Concrètement, quels services proposez-vous aux individus ?

Cozy Cloud, ce n’est pas seulement un coffre-fort « statique » comme on en voit beaucoup. L’utilisateur centralise ses données sur un cloud personnel pour pouvoir y adosser ses services, rajouter des usages et effectuer des croisements entre ses données. Nous appelons cela du « transverse data » : croiser les données issues de sources diverses. L’utilisateur peut par exemple faire le lien entre sa facture d’électricité et un débit sur son compte en banque : nous créons ainsi une véritable fluidité.

De plus, la plateforme permet à l’utilisateur de communiquer avec ses divers fournisseurs, qui se trouvent aujourd’hui dans des univers séparés : désormais, un login et un mot de passe uniques permettent d’échanger avec les différents fournisseurs.

Enfin, la solution permet la mise en place de services numériques à domicile. A l’heure actuelle, il faut laisser collecter la donnée pour pouvoir bénéficier d’un service ; par exemple, EDF envoie chaque mois des centaines de prélèvements automatiques sans savoir lesquels vont être bloqués in fine. L’information qui permettrait d’anticiper ces prélèvements infructueux existe mais EDF ne peut y accéder car cela reviendrait à accéder aux soldes bancaires de ses clients. Cela représente un coût important en frais de gestion, de traitement, de suivi et provoque des frictions dans la relation client. Avec la solution de Cozy Cloud, l’utilisateur récupère et consolide dans sa plateforme ses données bancaires, sa facture et la date de son prochain prélèvement ; de son côté, Cozy Cloud développe un protocole permettant de faire des calculs sur les données présentes dans la plateforme. Ainsi, l’algorithme d’EDF, qui a accès à la donnée mais ne la collecte pas, peut prédire que le prélèvement va être bloqué. De son côté, la banque peut par exemple faire une offre commerciale, et différer le prélèvement. Cette offre se base sur l’accès à une donnée très personnelle, qui relève de notre intimité numérique. Pourtant, jamais EDF ne reçoit la donnée : celle-ci ne sort pas du coffre numérique de l’individu et n’est donc pas dévoilée.

Comment sont gérés les accès et habilitations dans Cozy Cloud ?

C’est un peu similaire à ce que l’on peut retrouver sur nos smartphones : une fenêtre pop-up s’ouvre, par exemple pour demander l’accès à notre liste de contacts. L’accès d’une application à nos données facilite alors de nombreuses actions, par exemple la saisie d’un mail en local. Mais le transfert de données vers l’extérieur pose un véritable problème.

La fenêtre pop-up de Cozy Cloud propose deux options à l’usager : soit un usage local, soit un usage partagé de la donnée.

Quel est l’apport de votre solution pour les organisations ?

Cozy Cloud se fonde sur deux business models successifs.

Tout d’abord, nos clients ce sont de grands comptes, les « brick and mortars », qui bénéficient d’une confiance historique, menacés par les puissances du numérique. Ils veulent se repositionner à l’ère du numérique et valoriser cet asset de confiance : c’est donc du B2B2C. Cozy Cloud est aux « brick and mortars » ce qu’est Android pour le serveur, soit un service valorisant un hardware.

Le second business model interviendra une fois que la plateforme conciliera plusieurs acteurs-clés, tels que les banques ou les opérateurs de télécommunications : Cozy Cloud pourra s’adresser à une partie significative de la population. Il deviendra alors opérateur d’interactions digitales, dans une logique de partage de revenu avec les différents clients. En effet, Cozy Cloud gère l’écosystème et les contrats : lorsqu’un « brick and mortar » signe un contrat, tous les clients de Cozy peuvent bénéficier de sa donnée, avec l’accord de l’utilisateur. Le revenu lié à un client en particulier est matérialisé par la donnée apportée et la commission payée à Cozy Cloud.

Plus concrètement, quelle valeur ajoutée leur proposez-vous ?

On peut valoriser la donnée sans la monétiser pour autant : ce qui a de la valeur, ce n’est pas la donnée en tant que telle, c’est plutôt l’interaction créée entre les données, lorsque celle-ci est pertinente. Les organisations doivent le comprendre. Nous nous positionnons comme un opérateur d’interactions digitales.

Par exemple, lorsqu’un utilisateur achète une télévision à la Fnac, il reçoit la facture dans son cloud personnel ; ainsi son assurance peut lui communiquer des informations utiles, de type « votre nouvelle télé est bien assurée pour le dégât des eaux ». Cette interaction crée de la valeur pour l’assuré, mais également pour l’assureur. Dans ce contexte, l’organisation valorise son rôle de tiers de confiance en offrant davantage de services, mais peut également développer un nouveau métier. Celui-ci consiste, non plus à sécuriser de la donnée, mais à créer un écosystème de services à valeur ajoutée pour l’entreprise, mais aussi utile pour l’utilisateur. Si nous reprenons l’exemple d’EDF et de la banque, l’interaction rendue possible par Cozy Cloud engendre pour EDF un gain d’argent et de temps, qui se monétise. La plateforme Cozy devient ainsi un opérateur d’interactions digitales, somme toute plus intelligentes, tout en restant sous le contrôle des particuliers.

Cette solution pourrait sembler aller à l’encontre de technologies telles que le big data ou le machine learning de prime abord ; en réalité, jamais les entreprises n’auraient pu collecter de telles données et les ajouter à leur base de données. Cela leur permet de ne pas être définitivement désintermédiées, mais au contraire d’accéder à davantage de données.

Cela ne paraît pas nécessairement évident au premier abord : comment les convaincre ?

Il ne s’agit définitivement pas de convaincre les 30 000 PME et grands groupes français. Notre solution s’adresse à des acteurs qui sont aujourd’hui challengés par les nouveaux entrants du numérique. Aujourd’hui, le constat est sans équivoque : les GAFA connaissent mieux les clients des « brick and mortars » que les « brick and mortars » ne les connaissent eux-mêmes. Quand Facebook dépose un brevet sur l’évaluation de risque de crédit bancaire, ce n’est pas parce que Facebook est devenu un banquier : c’est simplement que Facebook a compris qu’il connaissait mieux les clients des banques que les banques elles-mêmes. Et ainsi, Facebook peut devenir banquier, tout comme il peut devenir opérateur d’énergie, de mobilité, de médias, etc. Du fait de l’intimité numérique qu’entretiennent les GAFA avec leurs usagers, ils s’approprient progressivement des verticales métiers.

En revanche, les « brick and mortars » bénéficient d’une confiance historique : banques, télécommunications, assurances mutualistes, pouvoir publics, etc. Nos clients sont des grands comptes, menacés par les puissances du net, qui veulent se repositionner à l’ère du numérique et valoriser cet asset qu’est la confiance. Nous leur proposons de tenir cette position de tiers de confiance, mais également de tirer de nouveaux usages de cette capacité de stockage.

Dans un premier temps, les organisations peuvent avoir la fausse impression de se faire prendre leurs données. Dans la réalité, Cozy Cloud vient les aider à développer des outils et usages plus intelligents. Soit ces organisations ouvrent le pas, et c’est une bonne chose pour elle, soit c’est Google qui le fera…

Cet article Vie Privée à l’ère du Numérique – Interview de Benjamin ANDRE (Cozy Cloud) est apparu en premier sur RiskInsight.

« Qwant, le moteur de recherche qui respecte votre vie privée »

Qu’est-ce que Qwant ?

Qwant est une société française avec des capitaux franco-allemands, dont le premier produit est un moteur de recherche possédant deux particularités. La première est qu’il respecte la vie privée de ses utilisateurs : il ne laisse pas de cookies et ne collecte aucune donnée personnelle. La deuxième est qu’il est souverain et européen. Il couvre les langues européennes et répond à la nécessité stratégique d’avoir un moteur de recherche en Europe car chacune des grandes puissances mondiales possède son propre moteur de recherche. En somme, Qwant se positionne comme un acteur numérique responsable avec un business model raisonnable et éthique.

Qui sont les utilisateurs de Qwant ?

Il est forcément difficile de les identifier. Nous avons des fichiers de logs, pour savoir quelles sont les requêtes qui sont envoyées, savoir là où ont cliqué les utilisateurs et pour comptabiliser les requêtes. Mais parce que nous ne collectons pas de données personnelles, nous ne pouvons pas savoir, par exemple, si une visite sur un site correspond à une première visite ou non.

Globalement, la connaissance que nous avons sur nos utilisateurs provient de sondages. Nous nous rendons ainsi compte que nos utilisateurs sont plus souvent des hommes que des femmes et sont plutôt avancés techniquement. En revanche, les âges des utilisateurs de Qwant sont très disparates.

Quelle était la genèse du projet ?

Je suis arrivé il y a seulement un an mais je connais le président Éric Léandri depuis 4 ans. Avec ses associés, il a d’abord établi le constat d’un important manque de souveraineté numérique alors même que notre économie numérique est basée sur la récolte de données personnelles. Celles-ci permettent de fournir des services personnalisés et de le financer par une publicité ciblée. Qui dit publicité ciblée dit collecte d’un maximum d’information sur la personne connectée.

De notre côté, nous estimons que cette solution n’est pas viable ! Pour instaurer une société numérique éthique et pérenne, il est nécessaire d’établir une relation de confiance avec les utilisateurs. L’exemple de l’affaire Cambridge Analytica tend à montrer que le numérique est aujourd’hui toxique pour nos sociétés.

En utilisant uniquement de la publicité non ciblée, comment vous rémunérez-vous ?

Nous proposons des publicités contextuelles : lorsqu’un utilisateur recherche le terme « vélo », une publicité liée au « vélo » va apparaître. Les informations personnelles, telles que le genre ou l’âge, ne sont pas connues. Paradoxalement, nous observons que le nombre de clics sur la publicité est plus élevé ; le gain lié aux publicités est donc proportionnellement plus élevé. Google a suivi ce business model jusqu’en 2006, époque à laquelle sa valorisation était de 10 milliards d’euros.

Aujourd’hui Qwant n’est pas dans une position de leader par rapport au reste des acteurs ; qu’est-ce qui pourrait changer la donne demain ?

Je vais répondre à côté volontairement : nous cherchons évidemment à obtenir davantage de part de marché. Pour être économiquement pérenne, nous avons besoin d’obtenir 15% du marché en France et 10% sur l’ensemble de l’Europe. Ça serait déjà formidable parce que le marché est énorme et que ça nous suffirait amplement pour vivre et pour que nos actionnaires soient ravis. Je pense que c’est essentiel de rappeler ça ; nous ne pouvons pas dire avec assurance que Qwant n’arrivera jamais à détrôner Google, mais nous pouvons toujours essayer.

Un business model respectueux de la vie privée, est-ce nécessairement un modèle sans aucune collecte de données à caractère personnel ?

Pas nécessairement. Ce qui est certain, c’est qu’il y a avant tout un besoin de repenser le système. Il a des innovations nécessitant la collecte de données qui ne fonctionneront pas sans un changement de dispositif. Je pense par exemple à notre filiale, Qwant Care, qui utilise l’IA sur des données médicales. Nous avons misé sur l’importance du médecin comme intermédiaire de confiance. Le patient va confier ses données médicales au médecin qui va les anonymiser grâce à un identifiant aléatoire avant de les envoyer à Qwant Care pour les faire analyser. Nous renvoyons un résultat et c’est au médecin de réécrire le nom du patient sur le dossier puis de le remettre au patient lors du diagnostic. L’existence d’un tiers de confiance peut constituer un premier pas dans ce sens.

Qwant ne mémorise pas l’historique de navigation, mais seulement les requêtes sans distinction de l’utilisateur. Il peut donc tout de même faire des suggestions dans la barre de recherche. Si vous tapez Donald, vous allez avoir Donald Duck et Donald Trump. Ce système peut cependant s’avérer handicapant car très peu d’utilisateurs utilisent les marques pages et les favoris. C’est néanmoins ce qui permet de ne stocker aucune donnée personnelle. Pour y remédier, nous mettons en place le « learning to rank » : en comptabilisant le nombre de clics par résultat de recherche nous parvenons à réorganiser l’ordre d’apparition des résultats de recherche selon les préférences utilisateurs. Sur la page de recherche Qwant, les résultats n’affichent que le titre et un extrait du contenu : l’amélioration de l’algorithme est donc basée sur l’intuition de l’utilisateur et l’intelligence collective. Par ailleurs, nous travaillons sur un nouvel outil, appelé Masq, qui enregistre les recherches en local sur l’ordinateur ou le mobile. Avec cet outil, l’utilisateur pourra avoir également des suggestions personnalisées, basées sur son propre historique de navigation, sans que Qwant ne l’enregistre sur ses serveurs.

Le problème est qu’en tant qu’utilisateur, nous ne sommes pas vraiment éduqués à l’utilisation de nos appareils. Lorsque vous achetez un Android, vous avez l’impression qu’il faut immédiatement un compte Gmail : ce n’est pas vrai mais c’est prévu pour que vous ouvriez un compte Gmail et rentriez dans l’engrenage. En réalité, nous pouvons faire plein de choses sans compte Gmail. De notre côté, nous avons annoncé un partenariat avec Wiko pour proposer un smartphone équipé de Firefox mais dont le moteur de recherche par défaut est Qwant au lieu de Chrome. Avec ce smartphone, vous pourrez initier votre Wiko sans aucune donnée personnelle. Seul l’opérateur saura qui vous êtes.

RGPD et prise de conscience collective

Le RGPD et la multiplication des scandales autour du respect de la vie privée ont-ils généré une prise de conscience des citoyens ?

Bien sûr, nous remarquons une certaine prise de conscience : le RGPD est un sujet de discussion et les derniers scandales ont eu une véritable valeur pédagogique (ce que nous avons d’ailleurs pu constater avec la hausse importante de fréquentation de Qwant suite à la médiatisation de l’affaire Cambridge Analytica). Néanmoins, la sensibilité au respect de la vie privée numérique reste encore trop peu développée à mon sens.

Dans ce cas, qu’est-ce qui a évolué dans la perception des citoyens ?

Les gens commencent à mieux percevoir ce que font les géants du numérique et les problèmes que cela pose, mais de façon encore trop timide. J’ai publié un livre dans ce sens il y a deux ans et demi (N.D.R.L. : Surveillance:// : Les libertés au défi du numériques : comprendre et agir, aux éditions C&F). Dans ce livre, je faisais œuvre d’éducation : faire comprendre le business model des géants du numérique, définir le logiciel libre et expliquer comment se protéger de la surveillance.

Ma démarche consiste, non pas à faire peur aux gens, mais à leur expliquer les choses. Je donne plus d’une centaine de conférences par an où j’explique de façon quasi-systématique le business model des géants de l’internet. Ce que les individus ne réalisent pas, c’est qu’ils sont utilisateurs des services proposés par ces entreprises et non pas les clients : le véritable client est l’annonceur publicitaire.

Comment aller plus loin dans cette prise de conscience ?

Malheureusement, très peu de gens sont formés au numérique alors même que le passage de l’administration au numérique apporte une pression sur toutes les tranches de la société. Tout le monde est obligé de s’y mettre malgré ce manque d’accompagnement. Par exemple ils ont souvent des difficultés à différencier un navigateur d’un moteur de recherche. L’application Qwant est un navigateur avec un moteur de recherche ; c’est comme confondre TF1 et Panasonic…

Je suis toujours étonné que l’on me pose des questions sur le compteur Linky par exemple. Cela ne représente rien en termes de vie privée par rapport à la collecte de données personnelles par les géants d’internet. Globalement, la notion de numérique est abstraite pour beaucoup. J’aime faire le parallèle avec les travaux de Louis Pasteur sur les microbes. Des micro-organismes invisibles à l’œil nu présents dans l’air sont à l’origine de maladies. Cette découverte a pu faire grandement baisser le nombre de décès dans les hôpitaux par l’adoption de simples gestes d’hygiène. Et bien aujourd’hui, ce qu’il nous manque dans le numérique, c’est la compréhension des concepts qui se cachent derrière et l’adoption généralisée de réflexes d’hygiène numérique…

Quel avenir pour les moteurs de recherche avec cette prise de conscience ?

Je pense personnellement que le numérique tel qu’il est aujourd’hui est dangereux : nous préparons un big Brother, ou dans le meilleur des cas un big Mother, c’est-à-dire une maman dont nous serions dépendants car elle saura tout de nous. J’ai un très fort attachement à la liberté individuelle et au libre choix de chacun ; il ne me paraît pas bon que quelqu’un ou une entreprise sache tout sur tout le monde et l’utilise via l’intelligence artificielle pour faire des suggestions aux individus. Des nombreuses dystopies découlent de ce modèle.

Facebook connaît par exemple l’opinion exacte de chacun de ses utilisateurs sur les Gilets Jaunes : vous n’en parlez pas forcément mais vous avez été confrontés à du contenu dont Facebook sait si vous l’avez liké, commenté positivement ou négativement, partagé, regardé jusqu’au bout. Leur business model consiste à faire passer de la publicité engageante, éventuellement politique, et d’analyser les réactions. Facebook a ainsi permis à la fois l’émergence de ce mouvement et de ses opposants, car c’est un endroit qui facilite le fait de se plaindre ou de critiquer. En revanche, rien n’y est fait pour apaiser et trouver des solutions raisonnables, car le contenu ne serait pas assez engageant pour l’algorithme de recommandation de Facebook. Dans un contexte d’élections, la capacité de Facebook de cibler les personnes selon des critères très précis, initialement pour leur vendre des produits ou de la publicité adaptée à leurs préférences, en devient même effrayante. Cumulé à cela, notons qu’il n’y a aucune obligation de véracité sur le contenu proposé par Facebook ; les manipulations sont donc aisées et courantes…

Quel avenir pour la vie privée dans le numérique ?

A titre personnel, quel est votre rapport à la vie privée et au numérique ?

Je suis informaticien, j’ai appris à programmer seul à 14 ans, j’en ai 52 aujourd’hui. J’ai commencé plus tôt que les autres, je suis en fait un vieux natif du numérique. Etant passionné, je suis resté longtemps aveugle sur les enjeux liés à la vie privée. Je voyais tout le potentiel de l’informatique : j’ai découvert le micro-ordinateur personnel à partir de 1980, qui a été un outil de libération dont nous ne pouvons plus nous passer aujourd’hui. Puis internet est arrivé avec cette capacité à mettre les personnes en relation, à leur donner accès au savoir. Au début, je n’ai pas cru à Wikipédia ; aujourd’hui je suis contributeur aussi bien en termes financiers qu’en contenu : ce n’est pas un outil parfait mais il rend des services incroyables. Puis le smartphone est arrivé : nous avons notre ordinateur en poche, connecté à Internet sans fil. Et, enfin, nous assistons à la révolution du logiciel libre : par exemple avec un code développé par des bénévoles, Firefox a atteint les 500 millions d’utilisateurs. Bref, le numérique est l’aventure de ma vie.

Plus tard, j’ai découvert la problématique des données personnelles. Chez Google, les salariés ont toujours eu une responsabilité écrasante et l’obligation de générer un revenu sans cesse croissant. Puis, Facebook est arrivé avec un produit différent mais en utilisant le même business model à destination des mêmes clients : les annonceurs. Pour moi, Google a une culture éthique et morale que nous ne retrouvons pas du tout chez Facebook, mais ils se sont laissé entrainer dans une logique de course au bénéfice constante contre Facebook. Il faut tirer la sonnette d’alarme pour contrer cette dérive.

Je reste persuadé qu’Internet, le micro-ordinateur, le numérique avec le smartphone, ont un potentiel fabuleux, mais la décentralisation est la condition pour protéger la vie privée. Je pense également que logiciel propriétaire n’est pas dans l’intérêt du citoyen ; pourtant Qwant en propose aussi. Il n’y a aucun contrôle sur les logiciels propriétaires, ils fonctionnent selon une logique de marché qui ne laisse pas de vraie possibilité de choisir, surtout lorsque nous ne sommes pas suffisamment éduqués pour le faire.

C’est pour cette raison que j’ai lancé les « meet-ups » pour la décentralisation d’Internet, il y a cinq ans maintenant. Aujourd’hui, les gens ne sont pas éduqués sur le numérique. Lorsque vous allez choisir un téléphone, vous devriez hésiter entre un iPhone, relativement cher pour une sécurité maîtrisée, et un Android, beaucoup moins sécurisé vis-à-vis de Google. Dans la réalité, la plupart d’entre nous focalisent leurs critères de choix sur des détails esthétiques sans prendre en compte le respect de la vie privée et la sécurité de ses données.

A votre sens, quelles sont les clés pour redonner confiance aux citoyens dans les services que le numérique peut leur proposer ?

Notre volonté est de positionner Qwant dans une nouvelle génération de service, éthique et, je l’espère, pérenne, grâce à la collecte d’un minimum de données. La minimisation de la quantité de données collectées est une notion très intéressante du RGPD. Sur votre smartphone, Facebook vous demande l’accès à vos contacts, à vos SMS, à votre agenda et télécharge tout instantanément. Pourquoi ont-ils besoin de savoir qui j’appelle par téléphone ? Nous en sommes même arrivés à créer une application « privacy flashlight » car beaucoup d’applications « flashlight » demandaient l’accès à vos contacts ! Je pense que nous sommes dans une crise de confiance, et chez Qwant, nous voulons vraiment incarner une nouvelle génération de services respectueux de la donnée en suivant une optique de minimisation dans l’esprit du RGPD.

La collecte généralisée et systématique des données, telle que l’effectue Google, va à l’encontre des principes de minimisation de la collecte et de décentralisation du stockage de la donnée. En réalité, les nouvelles technologies peuvent être rendues compatibles avec la protection de la vie privée : en opérant des changements d’architecture, en développant des outils en open source, en stockant les données de façon chiffrée et locale, rien n’empêche de continuer à synchroniser entre eux de façon chiffrée les appareils d’un même utilisateur.

 « Un citoyen sur trois dit qu’il est prêt à payer pour des services protecteurs de la donnée ». Est-ce que nous nous dirigeons vers des outils proposant une version payante qui respecte votre vie privée et une version indirectement payante via la collecte des données personnelles ? Nous ferions alors face à deux mondes s’écartant progressivement l’un de l’autre…

Ce risque existe déjà. En raison du prix très élevé des iPhones, Apple n’a pas besoin de monétiser et de rentabiliser nos données personnelles. A l’inverse, Android est un mouchard de poche, un cheval de Troie voué à la collecte de la donnée personnelle, via les applications Google Maps, Google Contact, Gmail, etc.

A côté de cela, Dan Ariely démontre dans ses études l’attrait irrésistible de la gratuité. Au sein de l’université dans laquelle il enseigne, il a mené l’expérience de proposer à un stand des truffes Lindt à 26 centimes et des chocolats bon marché à 1 centime : par défaut la majorité choisissent la truffe Lindt même si elle est plus chère car c’est un meilleur rapport qualité/prix. En revanche, quand il a diminué le prix d’un centime, et que le chocolat bon marché est alors devenu gratuit, la grande majorité des personnes l’ont alors choisi au détriment de la truffe à prix cassé. Il est très difficile de lutter contre la gratuité ; si Qwant était payant, il n’y aurait pas beaucoup d’utilisateurs…

Cet article Vie Privée à l’ère du Numérique – Interview de Tristant NITOT (Qwant) est apparu en premier sur RiskInsight.

Bilan d’un an de RGPD

Wavestone : Le RGPD a-t-il permis la prise de conscience escomptée ?

Gwendal Le Grand : Le RGPD est entré en application le 25 mai 2018 et c’est un texte que tout le monde s’est approprié : les organisations, les particuliers et les autorités de protection des données.

Les citoyens ont tiré parti de leurs droits et les ont davantage exercés auprès des organisations. En résulte une augmentation significative du nombre de plaintes : si on regarde les chiffres publiés dans notre rapport annuel, la CNIL a reçu 11 077 plaintes sur l’année dernière, soit une augmentation de 32% par rapport à l’année précédente, qui se poursuit cette année encore.

Du côté des entreprises, il est obligatoire d’avoir un DPO dans certains cas. Avant l’entrée en application du RGPD, on avait 5 000 correspondants informatique et libertés ; aujourd’hui on a déjà 16 000 DPO, représentant 50 000 organismes au total et il existe environ 700 structures en France qui proposent des prestations de DPO mutualisé. Pour citer un chiffre emblématique : en un mois, « L’atelier RGPD », notre MOOC, a vu la création de plus de 27 000 comptes, dont plus de 10% ont reçu l’attestation de réussite. Cela signifie qu’ils ont regardé toutes les vidéos et ont passé un petit test avec succès à la fin. Le nombre de visites sur le site de la CNIL est également marquant : il est passé à 8 millions en 2018, un chiffre non négligeable pour une autorité administrative indépendante, et une augmentation de 80% par rapport à l’année précédente.

Du coté des organisations professionnelles, nous avons reçu le 25 mai 2018 une plainte collective de la part de La Quadrature du Net et de NOYB et de l’association NOYB de Max Schrems qui travaille sur les grands acteurs de l’internet. Ces plaintes collectives ont donné lieu à la plus grosse sanction infligée par la CNIL en janvier 2019. On peut donc dire que tous, particuliers, entreprises, organismes de représentation des utilisateurs, se sont approprié le texte.

Nous travaillons également avec nos homologues au niveau européen. Un système d’information nous permet notamment d’échanger sur les cas transfrontaliers nécessitant de la coopération entre autorités nationales.

Du côté de l’adaptation du cadre national, tout s’est mis en place progressivement : la loi qui vient en préciser les marges de manœuvres, le décret d’application qui vient préciser la loi et l’ordonnance de réécriture de la loi.

Wavestone : Quel est le niveau d’avancement des entreprises dans la mise en conformité de votre prisme ?

Gwendal Le Grand : Au niveau des entreprises, la question de la protection des données a tendance à monter au plus haut niveau de la gouvernance, comme les COMEX ou les conseils d’administration. Un nombre important d’organisations a également désigné des DPO (délégués à la protection des données) ; certaines petites structures découvrent la protection des données à l’occasion du coup de projecteur donné par le RGPD et notamment l’effet dissuasif des sanctions qui peuvent désormais aller jusqu’à 20M€ ou 4% du chiffre d’affaire mondial de l’entreprise.

Wavestone : D’ailleurs, quels sont les sujets qui suscitent le plus de plaintes de la part des individus ?

Gwendal Le Grand : A date, les plaintes reçues par la CNIL restent assez « traditionnelles ». Elles sont surtout liées à la volonté de maîtrise des données à disposition en ligne (déréférencement, suppression de contenu sur des blogs, sur des sites de presse, ou sur des réseaux sociaux, etc.). On réceptionne aussi beaucoup de plaintes liées à la prospection commerciale et aux questions RH. Sur ce dernier point, ce sont en particulier les activités de surveillance qui font l’objet de plaintes : surveillance au travail, surveillance d’activité ou vidéosurveillance sur le lieu de travail. Petit à petit les problématiques relatives à ces nouveaux droits montent mais c’est quelque chose qui se fait doucement avec une courbe d’apprentissage au niveau des plaintes.

Wavestone : Au niveau des contrôles et sanctions, quel bilan tirez-vous ?

Gwendal Le Grand : La CNIL a des missions d’accompagnement, mais également des pouvoirs de contrôle et de sanction renforcés avec le RGPD ; ces deux missions sont complémentaires. En 2018, nous avons effectué 310 contrôles (en ligne, sur place, sur pièces).

En réalité, les possibilités de se mettre en conformité sont assez nombreuses avant d’arriver à la sanction elle-même. Celle-ci intervient uniquement en dernier recours. Habituellement, lorsqu’un organisme est contrôlé, on collecte ses pièces numériques, on les analyse. La plupart des contrôles donnent lieu à des échanges avec les organismes concernés et des clôtures. En cas de manquement de mise en conformité, une mise en demeure est envoyée à l’organisme. Puis il dispose d’un certain temps, à l’issue duquel, s’il ne s’est toujours pas mis en conformité, la CNIL rentre dans une procédure de sanction, qui peut aboutir notamment à une sanction pécuniaire. Il existe également une procédure de sanction accélérée.

En 2018, 11 sanctions ont été prononcées. À la suite du RGPD, le montant des sanctions est devenu plus important . Ainsi, pendant très longtemps la sanction pécuniaire maximale que pouvait infliger la CNIL s’élevait à 150 000€ ; elle est passée à 3 millions d’euros avec la loi pour une république numérique en 2016 ; puis à 20 millions d’euros ou 4% du chiffre d’affaires mondial avec le RGPD en 2018.

Wavestone : Les sanctions ont augmenté mais restent dans des volumes se comptant en dizaines ou centaines de milliers d’euros. Peut-on envisager de voir des sanctions de plusieurs millions d’euros dans les prochaines années ?

Gwendal Le Grand : Il y a eu en janvier une sanction de 50 millions d’euros, qui concernait un grand acteur de l’internet (NDLR : Google). Les autorités activent progressivement les nouveaux plafonds permis par le RGPD, au fur et à mesure que la procédure de contrôle se développe.

Wavestone : Comment ce type de sanction va-t-il être géré au niveau européen ? Est-ce qu’une sanction peut être répétée par les autorités des autres pays ?

Gwendal Le Grand : Le RGPD prévoit un système de guichet unique ; les organisations peuvent donc s’organiser pour avoir un établissement principal de référence, c’est-à-dire une autorité de protection des données unique en tant qu’interlocuteur au niveau européen. Concernant la sanction du mois de janvier, nous avons échangé avec nos homologues au moment des contrôles : il n’y avait pas d’établissement principal de cet organisme-là sur le territoire européen, ce qui permettait de dire que chaque autorité était compétente en ce qui la concernait sur son territoire. La CNIL était donc légitime à prendre une décision de sanction vis-à-vis de cet acteur-là. Le montant de la sanction a ensuite été ajusté, notamment en fonction de l’assiette des utilisateurs français.

Wavestone : Justement, à l’international, quel bilan ?

Gwendal Le Grand : Le but est de réussir la diplomatie de la donnée avec nos homologues au niveau CEPD, groupe des CNIL européennes, comme sur le plan international. On discute d’ores et déjà avec un certain nombre d’Etats ou de régions du monde, qui, dans la vague du RGPD, cherchent à se doter aussi de lois nationales ou régionales. Nous avons notamment travaillé avec des partenaires asiatiques, avec les Etats-Unis, et dans le cadre de la convention 108 du conseil de l’Europe. Ce sont des travaux qui sont bien évidemment amenés à se poursuivre.

Wavestone : Ce qu’on anticipe c’est un texte qui fasse référence pour des textes à venir dans le monde ?

Gwendal Le Grand : En matière de champ territorial, le RGPD s’applique aux organisations en Europe ou ciblant des utilisateurs européens. C’est une sorte de standard pour la confiance sur la question de la protection des données personnelles. En dehors du territoire européen, beaucoup d’acteurs s’intéressent au RGPD, car les européens sont leurs premiers clients. Derrière, c’est évidemment un gage de confiance pour eux vis-à-vis des échanges qu’ils peuvent avoir avec les acteurs dans leur région du monde.

Wavestone : Selon vous, le RGPD a-t-il modifié la relation entre les entreprises et leurs clients historiques (exercice de droits, modifications des usages, etc.) ?

Gwendal Le Grand : Au niveau de la CNIL, on ne voit pas forcément l’intégralité de la chaîne. On peut cependant constater qu’un certain nombre d’entreprises affichent la protection des données comme un avantage concurrentiel. Au-delà des aspects de conformité et de sanction potentielle, l’enjeu de ce texte est également de renforcer la confiance dans les services proposés par les entreprises, et indirectement de leur ouvrir des opportunités de développement économique.

Perspectives

Wavestone : Quels sont selon vous les points clés pour les entreprises afin de conserver une dynamique de conformité dans le temps ?

Gwendal Le Grand : Nous allons vraiment chercher à mettre en place une gouvernance de la donnée au niveau des entreprises : c’est une opportunité pour elles, aussi bien pour protéger les données que pour restaurer la confiance vis-à-vis de tout l’écosystème de leurs clients et de leurs entreprises partenaires. Le RGPD a mis en lumière les enjeux de cybersécurité : la gestion efficace et la sécurisation des données sont autant de questions essentielles à l’heure où nos sociétés sont devenues dépendantes de l’économie numérique. Dans ce sens, c’est également une opportunité pour les entreprises. Le RGPD mentionne ainsi la nécessité de mettre en place des mesures de sécurité techniques, organisationnelles, proportionnées au risque pesant sur les données personnelles.

Désormais, avec le RGPD, les entreprises doivent, dans certains cas, notifier la CNIL et les personnes concernées des éventuelles violations de données à caractère personnel. Pour y parvenir, les entreprises ont mis en place un système à trois niveaux. Premièrement, elles doivent tenir un registre de tous les incidents de sécurité qui touchent à la donnée personnelle.

Ensuite, elles doivent notifier à la CNIL sous 72h toute violation de données. Ces notifications servent essentiellement à faire monter le niveau de maturité des entreprises sur les questions de cybersécurité, et à leur apprendre à se préparer, à mettre en place un système de détection et de prise de décision, à maîtriser leurs risques et à réagir efficacement en cas d’incident.

Enfin elles sont tenues de les notifier aux personnes concernées en cas de risque élevé. Cette dernière obligation a des conséquences opérationnelles : appels de clients en masse, impact réputationnel. Ces notifications servent notamment à ce que les personnes se protègent, soient plus vigilantes (par exemple aux attaques de phishing), ou modifient leur mot de passe. L’objectif de ce système à trois niveaux est donc réellement d’aider les personnes à se protéger et les entreprises à améliorer leur niveau de maturité sur les questions de cybersécurité.

L’article 35 du RGPD concerne également les questions de cybersécurité ; il indique que la réalisation d’analyses d’impact sur la protection des données est nécessaire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes. L’analyse d’impact est une analyse de risque évaluant les impacts sur les personnes et sur les entreprises, de façon formalisée et incluant un plan d’action. Le RGPD initie vraiment le passage d’une logique de formalités administratives préalables (déclarations) à une logique de conformité en continu avec une amélioration constante et une réévaluation, révision et mise à jour régulière du plan d’action.

Wavestone : Nous réfléchissons beaucoup sur le droit à la portabilité. C’est un des droits dont on a le plus parlé quand le texte a été voté, pourtant aujourd’hui c’est peut-être le droit qui est le moins exercé au quotidien chez nos clients. Partagez-vous ce constat ? Comment l’expliquez-vous ?

Gwendal Le Grand : Le droit à la portabilité est l’un des nouveaux droits du RGPD ; il est donc normal de constater une courbe d’apprentissage.

De plus, ce n’est pas un droit absolu. Il ne s’applique donc pas pour toutes les bases légales du traitement, mais seulement lorsque celui-ci se base sur le consentement de la personne ou sur un contrat. Les autres bases légales sont écartées du droit à la portabilité.

Il s’applique aux données que vous avez fournies à un service direct ou indirect. Les lignes directrices du CEPD (N.D.R.L. Comité Européen de la Protection des Données, qui a pris la suite du G29), expliquent dans quelles conditions s’applique le droit à la portabilité. Nous avions communiqué l’année dernière au mois de mai 2018 sur le fait que notre priorité dans les actions de contrôle et de mise en conformité se concentrait plutôt sur les droits existants, car nous étions conscients qu’il y aurait une courbe d’apprentissage sur les nouveaux droits. Mais nous commençons à recevoir des plaintes de personnes ayant des difficultés à exercer leur droit à la portabilité. Il faut comprendre que la CNIL intervient en bout de chaîne : en général, les personnes s’adressent d’abord au responsable de traitement, puis à nous quand ils n’ont pas de réponse ou que celle-ci ne leur semble pas satisfaisante.

Wavestone : Avez-vous des exemples de bonnes pratiques ou de bons élèves autour de la manière d’utiliser les données à caractère personnel de manière conforme ?

Gwendal Le Grand : On en voit bien sûr. Nous proposons sur le site linc.cnil.fr une cartographie d’outils et de pratiques. Ce n’est pas de la certification de produit, mais de l’analyse des pratiques annoncées par plusieurs acteurs. Nous cherchons à capitaliser sur les bonnes pratiques que nous voyons au quotidien, afin de pouvoir les citer en exemple. Nous proposons aussi un site sur le design de la protection des données (design.cnil.fr), qui a pour objectif de créer une communauté des designers et d’échanger les bonnes pratiques sur la protection des données. Il contient un kit de développement respectueux de la loi informatique et libertés, avec des exemples anonymisés et génériques : « j’ai besoin d’informer les personnes sur le traitement de données … », « ce n’est pas une bonne manière de faire parce que… », « avec ce type de présentation-là, c’est une bonne manière d’informer les personnes parce que… ». Des instruments de certification pourront être activés ultérieurement.

Wavestone : A votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir ?

Gwendal Le Grand : Dans notre rapport annuel, la mise en œuvre opérationnelle du RGPD apparaît comme l’enjeu majeur à venir pour la CNIL, notamment pour rehausser le niveau de confiance dans l’économie numérique.

Nous proposons un plan d’action de sensibilisation  des petites collectivités comprenant l’édition d’un guide, la partiicpation de la CNIL au salon de smaires en novembre 2019 et la création d’un module complémentaires de cours en ligne gratuit pour les collectivités . nous allons également renforcer l’inter-régulation avec d’autres autorités sur les questions de régulation du numérique : l’autorité de la concurrence, le CSA, l’ARCEP, l’HADOPI. De notre point de vue, la priorité est le développement d’une expertise sur les contrôles de la CNIL. Notre régulation est pluridisciplinaire : technologique, juridique, mais également éthique. Nous voulons notamment être en capacité d’anticiper et de maîtriser toutes les évolutions technologiques. Les sujets cruciaux pour nous sont les droits des personnes, les sous-traitants et la collecte de données bancaires. Nous communiquons sur ces sujets, en nous adressant à la fois aux personnes en garantissant leurs droits et aux entreprises en leur expliquant les règles à suivre.

Nous produirons également de nouveaux outils. Sur le plan réglementaire, nous voulons proposer de nouveaux cadres de référence, c’est-à-dire de nouveaux instruments compatibles avec le RGPD et les différentes réglementations. Sur le plan technique, nous travaillons déjà beaucoup sur les questions de design de service innovant, notamment sur l’inscription des utilisateurs à un service : finalement, pour que le consentement soit valide, il faut que la personne soit bien informée de la façon dont vont être traitées ses données. En janvier 2019, nous avons créé un cahier « Innovation et prospective » intitulé « La forme des choix », disponible sur notre site ; nous voulons poursuivre ces travaux avec les designers. Ils ont un rôle très important à jouer dans la qualité de l’information des personnes dont les données vont être traitées.

Cet article Vie Privée à l’ère du Numérique – Interview de Gwendal Le Grand (CNIL) est apparu en premier sur RiskInsight.

Les résultats de notre benchmark sur la protection de la vie privée dans les entreprises

Le benchmark effectué auprès de 24 entreprises françaises et internationales révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée !

Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ?

Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

Repenser le système d’information autour de la donnée

Sur le terrain, dans les organisations « historiques », l’architecture du système d’information est orientée service ou calquée sur l’organisation interne et ne permet donc pas une approche globale centrée sur la donnée. Cela crée de nombreuses difficultés opérationnelles dans le cadre du RGPD : gestion des consentements, des exercices de droits, suppression des données…

• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatiser la suppression des données à termes de leurs durées de conservation.

De ce fait, les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation. L’étude propose un focus sur un accélérateur dans la mise en place d’un tel dispositif : le Customer IAM avec l’interview d’un expert Wavestone.

Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :

• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

L’étude propose un focus sur les opportunités qu’offre la pseudonymisation aux organisations par rapport à une anonymisation des données ou une simple suppression à terme de leur durée de conservation.

Faire de la protection des données personnelles un réflexe au quotidien

96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Pour contrer cela, l’étude livre quelques bonnes pratiques pour promouvoir la valeur ajoutée de la démarche et embarquer les métiers dans la privacy : sensibilisation, responsabilisation, privacy agile, positionnement en accompagnateur de l’innovation…

Aller plus loin et se démarquer sur la protection de la vie privée

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance.

Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.

Cette partie de l’étude livre quelques focus sur des pistes pour innover sur la protection de la vie privée : pour en faire un différentiateur commercial (renforcement de la relation client grâce à la mise en place d’un privacy center, opter pour une stratégie marketing orientée privacy), la monnayer ou en faire la base de nouveaux business models.

Cet article Conformité au RGPD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.

Dès lors, comment redonner confiance aux consommateurs, notamment afin de s’assurer qu’ils sont prêts à partager leurs données et préférences ?

Plusieurs acteurs majeurs du e-commerce (ASOS, Adidas, etc.) semblent faire de la transparence, en particulier via la maîtrise et le contrôle des données par leurs clients, un axe fort de leur stratégie. Cela passe généralement par un Privacy Center, à savoir un espace personnel où l’utilisateur peut consulter et gérer ses informations personnelles, moduler ses préférences et consentements, et exercer ses droits facilement. Mais cette solution est-elle à privilégier par tous les acteurs du retail ?

En quoi le Privacy Center peut être vu comme une solution de transparence idéale ?

Le Privacy Center a pour avantage de responsabiliser l’utilisateur sur la gestion des données à caractère personnel qu’il confie. En rendant l’utilisateur maître de ses données, il est gage de confiance et de transparence de la part de l’entreprise.

Cette partie du Privacy Center d’ASOS permet à l’utilisateur de choisir quel type de communication il souhaite recevoir. Cet exemple illustre une granularité possible dans la personnalisation des contenus tout en restant dans les limites tracées par le RGPD.

Le Privacy Center est l’unique point d’interaction sur les sujets de Data Privacy pour l’utilisateur. Cette interface permet à elle seule de gérer l’ensemble des canaux de communication d’une Enseigne (internet, magasin, SAV, etc.).

Au travers d’une communication claire et adaptée (à savoir, en des termes compréhensibles par tous, et non juridiques), le Privacy Center permet de mettre en avant la volonté de protéger les données et de permettre aux clients de mieux maitriser leurs choix. L’entreprise réinstaure alors une relation de confiance avec ses clients, ce qui les encourage à partager leurs données et préférences.

Quels freins à l’implémentation d’un Privacy Center ?

L’installation d’un Privacy Center dans le SI existant d’une entreprise est complexe. Cela requiert une parfaite interconnexion entre les interfaces clients (mobile, site internet, physique, etc.) et les différentes bases de données clients existantes (la vision client étant rarement complètement unifiée). Par « interconnexion » on entend le fait que les informations renseignées par l’utilisateur sur une interface (ex : « Je ne souhaite plus recevoir de publicités par email ») soient renseignées de manière systématique sur l’ensemble des systèmes. Dans les faits, les complexités propres à chaque SI d’entreprise font qu’une telle interconnexion est rare, et souvent longue et coûteuse à déployer d’un point de vue technique.

Toutefois, les problèmes de communication entre les différentes interfaces ne dépendent pas uniquement de la DSI. Encore faut-il que les métiers soient enclins à faire converger ces bases clients. Il n’est pas rare dans le domaine du retail que les magasins disposent de leur propre animation client, ou que plusieurs marques avec des positionnements différents cohabitent au sein d’un groupe. Dès lors, interconnecter les usages et les interfaces est une opération complexe, voire non souhaitée. La mise en place d’un Privacy Center résulte donc d’une stratégie marketing et digitale plus globale.

Enfin, le Privacy Center peut générer un paradoxe : même en le mettant à disposition pour renforcer la confiance, les entreprises ne souhaitent pas nécessairement son usage à outrance par leurs clients. On peut par exemple imaginer que les équipes marketing et digital ne souhaitent pas nécessairement simplifier l’exercice des droits ou le retrait du consentement, de peur de perdre des comptes clients et des contacts commerciaux potentiels. Le Privacy Center correspond donc davantage aux organisations où la gestion client s’inscrit dans le « moins mais mieux » : il permet de mieux connaitre (préférences, nature des contacts, fréquence, etc.) un nombre plus réduit de clients et prospects, ceux acceptant de partager leurs données.

Le Privacy Center, une cible à atteindre ou un eldorado dès aujourd’hui ?

Les acteurs du retail n’ont pas tous la même stratégie digitale ni le même niveau de maturité sur le digital. Certains sont déjà matures : canaux e-commerce développés ; sites internet, applications mobiles, canaux physiques et téléphoniques liés ; UX récente et soignée… C’est le cas des pure players digitaux ou des leaders du marché qui ont (re)construit toute leur stratégie d’entreprise à partir de l’expérience utilisateur digitale. Pour eux, le déploiement d’un Privacy Center n’implique pas une refonte totale du SI, ni de leur façon de concevoir leur relation client. Il peut donc être envisagé à court terme.

Pour d’autres, la stratégie digitale reste à déployer, voire à construire. C’est notamment le cas de retaillers plus « classiques », dont le canal physique ou téléphonique est encore au cœur du processus de vente. Déployer un Privacy Center dès aujourd’hui semble alors un peu anticipé. Il conviendra d’abord de définir une stratégie digitale claire, de s’assurer de sa mise en œuvre effective et des évolutions SI associées, avant de pouvoir envisager une interface client de ce type.

En synthèse, le Privacy Center doit donc être vu comme un « aboutissement » plus qu’une solution immédiatement et uniformément applicable. C’est un aboutissement visant à améliorer la confiance client au travers de la maitrise de ses données et d’une communication claire sur ce que l’on en fait. Mais pour que cette communication puisse être réalisée, il convient que la stratégie d’utilisation de ces données ait été définie. Et pour que la maitrise des données soit réelle, il convient que les SI supportant ces données aient évolué en fonction.

In fine, il semble bien que la présence d’un Privacy Center sur tous les sites e-commerce ne soit pas pour 2019. Toutefois, l’exemplarité d’une telle démarche et le différentiateur fort que cela produit dans la relation de confiance avec ses clients devraient contribuer à faire du Privacy Center une « norme » sur le marché du retail dans les prochaines années. Nous devons donc tous l’anticiper !

Privacy center d’Adidas

Cet article Le Privacy Center, l’eldorado de la relation client ? est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

La donnée personnelle, vecteur incontournable de la transformation des processus métiers et de la relation client

Plusieurs exemples issus des retours d’expériences de consultants Wavestone, illustrent le rôle de la donnée dans la transformation des processus traditionnels. Un postier, un releveur de compteurs, ou un technicien de maintenance travaille historiquement avec du papier (pour les bases d’adresses, la documentation de maintenance ou les parcours de relève). Il organise son travail en fonction des tâches à réaliser et intervient généralement seul et de façon autonome pendant la journée avant de consolider les informations produites en fin de journée.

La dématérialisation de ces processus papiers a vocation à aider l’organisation ou l’agent dans ses activités en collectant certaines données, par exemple en lui permettant de mieux organiser son travail et l’enchaînement des tâches (données de localisation et parcours d’intervention géolocalisé). Cette vague de digitalisation se produit dans différents secteurs d’activités pour des besoins spécifiques : dans l’énergie, l’avènement des compteurs communicants voulu par le régulateur ouvre de nombreuses opportunités d’innovations dans la gestion de la fraude et l’économie d’énergie grâce à la collecte des données de consommation ; dans l’assurance, l’accumulation de données concernant les préférences client permet la personnalisation des services et la proposition d’offres complémentaires ; ou encore dans la distribution et les ressources humaines, comme le montrent les entretiens des pages suivantes.

L’ensemble de ces évolutions nécessite de collecter et de manipuler de nombreuses données personnelles.

La cybersécurité ne suffit pas à protéger la vie privée numérique

Pour protéger ces données personnelles essentielles aux nouveaux usages digitaux, les entreprises ont souvent recours à la cybersécurité, au travers de mesures telles que l’utilisation de protocoles de transfert sécurisés ou le chiffrement des données. Mais est-ce suffisant, alors que les craintes liées à l’utilisation abusive des données, au profilage ou à l’automatisation des décisions ne font que s’amplifier ?

Certainement pas. Une approche uniquement technique ne portera pas ses fruits. Pour répondre aux craintes engendrées par le respect de la vie privée, il est essentiel de rassurer les individus en leur donnant l’assurance de ne pas croiser, exploiter ou échanger leurs données à leur insu et contre leur volonté.

Quatre grands principes de respect de la vie privée

Les principes suivants sont à appliquer dans la collecte et l’utilisation des données personnelles.

1 – Communiquer de manière transparente et explicite

en informant sur les données collectées, même si elles n’ont pas été obtenues directement auprès des personnes concernées. Notre enquête l’illustre, c’est aujourd’hui le sens de la privacy pour les citoyens : quelles sont les informations accessibles, et à qui. Cela passe aussi par le partage des motivations de la collecte des données et des usages envisagés avec celles-ci. En aucun cas il ne faut considérer qu’une donnée puisse être collectée pour une finalité non avouable auprès de la personne concernée. Les récentes sanctions des régulateurs nous ont montré que cette information finit toujours par ressortir dans les médias, et que l’impact en termes de confiance et de durabilité de la relation client est fort. Construire une relation de confiance nécessite des années, la perdre quelques minutes.

2 – Minimiser et désensibiliser les données personnelles collectées et stockées.

Plus le nombre de données collectées sera limité, plus les risques d’usages détournés et de non-conformité seront faibles. Pour les données existantes, il est possible de les exploiter en minimisant les risques par l’utilisation de techniques de désensibilisation telles que l’anonymisation, la pseudonymisation (remplacer des identifiants directs par des « codes »), la randomisation (mélange aléatoire de données qui conservent leurs valeurs statistiques mais font perdre le lien avec les personnes) ou de généralisation des jeux de données.

En ce qui concerne le partage et l’échange de données, des méthodes mathématiques permettent d’échanger des données entre deux organisations tout en garantissant leur caractère anonyme. Il est important au moment du choix de ces méthodes d’évaluer aussi leurs limites, une désensibilisation mal faite pouvant quand même permettre d’identifier des personnes (suppression du nom mais conservation de la date de naissance, du lieu de naissance et de l’adresse par exemple).

Ces méthodes permettent une double optimisation de la relation client pour l’entreprise (en fournissant une meilleure connaissance du profil digital de la clientèle) et du respect de la vie privée des clients. C’est une approche qu’Apple met en avant via le concept de differential privacy pour se différencier de Google ou encore de Microsoft.

3 – Garantir aux individus le contrôle sur leurs données personnelles

en ne se basant plus sur l’accès aux données afin de générer de la valeur, mais en laissant aux individus le contrôle de leurs données pour leur permettre de générer un service adapté à leur besoin.

Cette approche qualifiée de self-data est, par exemple, appliquée dans le cadre d’un projet d’optimisation de consommation énergétique, où un cas d’usage vise à permettre au consommateur de renseigner la température de son habitat pour lui indiquer les économies qu’il pourrait réaliser en réduisant le chauffage. Il obtient l’estimation du montant économisé en utilisant lui-même une plate-forme cloud de self-data, géré par le particulier, qui se connecte à ses équipements personnels pour croiser de manière intelligente les données de son thermomètre connecté, de ses factures d’énergie…

Le self-data est également à l’étude dans le secteur de l’assurance, où certains acteurs envisagent de supprimer complètement leurs espaces clients pour les installer sur une plate-forme cloud de self-data : l’assureur a accès aux données de son client mais n’en est plus propriétaire. Au-delà du self-data, cette tendance peut même aller jusqu’à la logique du « Green Button » où l’individu valide l’accès à ses données à chaque fois de manière explicite. Ce principe, complexe à mettre en œuvre, peut être réservé à des données particulièrement sensibles (santé, etc.).

4 – Mettre en place un modèle Win-Win

affichant clairement les bénéfices engendrés par la collecte et l’utilisation des données, non seulement pour l’organisation, mais aussi pour les individus. Ces bénéfices pouvant être partagés avec les clients sous diverses formes (services additionnels, réduction, rémunération…).

Cette approche peut même être un levier d’adoption des nouveaux usages dans un contexte où la prise de part de marché est cruciale.

En définitive, plusieurs leviers majeurs sont à l’œuvre dans l’établissement d’un cercle vertueux permettant d’utiliser respectueusement les données des individus et d’augmenter le niveau de confiance

Cet article Respect de la vie privée dans la transformation numérique : les 4 grands principes est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

Un cadre réglementaire de plus en plus international

Le concept de vie privée, évoqué dès l’Antiquité, est présent depuis plusieurs centaines d’années dans différents textes de loi. Il a pris corps à partir de 1948, en étant inscrit au sein de l’article 12 de la Déclaration Universelle des Droits de l’Homme : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».

La réglementation autour de la protection des données personnelles est beaucoup plus récente. Cette notion est directement liée au développement de l’informatique et de la collecte croissante de données par les organisations et les entreprises. De plus, la valeur marchande de la donnée est un enjeu supplémentaire qui complexifie l’émergence d’un consensus réglementaire international. La Suède est le premier État à avoir légiféré sur le sujet en 1973. En France, la « Loi Informatique et Libertés » a été promulguée en 1978 à l’issue des débats suscités par le projet Safari visant à créer une base de données centralisée des individus.

Sans passer en revue chacune des lois nationales et leur actualité, l’analyse des initiatives mises en œuvre à des échelles régionales permet de dresser un portrait des grandes tendances à l’œuvre en termes de protection de la vie privée.

Union Européenne : l’Etat protège les citoyens

L’Union Européenne a été la première institution à légiférer sur le sujet à une large échelle en 1995 avec la publication de la directive 1995/46/CE. Ce premier effort d’harmonisation législative au niveau de l’Union Européenne a mis en place différents principes ensuite déclinés dans le droit des différents États membres, parmi lesquels l’instauration d’autorités de contrôle dans chacun d’entre eux. Il puise ses racines dans les « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel » publiées par l’OCDE en 1980, qui étaient sans valeur contraignante.

En avril 2016, l’Union Européenne a fait le choix de renforcer sa législation avec le Règlement Général sur la Protection des Données (ou GDPR en anglais, comme nous y ferons référence), qui sera, à la différence de la directive de 1995, directement applicable dans le droit des États membres de l’UE.

La mise en œuvre effective étant prévue pour mai 2018, les organisations et entreprises devront donc d’ici cette date s’assurer de leur conformité aux différents points du règlement. Des travaux vont également s’engager prochainement sur la e-privacy afin d’aligner les exigences classiques sur la vie privée dans les moyens de communication aux évolutions et innovations récentes, faisant ainsi entrer le set des correspondances dans l’ère numérique. L’Union Européenne adopte via ces textes une posture de protection par l’état des données de ses citoyens.

Etats-Unis : une responsabilisation des citoyens  avant tout

Dans le droit américain, il n’existe pas de loi ni de régulateur unique au niveau fédéral régulant la collecte et l’utilisation des données personnelles. À la place, les États-Unis disposent d’un assemblage de lois s’appliquant à certains secteurs ou États. Certaines visent des catégories particulières de données personnelles, comme les données financières ou de santé, tandis que d’autres régulent les activités faisant usage de ces données, comme le marketing digital. En parallèle de ces lois, les bonnes pratiques développées par les agences fédérales et groupements industriels sont également utilisées à des fins d’auto-régulation. Le 4e amendement à la Constitution peut également être invoqué en défense de la vie privée. Enfin, les lois de protection du consommateur, bien que ne régissant pas directement la vie privée, ont déjà interdit des pratiques considérées comme illégitimes impliquant la divulgation de données personnelles. Néanmoins, les citoyens américains conservent une certaine latitude quant au partage de leurs données personnelles.

Il existe donc des différences entre la vision américaine et la vision européenne, comme le montre l’évolution du Safe Harbor. Ce dispositif légal garantissait la protection des transferts de données entre l’UE et les États-Unis jusqu’en octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) l’a invalidé. Le niveau de protection des données offert par les États-Unis n’était plus satisfaisant selon la CJUE, notamment à la lumière des informations révélées par Edward Snowden concernant les écoutes pratiquées par le gouvernement américain. En février 2016, États-Unis et Europe ont mis en place un nouveau dispositif, le Privacy Shield, visant à protéger davantage les transferts de données, qui est finalement entré en vigueur en août 2016.

Asie : une situation hétérogène mais en développement

Force est de constater que l’Asie abrite deux profils de pays. Certains pays font preuve d’une maturité certaine sur ce sujet, à l’image de la Corée du Sud, Singapour, Hong Kong ou de Taiwan. La Chine ne disposait pas jusqu’à récemment de législation spécifique protégeant les données personnelles, mais elle a publié en novembre 2016 un texte de loi qui sera applicable dès juin 2017 aux opérateurs réseaux au sens large. Cette nouvelle réglementation intégrera certains principes communément admis du respect de la vie privée et exigera également le stockage des données personnelles sur le territoire chinois. En regard, dans beaucoup d’autres pays de la zone, la protection des données personnelles n’est pas encore entrée dans les mœurs même si des réflexions sont en cours.

Reste du monde : des initiatives régionales de développement

En Afrique, la première législation date de 2001 et est cap-verdienne. En 2004, le Burkina Faso est le premier État à instaurer un régulateur national. Au niveau régional, la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, signée en 2014 par 18 pays, reprend des notions directement issues de la législation européenne, sans leur donner de valeur contraignante.

Au Moyen-Orient, plusieurs États comme les Émirats Arabes Unis (EAU) et l’Arabie Saoudite n’ont pas de législation spécifique protégeant les données personnelles. La particularité de ces deux pays réside dans le fait qu’en cas de vide juridique, la charia prévaut. Or le droit islamique prévoit la possibilité de demander des dommages et intérêts si la divulgation abusive de données personnelles a occasionné un préjudice.

En Amérique du Sud, plusieurs pays bénéficient de garanties constitutionnelles concernant la protection des données personnelles et disposent de régulateurs indépendants. C’est le cas de l’Argentine et l’Uruguay, pays reconnus par la Commission Européenne comme assurant un niveau de protection adéquat des données.

Cet article Vie privée : quel cadre juridique à l’échelle internationale ? est apparu en premier sur RiskInsight.

Une vision homogène à l’échelle l’internationale

Les pays retenus pour l’enquête, à savoir l’Allemagne, la Chine, les États-Unis, la France, l’Italie, et le Royaume-Uni, ont été choisis sur la base de leurs environnements socio-économiques et de leur diversité de cadres réglementaires concernant la protection de la vie privée. Ces éléments sont à même d’influencer la perception et les opinions des citoyens concernant la protection des données personnelles. Toutefois, malgré ces différences de contexte initiales, nous avons pu observer au travers des réponses collectées que la thématique de la vie privée est perçue d’une manière relativement homogène dans les différents pays étudiés.

Parmi les personnes ayant répondu à l’enquête, les jeunes générations, plus digitalisées et qui sont souvent les plus intéressées par le sujet de la vie privée dans un monde numérique, sont majoritaires.

Bien sûr, il existe certaines différences et sensibilités particulières : ainsi, les sondés originaires d’Allemagne ont-ils accordé proportionnellement plus de poids aux définitions de la vie privée ayant trait à la liberté que ceux originaires d’autres pays. Les réponses provenant des États-Unis affichent, pour leur part, une confiance moins grande dans les institutions publiques. Néanmoins, de manière générale, on note une véritable prise de conscience globale des individus liée à la vie privée et aux données personnelles. Celle-ci peut s’expliquer par le caractère transfrontalier du monde numérique et de la donnée, le citoyen numérique souhaitant faire respecter sa vie privée indépendamment des frontières. Cette observation renforce l’importance de la prise en compte du respect de la vie privée dans les projets numériques, quels que soient le pays et la population concernés.

De la liberté à la maîtrise : l’évolution du sens de la « vie privée »

La vie privée est traditionnellement perçue comme la possibilité pour un individu de conserver une forme d’anonymat dans ses activités et de disposer d’une capacité à s’isoler pour protéger ses intérêts. Elle est donc intimement liée à la notion de liberté. Mais l’analyse des résultats du panel montre que cette notion tend à disparaître au profit de la maîtrise des informations. Nous avons proposé à nos sondés de sélectionner une ou plusieurs définitions ayant davantage trait à l’une ou l’autre de ces deux notions.

Les réponses les plus fréquemment choisies ont toutes trait à la maîtrise. Cette tendance se confirme si l’on observe les propositions intermédiaires : « avoir le contrôle sur le type d’informations collectées sur vous » est davantage plébiscité (plus de la moitié des réponses) que « avoir ses moments seul, sans devoir subir l’attention d’autrui », relatif à la liberté.

Dans tout projet faisant appel aux données, il sera alors important de donner aux clients et aux collaborateurs l’assurance qu’ils disposent de cette maîtrise, en prévoyant des modes d’accès simples et en autonomie.

Toutes les données sensibles aux yeux des citoyens

Interrogé sur les niveaux de sensibilité, le panel a fait ressortir de très faibles différences, les citoyens considérant la plupart des types de données proposés comme relativement sensibles. Ils n’ont pas perçu que des fuites de certains types de données peuvent avoir des conséquences lourdes, voire irréversibles (données de santé par exemple), contrairement à d’autres (données financières par exemple) pour lesquelles la plupart des pays ont mis en place un cadre réglementaire protégeant les individus (remboursement rapide en cas de fraude). Ce constat montre que quelles que soient les données personnelles manipulées dans le cadre d’un projet, une attention particulière devra y être portée, a minima dans la communication sur les niveaux de protection.

Une confiance qui varie fortement d’un pays à l’autre

Nous avons demandé aux sondés d’indiquer le ou les type(s) d’organisations en lesquels ils avaient le plus confiance dans l’utilisation de leurs données personnelles pour un usage préalablement autorisé. On observe une réelle différenciation entre trois grandes familles d’acteurs :

• En première position, les acteurs regroupés sous la catégorie des institutions sont ceux qui suscitent le plus la confiance des sondés. Il s’agit d’institutions publiques, semi-publiques ou de l’économie traditionnelle avec qui les individus ont un lien de confiance historique, d’autant qu’elles traitent depuis toujours des données sensibles (données médicales…). À noter que l’on observe de vraies différences au sein même de cette catégorie, les banques arrivant en tête avec plus de la moitié des sondés déclarant leur faire confiance pour le traitement de leurs données. L’enjeu en termes d’image est donc particulièrement fort pour les acteurs du secteur bancaire : ils se devront d’être à la hauteur des attentes de leurs clients s’ils veulent conserver leur place de partenaire de confiance numéro un.
• En deuxième place, une catégorie intermédiaire englobant les acteurs de la vie quotidienne : opérateurs de transport, fournisseurs d’énergie… Ces acteurs historiques du B2C sont en train de mener leur transformation numérique à marche forcée et peuvent tirer les fruits de cette confiance déjà présente.
• En troisième et dernière position, les acteurs de l’économie numérique, qu’il s’agisse de géants du web ou d’entreprises technologiques.

La défiance des individus à leur égard peut s’expliquer par la quantité de données collectées et utilisées par ces tech-companies et les condamnations récentes de celles-ci liées à l’utilisation qu’elles en font. Cependant ce résultat souligne un paradoxe. Malgré ce manque de confiance criant, les individus continuent d’utiliser massivement les services fournis par ces acteurs, en partie par manque d’alternative mais aussi parce que les informations confiées peuvent paraître, souvent à tort, anodines.

Des nouvelles technologies qui suscitent des craintes

Le panel met en lumière 4 technologies, les plus susceptibles de mettre en danger leur vie privée selon les sondés. Leur point commun ? Elles permettent toutes de collecter des données sans que cette collecte ne puisse être maîtrisée par les personnes concernées. Elles seraient donc, pour certaines personnes, synonymes de surveillance. À contrario, des technologies où le citoyen a la capacité de choisir quelles données il partage, comme les objets connectés ou certains services cloud permettant de stocker des informations privées, sont considérées comme moins risquées pour leur vie privée, et n’entrent donc pas dans ce top 4.

Bien que non traditionnellement considérées comme sensibles, les données sur les comportements et les agissements de chacun sont donc aujourd’hui l’objet de l’attention des individus, et constituent un point d’achoppement non négligeable entre une relation client toujours plus personnalisée et les attentes desdits clients en termes de respect de leur vie privée.

Des citoyens qui agissent pour protéger leur vie privée numérique

Plus de la moitié des sondés déclarent ainsi avoir modifié certains de leurs comportements pour mieux protéger leurs données. Ce changement illustre la prise de conscience des individus quant à la protection de leur vie privée. Il est également intéressant d’étudier comment les individus procèdent pour mettre en place cette protection. Nos sondés ont décrit des mesures concrètes qui peuvent être réparties en deux catégories :

• Mesures visant à limiter la quantité/ le type de données fournies : fourniture d’informations inexactes/ incomplètes lors de la création d’un compte (utilisation de pseudonyme ou non-remplissage des champs non obligatoires), utilisation de comptes anonymes…
• Mesures visant à renforcer la sécurité des données fournies : hausse du niveau de sécurité de leurs comptes en ligne (renforcement du mot de passe, changements de mots de passe plus réguliers, révision des droits d’accès…), attention accrue lors du partage de données personnelles sur internet…
• En marge de ces mesures on trouve également quelques solutions plus extrêmes : fermeture complète de compte sur les réseaux sociaux, utilisation exclusive de sites ou de technologies testés et de confiance, suppression de l’historique et des cookies après chaque utilisation des navigateurs de recherche.

À noter que si ces initiatives individuelles peuvent contribuer à améliorer la protection de la vie privée, elles risquent toutefois d’entrer en conflit avec les nouveaux usages et innovations promus par les organisations et entreprises, et donc de limiter, voire d’empêcher, la personnalisation de leur relation avec celles-ci.

Methodologie de l’enquête

L’enquête a été réalisée auprès d’un panel constitué de 1 587 répondants basés dans 6 pays différents : Allemagne, Chine, Etats-Unis, France, Italie, et Royaume-Uni. Les  réponses ont été analysées par les équipes de Wavestone Paris et Luxembourg.  L’échantillon de répondants a été fourni par un tiers (SSIS) avec lequel les équipes de recherche Wavestone collaborent depuis plusieurs années, notamment dans la conduite d’enquêtes destinées à la Commission Européenne. Les questionnaires ont été conçus et traduits par Wavestone puis envoyés par email. Le panel a été sélectionné pour assurer sa représentativité vis-à-vis de la population des pays ciblés sans discrimination de genre ou de catégorie socio-professionnelle, les deux critères de sélections étant qu’il s’agisse de personnes majeures et disposant d’un accès à Internet. L’enquête a été conduite entre juillet et août 2016 et analysée de septembre à décembre 2016 pour une publication en début d’année 2017. Les données de cette enquête ont été rendues anonymes : la collecte est uniquement statistique.

Cet article Dans un monde numérique : quelle vie privée ? est apparu en premier sur RiskInsight.

Le Privacy By Design permet de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Dans le premier volet, nous sommes revenus sur les deux premiers facteurs clés de succès à prendre en compte qui sont :

• Concevoir une méthodologie de Privacy Impact Assessment pragmatique
• S’intégrer dans la méthodologie Projet existante

Nous reviendrons ici sur les deux derniers facteurs essentiels à prendre en compte.

Identifier les projets sensibles pour prioriser les efforts d’accompagnement

Dans la majorité des organisations, le volume de projets est trop important pour que les équipes en charge de la conformité aient la capacité d’accompagner chacun d’eux et en particulier de réaliser une analyse de risques même simplifiée. Il est donc nécessaire d’adapter l’approche systématique de PIA en identifiant le plus en amont possible les projets qui présentent une sensibilité accrue afin de prioriser les efforts d’accompagnement.

Les chefs de projets, souvent peu familiers de la Loi Informatique et Libertés, peuvent se retrouver en difficultés lorsqu’il s’agit d’exprimer la sensibilité de leur projet au sens de la Loi. Il est donc nécessaire de les accompagner dans cette étape en leur fournissant une liste de questions simples et compréhensibles par les non-initiés.

Dans la pratique, plusieurs facteurs peuvent rendre un projet sensible. Par exemple, la manipulation de données sensibles au sens de la loi la mise en œuvre de transferts hors UE. D’autres facteurs, moins directement liés à la loi peuvent également être identifié : utilisation de nouvelles technologies (Big data par exemple) ou existence de données sensibles dans le contexte de l’organisation (ex : identité des collaborateurs intervenant à proximité de produits cancérigènes).

Il conviendra donc d’identifier la liste des critères rendant un projet sensible en fonction du contexte spécifique de l’organisation et des risques qui pèsent sur elle.

Rendre autonome le chef de projet dans la conduite de cette étape permet de s’assurer que tous les projets feront l’objet d’une appréciation de leur sensibilité vis-à-vis de la Loi Informatique et Libertés. Enfin, en associant les équipes conformités aux comités chargés du suivi des projets en phase d’étude préalable, l’analyse des chefs de projets peut être challengée avant validation.

Il conviendra alors d’adapter l’investissement de l’équipe conformité à la sensibilité des projets. D’un suivi distant pour les projets les moins sensibles (alimentation en guides de mise en conformité, réponses à des demandes d’expertise) à un suivi rapproché pour les projets les plus sensibles (groupes de travail spécifiques sur le sujet du Privacy, analyse de risques détaillée, vérification des livrables exprimant les exigences de conformité, pilotage de la recette conformité, etc.). Dans tous les cas, l’équipe devra maintenir une liste des projets, des évaluations de criticité et s’assurer d’être présente dans les bonnes instances pour avoir accès à l’actualité des projets (création, arrêt…), voire disposer d’un accès direct au portfolio projet qui existe dans les organisations les plus avancées.

Outiller les chefs de projet

Tous les projets ne pouvant être accompagnés de façon rapprochée par l’équipe conformité, les chefs de projets devant traiter la mise en conformité en autonomie devront disposer d’outils pour les aider, généralement un guide de mise en conformité à la loi Informatique et Libertés. Ce guide ne doit pas ressembler à un document juridique mais bien plus à une traduction concrète, explicite et intelligible de la loi pour un non initié et doit permettre d’accompagner le chef de projet dans le choix des meilleures mesures pour s’y conformer, qu’elles soient organisationnelles ou techniques.

L’un des sujets qui nécessite une attention particulière est par exemple le transfert de données à des tiers ou hors de l’UE. Le transfert de données – qui peut désigner aussi bien le simple transit d’un flux par un équipement réseau, l’hébergement dans le Cloud de la messagerie ou la consultation de données sur un site web – sera explicité afin que chef de projet puisse identifier par lui-même les transferts de données réalisés dans le cadre de son projet. Il pourra alors par exemple s’appuyer sur les modèles de clauses proposées dans le guide pour les intégrer dans ses contrats avec des tiers ou utiliser une liste des filiales ayant signées les Binding Corporate Rules pour s’assurer que son transfert à l’international est autorisé.

Ce guide de mise en conformité pourra être associé à un cahier de recette type, permettant de contrôler le bon respect des principes juridiques fondamentaux. Une liste de questions restreintes (autour d’une dizaine généralement) aidera le chef de projet à contrôler les points majeurs et ainsi valider la conformité globale du projet à la Loi Informatique et Libertés : les mentions d’information sont-elles bien ajoutées ? Les cases de champs libres disposent-elles d’un disclaimer sur leur bonne utilisation ? Les contrats contiennent-ils des clauses LIL ? La durée de conservation des données a-t-elle été définie et leurs modalités de suppression étudiées ?

À moyen terme, l’outillage pourra aller un cran au-delà en proposant aux chefs de projet des solutions techniques pour faciliter la mise en conformité. Des plateformes mutualisées de chiffrement ou d’anonymisation de données ou encore des processus de collecte de données conformes pourront être construits. Les investissements déjà réalisés dans la filière sécurité de l’information pourront être largement exploités.

Un processus à concevoir et des équipes pour le déployer

Le Privacy By Design, future obligation réglementaire, constitue dès à présent un moyen de s’assurer de la conformité des nouveaux projets.

Le CIL et ses équipes devront s’armer d’une bonne dose de pragmatisme pour adapter les processus existants en les alimentant de leurs exigences essentielles tout en identifiant les projets les plus sensibles afin d’y apporter une vigilance accrue.

Mais au-delà du processus en lui-même, le CIL ou futur DPO devra se poser au plus tôt la question de ses besoins en ressources pour suivre ces projets : combien de personnes sont à mobiliser pour accompagner sereinement les chefs de projets ? Quelles sont les compétences attendues de ces équipes (expertise juridique, connaissances métiers, capacité à interagir avec les équipes IT et SSI, compétences de chef de projets,  …) ? Quelle mutualisation possible avec les filières existantes (RSSI, Conformité, RPCA, etc.) ?

Autant de questions auxquelles il conviendra de répondre afin d’assurer au Privacy By Design un déploiement réussi, élément clé pour que cette contrainte devienne une opportunité !

Cet article Privacy by design : anticiper pour mieux protéger (2/2) est apparu en premier sur RiskInsight.

Adopter une démarche de Privacy By Design c’est intégrer le respect de la vie privée dès la conception des projets, c’est-à-dire s’assurer de la pertinence des données collectées, comprendre les risques pour les personnes concernées, anticiper l’information et le droit d’accès, etc.

La Loi Informatique et Liberté, via l’article 34, demandait déjà au responsable de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » mais n’imposait pas explicitement la mise en oeuvre d’une démarche de Privacy By Design. De ce fait, peu d’organisations ont déjà mis en place une telle démarche.

Le Privacy By Design permet pourtant de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux.

Privacy By Design

Au regard des échéances réglementaires, et afin de mieux traiter les contraintes de conformité, les premières initiatives de Privacy By Design débutent et se multiplient. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Concevoir une méthodologie de Privacy Impact Assessment pragmatique

Plutôt que de repartir de zéro, il convient comme souvent de s’inspirer des travaux de réflexion menés par ses pairs. En particulier, la CNIL a décidé d’accompagner les responsables de traitements désireux de s’engager dans le Privacy By Design en publiant en juillet 2015 une version révisée de son guide de gestion des risques sur la vie privée. Elle l’adapte ainsi au positionnement du règlement européen et aux retours d’expérience en proposant une méthodologie pour mener des Privacy Impact Assessment (PIA).

Le guide décrit la façon d’employer la méthode EBIOS, déjà très connue et reconnue pour la sécurité de l’information, sur le sujet Informatique et Libertés. Les deux premières étapes visent respectivement à identifier le contexte particulier aux traitements mis en œuvre par le projet et à identifier les mesures nécessaires au respect des principes juridiques fondamentaux : respect de la finalité, pertinence des données collectées, information des personnes, exercice des droits, sécurité des données, accomplissement des formalités. Puis vient l’étape dite d’analyse des risques durant laquelle les menaces pertinentes sont identifiées et associées aux évènements redoutés suivant trois grands types : accès illégitime, modification ou disparition des données personnelles. Les risques liés à la conformité Informatique et Libertés sont alors évalués en termes de gravité et de vraisemblance et font l’objet d’une décision quant à leur acceptation.

La méthodologie d’analyse de risques EBIOS vise l’exhaustivité dans l’analyse des risques encourus. Cette exhaustivité impose généralement aux organisations qui l’utilisent pour leurs analyses de risques SSI de s’appuyer sur des équipes d’intégration de la sécurité dans les projets à même de consacrer suffisamment de temps à l’accompagnement des chefs de projets et en mesure de maîtriser la méthodologie, souvent perçue comme complexe au premier abord.

Les équipes en charge de la conformité ne sont généralement ni organisées ni dimensionnées pour réaliser un accompagnement de tous les projets d’une organisation sur la base d’une méthodologie aussi chronophage.

La conduite systématique d’analyses de risques EBIOS pour encadrer les risques Informatiques et Libertés apparaît alors souvent comme trop ambitieuse au regard des ressources à engager et risque ainsi d’alourdir de façon démesurée la charge du chef de projet et donc d’entraver le bon déroulement de la méthodologie projet.

Il reviendra donc au Correspondant Informatique ou Liberté (CIL) ou futur Data Privacy Officer (DPO) d’adapter et de simplifier la méthodologie d’analyse de risques qu’il souhaite déployer aux capacités d’accompagnement de ses équipes. Plusieurs pistes sont envisageables : réalisation d’un questionnaire simple de pré-qualification du risque pour prioriser les efforts entre les projets, limitation du nombre de scénarios de risques étudiés, réduction des listes de menaces applicables dans le contexte, préidentification des risques types, etc.

S’intégrer dans la méthodologie Projet existante

Un écueil souvent rencontré pour de nouvelles méthodologies : vouloir s’appuyer sur un nouveau processus, propre au sujet traité (ici la mise en conformité LIL3), qu’il faudra alors déployer dans l’organisation. Évangélisation chronophage, non connaissance des méthodes de travail des chefs de projets, redondance dans les demandes : autant de raisons justifiant l’échec probable de cette orientation.

Le CIL devrait plutôt chercher à s’intégrer dans le processus de gestion de projet existant : étapes clés, comités, livrables, etc. Des équipes (responsable méthode ou qualité par exemple) ont en général la responsabilité des méthodologies projet et peuvent accompagner le CIL dans sa compréhension et challenger ses propositions d’amendements.

Depuis plusieurs années de nombreuses organisations ont d’ailleurs déjà amendé leur processus de gestion de projet pour y intégrer les exigences de sécurité SI. Un exercice dont la réussite dépend souvent d’une bonne répartition des travaux au sein des grandes phases d’un projet. Il se décompose en plusieurs phases :

• Étude préalable : appréciation de la criticité du projet afin d’identifier les projets les plus sensibles et prioriser les efforts d’accompagnement. Une analyse de risques SSI détaillée sera seulement conduite pour les projets les plus sensibles.
• Conception : identification des exigences de sécurité à prendre en compte par chacun des acteurs.
• Mise en œuvre : suivi de la bonne mise en œuvre des mesures choisies pour répondre aux exigences.
• Recette : conduite d’une recette sécurité qui valide la prise en compte des exigences sécurité et l’efficacité des mesures mises en place. Elle est souvent accompagnée d’un audit de sécurité ou de tests d’intrusion.

Les enjeux étant similaires, la même méthodologie est tout à fait adaptable dans un contexte de Privacy By Design. Les erreurs à éviter seront alors les mêmes : sous dimensionnement des équipes en charge d’accompagner les chefs de projets, complexité de la méthode, absence ou réalisation trop tardive de la recette visant à valider la conformité en fin de processus, non implication des acteurs en charge de la conformité dans les comités clés.

Idéalement, le Privacy By Design cherchera à faire évoluer la méthodologie existante d’intégration de la sécurité dans les projets, celle-ci étant déjà rodée et bien connue des acteurs du projet.

La 2^ème partie publiée le mois prochain reviendra sur les deux autres facteurs clés de succès à prendre en compte : concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Cet article Privacy by design : anticiper pour mieux protéger (partie 1) est apparu en premier sur RiskInsight.

Quel changement pour les entreprises ?

Mise en place du Privacy by Design

(Articles 23, 30, 32a, 33a et 33)

Première nouveauté, les entreprises devront définir et mettre en œuvre des procédures permettant d’intégrer les problématiques liées à la manipulation des données personnelles dès la conception de nouveaux services.

Cette démarche s’accompagne de l’obligation de réaliser des analyses de risques relatives à la vie privée des personnes (discrimination, diffusion de données confidentielles, etc.) préalablement à la mise en place des traitements les plus sensibles et à chaque modification du traitement.

Face aux risques sur la vie privée des personnes induits par ces traitements, il sera imposé aux entreprises d’adopter des mesures de sécurité adéquates en vue de les maitriser.

Concrètement que retenir du Privacy by Design ? Une mise à jour de la méthodologie projet afin d’identifier au plus tôt les traitements sensibles et une méthode d’analyse de risques à définir et outiller. Il sera pour cela possible de s’inspirer des guides pratiques de la CNIL intitulés « Etude d’impact sur la vie privée », qui seront à simplifier et contextualiser aux besoins spécifiques de l’entreprise.

Responsabilisation ou « Accountability »

(Articles 22 et 28)

Toute entreprise devra désormais être capable de prouver sa conformité vis-à-vis du règlement.

Cette exigence se traduit par :

• l’adoption d’une politique cadre de gestion des données à caractère personnel ;
• une organisation associée ;
• des procédures opérationnelles déclinant les thèmes du règlement (information, respect des droits des personnes, transfert à des sous-contractants, etc.).

L’entreprise devra également être en capacité de prouver l’application de ces politiques et donc, de mettre en place des processus de contrôle.

L’occasion de parler de la personne qui illustrera ce principe d’ « Accountability » : le DPO (pour Data Protection Officer). Il devient quasiment obligatoire et remplace le CIL actuel.

Concernant ce DPO, le texte entérine l’obligation de lui fournir le personnel, les locaux, les équipements et toutes les autres ressources nécessaires pour mener à bien ses missions. Encore une fois le parlement souhaite aller au-delà de cette exigence : il propose de nommer au sein de la direction une personne responsable du respect du règlement.

Comment appliquer ce principe ? Il sera nécessaire de définir a minima une politique avec des règles de protection des données ainsi qu’’un plan de contrôle et de formation. Cette politique pourra par exemple s’inspirer du modèle des BCR « Binding Corporate Rules », dont le principe a été entériné dans le futur texte, pour lesquelles des modèles types et des premiers retours d’expérience existent déjà.

Obligation de notification des fuites (articles 31 et 32)

L’ensemble des parties s’accordent sur l’obligation de notification des fuites aux autorités. Le Parlement propose même que les entreprises mettent en ligne un registre listant les types de brèches de sécurité rencontrées. Il sera intéressant de constater comment cette exigence cohabitera avec les législations nationales en matière de sécurité et la protection des intérêts de la nation qui tendent à limiter la diffusion de ce type d’information.

La notification de fuites aux personnes concernées, quant à elle, n’est obligatoire que si l’entreprise n’est pas en mesure de démontrer qu’elle a mis en œuvre des mesures afin de rendre cette fuite sans conséquence. D’où l’intérêt d’effectuer correctement l’analyse de risques, de définir et d’implémenter des mesures appropriées.

Au final, deux recommandations afin d’anticiper le futur règlement sur ce point :

• un processus de gestion des fuites de données à définir en l’orchestrant avec les dispositifs de gestion de crise existants et les processus de relation client,
• la réalisation d’exercices réguliers afin de tester son efficacité avec tous les acteurs concernés.

Une mise en conformité à anticiper

Au-delà de ces trois nouveautés majeures, d’autres modifications plus limitées en termes d’impacts organisationnels sont également à prendre en compte, comme la création du droit à la portabilité ou l’extension de la liste des données sensibles. On peut par ailleurs noter le renforcement d’obligations existantes comme le droit à l’information et le recueil du consentement. Le diable se nichera dans les détails.

Pour conclure, les deux années de mise en application du règlement ne seront pas de trop (soit une mise en conformité d’ici début 2018) et nous ne pouvons que conseiller d’initier la mise en conformité dès 2016, avec le cadrage et le lancement des premiers chantiers majeurs. D’autant plus que le sujet devient de plus en plus visible médiatiquement (condamnation récente de Boulanger, Google et l’application du droit à l’oubli, etc.) et que les sanctions financières deviennent réellement significatives (entre 2 et 5% du chiffre d’affaire mondial). L’occasion pour toutes les entreprises de communiquer largement sur les principes de respect de la vie privée effectivement appliqués.

Cet article Nouveau règlement européen sur la protection des données personnelles : anticiper les 3 impacts majeurs est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Une législation « permissive » aux États-Unis, une opportunité pour les data brokers

Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d’internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, …). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu’il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic…), chacun pouvant détenir plusieurs centaines de milliards de données ! Un marché qui ne cesse d’augmenter, à l’ère du Big Data et de l’explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain.

En effet, il n’existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L’approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d’un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l’information ou le droit à la rectification tels que nous les connaissons, sont absents.

Une amorce de prise de conscience pour une législation renforcée aux États-Unis…

 La FTC s’est penchée sur la question de ce vide juridique vis-à-vis des data brokers et a livré ses recommandations dans un rapport publié en Mai 2014. L’autorité préconise des dispositions législatives, déjà présentes dans les différentes réglementations en Europe, comme le droit de rectification, le droit d’opposition, le droit à l’information et le droit d’accès. En outre, la FTC recommande aux data brokers de prendre des précautions pour renoncer à la collecte d’informations relatives à des mineurs ainsi que de considérer les enjeux de la vie privée dans toutes les étapes du traitement des données : c’est le principe du « Privacy by Design » (on retrouve d’ailleurs ces deux notions dans le projet de futur règlement européen). Ce rapport a permis de mettre sur le devant de la scène le sujet des données personnelles aux États-Unis. Cette tendance risque certainement de s’amplifier avec le discours du ministère de la Justice de l’administration Obama du 25 juin dernier qui s’est engagé à légiférer plus largement sur la protection des données personnelles.

Avant les États-Unis, d’autres pays ont légiféré… avec difficulté

 De nombreux pays ont récemment tenté de légiférer dans ce  sens,  en s’inspirant plus ou moins fortement des principes européens. C’est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l’Inde (2013), du Brésil (2014), ainsi que de nombreux pays d’Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l’intérêt croissant des pays « dits » émergents pour ce sujet qui n’est plus uniquement une question européenne.

L’Europe est-elle en passe d’imposer sa vision sur le traitement des DCP ?

Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l’événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s’appuie sur des principes bien connus en Europe.
En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s’ajouter au modèle européen ou l’Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain ? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s’inscrire dans une optique européenne de protection que dans la logique permissive historique outre atlantique.

Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l’USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie…

Cet article Législation américaine sur les « data brokers » : une influence limitée sur la gouvernance mondiale des données personnelles ? est apparu en premier sur RiskInsight.

Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent personne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

Cet article Fuite de données personnelles : comment stopper l’hémorragie ? est apparu en premier sur RiskInsight.

Google a été mis en demeure par la CNIL en raison de plusieurs manquements à la loi du 6 janvier 1978 modifiée. Pour autant, la sanction prononcée (qui n’équivaut qu’à 0,0003 % du chiffre d’affaires mondial de Google en 2012) s’apparente finalement plus à l’octroi d’un laisser passer qu’à une mise en garde à toutes les organisations manipulant des données à caractère personnel. En effet, au regard de la multiplicité des facteurs aggravants (nombreux écarts à la loi sur des traitements sensibles, nombre de clients concernés, non coopération de Google), une telle condamnation peut paraître rassurante pour une organisation « plus classique », qui ne craindra alors que des sanctions minimes.

Toutefois, l’autre versant de la sanction, la publication de la décision sur google.fr et ce pendant 48 heures, est certainement une plus grande victoire. Au-delà de la bataille financière, difficile à gagner sans décisions européennes communes et convergence des sanctions, la bataille médiatique a elle certainement été remportée par la CNIL. L’information a été massivement relayée par la presse et Google a cherché, à l’aide d’un recours en référé devant le Conseil d’État, à démontrer que cela lui porterait un préjudice irréparable (ce qui n’est certainement pas le cas de la sanction financière).

En définitive cette sanction, de par ses deux volets (financier mais surtout médiatique), a le mérite d’avoir mis en lumière le non-respect de la loi Française par Google. Elle s’inscrit ainsi dans la démarche pédagogue de la CNIL.

Espérons enfin qu’avec le futur règlement européen et ses sanctions à hauteur de 2% du CA mondial de l’entreprise, les autorités européennes pourront également rééquilibrer la balance entre sanction médiatique et sanction financière.

Cette condamnation met effectivement en lumière la nécessité des prochaines évolutions réglementaires. Concernant le futur règlement européen, un point essentiel est le principe dit du « guichet unique ». Que pensez-vous de cette volonté de simplification des procédures ?

Le principe dit du « guichet unique » a pour vocation de simplifier les démarches des citoyens (une seule autorité de contrôle serait compétente pour contrôler/sanctionner un traitement, même transfrontalier), en désignant un unique interlocuteur de référence.

Mais ce guichet unique devrait également permettre de garantir une application cohérente, pour tous les citoyens et quel que soit les pays, du futur règlement.

Or, les autorités de contrôle sont aujourd’hui disparates en termes d’historique, d’effectifs, de modes de fonctionnement et de maturité vis-à-vis de la protection des données à caractère personnel. Le projet actuel entrainera donc une possible hétérogénéité dans l’application de la loi (chaque pays ayant son interprétation des textes en fonction de son historique) voire un transfert des traitements dangereux vers les autorités les plus tolérantes.

À défaut de mettre en œuvre une autorité unique européenne, et plutôt que de concentrer la responsabilité sur une unique autorité nationale, mettre en place un système de coopération entre les autorités semble répondre aux enjeux et à l’ambition du règlement. Ainsi, il me semble plus opportun de mettre en œuvre le guichet unique au niveau de l’autorité nationale du citoyen concerné par le traitement, laquelle aurait alors pour charge de se coordonner avec la / ou les autorités concernées par le traitement et de piloter la codécision. Cela simplifierait réellement les démarches pour les citoyens, favoriserait l’homogénéisation au niveau européen et éviterait toute tentation de « forum-shopping »

Quels sont pour vous les autres points du futur règlement qui permettraient de faire évoluer positivement le traitement des données à caractère personnel ?

Si je ne devais en citer que trois, je pense tout d’abord à l’obligation de désignation d’un DPO (Data Privacy Officer), futur équivalent du CIL. Le principe d’accountability permettra lui de passer d’un modèle déclaratif à un modèle démonstratif (de la preuve), à même de favoriser la coopération (plutôt que la sanction) entre les autorités de contrôles et les entreprises. Enfin, l’obligation de notification des failles de sécurités aux autorités de régulations, qui devrait pour sûr encourager toutes les organisations à anticiper leurs crises « données personnelles ».

En définitive, selon vous, qu’est ce qui aurait changé dans la condamnation de Google avec le nouveau règlement ?

Un montant de sanction bien plus conséquent, et donc plus dissuasif !

Mais à mon sens, la sanction ne peut tout résoudre. La coordination des autorités nationales en vue de faire évoluer les pratiques de Google y participerait tout autant. Une sanction européenne commune ou à minima coordonnée, plutôt que plusieurs sanctions locales, aurait permis à la position européenne d’être plus claire.

C’est, selon moi, ce qui change fondamentalement avec ce nouveau règlement : un renforcement des autorités nationales et une volonté de les faire collaborer afin de faire progresser la protection des données à caractère personnel.

Cet article Quelles seront les prochaines évolutions en matière d’informatique et libertés ? est apparu en premier sur RiskInsight.

L’utilisation du support papier fait du marché des titres-restaurants (3,5 millions de consommateurs et 5 milliards d’€ de CA) une cible de choix pour les criminels. C’est pourquoi, afin de lutter contre la fraude mais aussi de moderniser l’action publique, le législateur s’est positionné en juillet 2013  en faveur de la dématérialisation des titres-restaurants. Le décret a été publié le 2 avril. De cette évolution surgissent des questions légitimes : quels impacts pour les consommateurs au quotidien ? Et surtout quelle évolution des risques ?

La petite révolution du numérique

Ces titres dématérialisés peuvent être utilisés sur deux supports : via une carte à puce compatible avec n’importe quel terminal de paiement électronique ou via un smartphone (en utilisant une application qui génère des QR code) uniquement compatible avec un terminal spécifique fourni par l’émetteur de titres au restaurateur.

La dématérialisation va profondément modifier les usages. Les avantages sont multiples pour les usagers, entreprises et restaurateurs : plus de perte des tickets, paiement au centime près et diminution de la charge administrative et des délais de remboursement. Cependant, c’est aussi la fin des petits arrangements : plus de possibilité de céder des tickets restaurants, montant limité à 19€ / jour, carte non utilisable le dimanche…

L’obsolescence annoncée des méthodes traditionnelles de vol et de fraude

Les méthodes traditionnelles de fraude vont tendre à disparaître, en particulier celles liées au blanchiment d’argent. Par exemple, le système connu sous le nom de « lessiveuse » consiste pour des restaurateurs à acheter des titres-restaurant au marché noir avec de l’argent « sale » pour se les faire rembourser ensuite de manière légale par la société émettrice de titres. Les titres-restaurants numériques mettent fin à ce système car ils ne peuvent être cédés à un tiers et permettent la traçabilité des flux.

De plus, l’utilisation de la carte à puce et du mobile restreint le vol de tickets-restaurant pour le consommateur : code à quatre chiffres, utilisation limitée à deux tickets par jour, possibilité de faire opposition et tickets non stockés sur le support de paiement.

Un déplacement du risque vers la cybercriminalité

Du fait de la dématérialisation, les émetteurs de titres-restaurants deviennent une nouvelle cible pour les cybercriminels, comme le souligne Tracfin dans son rapport annuel 2012 : « La dématérialisation des supports va modifier les risques sous-jacents en termes de blanchiment d’argent avec une évolution des typologies vers des domaines relevant de la cybercriminalité ».

Si les nouvelles méthodes de blanchiment ne sont pas clairement identifiées aujourd’hui, les méthodes de fraude et de vol inhérentes à la cybercriminalité sont bien connues. Elles consistent principalement en des attaques informatiques de type social engineering, usurpation d’identité, élévation de privilèges, etc.

Ces attaques pourront viser d’une part à voler des titres-restaurant stockés sur les serveurs de l’émetteur, par exemple en créditant le compte d’un usager en titres sans contrepartie financière ou encore en simulant un paiement par titre chez un restaurateur pour en obtenir le remboursement.

D’autre part, l’objectif des cybercriminels pourra être de faire main basse sur les données personnelles des usagers. Générées lors de l’utilisation d’une carte ou d’un smartphone, ces données fournissent des informations qui présentent un attrait certain pour les cybercriminels : noms, habitudes de consommation, géolocalisation, etc.

La nécessité pour les émetteurs de se mettre à niveau

Les émetteurs de titres-restaurants sont confrontés à l’importance grandissante du SI au cœur de leur métier. Le système traditionnel fermé et tourné uniquement vers l’entreprise évolue vers un système ouvert sur l’extérieur. Cette ouverture implique des interactions avec divers acteurs (banques, restaurateurs, entreprises…) et la collecte d’informations de plus en plus attractives.

En conséquence de ces évolutions majeures, la posture des émetteurs se trouve profondément modifiée et un effort doit être fait sur la sécurité des Systèmes d’Information. Les émetteurs de titres restaurants doivent s’inspirer des investissements réalisés et des bonnes pratiques mises en place par des entreprises qui font face à des problématiques similaires de gestion de systèmes financiers (banques) et de données personnelles massives (opérateurs télécoms) critiques.

A minima, une évaluation des risques sur les processus métier, l’intégration des pratiques de développement sécurisé pour les applications et la réalisation d’audits mêlant technique et métier seront nécessaires.

Il sera par ailleurs nécessaire de surveiller le système afin de détecter les nouvelles tentatives de fraudes et les méthodes d’attaques. Avec l’augmentation de l’utilisation de ces systèmes, ces actions devront être réalisées en quasi temps réel.. L’utilisation de nouvelles techniques anti fraude, utilisant par exemple le Big Data, devra alors être envisagée.

Le titre restaurant vit sa révolution numérique, en regard les mécanismes de lutte contre la fraude doivent eux aussi franchir ce nouveau cap !

Cet article Les titres-restaurant numériques, une aubaine pour les cybercriminels ? est apparu en premier sur RiskInsight.

Au-delà de l’opportunité qu’ils représentent, les réseaux sociaux doivent également être considérés au regard du risque qu’ils présentent : un outil de communication de masse à très forte capacité virale, capable de perturber la communication de crise d’une organisation.

L’incident ayant eu lieu à Disneyland l’illustre d’ailleurs très bien. Avant même que l’enseigne n’ait officiellement communiqué, les réseaux sociaux se sont emparés du sujet avant d’être relayés par les médias traditionnels. Pire, alors que la crise prend de l’ampleur, le parc continue à communiquer via les mêmes canaux sur des évènements ludiques. Il aura finalement fallu attendre 5 heures, de nombreux tweets d’incompréhension et de multiples articles relatant les accidents passés avant que Disneyland ne reprenne la main sur sa communication de crise. L’enfant étant finalement hors de danger, ce retard n’a pas démesurément perturbé la sortie de crise. Mais face à une fin moins heureuse, la situation aurait pu être tout autre.

Alors, quelles sont les règles à appliquer pour faire des réseaux sociaux un allié en situation de crise, et non un courant à remonter ?

Communiquez vite, communiquez bien mais surtout … communiquez !

La communication est un pilier d’une saine gestion de crise. L’entreprise se doit de communiquer rapidement, et sur tous les canaux disponibles : sites institutionnels, réseaux sociaux, « médias traditionnels », … Même s’il ne s’agit que d’un message « d’attente » indiquant que des faits sont en train d’être analysés.

L’entreprise ne doit alors pas chercher à se justifier, à démontrer qu’elle n’est pas responsable ou qu’elle avait mis en place toutes les actions de prévention nécessaire. Elle doit avant tout adopter une posture empathique vis-à-vis des personnes concernées : je comprends la situation, je mesure l’importance de celle-ci pour vous et j’agis en conséquence. Un récit précis de la situation et des actions en cours pour la normaliser doit également être diffusé afin d’éviter que de fausses informations n’apparaissent par manque d’informations officielles

Comme pour les médias traditionnels, mais avec un temps de réaction réduit, la communication de crise sur les réseaux sociaux doit permettre de démontrer que l’entreprise se mobilise et cherche à traiter au mieux la crise.

Donnez tous les atouts au Community manager pour qu’il puisse communiquer

En temps de crise, les Community managers ont des difficultés à se procurer des messages validés en interne, qu’ils peuvent retranscrire à leurs communautés. Cela explique souvent le temps nécessaire à la publication des premiers messages sur les réseaux sociaux. Mais attention, le temps est un facteur d’aggravation de la crise, et le silence un facteur anxiogène chez les social-networks addicts!

Cette difficulté provient généralement d’un manque de formalisation du processus de remontée de l’information au Community Manager. La cellule de crise a ainsi tendance à se renfermer sur elle-même, et ne prendre contact qu’auprès des équipes qui lui permettront de traiter la crise. Or la communication sur les réseaux sociaux est un des leviers pour traiter la crise, voire en sortir en matière d’image et de réputation.

Un processus clair, simple et exercé devra donc permettre au Community manager de disposer de toutes les communications dont il aura besoin, et ce directement en provenance de la cellule de crise. La nature des communiqués et des informations attendues (ex : blessés ou morts, nombre de personnes concernées, nouveaux impacts possibles) pourra être formalisée en amont pour faciliter l’interaction. Il peut aussi être utile de pré-valider un certain nombre de postures qui pourront alors être plus facilement utilisé.

Et anticiper les crises, en réalisant une veille active

Toutes les crises ne reposent pas sur des événements avérés sur lesquels il devient nécessaire de communiquer (par exemple, la rumeur selon laquelle Nature et découvertes serait une secte).

Dans ce cas, et pour les entreprises particulièrement soumises à cette nature de risques (entreprises BtoC grand public avec une image de marque forte), il convient d’effectuer une veille active sur les réseaux sociaux et médias afin d’identifier, dès leur émergence, les informations erronées potentiellement sources de crise. Dans ce cas de figure, un outillage spécifique est à utiliser pour automatiser et optimiser l’activité. Il deviendra alors plus que probable que certaines crises remontent plus vite par les réseaux sociaux que par les canaux traditionnels.

Le Community manager se transforme ainsi, au-delà de son rôle de diffusion de l’information, en canal de détection de la crise à même de mobiliser l’organisation et circonscrire la crise au plus vite.

Cet article Réseaux sociaux et gestion de crise – anticiper les risques pour maîtriser sa communication est apparu en premier sur RiskInsight.

Et pourtant, le temps est un facteur clé dans la gestion de toute crise. Dans le cas d’une crise Sécurité SI, une détection et une remontée d’alerte tardive auront des impacts importants pour l’organisation (cf. notre synthèse « Cybercriminalité, comment agir dès aujourd’hui »). Pour cette raison, mettre en place et éprouver les outils et processus de ces phases est un enjeu fondamental pour la filière SSI. Suite à la mise en place d’une organisation de gestion de crise SSI, l’exercice « sur table » constitue un premier niveau de test permettant de valider une procédure sur son principe mais les conclusions en termes d’efficacité du dispositif sont limitées. Il convient donc d’aller plus loin dans le réalisme en simulant à la fois l’aspect technique et le facteur de surprise engendré par une attaque.

Exercice cybercriminalité : mimer les symptômes et les comportements d’une vraie attaque

Pour se rapprocher d’un cas réel, la meilleure solution reste de simuler techniquement des symptômes au bon niveau :

•  Des stimulations « faibles », représentatives d’une attaque, pour tester la détection par l’outillage et les processus en place
•  Des stimulations « fortes », plus détectables, afin de susciter une réaction et pouvoir tester la bonne sensibilisation des acteurs ciblés

Les attaques ciblées subies par nos clients s’étendent généralement sur plusieurs semaines voire mois. Afin d’en mimer la dynamique, ces stimulations pourront donc s’étaler sur plusieurs jours.

Adopter une telle démarche permettra aux collaborateurs participants à l’exercice d’appréhender les signaux faibles d’un incident de sécurité majeur qui restent souvent peu concrets pour eux.

Et même organiser un exercice impromptu !

Pour aller plus loin, une fois que l’organisation aura été sensibilisée à la détection et au traitement d’incident SSI, la réalisation d’un exercice techniquement simulé, sans prévenir les acteurs ciblés, permet de se rapprocher encore davantage d’un cas réel. Cette méthode présente de nombreux avantages :

• L’évaluation de la capacité de détection de symptômes types d’un incident sécurité
• La vérification de la connaissance et de la bonne application des procédures de sécurité, les collaborateurs ciblés n’ayant pas nécessairement le réflexe de s’y référer
• La mise à l’épreuve des circuits de remontée d’alerte définis, les collaborateurs ciblés ayant le plus souvent recours à la solution la plus naturelle pour eux.

En contrepartie, ce type d’exercice demande une préparation logistique plus poussée. En premier lieu, il s’agit d’éviter que les acteurs ciblés lancent des actions de traitement de l’incident susceptibles de perturber la production. Pour ce faire, il est souhaitable de mobiliser des complices au sein du management qui seront en charge de surveiller et contrôler le bon déroulé des évènements. En complément, il conviendra de bien préciser le contexte RH de la démarche afin de ne pas susciter une réaction négative de l’utilisateur évalué à son insu. Une consultation des IRP est conseillée avant d’entreprendre un tel exercice au sein de l’organisation.

L’exercice de gestion de crise cybercriminalité : un levier de sensibilisation efficace pour la fonction SSI

Ce type d’exercice est riche d’enseignements pour la fonction SSI. Il est un révélateur de failles dans les dispositifs de détection et d’alerte. Il est surtout un formidable vecteur de sensibilisation des utilisateurs. Suite à un tel exercice, la perception de la sécurité change fondamentalement : initialement ressentie comme une contrainte, elle devient un besoin exprimé directement par les utilisateurs impliqués.

Cet article Attaquer son propre SI : un moyen pour se préparer à une crise cybercriminalité est apparu en premier sur RiskInsight.

Les réseaux sociaux apparaissent désormais comme une ressource que les entreprises doivent se préparer à utiliser.

Les réseaux sociaux : un outil pour rapidement collecter l’information ou la diffuser au plus grand nombre

Les réseaux sociaux se positionnent aujourd’hui comme un parfait complément aux médias traditionnels, en particulier de par le caractère viral que peut revêtir une information une fois publiée. En cas d’évacuation de domicile, un Smartphone couplé à Twitter pourrait être le moyen le plus rapide pour vous indiquer l’abri le plus proche en temps réel (situation qu’ont connue les habitants de NYC lors de l’ouragan Sandy en 2012). Vous pouvez ensuite partager cette information avec vos proches via Facebook . Chaque utilisateur se transforme ainsi en relai qui communique vers sa communauté jusqu’à ce que l’information atteigne le plus grand nombre.

En plus de cette capacité de diffusion rapide de l’information, les réseaux sociaux sont le seul média qui permet une remontée d’information massive et instantanée. Dans son combat contre les grands feux de forêt, le Western Australia’s Department of Fire and Emergency Services utilise Twitter pour collecter des renseignements auprès de témoins locaux. Les informations ainsi collectées permettent aux pompiers de connaître avec précision la situation sur le terrain et de réagir en conséquence.

Utilisez ces outils au quotidien pour en maitriser les rouages

Afin d’utiliser efficacement ces outils en situation de crise, il convient d’en maitriser les mécanismes. Cette maitrise se construit au jour le jour, en intégrant les réseaux sociaux dans le quotidien de l’entreprise au côté des dispositifs de communications traditionnels.

La SNCF est l’exemple parlant d’une entreprise qui a parfaitement intégré les réseaux sociaux dans sa communication, à travers plusieurs fils Twitter qui font désormais parti du quotidiens des usagers (@SNCF_infopresse, @SNCF_QR, @SNCF_Direct).

Lors de la récente catastrophe de Brétigny-sur-Orge, Twitter est apparu naturellement comme un pilier du dispositif de communication de la SNCF.

Direction Générale, Risk Manager, Responsable Cybercriminalité, … n’attendez plus !

Les projets en lien avec les réseaux sociaux sont aujourd’hui souvent pilotés par les directions Communication et Marketing. Pour autant, les acteurs de la gestion de crise : Risk Manager, RSSI, RPCA ou Responsable Cybercriminalité doivent y prendre part  et d’ores et déjà se préparer à utiliser ces outils.

La préparation passe par la définition du cadre dans lequel vont évoluer les équipes de communication de crise :

• En désignant les instances qui porteront la communication via les réseaux sociaux,
• En sensibilisant ces instances pour qu’elles puissent, le cas échéant, répondre efficacement aux sollicitations,
• En s’assurant que les outils seront à disposition dans le cadre du plan de gestion de crise,
• En définissant des communications type : messages prédéfinis en fonction des scénarios pouvant nécessiter l’activation du dispositif de crise,
• En renforçant la crédibilité de ces messages par le sponsor d’une personnalité de premier plan. À l’image par exemple de l’initiative de la mairie de NYC pendant l’ouragan Sandy : Michael Bloomberg, maire et figure emblématique de la ville, a appuyé les recommandations des équipes de secours avec pas moins de 110 tweets. Ces messages ont été largement relayés par le public et les autres comptes officiels de la ville.

Ces mesures pratiques couplées aux retours d’expériences des crises précédentes permettront de tirer le meilleur parti des réseaux sociaux et d’en faire un outil au cœur du dispositif de gestion de crise.

Cet article Réseaux sociaux et #GestionDeCrise est apparu en premier sur RiskInsight.

Toutes les organisations sont aujourd’hui susceptibles d’être concernées pas des failles, voire des attaques, liées aux données à caractère personnel qu’elles manipulent. Les multiples exemples relayés ces dernières années par les médias l’illustrent : condamnation de la CNIL, failles révélées dans le SI, plaintes d’utilisateurs,… Même si une application scrupuleuse de la loi participe à la diminution du risque, elle ne peut garantir l’absence d’incident.

De ce fait, les organisations manipulant des données personnelles ne doivent plus se demander si ce type d’incident pourrait arriver, mais plutôt quand il va survenir et quels en seront les impacts.

La crise « données personnelles » doit être anticipée et préparée

Le récent « bug Facebook »  l’illustre bien, les impacts seront d’autant plus importants aujourd’hui que le grand public est attentif à ces problématiques.

Pour rappel, lors de l’activation de la nouvelle page Timeline, certains utilisateurs se sont plaints de la publication de messages privés sur leur mur. Une faille a d’abord été soupçonnée.. Après enquête de la CNIL, il s’agit d’anciennes publications de mur à mur quela Timeline a fait ressortir. Quelle que soit la cause, la réaction démesurée des utilisateurs à la possible publication non maîtrisée de données qu’ils considèrent comme privées montre bien la sensibilité quasi-épidermique du public sur le sujet.

Les multiples prises de position des utilisateurs, de la presse, ainsi que de la classe politique illustrent à quel point cette problématique est devenue médiatique. La ministre déléguée à l’économie numérique, Fleur Pellerin, a conseillé hâtivement de porter plainte si la faille était avérée. De son côté la CNIL, considérant que la confusion des utilisateurs est sans doute liée aux changements unilatéraux et récurrents des paramètres de vie privée en 2009 et2010, a demandé à Facebook de lui transmettre les mesures que l’entreprise américaine comptait mettre en œuvre afin de respecter ses recommandations.

Facebook s’est bien entendu défendu de toute « atteinte à la vie privée », expliquant avant la CNIL l’origine de la confusion. La rapidité de la prise de parole n’a cependant pas empêché que l’image du site et la confiance de certains utilisateurs ne soient écornées.

Cet exemple a permis de mettre en lumière que l’incident de confidentialité (fuite, mauvais traitements) de données personnelles est devenu un type de crise à traiter par les organisations. Elles doivent dès lors amender leurs dispositifs de gestion de crise afin d’y intégrer les dispositions propres à ce type de sujet (processus de détection et de qualification spécifique, experts juridique mobilisables, …). En particulier, au regard de la nouvelle, et forte sensibilité du public, une attention toute particulière devra être portée à la maîtrise de la communication de crise. Le « bug Facebook » l’a montré, la crise peut davantage être liée à la communication autour de l’évènement qu’à la faille en elle-même.

Il reviendra alors au Correspondant Informatique et Libertés de mobiliser les différents acteurs concernés (responsable du processus de crise, département relation client, service juridique, experts sécurité) au sein de groupes de travail afin de définir les processus et dispositifs à mettre en place le jour « J » (moyens d’alertes, plan de communication, …).

Le projet de règlement européen relatif  à la protection des données personnelles rendra d’ailleurs ces aspects d’autant plus essentiels, l’obligation de notification de toute fuite de données personnelles devant se traiter au sein d’un dispositif ad-hoc impliquant l’entreprise mais aussi des acteurs externes, afin d’éviter que la crise prenne une ampleur préjudiciable pour les personnes concernées et l’entreprise.

Seule une analyse de risques permettra d’anticiper au mieux la crise

Pour anticiper et traiter au mieux ces crises, l’organisme devra se poser la question des risques afférents à la manipulation des données personnelles, et construire des plans d’actions proportionnels aux impacts anticipés.

Cette démarche, en ligne avec les exigences de la loi informatique et libertés (cf. article 34 : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement) et certainement du futur règlement européen, pourra être menée à l’aide des méthodes classiques d’analyse de risques bien connues des Responsable de la Sécurité des SI (les guides « Gérer les risques » et « Mesures pour traiter les risques » publiés par la CNIL pourront également être utilisés).

L’enjeu vis-à-vis de ces données personnelles ne sera donc plus uniquement de se conformer aux exigences de la loi mais bien d’identifier les risques potentiels et les crises probables. Il reviendra alors à l’organisme de traiter en priorité les traitements comportant le plus de risques, notamment ceux pouvant la mettre en péril en cas de fuite de données personnelles.

Cet article Protection des données personnelles : la conformité à la loi ne suffit plus ! est apparu en premier sur RiskInsight.

Une précédente tribune a rappelé l’importance de formaliser sa documentation PCA en fonction de ses finalités, afin de la rendre réellement opérationnelle.

Reste alors à assurer l’accessibilité de ces documents – au quotidien mais aussi et surtout en cas de crise : processus de mise à jour, multiplicité des acteurs, périodicités et responsabilités variables,…

En un mot, se pose la question de la gestion documentaire du corpus PCA, avec en creux celle du recours à un outillage spécifique.

La gestion documentaire : socle historique mais perfectible de l’outillage PCA

Le PCA a toujours été un grand producteur de documents : en faciliter la gestion a donc naturellement été un des premiers objectifs des progiciels PCA, parmi lesquels on trouve LDRPS, PARAD et frontGRC en France, Shadow Planner, INONI BCP Pro, MyCoop, ResilienceOne, Business Protector, RevoverPlanner sur les marchés anglo-saxons. Ces outils ont, dans les grandes lignes, des fonctionnalités similaires : décrire l’organisation (acteurs, processus, ressources, etc.), y associer un certain nombre de propriétés (notamment les DIMA et PDMA) et les plans à déclencher lorsqu’une ressource ou un processus est touché. Des mécanismes de workflow plus ou moins élaborés sont également disponibles : possibilité de définir des responsables pour chaque document, des dates de revues régulières, voire de lancer automatiquement des campagnes BIA (Bilan d’Impact sur l’Activité).

Si une telle approche et de telles fonctionnalités peuvent paraître séduisantes, elles doivent être considérées avec prudence. En effet, chaque progiciel est construit selon un schéma de pensée (modèle de données, typologie et approche des traitements, hiérarchie des habilitations) qui ne sont pas toujours transposables dans le contexte des organisations. En conséquence, l’usage d’un outil demande soit d’en contourner le fonctionnement optimal, soit de revoir son organisation voire son processus de continuité d’activité. In fine, le recours à un outil doit être envisagé en connaissance de cause, conscient de son potentiel facilitateur sur certains aspects (revue des risques, mesure des impacts, recensement des processus, annuaires), mais aussi des lourdeurs et contraintes qu’il va imposer, notamment dans son usage de référentiel documentaire.

Viser un mode de gestion documentaire simple, déjà ancré dans le fonctionnement de l’organisation

A défaut d’outil PCA, on pourra dans un premier temps s’appuyer  sur une gestion documentaire traditionnelle : dépôt des documents sur un répertoire partagé et sécurisé, triés selon leurs finalités et accessibles quelques soient les conditions rencontrées. Charge alors à l’équipe PCA de piloter la maintenance et la révision des documents en mobilisant les différents contributeurs.

Les organisations plus complexes pourront envisager le recours à un outil de Gestion Électronique de Documents (GED).  Ce type d’outil facilite la gestion documentaire en délivrant une meilleure gestion du contenu (méta-informations), de ses révisions et de son indexation. Il fournit également des fonctionnalités plus fines de partage et de modification des documents. Il propose enfin des possibilités de workflow contribuant aux cycles de validation et de révision des documents.

Attention toutefois à éviter l’écueil de bâtir une GED (Livelink, Sharepoint,…) spécifiquement pour le PCA : on s’appuiera plutôt sur un outil existant, déjà adopté par les utilisateurs. Un tel outil étant consulté régulièrement pour d’autres besoins, il facilitera la mise à jour des documents PCA.

Comment s’assurer de disposer des procédures en cas de crise ?

Au-delà de la mise à jour des documents, l’outillage doit être pensé pour la mise à disposition des documents le jour J. Il faut dès lors s’assurer, quel que soit le mode de gestion choisi, de sa disponibilité en cas de sinistre.

De prime abord, on pourrait penser faire de la solution de gestion documentaire la première application à remonter, à l’aider d’une procédure qu’elle ne doit pas héberger… Tentation à repousser tant cette solution crée un important point de blocage potentiel dans le déroulement du plan de continuité !

Mieux vaut faire bénéficier la solution de gestion documentaire (outil PCA ou GED) des mêmes garanties de disponibilités que les applications les plus critiques, soit en recourant à une solution hébergée (ce qui nécessite de traiter les problématiques de la confidentialité des données et de la dépendance à l’éditeur), soit en tirant partie d’un hébergement sécurisé (bi-site ou datacenters éloignés).

Il y a toutefois fort à parier que l’émergence des offres SaaS par les éditeurs de GED (ex : Sharepoint Online pour Office 365) va certainement modifier en profondeur le mode d’hébergement des bases documentaire PCA (hors outils spécifiques).

Quel que soit l’hébergement, une garantie complémentaire pourra enfin être offerte par la copie régulière sur support amovible, voire l’impression, de l’ensemble des plans (du moins pour les documents qui ne sont pas souvent modifiés).

Un outil pour accompagner un processus rodé

En synthèse, qui dit gestion de documentation PCA et mise à disposition le jour J ne dit pas nécessairement outil PCA : comme d’habitude, il convient de prendre garde à ne pas se laisser guider par l’outil !

Avant d’envisager un outillage plus évolué que le répertoire partagé, il est nécessaire de roder le cycle de vie du PCA et notamment la mise à jour de sa documentation, qu’il sera toujours temps d’industrialiser à l’aide d’un outil. A contrario, le choix précoce d’un outil pourra contraindre toute la mise en œuvre du PCA et obérer les chances de déployer un processus véritablement en ligne avec son organisation.

Cet article Documentation PCA : comment passer d’un corpus bien pensé à un corpus bien géré est apparu en premier sur RiskInsight.

Aujourd’hui, les conséquences d’une crue similaire seraient diverses : arrêt des transports et difficultés de circulations, absentéisme dans les entreprises et les services publics, coupures électriques, eau non potable, etc.

Face à ces impacts variés, l’arrêt d’une grande partie des activités des entreprises est inéluctable. Mais les responsables de la continuité de l’activité des entreprises ne sont pas totalement démunis. Une inondation se déroule en trois temps : montée des eaux, pic de crue, décrue. Cette progressivité permet d’anticiper les impacts et donc les solutions à mettre en place.

Avant la crue et jusqu’à la montée des eaux, scénariser la crise et adopter les mesures de sauvegardes

« Quand on commence avec des certitudes, on termine avec des doutes ». La crue exceptionnelle illustre parfaitement cette maxime de Francis Bacon. Il est certain qu’elle arrivera, sans qu’on sache exactement à quoi nous attendre à ce moment-là.

Pour éclairer les zones d’ombres, de nombreuses études sont toutefois disponibles (études DIREN, PPRI des communes…). Malgré tout, des questions resteront posées. Paris ne présente plus le même visage qu’au début du siècle dernier. L’évolution des sols et sous-sols rend partiellement caduques les cartes de 1910. Les modélisations existantes ne tiennent pas compte de tous les paramètres (remontées d’eau dans les sous-sols notamment), de sorte qu’il n’est pas possible d’anticiper précisément les impacts.

Enfin, et surtout, la crue pourrait être bien plus virulente, comme ce fut le cas à Prague en 2002, invalidant toutes les prévisions basées sur les hauteurs d’eau de 1910.

En tenant compte de tous ces paramètres, et en acceptant de ne pas tout maîtriser, le responsable de la continuité d’activité pourra réaliser son analyse d’impact. Suite à celle-ci, il sera en mesure de lancer immédiatement des actions conservatoires (remontée ou déménagement de ressources clés) et de bâtir un scenario de crise en plusieurs étapes (vigilance, alerte, mobilisation, …) en fonction de la montée des eaux et de la chronologie des évènements associés

Cette scénarisation permettra de définir une procédure « crue » à dérouler lorsque les eaux monteront.

Pour chacune des étapes anticipées lors de la montée des eaux, un ensemble d’actions sera mis en œuvre pour se prémunir au mieux des conséquences sans perturbation de l’entreprise au quotidien : pré-mobilisation de la cellule de crise, remontée d’équipements dans les étages, vérification des dispositifs de secours et de sauvegarde, installations de batardeaux…

Adapter au mieux son PCA pendant le pic et la décrue

En situation de « pic de crue », certainement deux à trois semaines, les impacts sur l’entreprise mais plus globalement sur l’ensemble de la région Ile de France seront extrêmement conséquents. Impossible dès lors de couvrir le risque comme avec un PCA classique.

Le Plan de Continuité d’Activité « crue » devra savoir s’adapter à cette situation exceptionnelle, et ne plus chercher à couvrir toutes les fonctions critiques de l’entreprise mais bien uniquement les fonctions absolument vitales et les organes de crise auxquels devront être dédiés tous les moyens disponibles. Le RPCA doit faire son deuil d’une continuité de l’ensemble des activités, même celles habituellement reprises.

Les solutions classiques des PCA devront également être évaluées au regard des contraintes spécifiques du « pic de crue » : le nomadisme repose sur des infrastructures dont rien ne garantit le bon fonctionnement en situation de crue, le repli doit prendre en compte le lieu d’hébergement des collaborateurs (la Seine et la Marne ne pouvant être franchies)…

La décrue des fleuves peut durer plusieurs semaines (35 jours en 1910), et durera a minima plusieurs mois pour les entreprises touchées : nettoyage des bâtiments, consolidation des fondations, remise en état d’équipements, réapprovisionnements…

Pour autant, les actions à mettre en œuvre au cours de ces étapes ne peuvent être formalisées de façon précise tant que la crue ne s’est pas déroulée. Le RPCA devra plutôt s’attacher à dégager les grands principes qui guideront la reprise progressive des activités durant cette étape : abandon/remise en fonction des bâtiments, activités à reprendre en priorité, pré-contractualisation de stock de reprise, etc.

Se focaliser sur l’essentiel pour faire face à la crue

Il est impossible de prévoir et traiter intégralement une crue exceptionnelle. Toutefois, aborder la problématique en amont permettra de scénariser la crise et de prévoir les actions de limitation de ses conséquences.

Les impacts résiduels seront traités par des solutions PCA « plus classiques », couvrant ce qui ne peut être protégé, mais doit être préservé.

In fine, se préparer à faire face à la crue, c’est initier la prise en compte des chocs extrêmes, sinistres pour lesquels tous les impacts ne peuvent être couverts, rendant la hiérarchisation des activités vitales encore plus essentielle à la continuité.

Cet article Les entreprises face à une crue exceptionnelle est apparu en premier sur RiskInsight.