Reminder of what  an Azure subscription is 

An Azure subscription is a container for cloud resources and services associated with a tenant, which enables the management of billing, access, and the deployment of Azure resources. 

Azure resources architecture

Operation of the attack 

On Microsoft Azure, the following initial situation is considered : 

• There is a legitimate organization (the victim tenant), which may or may not contain a subscription
• There is a malicious organization (the attacker’s tenant) under the attacker’s control

The attack then follows these four steps: 

Steps of the attack on Azure

1. The attacker must be present in both organizations: they therefore compromise an internal administrator in the victim tenant to have their external account invited into the tenant, or they convince a non compromised administrator to invite them under some pretext. In both cases, the administrator invites them into the victim tenant
2. The attacker targets an existing subscription or creates a new one themselves (which requires permissions), associated with an existing billing account in the victim tenant
3. The attacker obtains the Owner role on the targeted subscription. If they created it themselves, they already have this role by default; otherwise, they must receive it from an administrator
4. The attacker transfers the subscription from the original organization to the destination organization

The subscription is now under the full control of the attacker’s organization and can continue billing the former billing account.  

Why is this attack dangerous ? 

This attack is potentially very dangerous because it can be carried out instantly if the conditions are met, gives the attacker full control over the resource and any of its content, and is irreversible without support intervention. 

An instantaneous attack 

By default, any user with the Owner role on an Azure subscription who is also present in another tenant can perform the transfer without restriction. 

Multiple and potentially irreversible consequences 

The subscription comes under the control of the malicious tenant that has taken it over. They can therefore: 

• Having full control over it while the original user no longer has access 
• Extract all resources or information from it 
• Use it while charging the usage of the former billing method belonging to the legitimate owner 

Note: A purpose of subscription hijacking is to bring the resources into the attacker’s own environment, outside the control of the legitimate owner, to use them for their own benefit or to bill new usage to the former owner. However, even simple transfer without any use already causes major consequences: the user will have lost their subscription, and thus will have lost all resources, but also the structure (roles, assignments, rules), which can be very time‑consuming to rebuild. 

If the legitimate owner can block billing once they realize what is happening, there is, however, no way to recover the subscription if the attacker has removed all former Owners from it. The only remaining option is to turn to Microsoft support. 

The following article by Derk van der Woude describes a case of cryptocurrency mining carried out using stolen subscriptions and billed to the former owner: 

https://derkvanderwoude.medium.com/azure-subscription-hijacking-and-cryptomining-86c2ac018983 

How to be protected against it ? 

To protect against an illegitimate subscription transfer, there are preventive measures that can be applied to mitigate each step of the attack: 

Preventive measures 

1. Attacker’s access to resources : conditional access policies 

Conditional access policies based on risk automatically strengthen security by adapting controls according to the level of risk detected during a sign‑in or associated with a user. For example, they can block suspicious access or require multi‑factor authentication (MFA). Thus, the access of a suspicious guest could be blocked. 

     2. Privilege escalation/obtaining the Owner role: privileged identity management 

Privileged Identity Management (PIM) allows high‑privilege roles to be granted only when needed, through temporary, approved, and justified elevation. It reduces risks linked to excessive permissions through control, monitoring, and activation notifications. 

     3. Subscription transfer : subscription policy 

A subscription policy makes it possible to block the transfer of an Azure subscription to or from the tenant to prevent hijacking. It is implemented through Azure Policy by defining and then assigning a rule that restricts transfer actions, with regular reviews to ensure its effectiveness. It applies to all subscriptions within its assignment scope. 

Detection solutions 

Certain solutions can detect this attack on Microsoft Azure: 

• UEBA (Sentinel) : detects abnormal behavior (unusual sign‑ins, access to sensitive resources, unexpected changes). This helps quickly identify a compromised account before it can hijack a subscription. 
• Privileged Identity Management (PIM)​ : monitors privilege elevations and can trigger alerts when a privileged role is activated. 
• Custom Sentinel Alert : can specifically monitor events indicating a subscription transfer. The rule regularly analyzes Azure Activity logs and immediately triggers an alert when a suspicious operation like the moving of a subscription is detected. 

Resilience strategy 

The resilience strategy to be implemented is a backup of resources that allows them to be restored in the event of an actual subscription hijacking. 

1. Isolate Azure Backup backups in a dedicated subscription reserved for backups with strict security rules 
2. Protect backups: enable soft delete (no immediate permanent deletion), reversible deletion, immutability (prevents modification or deletion for a set period), and anti‑deletion locks 
3. Create multiple copies, potentially to another tenant 
4. Back up governance as well (Entra ID configurations via Microsoft 365 DSC, infrastructure configuration with Terraform) 
5. Automate reconstruction with infrastructure‑as‑code (Blueprints, ARM, Terraform) 
6. Regularly test backups 

Response to the attack 

Suffering a subscription hijacking means losing control of your Azure subscription. In that case, options are limited. You should very quickly: 

• Block the attacker’s access and revoke any secrets potentially compromised during the attack 
• Contact Microsoft Billing support to stop billing 
• Contact Microsoft technical/Azure support to attempt to recover the subscription 

And on other providers? (AWS and GCP) 

Once this attack has been identified on Azure, the question arises as to whether it also exists (or if an equivalent exists) on AWS and GCP. The concept of a subscription does not exist as such with these two cloud providers; however, equivalent hierarchical units play the same role. If it were possible to migrate them to another AWS or GCP organization in an illegitimate way, this would constitute the equivalent of subscription hijacking on those platforms.  

AWS : an existing equivalent with distinct conditions 

On AWS, the hierarchical equivalent of an Azure subscription is the AWS account: an AWS account, located within an organization, contains IAM users, resources, and is the level at which billing is handled if it is not consolidated by the management account. 

The goal of an attacker would therefore be to have this AWS account migrated to another organization. 

Steps to follow 

The steps to follow are : 

Steps of the attack on AWS

An AWS account contains: 

• A unique root user, who has all rights on the account 
• IAM users with assigned IAM permissions 

From there, two strategies are possible for the attacker: either compromise the root user (which would allow any action) or succeed in escalating privileges on a regular IAM user. However, root approval is still required for step 1 (for example, the attacker may have manipulated the root user into performing this action). Moreover, if guardrails or Service Control Policies are enforced, the root user must still validate the operation. As a result, an IAM user, even with elevated rights, cannot always migrate an account on their own. 

Similar consequences to the Azure attack ? 

It is established that on Azure, transferring a subscription results in a total loss of control over it. Here, on AWS, two nuances must be introduced: 

• First, as shown in thepreviousdiagram, billing must be changed (to an independent billing mode) to allow the account to migrate to another organization, which eliminates the risk of being charged for services used by the attacker after the migration
• Second, in the theoretical case where it is a non‑root IAM user who performed the migration (having gathered all the necessary permissions), this user does not have full control over the account, even if they leave it standalone or make it join an organization under their control. AWS accounts are highly independent, and simply having an account within one’s organization does not allow arbitrary actions (accessing certain resources,deletingthe account) without possessing the root user

Conclusion 

If the attack seems possible on AWS in theory, it requires more conditions and results in fewer definitive negative consequences than on Azure. Ultimately, the only way to take full control of an AWS account remains to obtain its root user. 

GCP : a possible equivalent but more difficult to realize 

On GCP, the architecture is closer to Azure. The equivalent of an Azure subscription is the GCP project. Here, the attacker’s goal would therefore be to migrate a project from one GCP organization to another.  

Steps to follow 

The steps to follow are : 

Steps of the attack on GCP

Similar consequences to the Azure attack ? 

The consequences of migrating a GCP project are the same as for an Azure subscription: a total loss of control over the asset, and the risk of being billed for the attacker’s usage if billing has not been modified. 

Conclusion 

A resource hijacking scenario similar to Azure subscription hijacking is therefore theoretically possible on GCP. However, the stricter conditions required make this case less likely, though it must still be considered. 

Summary of the consequences 

Summary of the consequences

Conclusion 

The subscription hijacking must therefore be considered a major attack with severe and high‑impact consequences for affected organizations or companies. Protecting the hierarchical units that manage billing and resources against any illegitimate move or migration (with measures that vary depending on the cloud provider) and establishing remediation and backup processes in case of loss is crucial for an organization’s security. 

Cet article Subscription hijacking on Microsoft Azure  est apparu en premier sur RiskInsight.

The projected impact of agentic AI is significant. By 2028, it could automate 15% of routine[1] decision-making and be embedded in a third of enterprise applications, up from virtually none today. At the same time, perceptions of risk are shifting. In early 2024, Gartner surveyed 345 senior risk executives and identified malicious AI-driven activity and misinformation as the top two emerging threats[2]. Yet despite these concerns, organisations are accelerating adoption. By 2029, agentic AI could autonomously resolve up to 80% of common customer service issues, reducing costs by as much as 30%[3]. This tension, between the growing promise of agentic AI and the expanding risk surface it introduces, raises a critical question:

“How can organisations securely deploy agentic AI at scale, balancing innovation with accountability, and automation with control?”

This article explores that question, outlining key risks, security principles, and practical guidance to help CISOs and technology leaders navigate the next wave of AI adoption.

An AI agent is an autonomous AI system in the decision-making process

In AI systems, agents are designed to process external stimuli and respond through specific actions. The capabilities of these agents can vary significantly, especially depending on whether they are powered by LLMs.

Figure 1: A diagram to show the different constituent parts of an LLM-enabled agent, showing 1) external stimuli, 2) the agents core processes (reasoning and tools) and 3) the agent’s actions

Traditional agents typically follow a rule-based or pre-programmed workflow: they receive input, classify it, and execute a predefined action. In contrast, agentic AI introduces a new dimension by incorporating LLMs to perform reasoning and decision-making between perception and action. This, with only few words to configure it. This enables more flexible, context-aware responses, and in many cases, allows AI agents to behave more like human intermediaries.

As illustrated in Figure 1, the agentic AI workflow unfolds in several stages:

1. Perception: The AI agent receives external stimuli, such as text, images, or sound.
2. Reasoning: These inputs are processed through an orchestration layer, which transforms them into structured formats using classification rules and machine learning techniques.

Here, the LLM plays a central role. It adds a layer of adaptive thinking that enables the agent to analyse context, select tools, query external data sources, and plan multi-step actions.

3. Action: With refined data and a reasoning layer applied, the agent executes complex tasks, often with greater autonomy than traditional systems.

This architecture gives agentic AI the ability to operate across dynamic environments, adapt in real time, and coordinate with other agents or systems, a key differentiator from earlier, more static automation.

In summary, AI agents with LLM capabilities can perform more complex actions by applying “AI reasoning” to transformed and refined data, making them more powerful and versatile than traditional agents.

Field insights on Agentic AI use-cases in client environments

Businesses have rightfully recognised the potential of these AI agents in a variety of use cases, ranging from the simple, to the more complex. We will now take a deeper look at some of the different common use cases across these different levels of agent autonomy.

Basic Use Cases: Chatbot/Virtual Agents

AI agents can be configured to provide instant answers to complex questions and can be designed to only answer from certain information repositories. This allows them to smoothly and effectively guide users through extensive SharePoint libraries or other document repositories. Acting as both a search function and an assistant, these agents can dramatically improve the productivity of employees by reducing the time spent searching for information and ensuring that users have quick access to the data they need. For example, a chatbot integrated into SharePoint can help employees locate specific documents, understand company policies, or even assist with onboarding processes by providing relevant information and resources. These agents have no autonomy, and only directly respond to requests as they are made by users.

Intermediate Use Cases: Routine Task Automation

Agents can be used to streamline repetitive tasks such as managing scheduling, processing customer enquiries, and handling transactions. These agents can be designed to follow specified processes and workflows, offering significant advantages over humans by reducing human error and increasing productivity. For instance, an AI agent can automatically schedule meetings by coordinating with participants’ calendars, send reminders, and process routine customer service requests such as order tracking or account updates. This automation not only saves time but also ensures consistency and accuracy in task execution. Additionally, by handling routine tasks, AI agents free up human employees to focus on more complex and strategic activities, thereby contributing to higher efficiency and productivity within the organisation.

Advanced Use Cases: Complex data analysis & vulnerability management

Agents can also be used for more complex use cases, specifically in a security context. For example, Microsoft has recently announced the release of AI agents as part of their security copilot offering, with previews releasing in April 2025. One particularly interesting use case is regarding vulnerability remediation agents. These agents will work within Microsoft Intune to monitor endpoints for vulnerabilities, assess these vulnerabilities for potential risks and impacts, and then produce a prioritised list of remediation actions. This provides a large increase in productivity for security teams, as they can then focus on the most critical issues and streamline the decision-making process. By automating the identification and prioritisation of vulnerabilities, these agents help ensure that security teams can address the most pressing threats promptly, reducing the risk of security breaches and improving overall security posture.

The promise of intelligent automation and cost efficiency is compelling, but it also introduces a strategic trade-off. CISOs will face the growing challenge of securing increasingly autonomous systems. Without robust guardrails, organisations expose themselves to operational disruption, governance failures, and reputational damage. Transparency, asset visibility, and cloud security are areas which will also require heightened vigilance and a proactive security posture. The benefits are clear, but so are the risks. Without a security-first approach, agentic AI could quickly become a liability for organisations as much as an asset.

Risks mainly known but with increased likelihood and impact

Agentic AI introduces a new level of security complexity. Unlike traditional AI systems, where threat surfaces are generally limited to inputs, model behaviour, outputs, and infrastructure, agentic AI systems operate across dynamic, autonomous chains of interaction. This covers exchanges such as agent-to-agent, agent-to-human, and human-to-agent, many of which are difficult to trace, monitor, or control in real time. As a result, the security perimeter expands beyond static models to encompass unpredictable behaviours and interactions.

Recent work by OWASP on Agents’ security[4] highlights the breadth of threats facing AI systems today. These risks span multiple domains:

• Some are traditional cybersecurity risks (e.g., data extraction, and supply chain attacks),
• Others are general GenAI risks (e.g., hallucinations, model poisonning),
• A third emerging category relates specifically to agents’ autonomy in realising actions in real world.

In addition to traditional risks, agentic AI systems introduce new security threats, such as data exfiltration through agent-driven workflows, unauthorised or unintended code execution, and “agent hijacking,” where agents are manipulated to perform harmful or malicious actions. These risks are amplified by the way many agentic AI applications are built today. Around 90% of current AI agent use cases rely on low-code platforms, prized for their speed and flexibility. However, these platforms often depend heavily on third-party libraries and components, introducing significant supply chain vulnerabilities and further expanding the overall attack surface.

Agentic AI represents a shift from passive prediction to action-oriented intelligence, enabling more advanced automation and interactive workflows. As organisations deploy networks of interacting agents, the systems become more complex, and their exposure to security risks increases. With more interfaces and autonomous exchanges, it becomes essential to establish strong security foundations early. A critical first step is mapping agent activities to maintain transparency, support effective auditing, and enable meaningful oversight.

Security Best Practices

1. Activity Mapping & Security Audits

Since AI agents operate autonomously and interact with other systems, mapping all agent activities, processes, connections, and data flows is crucial. This visibility enables the detection of anomalies and ensures alignment with security policies.

Regular audits are vital for identifying vulnerabilities, ensuring compliance, and preventing shadow AI where agents act without oversight. Unauthorised agents can expose systems to significant risks, and shadow AI, especially unsanctioned models, pose major data security threats. Auditing decision-making processes, data access, and agent interactions, along with maintaining an immutable audit trail, supports overall accountability and traceability.

To mitigate these risks, organisations should adopt clear governance policies, comprehensive training, and effective detection strategies. These practices should be backed by a strong library of AI controls and data governance policies. However, audits and governance alone aren’t enough. Robust access controls for AI agents are necessary to restrict actions and protect the system’s integrity.

      2. AI Filtering

To avoid the agent performing inappropriate actions, the first step is to ensure that its decision-making system is protected. One of the most efficient ways is by filtering potentially malicious inputs and outputs of the Decision-Maker, often composed of an orchestrator & an LLM.

Several technical ways to perform AI filtering:

Keyword filtering – Medium-Low Efficiency: Prevent the LLM from considering any input containing specified keywords and from generating any output containing these keywords.

• Pro: Quick win, particularly on the outputs, for example preventing a chatbot from generating any rude words.
• Con: Can easily be bypassed by using obfuscated inputs or requiring obfuscated outputs. For example, “p@ssword” or “p,a,s,s,w,o,r,d” can be ways to bypass the keyword “password”

LLM as-a-judge – High Efficiency: Ask to the LLM to analyse both inputs & outputs and identify if they are malicious.

• Pro: Extend the analysis to the whole answer.
• Con: Can be bypassed by overflowing the agent’s inputs, so it has trouble dealing with the whole input.

AI Classification – Very-High Efficiency: Define categories of topic that the LLM can answer or not. It can be done through whitelisting (the LLM can answer to only some categories of topics) and blacklisting (the LLM cannot answer to some precise categories of topics). Use a specialised AI system to analyse each input and output.

• Pro: Ensure the agent’s alignment by not letting it receive inputs on topics it should not be able to answer.
• Con: High cost, as it requires additional LLM analysis.

These filtering actions need to be performed for the users’ inputs, but sometimes also for the data retrieved from external sources (they can be poisoned).

      3. AI-specific Security Measures

Human-in-the-loop (HITL) oversight is essential for ensuring the responsible and secure operation of agentic AI. While AI agents can autonomously perform tasks, human review in high-risk or ethically sensitive situations provides an extra layer of judgment and accountability. This oversight helps prevent errors, biases, and unintended consequences, while allowing organisations to intervene when AI actions deviate from guidelines or ethical standards. HITL also fosters trust in AI systems and ensures alignment with business objectives and regulatory requirements. To maximise the benefits of automation, a hybrid AI-human approach is critical, supported by ongoing training to address compliance and inherent risks.

Some actions may be strictly forbidden to the agent, some should require human validation, and some could be done without human supervision. These actions should be determined through classical risk analysis, based on the agent’s impact & autonomy.

Triggers should be set-up to determine if and when human validation is needed. This can be set-up in the LLM Master Prompt, and access can be restricted by using an appropriate IAM model.

      4. Access Controls & IAM

As AI agents take on more active roles in enterprise workflows, they must be managed as non-human identities (NHIs), with their own identity lifecycle, access permissions, and governance policies. Accordingly, this requires integrating agents into existing identity and IAM frameworks, applying the same rigor used for human users.

Managing AI agents introduces new requirements. When acting on behalf of end-users, agents must be constrained to operate strictly within the permissions of those users, without exceeding or retaining elevated privileges. To achieve this, organisations should enforce key IAM principles:

• Just Enough Access (JEA): Limit agents to the minimum set of permissions required to complete specific tasks.
• Just in Time (JIT) access: Provision access temporarily and contextually to reduce standing privileges and exposure.
• Segregation of duties and scoped credentials: Define clear boundaries between roles and prevent unauthorised privilege escalation.

In addition, to further enhance control, security teams should implement real-time anomaly detection to monitor agent behaviour, flag policy violations, and automatically remediate or escalate issues when necessary.

Access to sensitive data must also be tightly restricted. Violations should trigger immediate revocation of privileges and deny lists should be used to block known malicious patterns or endpoints.

Ultimately, while technical controls are essential, they should be supported by human oversight and governance mechanisms, particularly when agents operate in high-impact or sensitive contexts. IAM for agentic AI must evolve in step with these systems’ increasing autonomy and integration into critical business functions.

      5. AI Crisis Response & Red teaming

While AI-specific controls are essential, traditional measures like crisis management must also extend into the AI landscape. As cyberattacks become more sophisticated, organisations should consider crisis management strategies for potential AI failures or compromises; by ensuring all teams such as AI scientists, operational teams, and security teams are equipped to respond quickly and effectively to minimise disruption.

Concrete guidelines for CISOs

This year CISOs will be exposed to increased threats introduced by agentic AI alongside ongoing regulatory pressure from complex regulations such as DORA, NIS 2 and the AI Act. Both CISOs and CTOs will collaborate closely, with CISOs overseeing the secure deployment of AI systems to ensure that agent interactions are carefully mapped and secured to safeguard the security of their organisations, workforce and customers.

Key starting points for CISOs:

• Limit access to AI agents by enforcing strong access controls and aligning with existing IAM policies.
• Monitor agent behaviour by tracking activity and conducting regular audits to identify vulnerabilities.
• Filter the agent’s inputs and outputs to ensure that the decision-maker does not launch any unwilled action.
• Implement Human-in-the-Loop oversight to validate AI outputs for critical decisions/tasks.
• Provide agentic AI awareness training to educate employees on the risks, security best practices and identifying potential attacks.
• Perform AI red teaming on the agent, to identify potential weaknesses.
• Despite all security measures, AI operates on probabilistic principles rather than deterministic ones. This means that the agent might occasionally behave inappropriately. Therefore, it’s crucial to establish clear accountability for any wrongful actions taken by AI agents.
• Prepare for AI crises early by initiating discussions with relevant teams to ensure a coordinated response if an incident occurs.

Over the past several years, Wavestone has observed a marked increase in client maturity around AI security. Many organisations have already implemented robust processes to assess the sensitivity of AI initiatives and to manage associated risks. These early efforts have proven valuable in reducing exposure and strengthening governance.

While agentic AI does not fundamentally rewrite the AI security playbook, it does introduce a meaningful shift in the risk landscape. Its inherently autonomous, interconnected nature increases both the impact and likelihood of certain threats. The complexity of these systems can be challenging at first, but they are manageable. With a clear understanding of these dynamics and the emergence of new market standards and security protocols, agentic AI can deliver on its transformative potential.

As this transition unfolds, we remain committed to helping CISOs and their teams navigate the evolving risk environment with confidence.

References

[1] Orlando, Fla., Gartner Identifies the Top 10 Strategic Technology Trends for 2025, October 21, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-10-21-gartner-identifies-the-top-10-strategic-technology-trends-for-2025

[2] Stamford, Conn., Gartner Predicts Agentic AI Will Autonomously Resolve 80% of Common Customer Service Issues Without Human Intervention by 2029, March 5, 2025. https://www.gartner.com/en/newsroom/press-releases/2025-03-05-gartner-predicts-agentic-ai-will-autonomously-resolve-80-percent-of-common-customer-service-issues-without-human-intervention-by-20290

[3] Stamford, Conn. Gartner Survey Shows AI-Enhanced Malicious Attacks Are a New Top Emerging Risk for Enterprises, May 22, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-05-22-gartner-survey-shows-ai-enhanced-malicious-attacks-are-new0

[4] OWASP, OWASP Top 10 threats and mitigation for AI Agents, 2025. OWASP-Agentic-AI/README.md at main · precize/OWASP-Agentic-AI · GitHub

Thank you to Leina HATCH for her valuable assistance in writing this article.

Cet article Agentic AI: typology of risks and security measures est apparu en premier sur RiskInsight.

To address this issue, the US government decided in 2018 to amend the Stored Communications Act of 1986 by enacting the C.L.O.U.D. Act.

The C.L.O.U.D. Act stands for Clarifying Lawful Overseas Use of Data Act, a federal law to speed access to electronic information held by providers under the US jurisdiction that is critical to US foreign partners’ investigations of serious crimes.

Scope of accessible Data through the C.L.O.U.D act:

• Content of electronic communications in electronic storage
• Content of electronic communications on a remote computing service
• Records relating to an electronic communications service or a remote computing service

A controlled process for accessing the data.

First, the US authorities invoking this law to request content from all companies under US jurisdiction must obtain a warrant. They must prove a high likelihood of finding evidence, related to the ongoing criminal investigation, in the targeted data, whether the crime is perpetrated by the client or the company itself.

Once the warrant is issued, it must be reviewed and approved by an independent judge.

The request can be issued under orders of secrecy: the legal authorities can delay the CSP (Cloud Solution Provider) from notifying the account holder of the request. Orders of secrecy are examined more carefully by the Department of Justice.

If the warrant is approved and a request is issued, the Service Provider or the client, if notified, can challenge it within 14 days if:

• The data relates to a non-US person who does not reside in the United States, and/or;
• The request would lead to disregard the legislation of a foreign country and would expose it to sanctions.

Factors such as the importance of the information, the specificity of the request or the availability of alternative means to obtain the information will be analysed by the court.

C.L.O.U.D. Act = Cloud provider?

C.L.O.U.D. does not target only Cloud Service Providers! C.L.O.U.D. Act scope is wider than Cloud Providers and include some Software and Providers already deployed in some companies’ IS.

• Remote Computing Services (RCS): any service that provides computer storage and processing services to users through an electronic communication system.
• Electronic Communication Service (ECS): any service that provides its users with the ability to send or receive communications by wire or electronic means.

• US companies
• Foreign companies located outside of the U.S. but providing services in the US with sufficient contacts depending on the nature, quantity, and quality of the company’s contacts with the US (promotion to US customers, solicitation of business to US companies, usage by US clients, etc.

Besides the obvious scope of the RCS and ECS definition (Email providers, cell phone companies, social media platforms, cloud storage services, etc.), many softwares and providers used in most IS are in the C.L.O.U.D. Act scope:

• All Microsoft Office suite (Outlook, Skype).
• Security and network appliances and services (proxies, firewalls, anti-malware, etc.) provided by U.S. companies (e.g., Symantec, Pulse, Citrix, etc.).
• Business softwares that process business workflows to US companies or citizens (e.g.: payment orders).

In On-Premise IS, the C.L.O.U.D Act still apply.

The C.L.O.U.D. Act is wider than common expectations and on-premise implementation can give a false perception of protection. Here are two examples of how the data can be retrieved or transmitted:

1. Built-in technical outgoing flows

Many software communicate by design with the provider’s infrastructure (error and user reports, telemetry data). Most of the outgoing flows are encrypted through HTTPS but providers usually do not communicate on the content of the data sent nor precise the destination and, in most cases, these outgoing flows are required to use the service and cannot be disabled.

=> The US authorities can retrieve data desired for the Cloud Act such as individual login, client’s workflows, etc.

2. Foreign Third-party support

Support teams are performed remotely allowing access from provider teams all around the world (included US territory).

For numerous softwares, providers bring foreign support team that can be US-based or under US jurisdiction.

=> The provider or the third party must be compelled to transmit the data in case of a request from the U.S.

What do the Cloud Service Providers say about it?

Cloud Service Providers assure their customers that they will not disclose their data unless they are obliged to do so by law… which is the case if they are compelled by the C.L.O.U.D. Act. In the event of a conflict of laws, such as with the GDPR, CSP further assure that they will take the necessary steps to oppose the US government’s request.

Some of them go even further, by assuring that the encryption keys used to secure client data or the ability to force the encryption will not be provided. For now, the C.L.O.U.D. Act does not mention encryption keys nor obliged to provide unencrypted data.

Twice a year, Cloud Service Providers such as Microsoft, Amazon and Google publish the number of law enforcement requests concerning customer data they receive. Those reports compile all the requests issued by law enforcement agencies all over the world. The law enforcement requests issued by the United States of America include C.L.O.U.D act related requests. The distribution of the laws used to issue the requests is not specified, meaning we cannot know which proportion of requests are C.L.O.U.D Act related.

Type of data retrieved

The last Microsoft and Amazon reports, for requests between July and December 2020 in the world can  provide more information concerning the type of data requested to Microsoft and Amazon (Google does not provide information concerning the distinction between content and non-content data):

% Content : is what customers create, communicate and store on or through services such as the words in an email or the documents stored on OneDrive

% Non-Content : include basic information such as email address, name, country and IP at time of registration, IP connection history or billing information

% No data found: when the data required by the mandate cannot be found

% Rejected when unable to disclose the requested information (not meeting legal requirements)

=> 40% of requests to Microsoft are unsuccessful: no data is found, or the request is rejected.

=> Most requests to Microsoft and AWS resulting in the disclosure of data are for non-content data (mostly login data).

Closer look

Let us deep dive into Microsoft and Google reports as Amazon does not provide as much detail. The Google services concerned by the requests are Youtube, Gmail, Google Voice and Blogger. The Microsoft services concerned by the requests are Outlook, Skype, O365, Xbox, AZURE, etc.

In a geographical point of view, we can identify countries that are the most concerned by those requests for the second semester of 2020 :

Microsoft

Google

• Only few countries are concerned by most of the requests:
  • For Microsoft : 6 countries have been concerned by 900 requests or more in S2 2020 which represent more than 77% of the overall requests
  • For Google 11 countries have been concerned by more than 900 requests in S2 2020 which represent more than 90% of the overall requests

• France authorities are at the 4^th place of each Provider regarding requests issuance :
  • For Microsoft 10% of the requests are issued by the French authorities
  • For Google 8% of the requests are issued by the French authorities

Additionally, we can analyse the number of requests which end up in data being disclosed to the authorities and which proportion of the total requests it represents. In the rest of the article, data disclosure means that the authorities have received data following their requests.

Microsoft

Google

• The percentage of Law enforcement requests which lead to data disclosure is quite similar for Microsoft and Google and contained between 50%-75% (Microsoft) and between 55%-88% (Google)
• However, there are some disparities regarding the Country. For example French authorities have gained access to data in 52% of their requests for Microsoft whereas they have gained access to data in 83% of their requests for Google

Seeing the raw data, one can at first sight conclude that data disclosure to authorities is more likely for Google service than Microsoft ones. It can be explained by the fact that Google services are aimed more towards individuals than businesses and Google services are more widely used (Outlook 400 million users versus Gmail 1,5 billion users). Additionally, the law enforcement requests are issued in criminal cases which are more likely to concern individuals meaning those requests are more likely to be send to Google.

Step back – How the law enforcement requests have evolved since 2013 for Google and Microsoft?

If we compile reports since 2013, we can identify trends regarding data disclosure following C.LO.U.D Act implementation.

Microsoft

It is worth noting that in the Microsoft report, the requests which are rejected and requests approved but in which no data is discovered are classified in the category “Data request leading to no data being disclosed”

• The total number of requests seems to stabilise around 20K-25K each semester since S2 2016, the same for the account/users concerned, around 40K-50K.
• Distribution tends to evolve, notabily regarding rejected requests :
  • A small part concerns Content data, generally aound 5% of the requests
  • More than half are requests for non-content data
  • An approxymately equal share of 15% each semester are requests for which data have not been found
  • Rejected requests have been growing since 2013 to reach almost a quarter of the request results
  • In total more than 40% of the requests lead to no data being disclosed to the authorities

Google

• The total number of requests has been exponentially growing since 2018 to reach more than a 100k requests for the first semester. This can be explained by the increased number of countries which are included in the google reports (68 in 2013 versus 85 in 2020), the omipresence of Google services in any indivuals’ connected life as well as the release of the C.L.O.U.D Act in 2018.
• The evolution of requests tends towards the increase in data disclosure starting in 2018 and the release of the C.L.O.U.D Act. However, since the beginning of the reports publication in 2013, the percentage of the data disclosure has always been between three and four fifth.

Conclusion

After analysis of the bigger picture, all CSPs are not in the same situation:

• Amazon does not provide any detailed information regarding data disclosed location or percentage of data disclosed on overall requests
• Google receives more law enforcement requests than Microsoft and discloses more often information than Microsoft that can be explained by the fact that Google services are aimed more towards individuals than businesses

Nevertheless, the decision to disclose the information is in the hands of the legal institutions and not the CSPs’ (even if it can contest the request). Therefore, the CSPs’ cannot be held responsible for the amount of data they disclose to the authorities through legal means.

Additionally, even if law enforcement requests are over thousands every semester and tens of thousands of users, this remain a tiny part of the total amount data treated by main Cloud Providers. The data access procedure remains exceptional. The requests mainly concern logins and metadata, there is no proven case of industrialized espionage with mass data recovery.

Finally, keep in mind that these statistics cannot be challenged or aggregated with other sources. It is necessary to underline that this is only at the goodwill of the Cloud Service Providers to disclose the data and the reports, so it should be taken with a grain of salt.

At least, the notion of trusted Cloud remains key for every Companies, Cloud Providers as well as authorities tend to get more involved into the subject as evidenced by the Thales and Google new partnership to build a sovereign Cloud Offer or the planned evolution of ANSSI’s SecNumCloud qualification.

Cet article The C.L.O.U.D. Act: How to make the data “un-territorial”? est apparu en premier sur RiskInsight.

But what exactly is ISO 27701?

The International Standard Organisation (ISO) published in August 2019 its standard ISO 27701, which is an extension of ISO 27001 and is intended to specify and define the processes, objectives and measures to be implemented for the protection of personal data and privacy.

Creating and maintaining a Privacy Protection Management System

Like ISO 27001 standard (the reference for IT security), which aims to create an Information Security Management System (ISMS), its extension ISO 27701 aspires to create a System of Privacy Protection Management.

To do this, the standard amends and supplements the processes, requirements and security measures of ISO 27001 and ISO 27002 with specific recommendations for the processing of personal data.

However, it does not only expand the ISO 27001 and ISO 27002 but also adds specific new requirements that are well known to privacy stakeholders (consent management, transparency, minimization, etc.).

In this context, being ISO 27001 certified is a prerequisite for obtaining ISO 27701 certification.

This parameter mechanically narrows down potential candidates for certification, and makes the effort to provide more consistent: review of existing documents, necessary collaboration between the initial WSIS teams and the new PIMS actors, etc.

Despite this effort, the application of this standard offers an excellent opportunity for organizations to further intertwine processes and teams related to cybersecurity and privacy (e.g. linking the processes of Security Integration in Projects and Privacy by Design).

ISO 27701 certified does not mean GDPR compliant

It is important to note that an ISO 27701 certification is not synonymous with GDPR compliance. Indeed, the main purpose of the standard is to establish worldwide principles and rules around Privacy, in a common language. That said, it should be recalled that national authorities (such as the CNIL) participated in the development of the standard and welcomed its publication.

But then, what are the adherences between the ISO 27701 content and the GDPR content?

Regarding the fundamental principles of the GDPR (consent, rights, legality, etc.), the new standard develops a set of requirements covering all the GDPR topics. As the standard is intended to be international, it remains by nature less precise than the GDPR on some topics (i.e. no precision of the deadline to be respected for notifying the authority). It is therefore the responsibility of PIMS to carry out a gap analysis in order to understand what adjustments need to be made to comply with applicable laws.

In addition, concerning personal data security, the adaptations of the requirements of ISO 27001 and ISO 27002 provide a comprehensive repository for organizations that can be used as a basis for compliance with article 32 of the GDPR (dedicated to data security).

… but it can become the strongest credibility mark in personal data protection and privacy on the market.

The main stake for a company in seeking ISO 27701 certification is to give credibility to its Privacy management system and give confidence to stakeholders (business partners, customers, suppliers, employees, authorities…) that the fundamental principles of privacy protection are considered.

The 27701 “stamp” could quickly become a known and internationally recognized pledge of trust. Like ISO 27001, this new standard ISO 27701 could become an essential criterion in tendering phases.

In this perspective, Matthieu Grall of the National Commission for Data Protection (CNIL) states that with “(…) the increase in the number of complaints and sanctions related to confidentiality and data protection, it is obvious that such a standard was necessary. In addition, organizations must demonstrate to the authorities, and their partners, customers and collaborators that they are trustworthy. However, this standard will greatly contribute to inspiring this confidence. ”

Concretely, for whom and why?

The publication of this standard represents an opportunity for several types of organizations:

• In a B2B relationship: a strong pledge of trust vis-à-vis business partners in the context of a collaboration involving the processing of personal data (i.e. a company managing payroll or carrying out communication or marketing operations on behalf of large organizations).
• In a B2C relationship: the certification of a key perimeter of a company that processes the personal data of its customers en masse (i.e. a distributor in the context of its loyalty program, an insurer in the context of its contractual activities…) can eventually become a significant vector of trust vis-à-vis the customers themselves but also vis-à-vis the authorities.
• Within companies: the standard represents a new benchmark that companies can use to develop a clear and shared audit framework. ISO 27701 certification can also represent a way for DPOs and Privacy teams to make tangible the efforts made with their top management.

While there is still uncertainty about its widespread adoption (particularly due to the 27001 certification barrier), there is no doubt that it can quickly establish itself as a confidence-building measure as well as a new standard for internal audit and control.

The fact remains that the emergence of this standard is a new leap forward with regard to the protection of personal data, on an international scale.

Cet article ISO 27701: one more compliance text or the long-awaited international framework for privacy protection? est apparu en premier sur RiskInsight.

Ressentez-vous une préoccupation des citoyens concernant leur vie privée ?

Ce n’est pas vraiment une préoccupation à ce stade, sauf pour une minorité, environ 5 à 10% de la population d’après certains sondages. Cette minorité comprend la manipulation commerciale dont elle est l’objet et, conséquemment, le poids du ciblage dans son comportement. Le constat intéressant est qu’aujourd’hui ce ne sont plus spécifiquement les « geeks » qui prennent conscience de cette manipulation, mais des profils de plus en plus variés. Cela se traduit pour la grande majorité par un agacement de la population, parfois même une exaspération liée à la sensation d’être un produit. La puissance des géants devient dérangeante, les big tech sont en train de devenir les méchants.

Comment cette évolution se traduit-elle depuis l’entrée en vigueur du RGPD ?

Je ressens une meilleure compréhension des enjeux de protection de la vie privée, notamment lorsque je donne mon pitch. Je pense que les réactions que je récolte sont un bon échantillonnage de l’ère du moment. Il y a 4 ans, je passais parfois pour un fou : « la confidentialité, ça n’intéresse personne », « le modèle GAFA c’est le seul qui fonctionne pour internet », etc. Aujourd’hui, ce n’est plus du tout le cas : c’est un marqueur énorme, très tangible.

Que propose Cozy Cloud pour les aider ?

Aujourd’hui, nos données ne sont déjà pas sous notre contrôle, mais elles sont également dispersées. Ainsi, l’usage que l’on peut en tirer est limité, voire freiné. La vie numérique se fragmente du fait de sa diversification : vie scolaire, parcours de santé, interactions avec les pouvoirs publics, objets connectés, etc. Toutes ces données circulent dans des écosystèmes étanches les uns par rapport aux autres, et cela crée une friction : c’est l’enfer des mots de passe, téléchargements, synchronisations, back-ups, etc. De ce fait, la force d’Apple consiste à créer une intégration, un maillage entre toutes ces données : l’utilisateur reçoit une invitation dans ses mails, elle est ajoutée sur son agenda, qui se synchronise avec son smartphone, lequel conduira bientôt sa voiture à destination… En interconnectant toutes ces données, Apple est devenue l’une des premières valeurs boursières !

Le fait d’ôter de la friction entre ces écosystèmes étanches et d’ajouter de la simplicité aux usages numériques a donc une valeur énorme. Une barrière persiste : l’isolation des données les unes par rapport aux autres. Pour un numérique utile, pratique, commode et personnalisé, il faut réunir les données.

En Europe, le système politique donne à l’individu une place centrale : aujourd’hui, grâce au RGPD, l’individu dispose d’un droit à la portabilité. C’est un droit fort pour l’usager, ainsi qu’un véritable levier pour Cozy Cloud et pour tous ceux qui se veulent des tiers de confiance. Il ne s’agit pas d’un droit de téléchargement, mais véritablement d’un droit au transfert pour l’utilisateur. Ce droit modifie totalement les règles du jeu.

Grâce à ce droit, l’individu est rendu légitime pour réconcilier les données : il dispose, d’une part des logins et mots de passe, d’autre part de la légitimité légale. En appuyant Cozy Cloud sur cette double légitimité, nous offrons à l’individu une plateforme numérique personnelle, dont il garde le contrôle, et dans laquelle il peut centraliser toutes ses données et accéder à de nouveaux services numériques.

Concrètement, quels services proposez-vous aux individus ?

Cozy Cloud, ce n’est pas seulement un coffre-fort « statique » comme on en voit beaucoup. L’utilisateur centralise ses données sur un cloud personnel pour pouvoir y adosser ses services, rajouter des usages et effectuer des croisements entre ses données. Nous appelons cela du « transverse data » : croiser les données issues de sources diverses. L’utilisateur peut par exemple faire le lien entre sa facture d’électricité et un débit sur son compte en banque : nous créons ainsi une véritable fluidité.

De plus, la plateforme permet à l’utilisateur de communiquer avec ses divers fournisseurs, qui se trouvent aujourd’hui dans des univers séparés : désormais, un login et un mot de passe uniques permettent d’échanger avec les différents fournisseurs.

Enfin, la solution permet la mise en place de services numériques à domicile. A l’heure actuelle, il faut laisser collecter la donnée pour pouvoir bénéficier d’un service ; par exemple, EDF envoie chaque mois des centaines de prélèvements automatiques sans savoir lesquels vont être bloqués in fine. L’information qui permettrait d’anticiper ces prélèvements infructueux existe mais EDF ne peut y accéder car cela reviendrait à accéder aux soldes bancaires de ses clients. Cela représente un coût important en frais de gestion, de traitement, de suivi et provoque des frictions dans la relation client. Avec la solution de Cozy Cloud, l’utilisateur récupère et consolide dans sa plateforme ses données bancaires, sa facture et la date de son prochain prélèvement ; de son côté, Cozy Cloud développe un protocole permettant de faire des calculs sur les données présentes dans la plateforme. Ainsi, l’algorithme d’EDF, qui a accès à la donnée mais ne la collecte pas, peut prédire que le prélèvement va être bloqué. De son côté, la banque peut par exemple faire une offre commerciale, et différer le prélèvement. Cette offre se base sur l’accès à une donnée très personnelle, qui relève de notre intimité numérique. Pourtant, jamais EDF ne reçoit la donnée : celle-ci ne sort pas du coffre numérique de l’individu et n’est donc pas dévoilée.

Comment sont gérés les accès et habilitations dans Cozy Cloud ?

C’est un peu similaire à ce que l’on peut retrouver sur nos smartphones : une fenêtre pop-up s’ouvre, par exemple pour demander l’accès à notre liste de contacts. L’accès d’une application à nos données facilite alors de nombreuses actions, par exemple la saisie d’un mail en local. Mais le transfert de données vers l’extérieur pose un véritable problème.

La fenêtre pop-up de Cozy Cloud propose deux options à l’usager : soit un usage local, soit un usage partagé de la donnée.

Quel est l’apport de votre solution pour les organisations ?

Cozy Cloud se fonde sur deux business models successifs.

Tout d’abord, nos clients ce sont de grands comptes, les « brick and mortars », qui bénéficient d’une confiance historique, menacés par les puissances du numérique. Ils veulent se repositionner à l’ère du numérique et valoriser cet asset de confiance : c’est donc du B2B2C. Cozy Cloud est aux « brick and mortars » ce qu’est Android pour le serveur, soit un service valorisant un hardware.

Le second business model interviendra une fois que la plateforme conciliera plusieurs acteurs-clés, tels que les banques ou les opérateurs de télécommunications : Cozy Cloud pourra s’adresser à une partie significative de la population. Il deviendra alors opérateur d’interactions digitales, dans une logique de partage de revenu avec les différents clients. En effet, Cozy Cloud gère l’écosystème et les contrats : lorsqu’un « brick and mortar » signe un contrat, tous les clients de Cozy peuvent bénéficier de sa donnée, avec l’accord de l’utilisateur. Le revenu lié à un client en particulier est matérialisé par la donnée apportée et la commission payée à Cozy Cloud.

Plus concrètement, quelle valeur ajoutée leur proposez-vous ?

On peut valoriser la donnée sans la monétiser pour autant : ce qui a de la valeur, ce n’est pas la donnée en tant que telle, c’est plutôt l’interaction créée entre les données, lorsque celle-ci est pertinente. Les organisations doivent le comprendre. Nous nous positionnons comme un opérateur d’interactions digitales.

Par exemple, lorsqu’un utilisateur achète une télévision à la Fnac, il reçoit la facture dans son cloud personnel ; ainsi son assurance peut lui communiquer des informations utiles, de type « votre nouvelle télé est bien assurée pour le dégât des eaux ». Cette interaction crée de la valeur pour l’assuré, mais également pour l’assureur. Dans ce contexte, l’organisation valorise son rôle de tiers de confiance en offrant davantage de services, mais peut également développer un nouveau métier. Celui-ci consiste, non plus à sécuriser de la donnée, mais à créer un écosystème de services à valeur ajoutée pour l’entreprise, mais aussi utile pour l’utilisateur. Si nous reprenons l’exemple d’EDF et de la banque, l’interaction rendue possible par Cozy Cloud engendre pour EDF un gain d’argent et de temps, qui se monétise. La plateforme Cozy devient ainsi un opérateur d’interactions digitales, somme toute plus intelligentes, tout en restant sous le contrôle des particuliers.

Cette solution pourrait sembler aller à l’encontre de technologies telles que le big data ou le machine learning de prime abord ; en réalité, jamais les entreprises n’auraient pu collecter de telles données et les ajouter à leur base de données. Cela leur permet de ne pas être définitivement désintermédiées, mais au contraire d’accéder à davantage de données.

Cela ne paraît pas nécessairement évident au premier abord : comment les convaincre ?

Il ne s’agit définitivement pas de convaincre les 30 000 PME et grands groupes français. Notre solution s’adresse à des acteurs qui sont aujourd’hui challengés par les nouveaux entrants du numérique. Aujourd’hui, le constat est sans équivoque : les GAFA connaissent mieux les clients des « brick and mortars » que les « brick and mortars » ne les connaissent eux-mêmes. Quand Facebook dépose un brevet sur l’évaluation de risque de crédit bancaire, ce n’est pas parce que Facebook est devenu un banquier : c’est simplement que Facebook a compris qu’il connaissait mieux les clients des banques que les banques elles-mêmes. Et ainsi, Facebook peut devenir banquier, tout comme il peut devenir opérateur d’énergie, de mobilité, de médias, etc. Du fait de l’intimité numérique qu’entretiennent les GAFA avec leurs usagers, ils s’approprient progressivement des verticales métiers.

En revanche, les « brick and mortars » bénéficient d’une confiance historique : banques, télécommunications, assurances mutualistes, pouvoir publics, etc. Nos clients sont des grands comptes, menacés par les puissances du net, qui veulent se repositionner à l’ère du numérique et valoriser cet asset qu’est la confiance. Nous leur proposons de tenir cette position de tiers de confiance, mais également de tirer de nouveaux usages de cette capacité de stockage.

Dans un premier temps, les organisations peuvent avoir la fausse impression de se faire prendre leurs données. Dans la réalité, Cozy Cloud vient les aider à développer des outils et usages plus intelligents. Soit ces organisations ouvrent le pas, et c’est une bonne chose pour elle, soit c’est Google qui le fera…

Cet article Vie Privée à l’ère du Numérique – Interview de Benjamin ANDRE (Cozy Cloud) est apparu en premier sur RiskInsight.

“Qwant, le moteur de recherche qui respecte votre vie privée”

Qu’est-ce que Qwant ?

Qwant est une société française avec des capitaux franco-allemands, dont le premier produit est un moteur de recherche possédant deux particularités. La première est qu’il respecte la vie privée de ses utilisateurs : il ne laisse pas de cookies et ne collecte aucune donnée personnelle. La deuxième est qu’il est souverain et européen. Il couvre les langues européennes et répond à la nécessité stratégique d’avoir un moteur de recherche en Europe car chacune des grandes puissances mondiales possède son propre moteur de recherche. En somme, Qwant se positionne comme un acteur numérique responsable avec un business model raisonnable et éthique.

Qui sont les utilisateurs de Qwant ?

Il est forcément difficile de les identifier. Nous avons des fichiers de logs, pour savoir quelles sont les requêtes qui sont envoyées, savoir là où ont cliqué les utilisateurs et pour comptabiliser les requêtes. Mais parce que nous ne collectons pas de données personnelles, nous ne pouvons pas savoir, par exemple, si une visite sur un site correspond à une première visite ou non.

Globalement, la connaissance que nous avons sur nos utilisateurs provient de sondages. Nous nous rendons ainsi compte que nos utilisateurs sont plus souvent des hommes que des femmes et sont plutôt avancés techniquement. En revanche, les âges des utilisateurs de Qwant sont très disparates.

Quelle était la genèse du projet ?

Je suis arrivé il y a seulement un an mais je connais le président Éric Léandri depuis 4 ans. Avec ses associés, il a d’abord établi le constat d’un important manque de souveraineté numérique alors même que notre économie numérique est basée sur la récolte de données personnelles. Celles-ci permettent de fournir des services personnalisés et de le financer par une publicité ciblée. Qui dit publicité ciblée dit collecte d’un maximum d’information sur la personne connectée.

De notre côté, nous estimons que cette solution n’est pas viable ! Pour instaurer une société numérique éthique et pérenne, il est nécessaire d’établir une relation de confiance avec les utilisateurs. L’exemple de l’affaire Cambridge Analytica tend à montrer que le numérique est aujourd’hui toxique pour nos sociétés.

En utilisant uniquement de la publicité non ciblée, comment vous rémunérez-vous ?

Nous proposons des publicités contextuelles : lorsqu’un utilisateur recherche le terme « vélo », une publicité liée au « vélo » va apparaître. Les informations personnelles, telles que le genre ou l’âge, ne sont pas connues. Paradoxalement, nous observons que le nombre de clics sur la publicité est plus élevé ; le gain lié aux publicités est donc proportionnellement plus élevé. Google a suivi ce business model jusqu’en 2006, époque à laquelle sa valorisation était de 10 milliards d’euros.

Aujourd’hui Qwant n’est pas dans une position de leader par rapport au reste des acteurs ; qu’est-ce qui pourrait changer la donne demain ?

Je vais répondre à côté volontairement : nous cherchons évidemment à obtenir davantage de part de marché. Pour être économiquement pérenne, nous avons besoin d’obtenir 15% du marché en France et 10% sur l’ensemble de l’Europe. Ça serait déjà formidable parce que le marché est énorme et que ça nous suffirait amplement pour vivre et pour que nos actionnaires soient ravis. Je pense que c’est essentiel de rappeler ça ; nous ne pouvons pas dire avec assurance que Qwant n’arrivera jamais à détrôner Google, mais nous pouvons toujours essayer.

Un business model respectueux de la vie privée, est-ce nécessairement un modèle sans aucune collecte de données à caractère personnel ?

Pas nécessairement. Ce qui est certain, c’est qu’il y a avant tout un besoin de repenser le système. Il a des innovations nécessitant la collecte de données qui ne fonctionneront pas sans un changement de dispositif. Je pense par exemple à notre filiale, Qwant Care, qui utilise l’IA sur des données médicales. Nous avons misé sur l’importance du médecin comme intermédiaire de confiance. Le patient va confier ses données médicales au médecin qui va les anonymiser grâce à un identifiant aléatoire avant de les envoyer à Qwant Care pour les faire analyser. Nous renvoyons un résultat et c’est au médecin de réécrire le nom du patient sur le dossier puis de le remettre au patient lors du diagnostic. L’existence d’un tiers de confiance peut constituer un premier pas dans ce sens.

Qwant ne mémorise pas l’historique de navigation, mais seulement les requêtes sans distinction de l’utilisateur. Il peut donc tout de même faire des suggestions dans la barre de recherche. Si vous tapez Donald, vous allez avoir Donald Duck et Donald Trump. Ce système peut cependant s’avérer handicapant car très peu d’utilisateurs utilisent les marques pages et les favoris. C’est néanmoins ce qui permet de ne stocker aucune donnée personnelle. Pour y remédier, nous mettons en place le « learning to rank » : en comptabilisant le nombre de clics par résultat de recherche nous parvenons à réorganiser l’ordre d’apparition des résultats de recherche selon les préférences utilisateurs. Sur la page de recherche Qwant, les résultats n’affichent que le titre et un extrait du contenu : l’amélioration de l’algorithme est donc basée sur l’intuition de l’utilisateur et l’intelligence collective. Par ailleurs, nous travaillons sur un nouvel outil, appelé Masq, qui enregistre les recherches en local sur l’ordinateur ou le mobile. Avec cet outil, l’utilisateur pourra avoir également des suggestions personnalisées, basées sur son propre historique de navigation, sans que Qwant ne l’enregistre sur ses serveurs.

Le problème est qu’en tant qu’utilisateur, nous ne sommes pas vraiment éduqués à l’utilisation de nos appareils. Lorsque vous achetez un Android, vous avez l’impression qu’il faut immédiatement un compte Gmail : ce n’est pas vrai mais c’est prévu pour que vous ouvriez un compte Gmail et rentriez dans l’engrenage. En réalité, nous pouvons faire plein de choses sans compte Gmail. De notre côté, nous avons annoncé un partenariat avec Wiko pour proposer un smartphone équipé de Firefox mais dont le moteur de recherche par défaut est Qwant au lieu de Chrome. Avec ce smartphone, vous pourrez initier votre Wiko sans aucune donnée personnelle. Seul l’opérateur saura qui vous êtes.

RGPD et prise de conscience collective

Le RGPD et la multiplication des scandales autour du respect de la vie privée ont-ils généré une prise de conscience des citoyens ?

Bien sûr, nous remarquons une certaine prise de conscience : le RGPD est un sujet de discussion et les derniers scandales ont eu une véritable valeur pédagogique (ce que nous avons d’ailleurs pu constater avec la hausse importante de fréquentation de Qwant suite à la médiatisation de l’affaire Cambridge Analytica). Néanmoins, la sensibilité au respect de la vie privée numérique reste encore trop peu développée à mon sens.

Dans ce cas, qu’est-ce qui a évolué dans la perception des citoyens ?

Les gens commencent à mieux percevoir ce que font les géants du numérique et les problèmes que cela pose, mais de façon encore trop timide. J’ai publié un livre dans ce sens il y a deux ans et demi (N.D.R.L. : Surveillance:// : Les libertés au défi du numériques : comprendre et agir, aux éditions C&F). Dans ce livre, je faisais œuvre d’éducation : faire comprendre le business model des géants du numérique, définir le logiciel libre et expliquer comment se protéger de la surveillance.

Ma démarche consiste, non pas à faire peur aux gens, mais à leur expliquer les choses. Je donne plus d’une centaine de conférences par an où j’explique de façon quasi-systématique le business model des géants de l’internet. Ce que les individus ne réalisent pas, c’est qu’ils sont utilisateurs des services proposés par ces entreprises et non pas les clients : le véritable client est l’annonceur publicitaire.

Comment aller plus loin dans cette prise de conscience ?

Malheureusement, très peu de gens sont formés au numérique alors même que le passage de l’administration au numérique apporte une pression sur toutes les tranches de la société. Tout le monde est obligé de s’y mettre malgré ce manque d’accompagnement. Par exemple ils ont souvent des difficultés à différencier un navigateur d’un moteur de recherche. L’application Qwant est un navigateur avec un moteur de recherche ; c’est comme confondre TF1 et Panasonic…

Je suis toujours étonné que l’on me pose des questions sur le compteur Linky par exemple. Cela ne représente rien en termes de vie privée par rapport à la collecte de données personnelles par les géants d’internet. Globalement, la notion de numérique est abstraite pour beaucoup. J’aime faire le parallèle avec les travaux de Louis Pasteur sur les microbes. Des micro-organismes invisibles à l’œil nu présents dans l’air sont à l’origine de maladies. Cette découverte a pu faire grandement baisser le nombre de décès dans les hôpitaux par l’adoption de simples gestes d’hygiène. Et bien aujourd’hui, ce qu’il nous manque dans le numérique, c’est la compréhension des concepts qui se cachent derrière et l’adoption généralisée de réflexes d’hygiène numérique…

Quel avenir pour les moteurs de recherche avec cette prise de conscience ?

Je pense personnellement que le numérique tel qu’il est aujourd’hui est dangereux : nous préparons un big Brother, ou dans le meilleur des cas un big Mother, c’est-à-dire une maman dont nous serions dépendants car elle saura tout de nous. J’ai un très fort attachement à la liberté individuelle et au libre choix de chacun ; il ne me paraît pas bon que quelqu’un ou une entreprise sache tout sur tout le monde et l’utilise via l’intelligence artificielle pour faire des suggestions aux individus. Des nombreuses dystopies découlent de ce modèle.

Facebook connaît par exemple l’opinion exacte de chacun de ses utilisateurs sur les Gilets Jaunes : vous n’en parlez pas forcément mais vous avez été confrontés à du contenu dont Facebook sait si vous l’avez liké, commenté positivement ou négativement, partagé, regardé jusqu’au bout. Leur business model consiste à faire passer de la publicité engageante, éventuellement politique, et d’analyser les réactions. Facebook a ainsi permis à la fois l’émergence de ce mouvement et de ses opposants, car c’est un endroit qui facilite le fait de se plaindre ou de critiquer. En revanche, rien n’y est fait pour apaiser et trouver des solutions raisonnables, car le contenu ne serait pas assez engageant pour l’algorithme de recommandation de Facebook. Dans un contexte d’élections, la capacité de Facebook de cibler les personnes selon des critères très précis, initialement pour leur vendre des produits ou de la publicité adaptée à leurs préférences, en devient même effrayante. Cumulé à cela, notons qu’il n’y a aucune obligation de véracité sur le contenu proposé par Facebook ; les manipulations sont donc aisées et courantes…

Quel avenir pour la vie privée dans le numérique ?

A titre personnel, quel est votre rapport à la vie privée et au numérique ?

Je suis informaticien, j’ai appris à programmer seul à 14 ans, j’en ai 52 aujourd’hui. J’ai commencé plus tôt que les autres, je suis en fait un vieux natif du numérique. Etant passionné, je suis resté longtemps aveugle sur les enjeux liés à la vie privée. Je voyais tout le potentiel de l’informatique : j’ai découvert le micro-ordinateur personnel à partir de 1980, qui a été un outil de libération dont nous ne pouvons plus nous passer aujourd’hui. Puis internet est arrivé avec cette capacité à mettre les personnes en relation, à leur donner accès au savoir. Au début, je n’ai pas cru à Wikipédia ; aujourd’hui je suis contributeur aussi bien en termes financiers qu’en contenu : ce n’est pas un outil parfait mais il rend des services incroyables. Puis le smartphone est arrivé : nous avons notre ordinateur en poche, connecté à Internet sans fil. Et, enfin, nous assistons à la révolution du logiciel libre : par exemple avec un code développé par des bénévoles, Firefox a atteint les 500 millions d’utilisateurs. Bref, le numérique est l’aventure de ma vie.

Plus tard, j’ai découvert la problématique des données personnelles. Chez Google, les salariés ont toujours eu une responsabilité écrasante et l’obligation de générer un revenu sans cesse croissant. Puis, Facebook est arrivé avec un produit différent mais en utilisant le même business model à destination des mêmes clients : les annonceurs. Pour moi, Google a une culture éthique et morale que nous ne retrouvons pas du tout chez Facebook, mais ils se sont laissé entrainer dans une logique de course au bénéfice constante contre Facebook. Il faut tirer la sonnette d’alarme pour contrer cette dérive.

Je reste persuadé qu’Internet, le micro-ordinateur, le numérique avec le smartphone, ont un potentiel fabuleux, mais la décentralisation est la condition pour protéger la vie privée. Je pense également que logiciel propriétaire n’est pas dans l’intérêt du citoyen ; pourtant Qwant en propose aussi. Il n’y a aucun contrôle sur les logiciels propriétaires, ils fonctionnent selon une logique de marché qui ne laisse pas de vraie possibilité de choisir, surtout lorsque nous ne sommes pas suffisamment éduqués pour le faire.

C’est pour cette raison que j’ai lancé les « meet-ups » pour la décentralisation d’Internet, il y a cinq ans maintenant. Aujourd’hui, les gens ne sont pas éduqués sur le numérique. Lorsque vous allez choisir un téléphone, vous devriez hésiter entre un iPhone, relativement cher pour une sécurité maîtrisée, et un Android, beaucoup moins sécurisé vis-à-vis de Google. Dans la réalité, la plupart d’entre nous focalisent leurs critères de choix sur des détails esthétiques sans prendre en compte le respect de la vie privée et la sécurité de ses données.

A votre sens, quelles sont les clés pour redonner confiance aux citoyens dans les services que le numérique peut leur proposer ?

Notre volonté est de positionner Qwant dans une nouvelle génération de service, éthique et, je l’espère, pérenne, grâce à la collecte d’un minimum de données. La minimisation de la quantité de données collectées est une notion très intéressante du RGPD. Sur votre smartphone, Facebook vous demande l’accès à vos contacts, à vos SMS, à votre agenda et télécharge tout instantanément. Pourquoi ont-ils besoin de savoir qui j’appelle par téléphone ? Nous en sommes même arrivés à créer une application « privacy flashlight » car beaucoup d’applications « flashlight » demandaient l’accès à vos contacts ! Je pense que nous sommes dans une crise de confiance, et chez Qwant, nous voulons vraiment incarner une nouvelle génération de services respectueux de la donnée en suivant une optique de minimisation dans l’esprit du RGPD.

La collecte généralisée et systématique des données, telle que l’effectue Google, va à l’encontre des principes de minimisation de la collecte et de décentralisation du stockage de la donnée. En réalité, les nouvelles technologies peuvent être rendues compatibles avec la protection de la vie privée : en opérant des changements d’architecture, en développant des outils en open source, en stockant les données de façon chiffrée et locale, rien n’empêche de continuer à synchroniser entre eux de façon chiffrée les appareils d’un même utilisateur.

 « Un citoyen sur trois dit qu’il est prêt à payer pour des services protecteurs de la donnée ». Est-ce que nous nous dirigeons vers des outils proposant une version payante qui respecte votre vie privée et une version indirectement payante via la collecte des données personnelles ? Nous ferions alors face à deux mondes s’écartant progressivement l’un de l’autre…

Ce risque existe déjà. En raison du prix très élevé des iPhones, Apple n’a pas besoin de monétiser et de rentabiliser nos données personnelles. A l’inverse, Android est un mouchard de poche, un cheval de Troie voué à la collecte de la donnée personnelle, via les applications Google Maps, Google Contact, Gmail, etc.

A côté de cela, Dan Ariely démontre dans ses études l’attrait irrésistible de la gratuité. Au sein de l’université dans laquelle il enseigne, il a mené l’expérience de proposer à un stand des truffes Lindt à 26 centimes et des chocolats bon marché à 1 centime : par défaut la majorité choisissent la truffe Lindt même si elle est plus chère car c’est un meilleur rapport qualité/prix. En revanche, quand il a diminué le prix d’un centime, et que le chocolat bon marché est alors devenu gratuit, la grande majorité des personnes l’ont alors choisi au détriment de la truffe à prix cassé. Il est très difficile de lutter contre la gratuité ; si Qwant était payant, il n’y aurait pas beaucoup d’utilisateurs…

Cet article Vie Privée à l’ère du Numérique – Interview de Tristant NITOT (Qwant) est apparu en premier sur RiskInsight.

Bilan d’un an de RGPD

Wavestone : Le RGPD a-t-il permis la prise de conscience escomptée ?

Gwendal Le Grand : Le RGPD est entré en application le 25 mai 2018 et c’est un texte que tout le monde s’est approprié : les organisations, les particuliers et les autorités de protection des données.

Les citoyens ont tiré parti de leurs droits et les ont davantage exercés auprès des organisations. En résulte une augmentation significative du nombre de plaintes : si on regarde les chiffres publiés dans notre rapport annuel, la CNIL a reçu 11 077 plaintes sur l’année dernière, soit une augmentation de 32% par rapport à l’année précédente, qui se poursuit cette année encore.

Du côté des entreprises, il est obligatoire d’avoir un DPO dans certains cas. Avant l’entrée en application du RGPD, on avait 5 000 correspondants informatique et libertés ; aujourd’hui on a déjà 16 000 DPO, représentant 50 000 organismes au total et il existe environ 700 structures en France qui proposent des prestations de DPO mutualisé. Pour citer un chiffre emblématique : en un mois, « L’atelier RGPD », notre MOOC, a vu la création de plus de 27 000 comptes, dont plus de 10% ont reçu l’attestation de réussite. Cela signifie qu’ils ont regardé toutes les vidéos et ont passé un petit test avec succès à la fin. Le nombre de visites sur le site de la CNIL est également marquant : il est passé à 8 millions en 2018, un chiffre non négligeable pour une autorité administrative indépendante, et une augmentation de 80% par rapport à l’année précédente.

Du coté des organisations professionnelles, nous avons reçu le 25 mai 2018 une plainte collective de la part de La Quadrature du Net et de NOYB et de l’association NOYB de Max Schrems qui travaille sur les grands acteurs de l’internet. Ces plaintes collectives ont donné lieu à la plus grosse sanction infligée par la CNIL en janvier 2019. On peut donc dire que tous, particuliers, entreprises, organismes de représentation des utilisateurs, se sont approprié le texte.

Nous travaillons également avec nos homologues au niveau européen. Un système d’information nous permet notamment d’échanger sur les cas transfrontaliers nécessitant de la coopération entre autorités nationales.

Du côté de l’adaptation du cadre national, tout s’est mis en place progressivement : la loi qui vient en préciser les marges de manœuvres, le décret d’application qui vient préciser la loi et l’ordonnance de réécriture de la loi.

Wavestone : Quel est le niveau d’avancement des entreprises dans la mise en conformité de votre prisme ?

Gwendal Le Grand : Au niveau des entreprises, la question de la protection des données a tendance à monter au plus haut niveau de la gouvernance, comme les COMEX ou les conseils d’administration. Un nombre important d’organisations a également désigné des DPO (délégués à la protection des données) ; certaines petites structures découvrent la protection des données à l’occasion du coup de projecteur donné par le RGPD et notamment l’effet dissuasif des sanctions qui peuvent désormais aller jusqu’à 20M€ ou 4% du chiffre d’affaire mondial de l’entreprise.

Wavestone : D’ailleurs, quels sont les sujets qui suscitent le plus de plaintes de la part des individus ?

Gwendal Le Grand : A date, les plaintes reçues par la CNIL restent assez « traditionnelles ». Elles sont surtout liées à la volonté de maîtrise des données à disposition en ligne (déréférencement, suppression de contenu sur des blogs, sur des sites de presse, ou sur des réseaux sociaux, etc.). On réceptionne aussi beaucoup de plaintes liées à la prospection commerciale et aux questions RH. Sur ce dernier point, ce sont en particulier les activités de surveillance qui font l’objet de plaintes : surveillance au travail, surveillance d’activité ou vidéosurveillance sur le lieu de travail. Petit à petit les problématiques relatives à ces nouveaux droits montent mais c’est quelque chose qui se fait doucement avec une courbe d’apprentissage au niveau des plaintes.

Wavestone : Au niveau des contrôles et sanctions, quel bilan tirez-vous ?

Gwendal Le Grand : La CNIL a des missions d’accompagnement, mais également des pouvoirs de contrôle et de sanction renforcés avec le RGPD ; ces deux missions sont complémentaires. En 2018, nous avons effectué 310 contrôles (en ligne, sur place, sur pièces).

En réalité, les possibilités de se mettre en conformité sont assez nombreuses avant d’arriver à la sanction elle-même. Celle-ci intervient uniquement en dernier recours. Habituellement, lorsqu’un organisme est contrôlé, on collecte ses pièces numériques, on les analyse. La plupart des contrôles donnent lieu à des échanges avec les organismes concernés et des clôtures. En cas de manquement de mise en conformité, une mise en demeure est envoyée à l’organisme. Puis il dispose d’un certain temps, à l’issue duquel, s’il ne s’est toujours pas mis en conformité, la CNIL rentre dans une procédure de sanction, qui peut aboutir notamment à une sanction pécuniaire. Il existe également une procédure de sanction accélérée.

En 2018, 11 sanctions ont été prononcées. À la suite du RGPD, le montant des sanctions est devenu plus important . Ainsi, pendant très longtemps la sanction pécuniaire maximale que pouvait infliger la CNIL s’élevait à 150 000€ ; elle est passée à 3 millions d’euros avec la loi pour une république numérique en 2016 ; puis à 20 millions d’euros ou 4% du chiffre d’affaires mondial avec le RGPD en 2018.

Wavestone : Les sanctions ont augmenté mais restent dans des volumes se comptant en dizaines ou centaines de milliers d’euros. Peut-on envisager de voir des sanctions de plusieurs millions d’euros dans les prochaines années ?

Gwendal Le Grand : Il y a eu en janvier une sanction de 50 millions d’euros, qui concernait un grand acteur de l’internet (NDLR : Google). Les autorités activent progressivement les nouveaux plafonds permis par le RGPD, au fur et à mesure que la procédure de contrôle se développe.

Wavestone : Comment ce type de sanction va-t-il être géré au niveau européen ? Est-ce qu’une sanction peut être répétée par les autorités des autres pays ?

Gwendal Le Grand : Le RGPD prévoit un système de guichet unique ; les organisations peuvent donc s’organiser pour avoir un établissement principal de référence, c’est-à-dire une autorité de protection des données unique en tant qu’interlocuteur au niveau européen. Concernant la sanction du mois de janvier, nous avons échangé avec nos homologues au moment des contrôles : il n’y avait pas d’établissement principal de cet organisme-là sur le territoire européen, ce qui permettait de dire que chaque autorité était compétente en ce qui la concernait sur son territoire. La CNIL était donc légitime à prendre une décision de sanction vis-à-vis de cet acteur-là. Le montant de la sanction a ensuite été ajusté, notamment en fonction de l’assiette des utilisateurs français.

Wavestone : Justement, à l’international, quel bilan ?

Gwendal Le Grand : Le but est de réussir la diplomatie de la donnée avec nos homologues au niveau CEPD, groupe des CNIL européennes, comme sur le plan international. On discute d’ores et déjà avec un certain nombre d’Etats ou de régions du monde, qui, dans la vague du RGPD, cherchent à se doter aussi de lois nationales ou régionales. Nous avons notamment travaillé avec des partenaires asiatiques, avec les Etats-Unis, et dans le cadre de la convention 108 du conseil de l’Europe. Ce sont des travaux qui sont bien évidemment amenés à se poursuivre.

Wavestone : Ce qu’on anticipe c’est un texte qui fasse référence pour des textes à venir dans le monde ?

Gwendal Le Grand : En matière de champ territorial, le RGPD s’applique aux organisations en Europe ou ciblant des utilisateurs européens. C’est une sorte de standard pour la confiance sur la question de la protection des données personnelles. En dehors du territoire européen, beaucoup d’acteurs s’intéressent au RGPD, car les européens sont leurs premiers clients. Derrière, c’est évidemment un gage de confiance pour eux vis-à-vis des échanges qu’ils peuvent avoir avec les acteurs dans leur région du monde.

Wavestone : Selon vous, le RGPD a-t-il modifié la relation entre les entreprises et leurs clients historiques (exercice de droits, modifications des usages, etc.) ?

Gwendal Le Grand : Au niveau de la CNIL, on ne voit pas forcément l’intégralité de la chaîne. On peut cependant constater qu’un certain nombre d’entreprises affichent la protection des données comme un avantage concurrentiel. Au-delà des aspects de conformité et de sanction potentielle, l’enjeu de ce texte est également de renforcer la confiance dans les services proposés par les entreprises, et indirectement de leur ouvrir des opportunités de développement économique.

Perspectives

Wavestone : Quels sont selon vous les points clés pour les entreprises afin de conserver une dynamique de conformité dans le temps ?

Gwendal Le Grand : Nous allons vraiment chercher à mettre en place une gouvernance de la donnée au niveau des entreprises : c’est une opportunité pour elles, aussi bien pour protéger les données que pour restaurer la confiance vis-à-vis de tout l’écosystème de leurs clients et de leurs entreprises partenaires. Le RGPD a mis en lumière les enjeux de cybersécurité : la gestion efficace et la sécurisation des données sont autant de questions essentielles à l’heure où nos sociétés sont devenues dépendantes de l’économie numérique. Dans ce sens, c’est également une opportunité pour les entreprises. Le RGPD mentionne ainsi la nécessité de mettre en place des mesures de sécurité techniques, organisationnelles, proportionnées au risque pesant sur les données personnelles.

Désormais, avec le RGPD, les entreprises doivent, dans certains cas, notifier la CNIL et les personnes concernées des éventuelles violations de données à caractère personnel. Pour y parvenir, les entreprises ont mis en place un système à trois niveaux. Premièrement, elles doivent tenir un registre de tous les incidents de sécurité qui touchent à la donnée personnelle.

Ensuite, elles doivent notifier à la CNIL sous 72h toute violation de données. Ces notifications servent essentiellement à faire monter le niveau de maturité des entreprises sur les questions de cybersécurité, et à leur apprendre à se préparer, à mettre en place un système de détection et de prise de décision, à maîtriser leurs risques et à réagir efficacement en cas d’incident.

Enfin elles sont tenues de les notifier aux personnes concernées en cas de risque élevé. Cette dernière obligation a des conséquences opérationnelles : appels de clients en masse, impact réputationnel. Ces notifications servent notamment à ce que les personnes se protègent, soient plus vigilantes (par exemple aux attaques de phishing), ou modifient leur mot de passe. L’objectif de ce système à trois niveaux est donc réellement d’aider les personnes à se protéger et les entreprises à améliorer leur niveau de maturité sur les questions de cybersécurité.

L’article 35 du RGPD concerne également les questions de cybersécurité ; il indique que la réalisation d’analyses d’impact sur la protection des données est nécessaire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes. L’analyse d’impact est une analyse de risque évaluant les impacts sur les personnes et sur les entreprises, de façon formalisée et incluant un plan d’action. Le RGPD initie vraiment le passage d’une logique de formalités administratives préalables (déclarations) à une logique de conformité en continu avec une amélioration constante et une réévaluation, révision et mise à jour régulière du plan d’action.

Wavestone : Nous réfléchissons beaucoup sur le droit à la portabilité. C’est un des droits dont on a le plus parlé quand le texte a été voté, pourtant aujourd’hui c’est peut-être le droit qui est le moins exercé au quotidien chez nos clients. Partagez-vous ce constat ? Comment l’expliquez-vous ?

Gwendal Le Grand : Le droit à la portabilité est l’un des nouveaux droits du RGPD ; il est donc normal de constater une courbe d’apprentissage.

De plus, ce n’est pas un droit absolu. Il ne s’applique donc pas pour toutes les bases légales du traitement, mais seulement lorsque celui-ci se base sur le consentement de la personne ou sur un contrat. Les autres bases légales sont écartées du droit à la portabilité.

Il s’applique aux données que vous avez fournies à un service direct ou indirect. Les lignes directrices du CEPD (N.D.R.L. Comité Européen de la Protection des Données, qui a pris la suite du G29), expliquent dans quelles conditions s’applique le droit à la portabilité. Nous avions communiqué l’année dernière au mois de mai 2018 sur le fait que notre priorité dans les actions de contrôle et de mise en conformité se concentrait plutôt sur les droits existants, car nous étions conscients qu’il y aurait une courbe d’apprentissage sur les nouveaux droits. Mais nous commençons à recevoir des plaintes de personnes ayant des difficultés à exercer leur droit à la portabilité. Il faut comprendre que la CNIL intervient en bout de chaîne : en général, les personnes s’adressent d’abord au responsable de traitement, puis à nous quand ils n’ont pas de réponse ou que celle-ci ne leur semble pas satisfaisante.

Wavestone : Avez-vous des exemples de bonnes pratiques ou de bons élèves autour de la manière d’utiliser les données à caractère personnel de manière conforme ?

Gwendal Le Grand : On en voit bien sûr. Nous proposons sur le site linc.cnil.fr une cartographie d’outils et de pratiques. Ce n’est pas de la certification de produit, mais de l’analyse des pratiques annoncées par plusieurs acteurs. Nous cherchons à capitaliser sur les bonnes pratiques que nous voyons au quotidien, afin de pouvoir les citer en exemple. Nous proposons aussi un site sur le design de la protection des données (design.cnil.fr), qui a pour objectif de créer une communauté des designers et d’échanger les bonnes pratiques sur la protection des données. Il contient un kit de développement respectueux de la loi informatique et libertés, avec des exemples anonymisés et génériques : « j’ai besoin d’informer les personnes sur le traitement de données … », « ce n’est pas une bonne manière de faire parce que… », « avec ce type de présentation-là, c’est une bonne manière d’informer les personnes parce que… ». Des instruments de certification pourront être activés ultérieurement.

Wavestone : A votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir ?

Gwendal Le Grand : Dans notre rapport annuel, la mise en œuvre opérationnelle du RGPD apparaît comme l’enjeu majeur à venir pour la CNIL, notamment pour rehausser le niveau de confiance dans l’économie numérique.

Nous proposons un plan d’action de sensibilisation  des petites collectivités comprenant l’édition d’un guide, la partiicpation de la CNIL au salon de smaires en novembre 2019 et la création d’un module complémentaires de cours en ligne gratuit pour les collectivités . nous allons également renforcer l’inter-régulation avec d’autres autorités sur les questions de régulation du numérique : l’autorité de la concurrence, le CSA, l’ARCEP, l’HADOPI. De notre point de vue, la priorité est le développement d’une expertise sur les contrôles de la CNIL. Notre régulation est pluridisciplinaire : technologique, juridique, mais également éthique. Nous voulons notamment être en capacité d’anticiper et de maîtriser toutes les évolutions technologiques. Les sujets cruciaux pour nous sont les droits des personnes, les sous-traitants et la collecte de données bancaires. Nous communiquons sur ces sujets, en nous adressant à la fois aux personnes en garantissant leurs droits et aux entreprises en leur expliquant les règles à suivre.

Nous produirons également de nouveaux outils. Sur le plan réglementaire, nous voulons proposer de nouveaux cadres de référence, c’est-à-dire de nouveaux instruments compatibles avec le RGPD et les différentes réglementations. Sur le plan technique, nous travaillons déjà beaucoup sur les questions de design de service innovant, notamment sur l’inscription des utilisateurs à un service : finalement, pour que le consentement soit valide, il faut que la personne soit bien informée de la façon dont vont être traitées ses données. En janvier 2019, nous avons créé un cahier « Innovation et prospective » intitulé « La forme des choix », disponible sur notre site ; nous voulons poursuivre ces travaux avec les designers. Ils ont un rôle très important à jouer dans la qualité de l’information des personnes dont les données vont être traitées.

Cet article Vie Privée à l’ère du Numérique – Interview de Gwendal Le Grand (CNIL) est apparu en premier sur RiskInsight.

Les résultats de notre benchmark sur la protection de la vie privée dans les entreprises

Le benchmark effectué auprès de 24 entreprises françaises et internationales révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée !

Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ?

Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

Repenser le système d’information autour de la donnée

Sur le terrain, dans les organisations « historiques », l’architecture du système d’information est orientée service ou calquée sur l’organisation interne et ne permet donc pas une approche globale centrée sur la donnée. Cela crée de nombreuses difficultés opérationnelles dans le cadre du RGPD : gestion des consentements, des exercices de droits, suppression des données…

• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatiser la suppression des données à termes de leurs durées de conservation.

De ce fait, les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation. L’étude propose un focus sur un accélérateur dans la mise en place d’un tel dispositif : le Customer IAM avec l’interview d’un expert Wavestone.

Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :

• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

L’étude propose un focus sur les opportunités qu’offre la pseudonymisation aux organisations par rapport à une anonymisation des données ou une simple suppression à terme de leur durée de conservation.

Faire de la protection des données personnelles un réflexe au quotidien

96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Pour contrer cela, l’étude livre quelques bonnes pratiques pour promouvoir la valeur ajoutée de la démarche et embarquer les métiers dans la privacy : sensibilisation, responsabilisation, privacy agile, positionnement en accompagnateur de l’innovation…

Aller plus loin et se démarquer sur la protection de la vie privée

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance.

Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.

Cette partie de l’étude livre quelques focus sur des pistes pour innover sur la protection de la vie privée : pour en faire un différentiateur commercial (renforcement de la relation client grâce à la mise en place d’un privacy center, opter pour une stratégie marketing orientée privacy), la monnayer ou en faire la base de nouveaux business models.

Cet article Conformité au RGPD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.

Les cookies, vrais ou faux amis ?

Qui sont les cookies ?

Le cookie est un fichier texte (combinaison de chiffres et de lettres d’une taille maximale de 4 KB) déposé par un service web sur l’appareil – smartphone, tablette ou PC – de l’utilisateur. Ces informations permettent de reconnaître l’utilisateur au-delà d’une première visite ainsi que ses paramètres. Il existe de nombreuses catégories de cookies. Par exemple, certains cookies sont strictement nécessaires au bon fonctionnement d’une page web (ex. load balancing, session de l’utilisateur ou facilitation du shopping en ligne lors de l’ouverture de plusieurs sessions) ou permettent de produire des statistiques, dans ce cas, leur usage relève de l’intérêt légitime du responsable de traitement et ne nécessite donc pas la collecte d’un consentement (cf. délibération de la CNIL du 4 juillet 2019 relative à l’utilisation des cookies et traceurs). D’autres cookies ont pour objectif de mieux connaître l’utilisateur via l’analyse de sa navigation ou de ses habitudes de consommation. Ils nécessitent alors le recueil d’un consentement de la part de l’utilisateur dans la mesure où leur absence n’altère en rien le bon fonctionnement du site. Ces derniers – et plus particulièrement les “cookies tiers” ou “cookies de suivi” – interrogent quant au respect de la vie privée dans la mesure où ils permettent de suivre la navigation d’un utilisateur lors de ses visites de différents sites web, une activité également connue sous le terme “tracking”, qui permet de déduire des habitudes et de modes de vie des utilisateurs plus ou moins intrusives (centres d’intérêt, habitudes de consommation, lieux de vie ou mobilité, fréquentation de centre de soin, opinion politique, orientation sexuelle, sensibilité religieuse, etc.).

Ainsi, la CNIL distingue les catégories de cookies suivantes :

Attention, certains cookies de mesures d’audience peuvent être exemptés de consentement en fonction du choix et du paramétrage de la solution de mesure d’audience associée. Pour plus d’information sur les solutions de mesures d’audience nécessitant ou pas le consentement, se référer ici.

Les cookies comme réponse à des enjeux métiers dans un environnement concurrentiel

Si ces outils sont si utilisés aujourd’hui, c’est d’abord et avant tout parce qu’ils répondent à des besoins métiers, notamment pour les directions marketing/commerciales ou de la communication. D’une part, ils permettent d’offrir une expérience personnalisée en définissant ou en associant un “profil utilisateur” à leurs clients ou prospects. Pour que les campagnes marketing soient plus précises (mieux ciblées) ou pour toucher un plus grand nombre de personnes susceptibles d’être intéressées par le produit / service, ces entreprises ont souvent besoin d’enrichir leurs bases avec des cookies tiers et des segments marketing. Pour cela, elles s’appuient sur des prestations « clé en main » fournies par des régies publicitaires dont l’un des métiers est de vendre d’immenses bases de données de cookies (Criteo, RelevanC).

De manière générale on observe que les organisations qui utilisent ces cookies ont mis en place des outils permettant à l’utilisateur de décider lui-même s’il souhaite les accepter ou non en fonction de leurs finalités. Mais certaines pratiques sont loin d’être totalement transparentes…

Le pixel invisible ou espion, une technologie méconnue de l’utilisateur

Qu’est-ce qu’un pixel ?

Le pixel invisible (ou espion) est parfois utilisé comme une alternative au cookie dans la mesure où son usage ne peut techniquement pas être bloqué par un navigateur. Il s’agit d’un graphique (1×1 pixel) qui est téléchargé lors de la consultation d’une page web ou lors de l’ouverture d’un email. Ce pixel est généralement masqué ou si petit qu’il est impossible à voir. Sa fonction est de collecter des informations sur l’utilisateur (adresse IP, type d’appareil, version du navigateur, résolution d’écran, etc.)[1] ou de permettre le dépôt d’un cookies tiers permettant de renvoyer ces informations à un serveur.

Si la plupart des sites mentionnent l’utilisation de pixels et permettent à l’utilisateur de gérer ses préférences, la très grande majorité utilisateurs ignorent à quoi ils servent. De plus, il arrive que ces pixels soient présents dans le contenu d’emails sans que le(s) destinataire(s) n’en soit informé(s). Non visibles et encore très peu soumis au recueil du consentement, le pixel continue enregistre quantité de données à caractère personnel pouvant porter atteinte à la vie privée du destinataire. Que dit la réglementation et jusqu’où s’applique-t-elle ?

[1] L’ajout d’un script Javascript permet de recueillir des informations complémentaires à propos de l’utilisateur qui en est très rarement informé (ex. système d’exploitation, localisation approximative, etc.).

Le RGPD définit des obligations claires à respecter

Les données à caractère personnel collectées et traitées par les traceurs qui peuvent ensuite être utilisées pour en déduire des habitudes et de modes de vie des utilisateurs sont soumises au RGPD qui définit des exigences claires quant à leur utilisation. Préalablement au dépôt de cookies ou traceurs sur des terminaux, les acteurs du numérique doivent respecter, entre autres, les obligations suivantes sous peine de ne pas être en conformité :

1. Informer l’utilisateur de la mise en œuvre de traceurs et cookies utilisés et leur(s) finalité(s) précise(s) dans un bandeau rédigé en des termes simples et compréhensibles
2. Recueillir le consentement de l’utilisateur ou de lui fournir la possibilité de s’y opposer (nb. ce consentement est valable 13 mois maximum)
3. Respecter l’activation par l’utilisateur du paramètre DoNotTrack offert par certaines récentes versions de navigateurs

Attention : jusqu’en juillet 2019, la CNIL considérait que la poursuite de la navigation vallait accord au dépôt de Cookies sur le terminal utilisateur. Cette pratique, qualifiée de « soft opt-in » a depuis été révisée par CNIL (voir ici).

En conclusion, des efforts restent à réaliser pour aller vers plus de transparence et de pédagogie vis-à-vis des utilisateurs pour qu’ils puissent choisir de faire l’objet d’une navigation personnalisée respectueuse de la vie privée.

Un an après l’entrée en application du RGPD, les traceurs – incluant les cookies et les pixels – sont généralement bien gérés par les entreprises lors de la navigation web. En effet, la plupart des sites mettent à disposition des utilisateurs un bandeau d’information, une politique relative à l’utilisation des données à caractère personnel et un outil de gestion des cookies, incluant les pixels, pour que l’utilisateur puisse gérer ses préférences (opt-out lorsque le consentement n’est pas nécessaire) et consentements sur ces sites. Néanmoins, l’information relative à l’usage de ces traceurs à des fins de traitement marketing (ciblage, profilage) ne fait pas toujours la distinction entre les cookies et les pixels, ce qui ne permet pas l’information claire et transparente de l’utilisateur. Pour finir, l’information quant à l’utilisation de pixels dans les emails est presque inexistante (ou alors accessible après plusieurs clics !) ne permettant pas d’assurer la transparence envers les destinataires. Bien qu’elles ne permettent pas d’endiguer le dépôt de traceurs, des solutions telles que l’effacement régulier de l’historique de navigation ou de moteur de recherche ou telles que l’installation d’extensions (ex.  NoScript, Ghostery, Adblock Plus et bien d’autres encore pour la navigation, PixelBlock, Ugly Email pour la messagerie) peuvent être mises en œuvre par les utilisateurs pour limiter la collecte de leurs données à caractère personnel.

Cet article Traceurs et vie privée : quels efforts à faire pour une navigation respectueuse de la vie privée ? est apparu en premier sur RiskInsight.

Des start-ups qui aident les particuliers à protéger leur vie privée

Selon la CNIL, 9 Français sur 10 sont préoccupés par l’exploitation de leurs données personnelles. Des start-ups proposent aux individus des applications de contrôle des données personnelles disponibles sur Android ou IOS :

• Skeep permet de gérer l’accès aux données personnelles sur les réseaux sociaux et les newsletters.
• L’application mobile Fair&Smart est un « personal data store » au sein duquel le particulier peut effectuer ses requêtes auprès d’une entreprise au titre du RGPD.
• Les cookies publicitaires et analytiques auxquels sont rattachés des données personnelles sont soumis à une obligation d’information et de consentement de l’internaute par le RGPD. La start-up Audito l’a bien compris et a mis au point l’application Cookie Check où les particuliers peuvent consulter les caractéristiques des cookies des sites visités et sélectionner ceux qu’ils souhaitent garder ou supprimer.

Des start-ups qui assistent les entreprises dans leur mise en conformité RGPD

Depuis les débuts du RGPD, les grandes entreprises préparent leur mise en conformité au règlement.

Les grands comptes veulent disposer d’outils logiciels adaptés pour leur Data Protection Officer (DPO) et leurs employés. Le RGPD impose un Data Protection Officer aux administrations, aux grandes entreprises et aux PME collectant des données personnelles. Les PME et ETI inscrivent peu à peu la mise en conformité réglementaire sur leur liste des priorités. Les logiciels d’accompagnement réglementaire de start-ups comme Didomi, Visions ou encore Smart GDPR arment les entreprises face aux exigences du RGPD.

Leurs logiciels SaaS de gouvernance de données incluent des fonctionnalités incontournables :

• Le registre des traitements de données personnelles de l’entreprise
• La collecte des consentements des individus
• Le suivi des violations de données 
• L’accès à la documentation légale relative à la mise en conformité au RGPD

La plupart des start-ups détectées vont au-delà de ces fonctionnalités pour se faire une place sur le marché. Elles proposent des modules subsidiaires : des outils de calcul et de modélisation des risques, des simulations d’audit, des MOOCs pour DPO par exemple. Qualitadd, Datae et Smart GDPR rentrent dans cette catégorie de start-ups qui ont su enrichir leur offre.

Des solutions de sécurité standards mais des démarches de création novatrices

Les grandes entreprises veulent avant tout maîtriser leur risque de conformité. Les start-ups françaises répondent à cette attente par une large offre de logiciels. Dans la majorité des cas, elles manquent cependant d’innovation sur le plan technologique car les logiciels développés sont des plateformes SaaS classiques adaptées à la protection de données. En revanche, les démarches de création des start-ups sont parfois audacieuses.

Quand la fonction métier commande l’édition d’un logiciel :

En 2018, le cabinet d’avocats Staub & Associés spécialisé en droit de l’informatique et des données personnelles s’est associé à un éditeur de logiciel pour produire une plateforme de pilotage de la mise en conformité au RGPD Data Legal Drive.

Deux ans plus tôt, la start-up DPO consulting a émergé des expériences professionnelles de DPO de sa fondatrice et de ses employés. Face à l’inflation réglementaire, le cabinet de conseil DPO consulting a édité son propre logiciel pour Data Protection Officer. Le cabinet se compose également de DPO qui assurent la gouvernance de données d’entreprises en externe en s’appuyant sur le logiciel myDPO.

La commercialisation d’un logiciel maison incluse dans la fonction métier booste le chiffre d’affaires de ces cabinets.

Quand les start-ups ciblent des dispositions du RGPD : 

La start-up Onecub a fait un choix stratégique innovant en axant sa solution sur un droit : le droit à la portabilité. Le compte Onecub permet d’importer et exporter des données d’un service à l’autre gratuitement. Onecub s’adresse aux particuliers en facilitant le transfert de données personnelles entre entreprises et/ou administrations via la blockchain.

La start-up Fair&Smart quant à elle se concentre sur la protection des données personnelles dans la relation-client. Elle propose deux solutions B2C de collecte des requêtes et des consentements utilisateurs en complément de son application.

Quand les start-ups proposent un package de conformité RGPD complet : 

La start-up Datae accompagne les entreprises, de leur gestion interne des données personnelles à l’auditabilité par la CNIL sur l’application du RGPD. Le logiciel Datae présente les fonctionnalités classiques d’un logiciel de gouvernance RGPD, auxquelles peuvent s’ajouter des prestations complémentaires des équipes de la start-up en audit juridique, audit technique et suivi par un DPO externe.

Les solutions de sécurité mises en œuvre par les start-ups reflètent les statistiques globales du radar 2018 Wavestone : 70% des start-ups cybersécurité en France réadaptent des solutions existantes. Le segment de la Privacy ne se distingue pas par l’émergence de nouvelles solutions ou de nouveaux usages notables. Certaines start-ups misent sur l’apport d’une prestation de conseil ou de simulations d’audit pour consolider leur offre logicielle. A l’avenir, les start-ups souhaitant s’insérer sur ce segment en France devront trouver des solutions différenciantes. La pléthore de logiciels de gouvernance RGPD laisse de l’espace pour des solutions techniques innovantes.

Cet article Des start-ups opportunistes et audacieuses sans être réellement innovantes sur le segment privacy est apparu en premier sur RiskInsight.

Idée reçue #3 – Il y a une durée maximale de conservation des données

Cette durée n’est pas fixée de manière absolue par le RGPD en mois ou en années. La règle est toujours la même : les données ne peuvent être conservées que si elles sont utilisées pour un traitement qui est couvert par une justification (contrat, consentement, obligation légale…).[1]^,[2] Si la justification tombe (par exemple par retrait du consentement ou fin d’un contrat) pour un traitement donné, la donnée ne peut plus être utilisée pour ce traitement. Si aucun autre traitement n’utilise ces données, celles-ci doivent être effacées immédiatement, ou pour le dire comme le règlement, « dans les meilleurs délais »[3].

Les données peuvent être conservées tant qu’elles servent à au moins un traitement couvert par une justification !

Il existe de nombreux cas où la fin d’une justification, comme l’arrêt d’un contrat, ne va pas impliquer la suppression des données, car une autre justification est présente. Par exemple, si mon contrat téléphonique prend fin, l’opérateur peut être amené à conserver les données dans le cadre de mon contrat internet que j’ai conclu avec lui. Il est des cas également où la société a un intérêt, voire l’obligation, de conserver certaines données, par exemple pour archivage : c’est le cas par exemple des CV de candidats non retenus, des bulletins de paie ou encore des relevés d’information des assureurs.

Il existe néanmoins dans certains cas, et pour certaines catégories de données, une durée de conservation maximale autorisée ou minimale requise

Ces durées ne sont pas indiquées dans le RGPD. Il peut exister des durées spécifiques à certaines catégories de données, propres à la nature de la donnée en question, et découlant d’autres textes de loi, comme le Code de la Sécurité Sociale (ex. : prescription des paiements de l’assurance maladie, décomptes), le Code du Travail (ex. : conservation des bulletins de paie), le Code Civil (ex. : prescription d’un contrat de travail), ou encore des textes relatifs à des secteurs spécifiques, comme le Code des Assurances (ex. : prescription d’un contrat d’assurance vie). Il s’agit souvent de durées minimales, au bout desquelles une prescription autorise l’effacement des données.

De plus, la CNIL a défini, dans le contexte législatif précédent le RGPD, des Normes Simplifiées, spécifiant souvent des durées de conservation maximale, par exemple dans le domaine de la relation commerciale[4], ou encore dans le recrutement[5]. Ces documents n’ont plus de valeur juridique[6] depuis l’entrée en vigueur du RGPD, mais en attendant la production de nouveaux référentiels basés sur le RGPD, ils peuvent continuer à servir de guide, afin de définir une durée de conservation qui satisfasse aux besoins de l’entreprise tout en n’étant pas abusive vis-à-vis des personnes concernées.

Il existe donc deux raisons qui peuvent nécessiter l’effacement d’une donnée :

• la caducité d’une base légale[7] (retrait du consentement, fin du contrat, écoulement de la durée légale minimale de conservation, etc.), sans qu’aucun autre traitement licite ne justifie la conservation de la donnée ;[8]
• l’écoulement de la durée maximale de conservation pour les données qui y sont soumises (par exemple les durées définies par la CNIL), là aussi sans qu’aucun autre traitement licite ne justifie la conservation de la donnée.

C’est pour ces raisons que le RGPD impose que la durée de conservation soit maîtrisée, notamment par la mise en place – recommandée – d’un délai butoir, au bout duquel on réviserait la licéité du traitement et de la conservation.[9]^,[10] Pour reprendre les mots du considérant 39 : « afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique », à sa discrétion.

Une implémentation du délai butoir centralisée avec la gestion des bases légales

Nous voyons bien ci-dessus les parallèles entre la gestion des bases légales et les durées de conservation : en effet, il s’agit dans les deux cas de gérer les situations où un événement (par exemple le retrait d’un consentement ou la fin d’une durée légale de conservation) nécessite de revoir les justifications qui permettent de conserver une donnée, et d’effacer cette donnée si plus aucune justification ne la couvre.

La complexité supplémentaire avec les durées de conservation est qu’elles sont définies au cas par cas par différentes lois sur certaines catégories de données, qu’elles sont tantôt maximales, tantôt minimales, et qu’elles courent à partir d’un élément déclencheur. Dans tous les cas, il convient de les gérer de façon centralisée avec les bases légales, étant donné que pour les deux il va falloir créer des règles de gestion applicables aux données d’une personne identifiée conduisant éventuellement à leur effacement.

Là où la gestion peut différer, c’est que dans les cas des durées de conservation, l’on peut procéder :

• soit de façon événementielle: l’écoulement de la durée de conservation définie par le responsable du traitement entraîne directement la suppression de la donnée,
• soit de façon planifiée, à une fréquence à définir : par exemple avec une purge mensuelle ou trimestrielle où l’on supprimerait tous les CV de candidats avec qui il n’y a plus eu de contact depuis 2 ans.

Dans tous les cas, une gestion automatisée nécessite évidemment de tracer de manière précise les actions (ex. : contacts avec le candidat) et de relier les données aux bases légales qui justifient leur conservation afin de ne pas supprimer des données qui ne le devraient pas (exemple pour un assureur : suppression au bout des 10 ans légaux d’un contrat d’assurance et des données de la personne associée, alors qu’elle a un autre contrat en cours ou que l’on a son consentement pour un autre traitement).

Figure 1 / Exemple de règle de gestion pour gérer une durée de conservation liée à un contrat

Enfin, les durées de conservation, tout comme les bases légales justifiant chaque traitement, doivent être définies par le métier et les directions juridique ou de la conformité, afin que la DSI puisse les implémenter en concevant les règles de gestions appropriées. Ces règles de gestion devraient gérer de façon similaire et croisée les éventuelles actions automatiques sur la donnée découlant des durées de conservation et celles découlant des bases légales (fin de contrat, consentement), afin notamment que des données ne soient pas supprimées inutilement.

Le RGPD ne spécifie pas de durée en tant que telle, mais demande que soient définies, mesurées et maîtrisées des durées de conservation, qui dans certains cas sont définies par d’autres lois. Ce travail nécessite une collaboration entre les services juridiques ou conformité d’une part et les métiers (ou MOA) d’autre part. L’implémentation, quant à elle, nécessite d’intégrer ces durées de conservation aux mêmes règles de gestion que celles qui régissent les bases légales, comme en cas de retrait du consentement ou de fin d’un contrat.

[1] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire 

[2] « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées », Article 5, paragraphe 1, point e)

[3] Article 17, paragraphe 1

[4] CNIL (11/07/2013). Norme Simplifiée NS-056 « Fiche clients-prospects des assureurs ». Disponible à l’adresse : https://www.cnil.fr/fr/declaration/ns-056-fichier-clients-prospects-des-assureurs, consultée le 18/09/2018

[5] Fiche explicative de la CNIL : CNIL (octobre 2016). « Travail & données personnelles – Le recrutement et la gestion du personnel ». Disponible à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/_travail-vie_privee_recrutement_gestion_du_personnel.pdf, consultée le 25/04/2018.

[6] CNIL. « Les normes et les dispenses de déclaration ». Disponible à l’adresse : https://www.cnil.fr/fr/liste-des-normes-et-des-dispenses, consultée le 18/09/2018

[7] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire

[8] Article 5, paragraphe 1, point e)

[9] Considérant 39

[10] Article 30, paragraphe 1, point f)

Cet article 3 idée reçues sur les obligations du RGPD (3/3) est apparu en premier sur RiskInsight.

Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

C’est dans ce contexte que l’on entend régulièrement des interprétations inexactes du texte, qui d’anodines peuvent se révéler dangereuses. Elles peuvent en effet induire les décideurs à mener des actions inadaptées ou oublier certains points de mise en conformité, laissant l’entreprise exposée à des sanctions ou à une dégradation de son image de marque.

Nous proposons dans cette série de 3 articles de déconstruire 3 idées reçues sur le RGPD :

• Idée reçue #1 – Le consentement est obligatoire
• Idée reçue #2 – Le RGPD impose d’anonymiser les données
• Idée reçue #3 – Il y a une durée maximale de conservation des données.

Idée reçue #1 – le consentement est obligatoire

Le recueil du consentement n’est pas obligatoire, il existe de nombreux autres éléments qui peuvent justifier un traitement de données à caractère personnel (DCP). Parmi les plus courants pour une entreprise, on trouve notamment l’exécution d’un contrat ou une obligation légale. Ce n’est donc pas un consentement qui est nécessaire au traitement des DCP d’une personne, mais plus largement une justification, c’est-à-dire la base légale du traitement.[i] De plus, le traitement est strictement lié à une ou plusieurs finalités, pour lesquelles l’utilisateur peut donner son consentement.

Ce qui compte, c’est donc le triangle Donnée-Justification-Traitement :

Ce triangle est indépendant et insécable :

• Indépendant / Il est indépendant des autres triangles. Le fait qu’on ait obtenu un consentement pour une donnée et une finalité n’implique pas qu’on puisse traiter la même donnée pour une finalité différente, ni une autre donnée pour la finalité.
• Insécable / Les trois piliers du triangle sont tous trois porteurs donc indissociables :
  • Si de fait le traitement devient caduc ou si les données ne sont plus nécessaires au traitement, et que les données ne sont couvertes par aucun autre triangle, il faut effacer les données.[ii].
  • Si la justification devient caduque (fin d’un contrat ou retrait du consentement par exemple), il faut cesser le traitement et, si les données ne sont couvertes par aucun autre triangle,il faut effacer les données.[iii]

Une gestion centralisée des données personnelles, pour le client et pour le back-office

Dans le cadre de la conformité au RGPD, il convient de se doter d’un « système de gestion des données personnelles » gérant de manière uniformisée toutes les justifications, ou du moins les plus courantes : les clauses contractuelles, le consentement et les obligations légales notamment.

Cet angle de vue centré client imposé par le RGPD implique d’avoir au sein du SI une vision Client Unique / Golden Record, afin de gérer de manière unifiée des données d’un même client qui seraient éclatées dans de nombreux référentiels éventuellement décorrélés.

Ce système se décline d’une part en un front-office, permettant au client d’accéder de manière centralisée à ses données détenues par l’entreprise et exercer ses droits sur celles-ci : consentement, contrats, droit à l’oubli, portabilité, rectification, traitements autorisés, etc.

Figure 1 – Le portail de gestion de ses données personnelles de Google

D’autre part, le back-office consiste en un Référentiel Données-Justification-Traitement, où le triangle ci-dessus serait matérialisé sous la forme d’une table avec le triplet Données-Justification-Traitement, ainsi que quelques autres attributs (dont la référence – identifiant unique, clé étrangère… – à la personne concernée).

La modélisation en Référentiel Données-Justification-Traitement faciliterait :

• en écriture, la création de nouvelles justifications (par exemple un consentement) et leur suppression ;
• en lecture, la vérification automatique de la possibilité de traitement d’une DCP pour une finalité identifiée, par l’existence d’un triplet valide en base (il peut en exister plusieurs) et pour le client l’accès, requis par le RGPD à toutes les données le concernant et les traitements associés.

Figure 2 – Exemple de cas où deux justifications peuvent couvrir en partie les mêmes données

NB : Le consentement doit être tracé et historisé (les valeurs successives doivent être gardées pour d’éventuelles vérifications rétrospectives) : une attention particulière devra être portée à la traçabilité (au sens piste d’audit) de ce Référentiel Données-Justification-Traitement.

Il convient donc pour une société souhaitant gérer efficacement ses justifications pour traiter des données personnelles de se munir de ce système centralisé, permettant d’une part au client, côté front-office, d’exercer ses droits (consentement, oubli, portabilité, information…), et d’autre part à la société, côté back-office, d’avoir une vue claire des données qu’elle traite pour chaque client et de la justification qui l’autorise à les traiter, quelle qu’elle soit (contrat, consentement, obligation légale…).

Au-delà d’encadrer précisément ce qui autorise le traitement des données, le RGPD impose également des mesures de sécurité contre les fuites et les vols de données, notamment via des techniques comme l’anonymisation, la pseudonymisation et le chiffrement. Dans le prochain article nous proposons d’éclaircir la portée et le rôle de chacune de ces techniques bien distinctes.

[i] Article 6, paragraphe 1

[ii] Article 5, paragraphe 1, point e)

[ii] Article 5, paragraphe 1, point e)

Cet article 3 idées reçues sur les obligations du RGPD (1/3) est apparu en premier sur RiskInsight.

Cet article RGPD – Que va-t-il se passer après le 25 mai 2018 ? est apparu en premier sur RiskInsight.

Rappel des faits

Cambridge Analytica est un cabinet spécialisé dans l’analyse de données ; l’entreprise a pour ambition de disposer d’une large base de données d’utilisateurs et ainsi revendre ses analyses et le profilage de différentes personnes à ses clients.

Dès lors, Aleksandr Kogan, psychologue sous contrat de prestation pour Cambridge Analytica, crée une petite application Facebook contenant un quiz de personnalité. Afin de réaliser ce test de personnalité, les utilisateurs de l’application doivent donner accès à leurs données Facebook ainsi que celles de leurs « amis » au psychologue. Il indique toutefois à Facebook et aux utilisateurs que leurs données ne sont collectées qu’à des fins de recherche.

Très rapidement, Kogan collecte les données Facebook de 87 millions de personnes à partir d’une base de 270 000 utilisateurs de son application. Kogan transmet ensuite à Cambridge Analytica l’ensemble de sa base de données à des fins de catégorisation en différents profils, trompant ainsi les utilisateurs sur l’utilisation de leurs données.

Qu’est ce qui pose problème dans ce transfert de données à Cambridge Analytica ?

En analysant cette affaire au regard des principes du RGPD, le fameux règlement européen sur la protection des données à caractère personnel qui entre en vigueur le 25 mai prochain, deux points majeurs posent problème pour la protection de la vie privée dans ce transfert de données à Cambridge Anaytica :

1. Le détournement de finalité de l’usage des données
2. L’absence de consentement pour transférer ces données à Cambridge Analytica

Le détournement de la finalité de l’usage des données

En effet, lors de la collecte initiale des données, Aleksandr Kogan indiquait que ces données ne seraient utilisées qu’à des fins de recherche académique. En pratique, Cambridge Analytica a utilisé cette base de données pour faire du profilage des personnes concernées et proposer des campagnes publicitaires ciblées à la demande de ses clients. Les utilisateurs ont donc vu leurs données utilisées à des fins qu’ils n’avaient pas envisagées, engendrant un vrai sentiment d’intrusion dans la vie privée.

L’absence de consentement sur le transfert des données

Autant les utilisateurs du quiz de personnalité avaient donné leur consentement pour que leurs données soient transmises à un tiers, autant les « amis » de ces utilisateurs n’ont jamais consenti explicitement à cela. C’est donc tout le système de gestion des consentements utilisateurs de Facebook qui est en cause.

En 2015, cette « faille » a été révélée à Facebook qui l’a corrigée par la suite. Cette approche de correction a posteriori est la posture adoptée par Facebook depuis des années. Rappelons que le modèle initial du site était très ouvert, avec la possibilité de voir les profils de tous à sa création. Petit à petit, les paramètres de confidentialité sont arrivés pour la plupart suite à des incidents ultérieurs.

Une prise de conscience aux Etats-Unis sur la nécessité de protéger la vie privée des personnes

80% des personnes concernées par cette fuite de données sont des citoyens américains. Cette affaire a de nombreuses répercussions aux Etats-Unis. Surtout, les autorités américaines tout comme le grand public prennent conscience de la nécessité de protéger la vie privée des citoyens américains. Ainsi, Mark Zuckerberg, CEO de Facebook, a été auditionné au Sénat américain (une première pour lui, plus habitué à faire témoigner ses lieutenants) pour s’expliquer sur le scandale ; mais ce sont aussi les pratiques et le business model de Facebook qui sont remis en cause au Sénat (par exemple pendant l’intervention du Sénateur Richard Blumenthal lors des auditions de Mark Zuckerberg).

Des voix s’élèvent aussi aux Etats-Unis pour demander un durcissement des lois sur la protection des données personnelles, notamment sur l’obligation de collecter le consentement pour certains traitements de données à caractère personnel. Certains voudraient même que le RGPD européen soit transposé dans la législation américaine. Ainsi, deux sénateurs américains ont déjà proposé un projet de loi nommé CONSENT Act qui reprend quelques grands principes du RGPD (opt-in ou consentement actif obligatoire, notification des autorités de contrôle et de personnes concernées en cas de fuite de données, transparence, etc.).

C’est donc une véritable prise de conscience qui s’opère aux Etats-Unis sur le sujet de la protection des données personnelles. C’est un changement majeur dans un pays qui traditionnellement a une faible sensibilité sur ces sujets.

Les utilisateurs doivent rester vigilants sur leurs consentements donnés sur Facebook

Plus largement, c’est aussi la gestion des consentements des utilisateurs de Facebook qui fait débat. Même si Facebook propose désormais un nouveau centre de confidentialité qui permet de gérer finement les consentements accordés à chaque application, l’utilisateur doit rester vigilant quant aux consentements qu’il a donné. En accordant un consentement assez permissif à une application Facebook, celle-ci pourra réaliser des opérations qui auront un impact important sur la vie privée de l’utilisateur sans que cela ne soit interdit par la loi (au sens du RGPD).

Alors que l’entrée en vigueur du RGPD au 25 mai prochain approche à grand pas, cette affaire tombe à point nommé pour rappeler la nécessité de prendre en compte les enjeux de protection de la vie privée.

Et Facebook réagit donc fortement, en mettant en avant les principes du RGPD durant ses auditions au Congrès mais aussi en déclenchant une campagne de publicité ad hoc et en avertissant tous ses utilisateurs quant aux changements dans la gestion des consentements. Cela sera-t-il suffisant pour restaurer la confiance et être en conformité aux nouvelles réglementations ? L’avenir nous le dira mais le chemin promet d’être long

Cet article Cambridge Analytica, quels enseignements peut-on en tirer ? est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

Une évolution législative, dans le cadre des données à caractère personnel

Appelée loi de modernisation de notre système de santé, la loi santé (dont la première version du texte a été déposée à la fin de l’année 2014) a été adoptée début 2016 à l’Assemblée Nationale. En parallèle, au niveau européen était discuté le Règlement Européen sur la Protection des Données à caractère Personnel. Cette discussion concomitante est due à l’évolution des usages et aux transformations numériques en cours qui ont amené les législateurs français et européen à s’adapter à l’actualité de ces dernières années.

Le Règlement Européen précise la notion de donnée de santé à caractère personnel. Elles comprennent les données médicales mais aussi toute combinaison de données qui indique un état de santé. Par exemple, le diagnostic d’un cancer est une donnée de santé, mais aussi la simple association du poids et de la taille à un moment donné.

Ce Règlement Européen sera applicable le 25 mai 2018. En revanche, la date d’application finale de la loi santé n’est pas connue, même si elle le sera aussi probablement courant 2018. Le présent article a pour objectif de présenter une photographie à l’instant présent de cette nouvelle loi.

L’hébergement des données de santé : aujourd’hui déclaratif, et demain auditable

En France, l’hébergement des données de santé est soumis à une règlementation stricte depuis les années 2000. Toute entité qui héberge des données de santé qu’elle n’a pas produites doit obtenir à cet effet un agrément. Pour ce faire, l’hébergeur dépose un dossier qui sera vérifié par des institutions publiques : l’ASIP-Santé (l’Agence des Systèmes d’Information Partagés de santé), la CNIL et le Comité d’Agrément des Hébergeurs (comitlé ad hoc). Si leur avis est favorable, le Ministère de la Santé délivre l’agrément, valable pour 3 ans. Ce dossier demande notamment aux candidats hébergeurs de mener une analyse de risques et de mettre en place une politique de sécurité des systèmes d’informations.

Un point toujours sujet à interprétation : héberger ses propres données

Le fait que les entités hébergeant elles-mêmes leurs données ne soient pas soumises à l’obtention de l’agrément a historiquement créé une interrogation. Ce point remet en cause la sécurité des données de santé du point de vue des patients de ces établissements. La législation a été construite afin de simplifier l’agrémentation en évitant des démarches trop lourdes pour les petits acteurs de la santé comme les médecins libéraux indépendants. Aussi, la notion même de « produire ses propres données » n’est pas toujours claire.

Aujourd’hui il ne semble pas que le gouvernement ait l’intention de changer l’orientation de la législation sur ce point : son agence l’ASIP-Santé a mis à jour sa foire aux questions le 24 mai 2016 en indiquant expressément que ce sont les hébergeurs de données tierces qui doivent obtenir l’agrément (ou la future certification).

Pour autant, le processus législatif français n’est pas arrivé à terme : ce point pourrait malgré tout être amené à évoluer. La loi est dans l’attente d’une ordonnance pour sa mise en application. Cette même ordonnance « sera précisée par un décret qui définira la procédure de certification. […] L’ordonnance et son décret comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification » (F.A.Q de l’ASIP-Santé).

Que change la nouvelle loi santé ?

La nouvelle loi santé bouscule la procédure d’agrément actuelle, en la faisant passer de l’État aux structures privées. Les candidats hébergeurs devront obtenir une certification, auprès d’un organisme certificateur privé, après audit. Première conséquence : le coût du dispositif n’est plus supporté par l’État mais par les hébergeurs. C’est le changement le plus important : les candidats ne devront plus seulement préparer un dossier (processus déclaratif) mais se préparer à un audit externe, et donc collecter des preuves pour les mettre à disposition des auditeurs.

La loi, publiée au journal officiel le 27 janvier, a déjà mis en application certains changements. Ainsi, le consentement de la personne qui était jusque-là requis est remplacé par une simple obligation d’information. D’autre part, le secteur médico-social entre dans le périmètre de l’agrément. Ce secteur hétérogène comprend notamment les établissements pour personnes âgées (EHPAD, etc.) ou handicapées, les foyers d’accueil pour jeunes, etc. Le secteur médico-social n’avait jusque-là pas de cadre légal concernant le traitement et l’hébergement de ses données. La nouvelle définition des données de santé, émise par le groupe de travail du règlement européen sur la protection des données à caractère personnel, inclut également ce type de données médico-sociales.

En synthèse : j’héberge des données de santé, que dois-je faire aujourd’hui ?

Aujourd’hui, pour les hébergeurs qui veulent se préparer à la nouvelle loi, trois situations sont possibles :

• J’ai déjà l’agrément hébergeur de données de santé : hier, je déposais un dossier montrant ce que je fais en vue d’un contrôle de ce dossier. Demain, un auditeur viendra contrôler sur site. Alors aujourd’hui, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• Je n’ai pas l’agrément hébergeur de données de santé, mais je vais être amené à héberger des données de santé (ou simplement médico-sociales) produites par un tiers : je dois me mettre en conformité dès maintenant en obtenant l’agrément. Je mets en place des politiques de sécurité en alignement avec les attendus pour le dossier d’agrément et les bonnes pratiques de référence (telle que la norme ISO 27001) Je dépose un dossier sans attendre. Là aussi, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• J’héberge des données de santé que je produis moi-même : alors hier, aujourd’hui comme demain, je n’ai pas de démarche à effectuer, pas d’agrément ou de certification à obtenir.

Aujourd’hui, même incomplète, cette nouvelle loi permet donc aux hébergeurs de données de santé de se projeter dans le monde de la santé numérique qui se dessine. L’adoption de nouveaux référentiels et de nouvelles procédures de mise en conformité permet aux acteurs du secteur de gagner en crédibilité et progressivement d’harmoniser leurs pratiques au niveau européen.

Cet article Nouvelle loi santé : trois situations pour les hébergeurs de données de santé est apparu en premier sur RiskInsight.

Le trilogue informel débuté en juin dernier semble finalement avoir porté ses fruits. En effet, dans son communiqué du 15 décembre 2015, la Commission Européenne a annoncé qu’un accord a été conclu entre elle-même, le Conseil de l’Union Européenne et le Parlement Européen. Le texte est donc prêt à être promulgué, ne reste plus qu’au Parlement et au Conseil d’adopter formellement le texte (voir la procédure d’adoption d’un règlement européen). Nous avions précédemment parcouru le contenu des dernières propositions en date afin d’en décrypter les 3 impacts majeurs, nous vous proposons aujourd’hui d’en faire de même sur la version finale du règlement.

QUEL CHANGEMENT POUR LES ENTREPRISES ?

Premier point important à noter, le règlement n’impose pas les mêmes obligations aux multinationales et aux PME de moins de 250 employés (cf. Commission Recommendation 2003/361/EC of 6 May 2003) : ces dernières, sous certaines conditions (absence de traitements sensibles et réalisation de traitements de données occasionnels) se voient dispensées de l’obligation de tenir un registre des traitements.

Responsabilisation ou « Accountability »

Le règlement fait disparaitre l’obligation de déclaration des traitements mais impose la tenue d’une documentation permettant au responsable de traitement de prouver sa conformité détaillant : les coordonnées du responsable de traitement, la liste des traitements de données avec leur finalité, les catégories de personnes concernées, les personnes pouvant accéder aux données, les transferts internationaux, la date de suppression des données et les mesures de sécurité associées. Le Data Privacy Officer (DPO), s’il est nommé, sera le garant de ce registre. Cependant, pour les traitements identifiés comme sensibles à la suite d’une l’analyse d’impact, le responsable de traitement devra consulter son autorité de référence avant de le mettre en œuvre. Cette autorité pourra lui imposer des mesures à mettre en place.

Le DPO ne sera pas généralisé à toutes les entreprises et contrairement à ce qui avait été proposé, il n’y aura pas de seuil relatif au nombre d’employés ou de personnes concernées par le traitement. L’obligation de nommer un DPO sera limitée :

• Aux autorités publiques (à l’exception des tribunaux) ;
• Aux entreprises qui, de par leurs activités, collectent des données personnelles de manière systématique ou sur un grand nombre de personne ;
• Aux entreprises dont le cœur de métier de l’entreprise repose sur des traitements définis comme sensibles par le règlement au sein de l’article 9.

Les tâches et activités du DPO sont définies par le règlement :

• Servir de point de contact aux contrôleurs,
• Participer aux analyses d’impact,
• Surveiller la conformité de l’entreprise au règlement
• Conseiller le responsable de traitement et ses employés sur les sujets relatifs aux données à caractère personnel.

Dernier point à noter, ce DPO ne devra pas nécessairement être employé directement par le responsable de traitement et pourra être mutualisé, à condition qu’il reste facilement accessible.

Mise en place du Privacy by Design

Les responsables de traitement devront garantir que les traitements de données ne portent pas atteinte à la vie privée des personnes en recourant à divers mécanismes (pseudo anonymisation, collecte des données au strict minimum nécessaire, durée de conservation, restriction des accès…). Cette réflexion devra non seulement être réalisée au moment de la conception du traitement, mais également tout au long de la durée de vie du traitement à l’aide d’un processus d’audit préalablement défini. Afin d’accompagner les entreprises dans ces travaux, des codes de conduites ou des certifications pourront être mis en place par les contrôleurs.

Le règlement prévoit explicitement que des analyses d’impacts sur la vie privée des personnes soient réalisées sur les traitements présentant des risques pour les droits et libertés des individus. Ces analyses permettront de définir les mécanismes de sécurité à y associer ou encore la nécessité de modifier le traitement. Ce sera le DPO qui devra arbitrer sur la nécessité de réaliser ces analyses.

Là encore, afin d’accompagner les entreprises, deux mesures sont mises en place : les contrôleurs sont invités à établir une liste de traitements pour lesquels une analyse d’impact est obligatoire et en cas de fort risque identifié par l’entreprise, elle devra collecter l’avis du contrôleur compétent sur le traitement.

Point intéressant à noter, une unique analyse pourra être réalisée pour un ensemble de traitement similaire.

Notification des fuites

Le règlement entérine également l’obligation de notification des fuites de données. En effet, le responsable de traitement aura 72h pour notifier les autorités en décrivant : la nature de la fuite de données, le nombre et la catégorie de personnes concernées, la nature ainsi que le volume des données et le plan de remédiation.

Par ailleurs le responsable de traitement devra également notifier, sans délai, les personnes concernées s’il estime que la fuite présente un risque avéré pour ces personnes.

Les autres mesures à garder en tête

Il a été décidé de renforcer les pouvoirs du « European Data Protection Board », groupement de l’ensemble des autorités de contrôle, qui devra s’assurer de la cohérence de l’application du règlement au sein des différents Etats de l’Union Européenne.

Le droit à la portabilité, qui n’était pas systématiquement présent entre les différentes versions du règlement a été réintégré. Pour les entreprises, cela signifie qu’elles devront être capables de restituer l’ensemble des données personnelles à la personne concernée sous un format structuré et pouvant être traité simplement. Par ailleurs, ces données pourront également être transmises directement à une autre entreprise sur demande.

Comme évoqué précédemment, une liste des données sensibles a été définie dans le règlement : origine ethnique, opinions politiques, religieuses ou philosophiques, données génétiques, biométriques, relatives à la santé et aux préférences sexuelles des personnes. Le traitement de ces données sera soumis à de strictes restrictions.

En plus de ces données, les autorités de contrôle, via le « European Data Protection Board », pourront définir une liste de traitements sensibles.

Le principe du guichet unique a été précisé. Chaque entreprise devra choisir une autorité de référence (celle de son établissement principal) qui lui servira du point de contact unique avec l’ensemble des autorités de contrôle. Cependant n’importe quelle autorité pourra décider d’une action envers le responsable de traitement. Elle devra pour cela en informer néanmoins l’autorité de référence qui restera l’interlocuteur unique de l’entreprise. En cas de désaccord entre les 2 autorités, un arbitrage aura lieu au sein du « European Data Protection Board ».

Concernant les sanctions, deux seuils sont fixés en cas de non-conformité au règlement européen suivant la nature de l’infraction (l’article 79 du règlement détaille la liste des infractions pour chacun des seuils :

• Un premier seuil à 2% du chiffre d’affaire mondial ou 10 millions d’euros (maximum des 2 valeurs) pour les infractions mineures : absence de registre des traitements, non nomination d’un DPO si elle est obligatoire ou encore non réalisation des analyses d’impact
• Un deuxième seuil à 4% du chiffre d’affaire mondial ou 20 millions d’euros (maximum des 2 valeurs) pour les infractions les plus graves : non recueil du consentement, non-respect des droits des personnes, transfert international illégal ou encore non-respect d’une interdiction de mise en œuvre d’un traitement.

Le montant des amendes dépendra de la nature de l’infraction ainsi que de l’éventuelle récidive du responsable de traitement.

Que retenir ?

Nous nous dirigeons donc de manière certaine vers une accentuation de la responsabilité et de l’autonomie des entreprises concernant la gestion des données personnelles : le modèle de contrôle « a priori » va se transformer en un modèle de contrôle et sanction « a postériori ». Le message est clair : les entreprises pourront bénéficier d’une plus grande souplesse concernant la gestion des données à caractère personnel, mais seront susceptibles d’être sanctionnée beaucoup plus fortement.

Cela devrait également permettre aux autorités de contrôle de se concentrer sur les sujets les plus sensibles et d’être capables de répondre aux requêtes dans des délais raisonnables.

Prochaine étape, le texte doit maintenant être officiellement approuvé par le Parlement et le Conseil. Compte tenu du calendrier des réunions, nous pouvons supposer un règlement promulgué en Avril prochain, suivi d’une période de deux ans pour la mise en conformité.

Cet article Nouveau règlement Européen sur la protection des données personnelles : quels impacts suite à la version du trilogue ? est apparu en premier sur RiskInsight.

Le Privacy By Design permet de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Dans le premier volet, nous sommes revenus sur les deux premiers facteurs clés de succès à prendre en compte qui sont :

• Concevoir une méthodologie de Privacy Impact Assessment pragmatique
• S’intégrer dans la méthodologie Projet existante

Nous reviendrons ici sur les deux derniers facteurs essentiels à prendre en compte.

Identifier les projets sensibles pour prioriser les efforts d’accompagnement

Dans la majorité des organisations, le volume de projets est trop important pour que les équipes en charge de la conformité aient la capacité d’accompagner chacun d’eux et en particulier de réaliser une analyse de risques même simplifiée. Il est donc nécessaire d’adapter l’approche systématique de PIA en identifiant le plus en amont possible les projets qui présentent une sensibilité accrue afin de prioriser les efforts d’accompagnement.

Les chefs de projets, souvent peu familiers de la Loi Informatique et Libertés, peuvent se retrouver en difficultés lorsqu’il s’agit d’exprimer la sensibilité de leur projet au sens de la Loi. Il est donc nécessaire de les accompagner dans cette étape en leur fournissant une liste de questions simples et compréhensibles par les non-initiés.

Dans la pratique, plusieurs facteurs peuvent rendre un projet sensible. Par exemple, la manipulation de données sensibles au sens de la loi la mise en œuvre de transferts hors UE. D’autres facteurs, moins directement liés à la loi peuvent également être identifié : utilisation de nouvelles technologies (Big data par exemple) ou existence de données sensibles dans le contexte de l’organisation (ex : identité des collaborateurs intervenant à proximité de produits cancérigènes).

Il conviendra donc d’identifier la liste des critères rendant un projet sensible en fonction du contexte spécifique de l’organisation et des risques qui pèsent sur elle.

Rendre autonome le chef de projet dans la conduite de cette étape permet de s’assurer que tous les projets feront l’objet d’une appréciation de leur sensibilité vis-à-vis de la Loi Informatique et Libertés. Enfin, en associant les équipes conformités aux comités chargés du suivi des projets en phase d’étude préalable, l’analyse des chefs de projets peut être challengée avant validation.

Il conviendra alors d’adapter l’investissement de l’équipe conformité à la sensibilité des projets. D’un suivi distant pour les projets les moins sensibles (alimentation en guides de mise en conformité, réponses à des demandes d’expertise) à un suivi rapproché pour les projets les plus sensibles (groupes de travail spécifiques sur le sujet du Privacy, analyse de risques détaillée, vérification des livrables exprimant les exigences de conformité, pilotage de la recette conformité, etc.). Dans tous les cas, l’équipe devra maintenir une liste des projets, des évaluations de criticité et s’assurer d’être présente dans les bonnes instances pour avoir accès à l’actualité des projets (création, arrêt…), voire disposer d’un accès direct au portfolio projet qui existe dans les organisations les plus avancées.

Outiller les chefs de projet

Tous les projets ne pouvant être accompagnés de façon rapprochée par l’équipe conformité, les chefs de projets devant traiter la mise en conformité en autonomie devront disposer d’outils pour les aider, généralement un guide de mise en conformité à la loi Informatique et Libertés. Ce guide ne doit pas ressembler à un document juridique mais bien plus à une traduction concrète, explicite et intelligible de la loi pour un non initié et doit permettre d’accompagner le chef de projet dans le choix des meilleures mesures pour s’y conformer, qu’elles soient organisationnelles ou techniques.

L’un des sujets qui nécessite une attention particulière est par exemple le transfert de données à des tiers ou hors de l’UE. Le transfert de données – qui peut désigner aussi bien le simple transit d’un flux par un équipement réseau, l’hébergement dans le Cloud de la messagerie ou la consultation de données sur un site web – sera explicité afin que chef de projet puisse identifier par lui-même les transferts de données réalisés dans le cadre de son projet. Il pourra alors par exemple s’appuyer sur les modèles de clauses proposées dans le guide pour les intégrer dans ses contrats avec des tiers ou utiliser une liste des filiales ayant signées les Binding Corporate Rules pour s’assurer que son transfert à l’international est autorisé.

Ce guide de mise en conformité pourra être associé à un cahier de recette type, permettant de contrôler le bon respect des principes juridiques fondamentaux. Une liste de questions restreintes (autour d’une dizaine généralement) aidera le chef de projet à contrôler les points majeurs et ainsi valider la conformité globale du projet à la Loi Informatique et Libertés : les mentions d’information sont-elles bien ajoutées ? Les cases de champs libres disposent-elles d’un disclaimer sur leur bonne utilisation ? Les contrats contiennent-ils des clauses LIL ? La durée de conservation des données a-t-elle été définie et leurs modalités de suppression étudiées ?

À moyen terme, l’outillage pourra aller un cran au-delà en proposant aux chefs de projet des solutions techniques pour faciliter la mise en conformité. Des plateformes mutualisées de chiffrement ou d’anonymisation de données ou encore des processus de collecte de données conformes pourront être construits. Les investissements déjà réalisés dans la filière sécurité de l’information pourront être largement exploités.

Un processus à concevoir et des équipes pour le déployer

Le Privacy By Design, future obligation réglementaire, constitue dès à présent un moyen de s’assurer de la conformité des nouveaux projets.

Le CIL et ses équipes devront s’armer d’une bonne dose de pragmatisme pour adapter les processus existants en les alimentant de leurs exigences essentielles tout en identifiant les projets les plus sensibles afin d’y apporter une vigilance accrue.

Mais au-delà du processus en lui-même, le CIL ou futur DPO devra se poser au plus tôt la question de ses besoins en ressources pour suivre ces projets : combien de personnes sont à mobiliser pour accompagner sereinement les chefs de projets ? Quelles sont les compétences attendues de ces équipes (expertise juridique, connaissances métiers, capacité à interagir avec les équipes IT et SSI, compétences de chef de projets,  …) ? Quelle mutualisation possible avec les filières existantes (RSSI, Conformité, RPCA, etc.) ?

Autant de questions auxquelles il conviendra de répondre afin d’assurer au Privacy By Design un déploiement réussi, élément clé pour que cette contrainte devienne une opportunité !

Cet article Privacy by design : anticiper pour mieux protéger (2/2) est apparu en premier sur RiskInsight.

Adopter une démarche de Privacy By Design c’est intégrer le respect de la vie privée dès la conception des projets, c’est-à-dire s’assurer de la pertinence des données collectées, comprendre les risques pour les personnes concernées, anticiper l’information et le droit d’accès, etc.

La Loi Informatique et Liberté, via l’article 34, demandait déjà au responsable de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » mais n’imposait pas explicitement la mise en oeuvre d’une démarche de Privacy By Design. De ce fait, peu d’organisations ont déjà mis en place une telle démarche.

Le Privacy By Design permet pourtant de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux.

Privacy By Design

Au regard des échéances réglementaires, et afin de mieux traiter les contraintes de conformité, les premières initiatives de Privacy By Design débutent et se multiplient. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Concevoir une méthodologie de Privacy Impact Assessment pragmatique

Plutôt que de repartir de zéro, il convient comme souvent de s’inspirer des travaux de réflexion menés par ses pairs. En particulier, la CNIL a décidé d’accompagner les responsables de traitements désireux de s’engager dans le Privacy By Design en publiant en juillet 2015 une version révisée de son guide de gestion des risques sur la vie privée. Elle l’adapte ainsi au positionnement du règlement européen et aux retours d’expérience en proposant une méthodologie pour mener des Privacy Impact Assessment (PIA).

Le guide décrit la façon d’employer la méthode EBIOS, déjà très connue et reconnue pour la sécurité de l’information, sur le sujet Informatique et Libertés. Les deux premières étapes visent respectivement à identifier le contexte particulier aux traitements mis en œuvre par le projet et à identifier les mesures nécessaires au respect des principes juridiques fondamentaux : respect de la finalité, pertinence des données collectées, information des personnes, exercice des droits, sécurité des données, accomplissement des formalités. Puis vient l’étape dite d’analyse des risques durant laquelle les menaces pertinentes sont identifiées et associées aux évènements redoutés suivant trois grands types : accès illégitime, modification ou disparition des données personnelles. Les risques liés à la conformité Informatique et Libertés sont alors évalués en termes de gravité et de vraisemblance et font l’objet d’une décision quant à leur acceptation.

La méthodologie d’analyse de risques EBIOS vise l’exhaustivité dans l’analyse des risques encourus. Cette exhaustivité impose généralement aux organisations qui l’utilisent pour leurs analyses de risques SSI de s’appuyer sur des équipes d’intégration de la sécurité dans les projets à même de consacrer suffisamment de temps à l’accompagnement des chefs de projets et en mesure de maîtriser la méthodologie, souvent perçue comme complexe au premier abord.

Les équipes en charge de la conformité ne sont généralement ni organisées ni dimensionnées pour réaliser un accompagnement de tous les projets d’une organisation sur la base d’une méthodologie aussi chronophage.

La conduite systématique d’analyses de risques EBIOS pour encadrer les risques Informatiques et Libertés apparaît alors souvent comme trop ambitieuse au regard des ressources à engager et risque ainsi d’alourdir de façon démesurée la charge du chef de projet et donc d’entraver le bon déroulement de la méthodologie projet.

Il reviendra donc au Correspondant Informatique ou Liberté (CIL) ou futur Data Privacy Officer (DPO) d’adapter et de simplifier la méthodologie d’analyse de risques qu’il souhaite déployer aux capacités d’accompagnement de ses équipes. Plusieurs pistes sont envisageables : réalisation d’un questionnaire simple de pré-qualification du risque pour prioriser les efforts entre les projets, limitation du nombre de scénarios de risques étudiés, réduction des listes de menaces applicables dans le contexte, préidentification des risques types, etc.

S’intégrer dans la méthodologie Projet existante

Un écueil souvent rencontré pour de nouvelles méthodologies : vouloir s’appuyer sur un nouveau processus, propre au sujet traité (ici la mise en conformité LIL3), qu’il faudra alors déployer dans l’organisation. Évangélisation chronophage, non connaissance des méthodes de travail des chefs de projets, redondance dans les demandes : autant de raisons justifiant l’échec probable de cette orientation.

Le CIL devrait plutôt chercher à s’intégrer dans le processus de gestion de projet existant : étapes clés, comités, livrables, etc. Des équipes (responsable méthode ou qualité par exemple) ont en général la responsabilité des méthodologies projet et peuvent accompagner le CIL dans sa compréhension et challenger ses propositions d’amendements.

Depuis plusieurs années de nombreuses organisations ont d’ailleurs déjà amendé leur processus de gestion de projet pour y intégrer les exigences de sécurité SI. Un exercice dont la réussite dépend souvent d’une bonne répartition des travaux au sein des grandes phases d’un projet. Il se décompose en plusieurs phases :

• Étude préalable : appréciation de la criticité du projet afin d’identifier les projets les plus sensibles et prioriser les efforts d’accompagnement. Une analyse de risques SSI détaillée sera seulement conduite pour les projets les plus sensibles.
• Conception : identification des exigences de sécurité à prendre en compte par chacun des acteurs.
• Mise en œuvre : suivi de la bonne mise en œuvre des mesures choisies pour répondre aux exigences.
• Recette : conduite d’une recette sécurité qui valide la prise en compte des exigences sécurité et l’efficacité des mesures mises en place. Elle est souvent accompagnée d’un audit de sécurité ou de tests d’intrusion.

Les enjeux étant similaires, la même méthodologie est tout à fait adaptable dans un contexte de Privacy By Design. Les erreurs à éviter seront alors les mêmes : sous dimensionnement des équipes en charge d’accompagner les chefs de projets, complexité de la méthode, absence ou réalisation trop tardive de la recette visant à valider la conformité en fin de processus, non implication des acteurs en charge de la conformité dans les comités clés.

Idéalement, le Privacy By Design cherchera à faire évoluer la méthodologie existante d’intégration de la sécurité dans les projets, celle-ci étant déjà rodée et bien connue des acteurs du projet.

La 2^ème partie publiée le mois prochain reviendra sur les deux autres facteurs clés de succès à prendre en compte : concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Cet article Privacy by design : anticiper pour mieux protéger (partie 1) est apparu en premier sur RiskInsight.

Quel changement pour les entreprises ?

Mise en place du Privacy by Design

(Articles 23, 30, 32a, 33a et 33)

Première nouveauté, les entreprises devront définir et mettre en œuvre des procédures permettant d’intégrer les problématiques liées à la manipulation des données personnelles dès la conception de nouveaux services.

Cette démarche s’accompagne de l’obligation de réaliser des analyses de risques relatives à la vie privée des personnes (discrimination, diffusion de données confidentielles, etc.) préalablement à la mise en place des traitements les plus sensibles et à chaque modification du traitement.

Face aux risques sur la vie privée des personnes induits par ces traitements, il sera imposé aux entreprises d’adopter des mesures de sécurité adéquates en vue de les maitriser.

Concrètement que retenir du Privacy by Design ? Une mise à jour de la méthodologie projet afin d’identifier au plus tôt les traitements sensibles et une méthode d’analyse de risques à définir et outiller. Il sera pour cela possible de s’inspirer des guides pratiques de la CNIL intitulés « Etude d’impact sur la vie privée », qui seront à simplifier et contextualiser aux besoins spécifiques de l’entreprise.

Responsabilisation ou « Accountability »

(Articles 22 et 28)

Toute entreprise devra désormais être capable de prouver sa conformité vis-à-vis du règlement.

Cette exigence se traduit par :

• l’adoption d’une politique cadre de gestion des données à caractère personnel ;
• une organisation associée ;
• des procédures opérationnelles déclinant les thèmes du règlement (information, respect des droits des personnes, transfert à des sous-contractants, etc.).

L’entreprise devra également être en capacité de prouver l’application de ces politiques et donc, de mettre en place des processus de contrôle.

L’occasion de parler de la personne qui illustrera ce principe d’ « Accountability » : le DPO (pour Data Protection Officer). Il devient quasiment obligatoire et remplace le CIL actuel.

Concernant ce DPO, le texte entérine l’obligation de lui fournir le personnel, les locaux, les équipements et toutes les autres ressources nécessaires pour mener à bien ses missions. Encore une fois le parlement souhaite aller au-delà de cette exigence : il propose de nommer au sein de la direction une personne responsable du respect du règlement.

Comment appliquer ce principe ? Il sera nécessaire de définir a minima une politique avec des règles de protection des données ainsi qu’’un plan de contrôle et de formation. Cette politique pourra par exemple s’inspirer du modèle des BCR « Binding Corporate Rules », dont le principe a été entériné dans le futur texte, pour lesquelles des modèles types et des premiers retours d’expérience existent déjà.

Obligation de notification des fuites (articles 31 et 32)

L’ensemble des parties s’accordent sur l’obligation de notification des fuites aux autorités. Le Parlement propose même que les entreprises mettent en ligne un registre listant les types de brèches de sécurité rencontrées. Il sera intéressant de constater comment cette exigence cohabitera avec les législations nationales en matière de sécurité et la protection des intérêts de la nation qui tendent à limiter la diffusion de ce type d’information.

La notification de fuites aux personnes concernées, quant à elle, n’est obligatoire que si l’entreprise n’est pas en mesure de démontrer qu’elle a mis en œuvre des mesures afin de rendre cette fuite sans conséquence. D’où l’intérêt d’effectuer correctement l’analyse de risques, de définir et d’implémenter des mesures appropriées.

Au final, deux recommandations afin d’anticiper le futur règlement sur ce point :

• un processus de gestion des fuites de données à définir en l’orchestrant avec les dispositifs de gestion de crise existants et les processus de relation client,
• la réalisation d’exercices réguliers afin de tester son efficacité avec tous les acteurs concernés.

Une mise en conformité à anticiper

Au-delà de ces trois nouveautés majeures, d’autres modifications plus limitées en termes d’impacts organisationnels sont également à prendre en compte, comme la création du droit à la portabilité ou l’extension de la liste des données sensibles. On peut par ailleurs noter le renforcement d’obligations existantes comme le droit à l’information et le recueil du consentement. Le diable se nichera dans les détails.

Pour conclure, les deux années de mise en application du règlement ne seront pas de trop (soit une mise en conformité d’ici début 2018) et nous ne pouvons que conseiller d’initier la mise en conformité dès 2016, avec le cadrage et le lancement des premiers chantiers majeurs. D’autant plus que le sujet devient de plus en plus visible médiatiquement (condamnation récente de Boulanger, Google et l’application du droit à l’oubli, etc.) et que les sanctions financières deviennent réellement significatives (entre 2 et 5% du chiffre d’affaire mondial). L’occasion pour toutes les entreprises de communiquer largement sur les principes de respect de la vie privée effectivement appliqués.

Cet article Nouveau règlement européen sur la protection des données personnelles : anticiper les 3 impacts majeurs est apparu en premier sur RiskInsight.

Quel est le contenu de la proposition ?

Troisième temps fort dans l’avancée du règlement européen, le Conseil de l’Union Européenne a adopté ce lundi 15 juin une position commune. Attention, cela ne signifie pas que le texte soit prêt à être publié. En effet, après le Parlement Européen qui avait amendé et voté le texte proposé par la Commission Européenne, c’est maintenant le Conseil de l’Union Européenne qui vient de faire de même. Reste maintenant aux trois parties de trouver un accord sur un texte définitif. Cet accord représente avant tout une grande avancée : désormais le Parlement et le Conseil disposent d’un délai établi pour parvenir à un accord.

Rentrons dès à présent dans le vif du sujet, que contient cette proposition ?

Tout d’abord des évolutions sont attendues sur la liste des données sensibles. Celle-ci a été réduite, en particulier les données biométriques et celles relatives aux infractions pénales n’en font plus parties. L’utilisation des données judiciaires est cependant soumise à l’aval d’une autorité compétente. Par ailleurs, le texte précise que l’utilisation d’un identifiant national unique (ex : le NIR en France) sera sujette à une réglementation nationale.

Par rapport à l’assouplissement du droit à l’information, le délai de réponse passe de quarante jours à un mois mais la transmission des catégories de données collectées n’est plus obligatoire. Il est également à noter que le droit à l’oubli fait son retour. Il avait été renommé droit à l’effacement par le Parlement. Son contenu n’est cependant pas modifié. Même traitement pour le droit à la portabilité, cette fois-ci sans obligation concernant le format de restitution des données. Il est intéressant de noter que le nouveau texte crée un droit de « Restriction of Processing ». Il s’agit de l’application cumulée du droit à l’oubli et du droit à la portabilité. Les données sont restituées puis supprimées.

Chaque organisation aura l’obligation de nommer un DPO quelle que soit sa taille, cependant il pourra être mutualisé. Le principe d’accountability reste présent mais le conseil ne souhaite pas imposer la réalisation d’une analyse de risques, seulement une analyse d’impacts (sans obligation de la renouveler tous les 2 ans). Le texte supprime également l’obligation systématique de notification des fuites de données aux autorités de protection. Elle sera désormais limitée aux fuites possédant un « risque important sur les droits et les libertés du sujet » (dans un délai de 72h).

Le conseil s’est aligné sur la position de la Commission en diminuant le montant des amendes et a introduit une gradation de leur montant suivant les infractions : trois seuils sont définis : 250.000€ ou 0,5% du CA, 500.000 € ou 1% du CA et 1.000.000 € ou 2% du CA.

Dernier point intéressant à noter, le nouveau texte entend rendre obligatoire l’open data pour les administrations. Les entreprises seront libres d’utiliser ces données.

Un règlement d’ici la fin de l’année 2015 ?

Le processus d’adoption du règlement est long et complexe, il s’agit de la « Procédure Législative Ordinaire ». Elle permet une écriture coordonnée du texte entre le Parlement Européen et le Conseil de l’Union Européenne. Il s’agit de la principale procédure législative par laquelle les textes sont adoptés.

Le texte a initialement été proposé par la Commission Européenne le 25 janvier 2012. Le 12 mars 2015, le Parlement a adopté une nouvelle version du texte en première lecture (après de nombreux groupes de travail en interne et avec la Commission). La proposition a ensuite été soumise au Conseil (qui regroupe les représentants des États, dans notre cas, les ministres de la justice). Si ce dernier avait approuvé le texte en l’état, la procédure aurait été close. Dans notre cas, le Conseil a proposé une nouvelle version du texte. Ceci clôt la première étape de la procédure dite « la première lecture ».

Débute alors la phase de seconde lecture, semblable à la première à l’exception du fait que les parties disposent désormais chacune d’un délai pour voter le texte (3 mois + 1 mois si nécessaire). Si le consensus n’est pas atteint, c’est à dire si le Conseil amende à nouveau la proposition du Parlement, le texte rentrera dans la troisième et dernière phase, la phase de conciliation.

Au cours de cette dernière étape, les trois parties disposent d’un délai de six semaines (+2 si nécessaire) pour mettre en place un groupe de négociation, appelé « trilogue ». Il disposera à son tour de six semaines (+2 si nécessaire) pour parvenir à un accord.

Le Parlement a cependant annoncé que, pour raccourcir les délais, la phase de trilogue démarrera de manière informelle dès le 24 juin. Quel intérêt ? La version votée par le Parlement aura été rédigée en accord avec la vision du Conseil, qui n’aura plus qu’à la valider. Résultat : un accord dès la fin de la seconde lecture et une adoption du texte avant la fin de l’année.

Que retenir ?

Premièrement, la fin de l’enlisement du règlement avec une volonté de l’ensemble des acteurs, tant publics que privés, d’aboutir rapidement à une version finale. Deuxièmement, une mise en conformité complète des entreprises d’ici fin 2017 (deux ans de délai d’application). Et pour terminer, de nombreux concepts dont les contours se dessinent de plus en plus finement, et qui nécessitent d’être anticipés au plus tôt. Pour plus de détails sur ces concepts, vous pouvez consulter cet article.

Cet article Données à caractère personnel : un pas de géant en faveur de l’adoption du règlement européen ? est apparu en premier sur RiskInsight.

Entre 50 et 70 milliards d’objets connectés dans le monde à horizon 2020

La plupart de ces objets connectés seront portés sur les individus (wearables) ou utilisés quotidiennement. Parmi ceux qui sont au cœur de l’actualité de l’International CES 2015, on peut citer le cuissard connecté de Cityzen Sciences ou la brosse à dents connectée pour enfants Vigilant Rainbow. Ces objets produisent automatiquement des données concernant notre corps et notre mode de vie qui, considérées individuellement, peuvent sembler anodines. Mais la finalité assumée par les services de quantified self est le recoupement des données collectées qui peut mener à un certain nombre de corrélations et définir des tendances générales sur la santé des personnes.

Donnée de santé ou donnée de bien-être ?

Les données produites par des objets connectés peuvent être distinguées en deux catégories : les données de santé et les données de bien-être. La frontière entre ces deux types de données est à ce jour encore floue du fait de l’absence de définition précise de la donnée de santé. Ceci rend difficile l’application d’une réglementation à ces données issues d’objets connectés.

Les données de santé à caractère personnel, « recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins » ( Art. L. 1111-8 du Code de la Santé Publique ) sont soumises à un certain nombre de réglementations, notamment concernant leur hébergement. Les hébergeurs de données de santé doivent assurer un niveau de protection maximal face à ces données, considérées comme sensibles. Mais que dire des données recueillies par un bracelet connecté ou une application mobile ? Doivent-elles être soumises à cette réglementation puisqu’elles portent plutôt sur le mode de vie des utilisateurs ? Ce sont les questions que se pose aujourd’hui la Commission Nationale de l’Informatique et des Libertés (CNIL) qui se penche sur l’utilisation et la sécurisation de ces données.

La CNIL redoute les dérives du quantified self

La CNIL redoute que les données collectées par des objets connectés ne soient utilisées à titre commercial. L’encadrement de la protection et de l’utilisation de ces données est aujourd’hui nécessaire pour éviter les dérives. Les 16 et 17 septembre 2014, les autorités de l’Union Européenne de protection des données ont adopté un avis sur l’Internet des objets. Il propose des recommandations pratiques aux acteurs (fabricants d’appareils, développeurs d’applications, plateformes sociales, etc.) pour se conformer au cadre réglementaire européen sur le traitement des données collectées par des « objets intelligents ». Les recommandations mentionnent à la fois les obligations des acteurs, les droits des utilisateurs et les mesures de sécurité à mettre en œuvre. En particulier, recueillir le consentement des utilisateurs et leur permettre de rester maîtres du partage de leurs données, sont des actions qui rassurent leurs utilisateurs clients. En suivant ces recommandations des autorités européennes, les acteurs peuvent disposer d’un avantage concurrentiel.

Les objets connectés sont de plus en plus « proches » de notre corps pour nous permettre de mieux nous connaître, par des mesures continues et automatiques. Nous arrivons aujourd’hui à une nouvelle conception de l’individu, fait d’un corps et de données. La question aujourd’hui est de savoir jusqu’où ira cette volonté de connaissance de soi et si nous serons dépendants de ces objets connectés qui nous entourent au quotidien ou réactifs face aux risques qu’ils impliquent.

Cet article Quantified self : jusqu’où aller pour mieux se connaître ? est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Une législation « permissive » aux États-Unis, une opportunité pour les data brokers

Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d’internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, …). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu’il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic…), chacun pouvant détenir plusieurs centaines de milliards de données ! Un marché qui ne cesse d’augmenter, à l’ère du Big Data et de l’explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain.

En effet, il n’existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L’approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d’un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l’information ou le droit à la rectification tels que nous les connaissons, sont absents.

Une amorce de prise de conscience pour une législation renforcée aux États-Unis…

 La FTC s’est penchée sur la question de ce vide juridique vis-à-vis des data brokers et a livré ses recommandations dans un rapport publié en Mai 2014. L’autorité préconise des dispositions législatives, déjà présentes dans les différentes réglementations en Europe, comme le droit de rectification, le droit d’opposition, le droit à l’information et le droit d’accès. En outre, la FTC recommande aux data brokers de prendre des précautions pour renoncer à la collecte d’informations relatives à des mineurs ainsi que de considérer les enjeux de la vie privée dans toutes les étapes du traitement des données : c’est le principe du « Privacy by Design » (on retrouve d’ailleurs ces deux notions dans le projet de futur règlement européen). Ce rapport a permis de mettre sur le devant de la scène le sujet des données personnelles aux États-Unis. Cette tendance risque certainement de s’amplifier avec le discours du ministère de la Justice de l’administration Obama du 25 juin dernier qui s’est engagé à légiférer plus largement sur la protection des données personnelles.

Avant les États-Unis, d’autres pays ont légiféré… avec difficulté

 De nombreux pays ont récemment tenté de légiférer dans ce  sens,  en s’inspirant plus ou moins fortement des principes européens. C’est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l’Inde (2013), du Brésil (2014), ainsi que de nombreux pays d’Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l’intérêt croissant des pays « dits » émergents pour ce sujet qui n’est plus uniquement une question européenne.

L’Europe est-elle en passe d’imposer sa vision sur le traitement des DCP ?

Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l’événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s’appuie sur des principes bien connus en Europe.
En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s’ajouter au modèle européen ou l’Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain ? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s’inscrire dans une optique européenne de protection que dans la logique permissive historique outre atlantique.

Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l’USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie…

Cet article Législation américaine sur les « data brokers » : une influence limitée sur la gouvernance mondiale des données personnelles ? est apparu en premier sur RiskInsight.

Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent personne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

Cet article Fuite de données personnelles : comment stopper l’hémorragie ? est apparu en premier sur RiskInsight.

Google a été mis en demeure par la CNIL en raison de plusieurs manquements à la loi du 6 janvier 1978 modifiée. Pour autant, la sanction prononcée (qui n’équivaut qu’à 0,0003 % du chiffre d’affaires mondial de Google en 2012) s’apparente finalement plus à l’octroi d’un laisser passer qu’à une mise en garde à toutes les organisations manipulant des données à caractère personnel. En effet, au regard de la multiplicité des facteurs aggravants (nombreux écarts à la loi sur des traitements sensibles, nombre de clients concernés, non coopération de Google), une telle condamnation peut paraître rassurante pour une organisation « plus classique », qui ne craindra alors que des sanctions minimes.

Toutefois, l’autre versant de la sanction, la publication de la décision sur google.fr et ce pendant 48 heures, est certainement une plus grande victoire. Au-delà de la bataille financière, difficile à gagner sans décisions européennes communes et convergence des sanctions, la bataille médiatique a elle certainement été remportée par la CNIL. L’information a été massivement relayée par la presse et Google a cherché, à l’aide d’un recours en référé devant le Conseil d’État, à démontrer que cela lui porterait un préjudice irréparable (ce qui n’est certainement pas le cas de la sanction financière).

En définitive cette sanction, de par ses deux volets (financier mais surtout médiatique), a le mérite d’avoir mis en lumière le non-respect de la loi Française par Google. Elle s’inscrit ainsi dans la démarche pédagogue de la CNIL.

Espérons enfin qu’avec le futur règlement européen et ses sanctions à hauteur de 2% du CA mondial de l’entreprise, les autorités européennes pourront également rééquilibrer la balance entre sanction médiatique et sanction financière.

Cette condamnation met effectivement en lumière la nécessité des prochaines évolutions réglementaires. Concernant le futur règlement européen, un point essentiel est le principe dit du « guichet unique ». Que pensez-vous de cette volonté de simplification des procédures ?

Le principe dit du « guichet unique » a pour vocation de simplifier les démarches des citoyens (une seule autorité de contrôle serait compétente pour contrôler/sanctionner un traitement, même transfrontalier), en désignant un unique interlocuteur de référence.

Mais ce guichet unique devrait également permettre de garantir une application cohérente, pour tous les citoyens et quel que soit les pays, du futur règlement.

Or, les autorités de contrôle sont aujourd’hui disparates en termes d’historique, d’effectifs, de modes de fonctionnement et de maturité vis-à-vis de la protection des données à caractère personnel. Le projet actuel entrainera donc une possible hétérogénéité dans l’application de la loi (chaque pays ayant son interprétation des textes en fonction de son historique) voire un transfert des traitements dangereux vers les autorités les plus tolérantes.

À défaut de mettre en œuvre une autorité unique européenne, et plutôt que de concentrer la responsabilité sur une unique autorité nationale, mettre en place un système de coopération entre les autorités semble répondre aux enjeux et à l’ambition du règlement. Ainsi, il me semble plus opportun de mettre en œuvre le guichet unique au niveau de l’autorité nationale du citoyen concerné par le traitement, laquelle aurait alors pour charge de se coordonner avec la / ou les autorités concernées par le traitement et de piloter la codécision. Cela simplifierait réellement les démarches pour les citoyens, favoriserait l’homogénéisation au niveau européen et éviterait toute tentation de « forum-shopping »

Quels sont pour vous les autres points du futur règlement qui permettraient de faire évoluer positivement le traitement des données à caractère personnel ?

Si je ne devais en citer que trois, je pense tout d’abord à l’obligation de désignation d’un DPO (Data Privacy Officer), futur équivalent du CIL. Le principe d’accountability permettra lui de passer d’un modèle déclaratif à un modèle démonstratif (de la preuve), à même de favoriser la coopération (plutôt que la sanction) entre les autorités de contrôles et les entreprises. Enfin, l’obligation de notification des failles de sécurités aux autorités de régulations, qui devrait pour sûr encourager toutes les organisations à anticiper leurs crises « données personnelles ».

En définitive, selon vous, qu’est ce qui aurait changé dans la condamnation de Google avec le nouveau règlement ?

Un montant de sanction bien plus conséquent, et donc plus dissuasif !

Mais à mon sens, la sanction ne peut tout résoudre. La coordination des autorités nationales en vue de faire évoluer les pratiques de Google y participerait tout autant. Une sanction européenne commune ou à minima coordonnée, plutôt que plusieurs sanctions locales, aurait permis à la position européenne d’être plus claire.

C’est, selon moi, ce qui change fondamentalement avec ce nouveau règlement : un renforcement des autorités nationales et une volonté de les faire collaborer afin de faire progresser la protection des données à caractère personnel.

Cet article Quelles seront les prochaines évolutions en matière d’informatique et libertés ? est apparu en premier sur RiskInsight.

Les accords SWIFT et l’accord commercial TTIP visés

Le parlement européen estime ainsi que « la lutte contre le terrorisme ne peut justifier une surveillance de masse secrète et illégale » et menace, d’une part, de ne pas donner son approbation à l’accord commercial TTIP UE-États-Unis qui prévoit une zone de libre-échange transatlantique et d’autre part de suspendre les accords SWIFT et les principes du Safe Harbor.

Les accords SWIFT, qui permettent aux autorités américaines d’accéder aux données bancaires européennes stockées sur le réseau du même nom afin de lutter contre le terrorisme sont remis en cause par le parlement car les américains ont outrepassé les conditions de protection de la vie privée des citoyens prévus dans ces accords. Quant au Safe Harbor, il postule  que les  sociétés américaines y adhérant garantissent un niveau de protection des données équivalent à celui du droit européen. Cependant, il ne s’agit que d’un postulat théorique…

Safe Harbor, un accord obsolète ?

En effet, les révélations sur les capacités d’écoute et d’action de la NSA aux États-Unis (PRISM) démontrent, de fait, les limites de protection des données à caractère personnel transférées aux États-Unis. Par ailleurs, l’accord Safe Harbor date des années 2000, époque à laquelle il n’avait pas été envisagé le quasi-monopole des acteurs américains sur Internet et donc le transfert de données massif inhérent à cette position dominante. Enfin, cet accord est souvent critiqué parce qu’il repose trop sur le bon vouloir des entreprises et que les moyens de contrôle relatifs à son application sont trop faibles.

Ce n’est pas le premier coup de semonce porté par le parlement européen sur le sujet, qui réaffirme ici sa position : la nécessité d’un nouveau Safe Harbor afin d’en faire une réglementation contraignante.

Un Safe Harbor 2.0 est-il possible ?

À ce titre le parlement européen a formulé treize recommandations à destination des États Unis afin de faire évoluer le fonctionnement de cet accord. En synthèse, ces propositions appellent à plus de transparence, de contrôle et de sanction et réaffirment les principes forts du règlement européen (loyauté, proportionnalité, …). Toutefois, si le besoin de renforcer la sécurité des données à caractère personnel stockées outre atlantique est incontestable, les évolutions à venir doivent faire preuve de pragmatisme et concilier des approches parfois antagonistes entre les deux continents. Les américains comprennent ainsi difficilement certaines notions comme le « droit à l’oubli » et centrent principalement la protection des données via la protection du consommateur. L’approche américaine est ainsi avant tout économique quand celle des européens est avant tout protectrice.

Une modification du Safe Harbor ne peut donc se faire sans une étroite coopération transatlantique sous peine de blocage économique important… affaire à suivre.

Cet article Le parlement européen répond frontalement à la NSA est apparu en premier sur RiskInsight.

Toutes les organisations sont aujourd’hui susceptibles d’être concernées pas des failles, voire des attaques, liées aux données à caractère personnel qu’elles manipulent. Les multiples exemples relayés ces dernières années par les médias l’illustrent : condamnation de la CNIL, failles révélées dans le SI, plaintes d’utilisateurs,… Même si une application scrupuleuse de la loi participe à la diminution du risque, elle ne peut garantir l’absence d’incident.

De ce fait, les organisations manipulant des données personnelles ne doivent plus se demander si ce type d’incident pourrait arriver, mais plutôt quand il va survenir et quels en seront les impacts.

La crise “données personnelles” doit être anticipée et préparée

Le récent « bug Facebook »  l’illustre bien, les impacts seront d’autant plus importants aujourd’hui que le grand public est attentif à ces problématiques.

Pour rappel, lors de l’activation de la nouvelle page Timeline, certains utilisateurs se sont plaints de la publication de messages privés sur leur mur. Une faille a d’abord été soupçonnée.. Après enquête de la CNIL, il s’agit d’anciennes publications de mur à mur quela Timeline a fait ressortir. Quelle que soit la cause, la réaction démesurée des utilisateurs à la possible publication non maîtrisée de données qu’ils considèrent comme privées montre bien la sensibilité quasi-épidermique du public sur le sujet.

Les multiples prises de position des utilisateurs, de la presse, ainsi que de la classe politique illustrent à quel point cette problématique est devenue médiatique. La ministre déléguée à l’économie numérique, Fleur Pellerin, a conseillé hâtivement de porter plainte si la faille était avérée. De son côté la CNIL, considérant que la confusion des utilisateurs est sans doute liée aux changements unilatéraux et récurrents des paramètres de vie privée en 2009 et2010, a demandé à Facebook de lui transmettre les mesures que l’entreprise américaine comptait mettre en œuvre afin de respecter ses recommandations.

Facebook s’est bien entendu défendu de toute « atteinte à la vie privée », expliquant avant la CNIL l’origine de la confusion. La rapidité de la prise de parole n’a cependant pas empêché que l’image du site et la confiance de certains utilisateurs ne soient écornées.

Cet exemple a permis de mettre en lumière que l’incident de confidentialité (fuite, mauvais traitements) de données personnelles est devenu un type de crise à traiter par les organisations. Elles doivent dès lors amender leurs dispositifs de gestion de crise afin d’y intégrer les dispositions propres à ce type de sujet (processus de détection et de qualification spécifique, experts juridique mobilisables, …). En particulier, au regard de la nouvelle, et forte sensibilité du public, une attention toute particulière devra être portée à la maîtrise de la communication de crise. Le « bug Facebook » l’a montré, la crise peut davantage être liée à la communication autour de l’évènement qu’à la faille en elle-même.

Il reviendra alors au Correspondant Informatique et Libertés de mobiliser les différents acteurs concernés (responsable du processus de crise, département relation client, service juridique, experts sécurité) au sein de groupes de travail afin de définir les processus et dispositifs à mettre en place le jour « J » (moyens d’alertes, plan de communication, …).

Le projet de règlement européen relatif  à la protection des données personnelles rendra d’ailleurs ces aspects d’autant plus essentiels, l’obligation de notification de toute fuite de données personnelles devant se traiter au sein d’un dispositif ad-hoc impliquant l’entreprise mais aussi des acteurs externes, afin d’éviter que la crise prenne une ampleur préjudiciable pour les personnes concernées et l’entreprise.

Seule une analyse de risques permettra d’anticiper au mieux la crise

Pour anticiper et traiter au mieux ces crises, l’organisme devra se poser la question des risques afférents à la manipulation des données personnelles, et construire des plans d’actions proportionnels aux impacts anticipés.

Cette démarche, en ligne avec les exigences de la loi informatique et libertés (cf. article 34 : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement) et certainement du futur règlement européen, pourra être menée à l’aide des méthodes classiques d’analyse de risques bien connues des Responsable de la Sécurité des SI (les guides « Gérer les risques » et « Mesures pour traiter les risques » publiés par la CNIL pourront également être utilisés).

L’enjeu vis-à-vis de ces données personnelles ne sera donc plus uniquement de se conformer aux exigences de la loi mais bien d’identifier les risques potentiels et les crises probables. Il reviendra alors à l’organisme de traiter en priorité les traitements comportant le plus de risques, notamment ceux pouvant la mettre en péril en cas de fuite de données personnelles.

Cet article Protection des données personnelles : la conformité à la loi ne suffit plus ! est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.

Les chiffres donnent le vertige : lors de la préparation de son introduction en Bourse, Facebook a évalué ses 850 millions d’amis à 100 milliards de dollars.

De son côté, Google recentre de plus en plus ostensiblement son business model sur la collecte et la valorisation des données relatives à ses utilisateurs et du profilage qu’il en déduit.

Car ces données à caractère personnel constituent bien, des mots mêmes de Viviane Reding, la devise des marchés numériques d’aujourd’hui. Et la commissaire européenne à la Justice d’en déduire : et comme toute monnaie, celle-ci requiert stabilité et confiance. Ce n’est que lorsque les consommateurs pourront avoir pleinement confiance en la protection de leurs données qu’ils continueront à les confier aux entreprises et autorités, à acheter en ligne et à accepter de nouveaux services.

La vie privée à l’heure des nouvelles frontières du numérique

Jusqu’à présent, le droit européen en matière de protection des données à caractère personnel se fonde sur une Directive de 1995, écrite alors qu’Internet n’en était qu’à ses balbutiements.

Depuis, la part d’Internet dans les communications mondiales est passée de 1% à plus de 97%. Cette internationalisation des échanges de données, en parallèle de la monétisation croissante des données, met en évidence les limites et insuffisances de la législation actuelle.

En ce sens, le projet de refonte dévoilé le 25 janvier dernier est doublement intéressant.

Tout d’abord, là où l’on attendait une nouvelle Directive, la Communauté a publié un Règlement : bien loin d’une coquetterie de juriste, il s’agit d’affirmer une approche radicalement différente de celle qui était jusqu’alors en œuvre et fortement décriée. Un Règlement a ceci de spécifique qu’il s’applique directement aux membres, sans qu’ils aient à l’intégrer à leur droit national. En effet, alors que les frontières existent de moins en moins pour les flux de données, il a été estimé que les disparités dans les traductions nationales du droit communautaire en la matière coûtent à elles seules jusqu’à 2,3 milliards par an aux entreprises.

L’objectif, réaffirmé en introduction du document, est donc bien de s’adapter à un monde ouvert et d’harmoniser la protection des données au niveau européen.

Les enjeux, ensuite, ont très clairement évolué. En 1995, le législateur mettait le citoyen au cœur de ses préoccupations, puisqu’il entendait le protéger contre l’informatisation croissante des entreprises et des États. En 2012, maturité aidant, les enjeux économiques et commerciaux sont passés au premier plan : il ne s’agit plus uniquement de protéger la vie privée – ce droit à la vie privée est passé dans les mœurs – mais d’apporter confiance au citoyen (et consommateur) et sécurité juridique aux opérateurs privés et publics.

Les réseaux sociaux en ligne de mire

Un Règlement donc, pour la forme.

Sur le fond, cette proposition s’attaque sans surprise aux nouveaux enjeux liés au développement des réseaux sociaux.

Elle pose ainsi de nouvelles règles, spécifiques au traitement des données à caractère personnel relatives aux enfants de moins de 13 ans, qui sera désormais soumis à l’autorisation de leurs parents. Elle instaure également explicitement un droit à l’oubli numérique, y compris pour les données rendues publiques par la personne. Les pratiques de profilage, telles que celles mises en œuvre par Google, requerront quant à elles le consentement explicite des personnes concernées.

En réaction à la démocratisation d’Internet, elle rend de plus obligatoire la mise en place de canaux électroniques pour l’exercice des droits d’accès et de modification, tout en imposant un délai raisonnable du traitement des demandes.

Une amende à 500 millions de dollars

Si chaque État reste maître dans la définition des sanctions pénales en cas de non-respect des exigences du Règlement, les sanctions administratives sont, elles, considérablement augmentées puisqu’elles pourront atteindre 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise. À titre d’illustration, la sanction maximale prononcée l’année dernière par la CNIL à l’encontre de Google s’élevait à 100 000 €. Demain, elle pourra s’élever à près de 500 millions de dollars…

Vers l’obligation d’un système de management de la protection des données à caractère personnel

Ultime raffinement de l’existant, directement inspiré des meilleures pratiques du marché, cette proposition de Règlement pourrait accélérer la mise en œuvre de systèmes de management de la protection des données à caractère personnel.

On connait les systèmes de management tels que définis dans les normes ISO : par exemple, la qualité, dans l’ISO 9001 (SMQ), la sécurité, dans l’ISO 27001 (SMSI), ou encore l’environnement, dans l’ISO 14001 (SME).

De manière analogue, figurent en effet explicitement dans le texte :

• A l’instar de l’analyse de risque, qui guide la mise en œuvre des mesures de sécurité dans un SMSI, l’obligation :

– De conduire des analyses d’impacts relatifs à la vie privée sur les traitements les plus sensibles.

– De prendre en compte la protection des données à caractère personnel dès la conception des systèmes (le privacy by design anglo-saxon), en fonction des coûts des mesures de sécurité et de l’état de l’art en la matière.

• A l’instar du contrôle, ensuite, qui fonde l’amélioration continue dans les différents systèmes de management cités, un devoir d’audit de l’efficacité des mesures par le responsable de traitement.

Argument complémentaire, si besoin en était, pour la mise en place de tels systèmes : si les formalités déclaratives disparaissent, en contrepartie de l’obligation de désigner officiellement un correspondant aux données à caractère personnel (le CIL français), l’obligation de notification des violations aux traitements de données à caractère personnel, actuellement valable pour les opérateurs télécoms, s’appliquera à l’ensemble des secteurs.

Les critiques de la CNIL

Ce projet de Règlement constitue ainsi une volonté de synthèse entre les meilleures pratiques du marché et des réponses pragmatiques aux difficultés des organismes, en particulier multinationaux, à répondre aux exigences actuelles.

Dans sa volonté d’harmonisation et de renforcement de la coopération européenne en la matière, la Commission propose ainsi un fonctionnement en mode guichet unique : si le justiciable peut s’adresser à l’autorité de contrôle (les CNIL européennes) de son choix, chaque entreprise est placée sous la responsabilité d’une autorité unique, en fonction de la localisation de son siège européen.

Et c’est là que le bât blesse.

Dans un communiqué publié début mars, la CNIL s’est ainsi fait la voix des nombreux détracteurs de cet aspect du Règlement. Intitulé La défense de la vie privée s’éloigne du citoyen, cet article fait état de l’opposition ferme de la commission à ce principe, qui constitue, selon ses termes, une véritable régression vis-à-vis des droits des citoyens.

Pour autant, la majorité des autres points du Règlement ont d’ores-et-déjà emporté l’adhésion de nombreux spécialistes du sujets, juristes et opérationnels. Les organismes seraient donc bien avisés dès maintenant de les intégrer à leur réflexion afin d’être à même de respecter les futures exigences légales.

Et Facebook ne s’y est pas trompé, qui a fait figurer en bonne position parmi les risques mentionnés dans son dossier d’introduction en bourse le durcissement de la législation en matière de données à caractère personnel.

Cet article La vie privée à 27 : encadrer la ruée vers l’or numérique est apparu en premier sur RiskInsight.