L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.

Les cookies, vrais ou faux amis ?

Qui sont les cookies ?

Le cookie est un fichier texte (combinaison de chiffres et de lettres d’une taille maximale de 4 KB) déposé par un service web sur l’appareil – smartphone, tablette ou PC – de l’utilisateur. Ces informations permettent de reconnaître l’utilisateur au-delà d’une première visite ainsi que ses paramètres. Il existe de nombreuses catégories de cookies. Par exemple, certains cookies sont strictement nécessaires au bon fonctionnement d’une page web (ex. load balancing, session de l’utilisateur ou facilitation du shopping en ligne lors de l’ouverture de plusieurs sessions) ou permettent de produire des statistiques, dans ce cas, leur usage relève de l’intérêt légitime du responsable de traitement et ne nécessite donc pas la collecte d’un consentement (cf. délibération de la CNIL du 4 juillet 2019 relative à l’utilisation des cookies et traceurs). D’autres cookies ont pour objectif de mieux connaître l’utilisateur via l’analyse de sa navigation ou de ses habitudes de consommation. Ils nécessitent alors le recueil d’un consentement de la part de l’utilisateur dans la mesure où leur absence n’altère en rien le bon fonctionnement du site. Ces derniers – et plus particulièrement les “cookies tiers” ou “cookies de suivi” – interrogent quant au respect de la vie privée dans la mesure où ils permettent de suivre la navigation d’un utilisateur lors de ses visites de différents sites web, une activité également connue sous le terme “tracking”, qui permet de déduire des habitudes et de modes de vie des utilisateurs plus ou moins intrusives (centres d’intérêt, habitudes de consommation, lieux de vie ou mobilité, fréquentation de centre de soin, opinion politique, orientation sexuelle, sensibilité religieuse, etc.).

Ainsi, la CNIL distingue les catégories de cookies suivantes :

Attention, certains cookies de mesures d’audience peuvent être exemptés de consentement en fonction du choix et du paramétrage de la solution de mesure d’audience associée. Pour plus d’information sur les solutions de mesures d’audience nécessitant ou pas le consentement, se référer ici.

Les cookies comme réponse à des enjeux métiers dans un environnement concurrentiel

Si ces outils sont si utilisés aujourd’hui, c’est d’abord et avant tout parce qu’ils répondent à des besoins métiers, notamment pour les directions marketing/commerciales ou de la communication. D’une part, ils permettent d’offrir une expérience personnalisée en définissant ou en associant un “profil utilisateur” à leurs clients ou prospects. Pour que les campagnes marketing soient plus précises (mieux ciblées) ou pour toucher un plus grand nombre de personnes susceptibles d’être intéressées par le produit / service, ces entreprises ont souvent besoin d’enrichir leurs bases avec des cookies tiers et des segments marketing. Pour cela, elles s’appuient sur des prestations « clé en main » fournies par des régies publicitaires dont l’un des métiers est de vendre d’immenses bases de données de cookies (Criteo, RelevanC).

De manière générale on observe que les organisations qui utilisent ces cookies ont mis en place des outils permettant à l’utilisateur de décider lui-même s’il souhaite les accepter ou non en fonction de leurs finalités. Mais certaines pratiques sont loin d’être totalement transparentes…

Le pixel invisible ou espion, une technologie méconnue de l’utilisateur

Qu’est-ce qu’un pixel ?

Le pixel invisible (ou espion) est parfois utilisé comme une alternative au cookie dans la mesure où son usage ne peut techniquement pas être bloqué par un navigateur. Il s’agit d’un graphique (1×1 pixel) qui est téléchargé lors de la consultation d’une page web ou lors de l’ouverture d’un email. Ce pixel est généralement masqué ou si petit qu’il est impossible à voir. Sa fonction est de collecter des informations sur l’utilisateur (adresse IP, type d’appareil, version du navigateur, résolution d’écran, etc.)[1] ou de permettre le dépôt d’un cookies tiers permettant de renvoyer ces informations à un serveur.

Si la plupart des sites mentionnent l’utilisation de pixels et permettent à l’utilisateur de gérer ses préférences, la très grande majorité utilisateurs ignorent à quoi ils servent. De plus, il arrive que ces pixels soient présents dans le contenu d’emails sans que le(s) destinataire(s) n’en soit informé(s). Non visibles et encore très peu soumis au recueil du consentement, le pixel continue enregistre quantité de données à caractère personnel pouvant porter atteinte à la vie privée du destinataire. Que dit la réglementation et jusqu’où s’applique-t-elle ?

[1] L’ajout d’un script Javascript permet de recueillir des informations complémentaires à propos de l’utilisateur qui en est très rarement informé (ex. système d’exploitation, localisation approximative, etc.).

Le RGPD définit des obligations claires à respecter

Les données à caractère personnel collectées et traitées par les traceurs qui peuvent ensuite être utilisées pour en déduire des habitudes et de modes de vie des utilisateurs sont soumises au RGPD qui définit des exigences claires quant à leur utilisation. Préalablement au dépôt de cookies ou traceurs sur des terminaux, les acteurs du numérique doivent respecter, entre autres, les obligations suivantes sous peine de ne pas être en conformité :

1. Informer l’utilisateur de la mise en œuvre de traceurs et cookies utilisés et leur(s) finalité(s) précise(s) dans un bandeau rédigé en des termes simples et compréhensibles
2. Recueillir le consentement de l’utilisateur ou de lui fournir la possibilité de s’y opposer (nb. ce consentement est valable 13 mois maximum)
3. Respecter l’activation par l’utilisateur du paramètre DoNotTrack offert par certaines récentes versions de navigateurs

Attention : jusqu’en juillet 2019, la CNIL considérait que la poursuite de la navigation vallait accord au dépôt de Cookies sur le terminal utilisateur. Cette pratique, qualifiée de « soft opt-in » a depuis été révisée par CNIL (voir ici).

En conclusion, des efforts restent à réaliser pour aller vers plus de transparence et de pédagogie vis-à-vis des utilisateurs pour qu’ils puissent choisir de faire l’objet d’une navigation personnalisée respectueuse de la vie privée.

Un an après l’entrée en application du RGPD, les traceurs – incluant les cookies et les pixels – sont généralement bien gérés par les entreprises lors de la navigation web. En effet, la plupart des sites mettent à disposition des utilisateurs un bandeau d’information, une politique relative à l’utilisation des données à caractère personnel et un outil de gestion des cookies, incluant les pixels, pour que l’utilisateur puisse gérer ses préférences (opt-out lorsque le consentement n’est pas nécessaire) et consentements sur ces sites. Néanmoins, l’information relative à l’usage de ces traceurs à des fins de traitement marketing (ciblage, profilage) ne fait pas toujours la distinction entre les cookies et les pixels, ce qui ne permet pas l’information claire et transparente de l’utilisateur. Pour finir, l’information quant à l’utilisation de pixels dans les emails est presque inexistante (ou alors accessible après plusieurs clics !) ne permettant pas d’assurer la transparence envers les destinataires. Bien qu’elles ne permettent pas d’endiguer le dépôt de traceurs, des solutions telles que l’effacement régulier de l’historique de navigation ou de moteur de recherche ou telles que l’installation d’extensions (ex.  NoScript, Ghostery, Adblock Plus et bien d’autres encore pour la navigation, PixelBlock, Ugly Email pour la messagerie) peuvent être mises en œuvre par les utilisateurs pour limiter la collecte de leurs données à caractère personnel.

Cet article Traceurs et vie privée : quels efforts à faire pour une navigation respectueuse de la vie privée ? est apparu en premier sur RiskInsight.

So, how can consumers rebuild confidence, especially to a level where they are ready to share their data and preferences?

Several major e-commerce players (ASOS, Adidas, etc.) seem to be making transparency a strong thread in their strategy, in particular by giving customers the ability to manage and control their own data. This usually involves a Privacy Center—a personal space where users can view and manage their personal information, adjust preferences and consents, and easily make use of their rights. But should this solution be adopted by all retail players?

Why are privacy centers often considered as the ideal transparency solution?

Privacy Centers have the advantage of empowering users to be in control of and manage the personal data they entrust to a company. Making users masters of their own data provides a guarantee of trust and transparency on the company’s part.

This part of the ASOS Privacy Center allows users to choose the types of communication they wish to receive. This example illustrates the granularity possible in the personalization of content, all the while remaining within the limits drawn by the GDPR.

A Privacy Center provides users with a single point of interaction on Data Privacy. This single interface enables all of its communication channels (internet, in-store, after-sales service, etc.).

Through clear and tailored communications (written in terms that everybody can understand—not in legal language), Privacy Centers highlight companies’ efforts to protect their users’ personal data  and enable customers to better control their choices.The company can then rebuild a relationship of trust with its customers, which, in turn, encourages them to share both their data and preferences.

What are the obstacles in establishing a Privacy Center?

Installing a Privacy Center within an organization’s existing IS is complex. It requires a perfect interconnection between the customer interfaces (mobile, website, physical, etc.) and the various existing client databases (the view of the customer being rarely completely unified). By “interconnection,” we mean information that a user enters on an interface (for example, the choice of the option,  “I don’t want to receive publicity by email”) is used to systematically inform all relevant systems. In fact, the complexities of each company’s IS mean that such interconnections are rare—as well as time consuming and expensive to deploy from a technical point of view.

However, the communication challenges between different interfaces don’t depend solely on the ISD. There’s still a need for a company’s business functions to help bring these customer databases together. It’s quite common in retail for stores to , or for several brands, with different positions in the market, to coexist within the same group. As a result, interconnecting uses and interfaces is a complex—even unwanted—operation. Setting up a Privacy Center, then, is often born of pursuing a more integrated marketing and digital strategy.

Lastly, Privacy Centers can generate a paradox: despite the intention being to boost trust, a company might not necessarily want customers to take too much advantage of it. For example, we can imagine that marketing and digital teams may not want to make it simpler to exercise consumer rights or withdraw consent, as this could result in the loss of existing accounts and potential prospects. Privacy Centers are therefore a better fit for organizations pursuing a “less but better” approach to customer management because they allow them to get to know (through preferences, contacts types, frequencies, etc.) a smaller number of customers and prospects more closely—i.e. the ones that agree to share their data.

The Privacy Center: future ideal or present-day panacea?

Retail players don’t all pursue the same digital strategies or have the same degree of digital maturity. Some are already mature: developed e-commerce channels, websites, mobile applications, linked physical and telephone channels, , etc. This is the case for pure digital players or market leaders who have (re)built their entire business strategy based on the digital user experience. For them, deploying a Privacy Center doesn’t mean a complete overhaul of the IS, or the lens through which they view customer relations. It can therefore be considered in the short term.

For others, a digital strategy is still to be deployed or even developed. This is especially the case for more traditional retailers, where physical or telephone channels are still at the heart of the sales process. For them, establishing  a Privacy Center today seems rather premature. A clear digital strategy must be defined, and its effective implementation and the associated development of the IS assured, before a customer interface of this type can be envisaged.

In summary, Privacy Centers should be seen as a “final destination” rather than an immediately and uniformly applicable solution. And, they represent a destination designed to improve customer trust by enabling users to control their data and communicate clearly on what can be done with it. But, for such communication to be possible, a cleardata strategy for using the data needs to have been defined. And, for control of the data to be a realistic option,

In conclusion then, it seems that deploying Privacy Centers across all e-commerce sites isn’t an immediate goal for 2019. However, the exemplary nature of the approach, and the strong differentiation it drives in the trust relationship with customers, should Privacy Centers become a “standard” in the retail sector in years to come. And that’s something we all need to prepare for!

Adidas Privacy Center

[1]Our sample: 3,620 individuals (603 in Belgium, 600 in China, 605 in France, 612 in Germany, 600 in the UK, and 600 in the US)

Cet article Privacy Centers: a panacea for customer relations? est apparu en premier sur RiskInsight.

The bill, originally created to amend a 1986 bill, The Stored Communication Act, allows the United States to force US-based service providers to transfer their customers’ data hosted overseas much more rapidly. It currently takes an average of ten months to obtain the data, rendering investigations conducted from within the US highly unproductive. The bill aims to allow US authorities (from sheriffs to the CIA) to access the data hosted by US companies, without the authorization of a judge. Large technology companies, who have supported the bill in the Senate, will be able to oppose a request if:

• The customer or subscriber is not a U.S. citizen or resident (section 3.2.b.h.2.i), and
• The transfer would require the provider to contravene the regulations of the country hosting the data (section 3.2.b.h.2.ii)

Such a request would then be brought before a US court which would be able to quash (or uphold) the request for the data transfer. Its decision will be based, among other things, on the validity of the information provided, the US’s interest in the request, the scope of the violation, and the chances of it being deemed to contravene the law in the foreign country. The public nature of the appeal is not specified, especially regarding the capacity of companies to communicate about contested requests. Today, it seems likely that the major US players are using such appeals to maintain the trust of their customers.

In order to avoid contravening the regulations of the countries concerned, the US can enter into bilateral agreements with them, which, in return for their goodwill, will be able to access data from the United States.

In the US, the CLOUD Act remains contested due to the risks introduced by the potential agreements with foreign countries. The fact that an executive power can put in place mutual agreements worries the American people, who fear that foreign powers are using the CLOUD Act to access their data without any safeguards.

What are the consequences for customers in Europe?

While tech giants (like Facebook, Google, Microsoft, and Apple) have supported the bill (with the US authorities refraining from approaching them for back-door access and providing a clear framework for data transfer), these regulations raise concerns about customer privacy for the targeted businesses. The act could leave customers without a right to consult, or any information about access to their data by US authorities.

However, European customers whose data is processed in Europe are now protected by the General Data Protection Regulation (GDPR). Articles 45 and 48 of the regulation, which is now in force, lay down a clear set of rules for allowing data to be transferred to third-party countries. According to Frank Jennings (a renowned lawyer on cloud matters), the European Data Protection Board, which oversees the implementation of the GDPR, will be responsible for deciding whether data appropriation under the CLOUD Act constitutes a necessary measure for the safeguarding of US national security, or whether a request does not comply with the new regulation. This could force the United States to negotiate with the EU or its Member States on the conditions for such data transmission, thus protecting their citizens against illegitimate transfers. US customers, however, would remain within the scope of the CLOUD Act.

Negotiations are due to begin between the European Commission and the US. EU leaders have already criticized the US bill as being hastily adopted, something that may complicate negotiations. In the meantime, some 100 civil society organizations have urged transparency from the European Council about the negotiations of the CLOUD Act as set out by the “Convention on Cybercrime” (or “Budapest Convention”).

Privacy laws: an asset for companies?

While the GDPR has preoccupied a good number of companies with respect to the changes it involves for their information systems, and that the ePrivacy Directive is in preparation, it is instructive to consider the connections between regulatory developments and the world of business. Data privacy laws could, whether in the near or distant future, be considered as an aid to protecting business’ data and to maintaining customers’ trust.

In a world where data-privacy issues are becoming increasingly important (think of Cambridge Analytica and Google Home Mini ), protection of customer data can be a decisive factor when choosing between competing offers. The position US providers will take on privacy and data protection issues is therefore eagerly awaited.

What can you do today?

To conclude, the new regulations on privacy remain somewhat ambiguous and may even clash in certain areas. The main conclusion remains that, as a result of the GDPR, Europeans should be better protected against the CLOUD Act, provided US suppliers reject inappropriate requests, and the courts with responsibility for arbitrating them play their roles correctly. Meanwhile, non-European customers will not gain greater protection by choosing to host their data in Europe.

While awaiting the implementation of new laws dealing with confidentiality and possible data appropriation, there are steps you can take to protect your personal and business data against it being inappropriately accessed while overseas, and other potential threats:

1. Clarify with your provider under what conditions it may be required to give access to your data, without forgetting to consider any mutual legal assistance treaties.
2. Define or review your hosting strategy according to the type of data held, your provider’s nationality, and the hosting site’s location.
3. Favor data hosting in European data centers, or in countries with well-established data privacy frameworks.
4. Choosing a French or European supplier enables you to avoid the risks associated with the CLOUD Act. You must, however, stipulate contractually that it does not use US subcontractors (either directly or indirectly)!

Cet article The Cloud Act: does it mean your data is better protected? est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.

However, they are also facing increasingly stringent measures under new regulations such as the General Data Protection Regulation (GDPR), which covers all personal data, or the various new regulations on the protection of critical national infrastructures. France is in the vanguard of this activity with its Military Programming Act which applies to the organizations classed as “most critical” in terms of the country’s functioning.

But how can you put in place increasingly sophisticated detection systems, while, at the same time, complying with an ever-stricter regulatory framework?

SOCs ARE BEING STANDARDIZED AT THE EUROPEAN LEVEL—AND GLOBALLY

In the mid-2000s, the implementation of the first SOCs consisted, for the most part, of deploying log collectors based on geographical hubs and the setting up of a central alert management system. However, recent regulatory changes may require modifications to architecture. In France, in particular, within the context of the Military Programming Act, the requirement to set up a “system of log correlation and analysis” (i.e. a SOC equipped by a SIEM system) has been accompanied by a strict regulatory framework, which is set out in its PDIS (Security Incident Detection Service Providers) Requirements Reference Document.

In terms of standardization, this addresses three points in particular:

• First, the framework for surveillance: there is now an obligation to detect certain types of common attacks and implement controls, following recommendations made through audits carried out by qualified bodies, in accordance with the PASSI (Cybersecurity Audit Service Providers) Reference Document. Companies must also put in place a permanent surveillance unit to notify ANSSI (the French national agency for information system security) in the event of an IS being critically compromised.
• The second area addresses the securing of the SOC’s assets: new security measures described in the PDIS Requirements Reference Document demand, in particular, more robust measures for SOC operators and administrators (two-factor authentication, limitations on internet access, etc.). These security measures will be verified by ANSSI through audits, or retrospectively, following the compromise of an IS being notified to it.

Finally—the architecture—where there’s a requirement for greater complexity: partitioning into trust zones and an enlargement to the perimeter of the monitored network are introduced (going beyond the traditional scope of equipment under security surveillance: business servers and handheld devices must also now be monitored). Information related to security incidents (events, analysis reports, and their associated notifications) must also now be retained for as long as the service is provided.

STRONG SECURITY AND CAREFUL HANDLING OF PERSONAL DATA: INCOMPATIBLE GOALS?

To carry out retrospective analyses and, in particular, to determine the origin of cyber-attacks, a good deal of personal and critical data must be collected, stored, and exploited. However, this data is covered by the GDPR, which tends to limit its collection and use.

Google’s recent fine by the AGPD (Spain’s personal data protection authority) highlights the types of issue that a SOC may encounter regarding the processing of personal data:

• Google’s obligations in the processing of personal data and the user’s right to be forgotten were the prime causes of Google’s penalty. In fact, the GDPR intends to offer European citizens the option to access, modify, or delete their data wherever it is stored (including in the cloud). This means that, in practice, companies must know exactly what data is being collected by their SOC, so that they can inform their customers, employees, etc. accordingly—and offer them the option of having it removed at any time. Having said that, the GDPR seems to indicate that preservation of some data is acceptable, where this is necessary for the protection of companies. The details of exactly how this provision will operate are expected to be worked out over the next few years.
• An obligation of transparency with respect to the exploitation of data is the second issue that the AGPD’s action raises. Yet, for PDISs, the obligation to monitor a wide range of equipment gives rise to the collection of a large and varied amount of data. The content of logs will therefore have to be addressed to ensure that only the data needed for security-monitoring activity is collected.
• Finally, the GDPR imposes a requirement to justify the preservation of the data. Yet, PDIS requirements are for data to be kept for at least six months, in order to have the ability to carry out long-term or retrospective analysis; this creates regulatory uncertainty: how far can a company go in ensuring the protection of its IS?

Looking beyond the example of Spain, it’s instructive to compare the different legislative approaches to the notification of incidents. Those dedicated to the protection of personal data target rapid notification in order to limit the impacts on people’s lives; while legislation concerning the protection of critical infrastructure requires limited and highly confidential notifications in order to allow sufficient time for incidents to be correctly managed, without revealing to an attacker the fact that they have been discovered. In the end, the GDPR took into account this type of scenario, but that’s not to say that other texts won’t result in contradictory obligations.

A STRICT—BUT BENEFICIAL—REGULATORY FRAMEWORK

The tightening of the regulatory framework for SOCs, whether direct (via PDIS requirements) or indirect (through the GDPR), will result in a transformation of the IS ecosystem. New types of profiles could thus be integrated into teams, such as the Data Privacy Officer (DPO), which the SOC could consider as a key player in maintaining its long-term compliance.

In addition, these regulations will raise maturity levels among the players who have to comply with them, as well as among those who draw inspiration from them. Already, there are numerous moves toward compliance involving SOC architecture, as well as its processes and governance.

In complying with the regulations, tools also count—and that means looking at innovations such as data-based surveillance (with Data Leakage Prevention [DLP] tools), which can help ensure compliance with respect to the protection of sensitive data.

TOWARD MORE REALISTIC REGULATIONS…

The value of the requirements for many organizations, both as standards and objectives to be met, cannot be disputed.

While the bar may seem high, and regulatory inconsistencies remain, one thing is for sure: the next round of regulatory updates will provide a solid framework for the design and improvement of SOC.

Cet article The SOC – a department undergoing a full regulatory overhaul est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

Analytical assessment made possible thanks to the testimonies of Jean-Christophe Procot and Hervé Commerly, Human Resources experts from Wavestone. 

This blog post is a part of a series of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

How is the concept of privacy between employees and employers perceived?

It is a concept that has changed significantly over the last few years. The privacy concerns of employers about their employees is that they often do not devote enough time to their work. For employees, the notion of privacy goes hand in hand with flexible working conditions such as flexible hours, reduced surveillance and teleworking arrangements. Employees also value a limit on the amount of information that the employer can gather about them. On the basis of this concept of privacy and to improve employee privacy, employers increasingly seek to support employees in their personal lives through well-being services such as laundry and daycare services, company restaurants and complementary insurance. However, providing such support also requires that the employer knows more and more about the private life of employees, such as the composition of their family and eating habits linked to religious beliefs.

What explains such concerns?

It should be understood that employers are increasingly interested in collecting data to improve understanding of their employees. Employees are increasingly reluctant to communicate this information, especially the younger workforces. Employers wants to retain their employees for longer, facilitate their decision-making and help them to perform more effectively and efficiently in the professional and personal lives. The employer collects such data not directly communicated by the employee themselves but from third parties, such as social networks, previous employers, managers, and data inputs from work tools. Both employees and customers are concerned by this development. It would almost say that, by definition, employees suspect employers of attempting to monitor their every move. The employee is then left to wonder how it is possible to retain control over privacy if employers collect all this information about them, not necessarily provided by the employee themselves, leaving them powerless if the employer chooses to correlate data for making decisions about an employee, unbeknown to them.

Do you have an example of a recent project which echoed such concerns?

The plan of the French government plan to introduce a tax withheld at source. An employee’s salary withheld is an example of this. The aim is to simplify an individual’s life by avoiding deferred payments which can lead to difficult situations. For example, tax collection methods for the state can be improved with a reduction in income set by the employer as an indication that an employee is no longer able to pay the tax rate of the previous year. However, citizens are quick to express concerns about the information their employer holds about them. As well as financial information, a tax return can contain additional private information such as marital status, children, ancillary income and any assistance provided to persons with difficulties. The objective should be therefore to ensure that the purpose of the data collected will be limited to tax purposes and that access to such data will be controlled. The employee wants to ensure that his or her data will not be used for any purposes other than that previously agreed to, such as modifying a salary due to learning the employee’s ancillary income.

What developments have taken place in human resources management that will impact the protection of personal data?

Several major trends have emerged:

• Big Data in recruitment activities, particularly sourcing, which should be supervised in order to ensure legitimacy when collecting data;
• The multiplication of decision-making for career managers (for example, the creation of succession trees or the identification of key personnel) for automated decision-making, a sensitive topic for regulators;
• Mobility, with an increasingly frequent introduction of new professional mobile terminals which do not facilitate the separation between the data produced in private settings and data produced in professional settings. The question of the “right to disconnect” is also alluded to regularly.

Cet article The evolution of the Human Resource management: what are the impacts on personal data protection? est apparu en premier sur RiskInsight.

Analytical assessment of a concrete project within the mass retail sector, made possible thanks to the testimony of Armand de Vallois, Consumer goods & distribution expert from Wavestone.

This blog post is a part of a serie of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

What changes have occured over the last few years in the mass retail sector?

Over the last decade, we have shifted from a distribution model focusing on costs and volume to a model based upon understanding our customers. Mass distribution is thus a thing of the past, as it completely overlooks the interests of the customer relationship. Nowadays, our model gathers and stores knowledge about our customers, allowing us to develop closer proximity with the customer and loyalty programs which support the frequency and consistency of their purchases.

How should organisations handle such changes?

In recent years, awareness by business stakeholders of the opportunities that come with the high potential of customer data has increased. Nevertheless, resources must be used wisely in supporting the efforts of organisations to get closer to their customers. Data must be collected, handled and reconciled against frameworks which correspond to customer expectations and regulatory requirements. For example, the “opt-in” option is a good way to ensure that customers are well informed and accept the collection and processing of their data. Increasingly, rewards are used as a means for encouraging customers to accept the disclosure of their data. However, this model has its limitations. It is essential to ensure that services are of interest to customers and contribute to the ease of their lives, as well as ensuring that individuals have agreed to provide their data.

Do you have some examples of projects which created apprehension?

The introduction of RFID chips (integrated technology which enables the identification and follow-up of objects or people) in electronic tagging is a good example. Many projects have been launched in the textile industry based on optimising production costs, inventory automation in stores and warehouses as well as the ease of chip insertion into clothes. It is crucial to have real-time knowledge of stock levels and to have reliable information in an omni-channel context, where it is increasingly common to see online purchases made ahead of in-store collections. RFID chips can also contribute to data production based on customer journeys and the actual product itself, for example calculating ratios to record the number of times a product has been tried on in a fitting rooms compared to successful purchases of that product. This type of information is essential in the context of fast fashion in the textile industry. However, such chips are also a cause for concern. For example, salesmen can “potentially” connect a customer to a product (the RFID chips use unique identifiers) and track their activity over the duration of their shop visit (the chipset remains activated).

How did you adress these concerns?

We implemented what we call “Privacy By Design”, which goes beyond strict principles regarding chip use (identification and follow-up of products, not customers) and incorporates several other principles:

• A visible marker showing that clothes are equipped with a RFID chip
• Training sales teams so they are better qualified to respond to customer queries, such as informing customers that chips may be removed by cutting the tags attached to a product, a service offered in stores, or declaring that the company in question will never connect a customer and a chip
• Dedicated webpages for communicating all information required to understand the chip and the data it collects

These are some examples of best practices which are applicable to all projects involving the treatment of sensitive data. We must lead by example when handling and informing individuals about how to handle such data. It is therefore crucial to reassure customers and answer their questions so as to anticipate and alleviate their concerns.

Cet article Privacy and Digital Transformation: the retail relies on a Trust policy est apparu en premier sur RiskInsight.

This blog post is a part of a series of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

Many projects aim at digitalising business processes and customer relationships in order to optimise existing processes, introduce customer proximity or offer new services

The following examples, based on Wavestone’s consulting experience, illustrate such trends. Historically, postmen, meter readers and service technicians have worked with paper (address databases, meter-reading or maintenance documentation). Work is organised according to the tasks to be performed and can usually be operated alone and independently throughout the day, before information is collected and consolidated at the end of a work shift.

The dematerialisation of such paper-based processes is intended to help organisations or agents in their activities by collecting data, better organising the work to be performed and sequencing tasks. This digitalisation process occurs in different sectors for specific purposes. For example, in the energy sector, smart meters create innovative opportunities around energy saving and fraud management through the collation of consumption data. In the insurance sector, accumulating data on customer preferences enables the personalisation and customisation of services and the development of additional offerings.

Such developments require the collation and manipulation of masses of personal data.

Cybersecurity alone is not sufficient for protecting digital privacy

To protect personal data so crucial to the digital market, organisations will pursue cybersecurity measures, such as secure transfer protocols or data encryption. However, we may question if such measures are sufficient, while concerns over data misuse, profiling and automated decision-making intensify.

An IT security-oriented approach alone is not sufficient. To address the fears over the respect of privacy, it is essential for organisations to reassure individuals by guaranteeing the non-manipulation of data without their prior knowledge and against their will.

Four Major Principles

The following guiding principles are to be applied in the collation and use of personal data

1- Communicate transparently and explicitly,

informing individuals on the data that is collected about them even if not directly obtained from those concerned. Our survey essentially illustrates this meaning of privacy to citizens: what kind of information is accessible about me, and to whom? It also means sharing the reasons behind data collection and the intended usage. Under no circumstances should data be collected without the purpose of collection disclosed to the persons concerned. Recent sanctions from regulators have illustrated that such activity is always exposed in the media, with heavy reputational impact and lost customer confidence often the damaging consequences. Building a relationship of trust takes years, whereas losing it only takes minutes.

2- Minimise the collection and storage of personal data

Less data collected about an individual means a lower risk of unauthorised and non-compliant use. For existing data, it is possible to process data while minimising risks through the use of “declassifying” techniques such as anonymisation, pseudonymisation (replacing direct identifiers with “codes”), randomisation (randomly generated data which retains the statistical value but conceals the origin) or generalisation of data sets.

Regarding data sharing and exchange, mathematical methods facilitate the exchange of data between two organisations, whilst ensuring data anonymity. When selecting such methods, it is important to assess their limitations. A poorly executed “sensitivity reduction” can still directly lead to the source of original data. For example, this can involve deleting the name but keeping the date of birth, place of birth and address.

Such methods enable organisations to optimise the customer relationship in two ways: by providing a better understanding of the digital customers’ profile and by demonstrating respect for customer privacy. This is the path chosen by Apple through the concept of differential privacy to differentiate from competitors Google and Microsoft.

3- Ensure individuals are in control of their personal data

not by generating value through the access to data, but rather by providing individuals with control over their data, allowing services to develop based on their needs.

This approach, labelled “self-data”, can be applied in the context of an energy consumption optimisation project, an example of which is to ask customers to indicate the temperature in their homes to record the potential cost savings associated with heating reduction. An individual will then be informed of the potential cost savings by autonomously using and managing a self-data Cloud platform, connected to his personal equipment to enable the cross-analysis of data through consultation of his digital thermometer and energy bills.

Use cases for self-data are also subject to research in the insurance sector, with some insurance companies contemplating the complete removal of client spaces to instead install them on self-data Cloud platforms. The insurer will then have access to the data belonging to his client but is no longer in ownership of that data. Beyond self-data, such trends may even lead to the “Green Button” mechanism where individuals explicitly validate access to their data at any time. This principle, albeit difficult to implement in practice, can be restricted to particularly sensitive data, such as health data.

4- Implement a win-win model

by clearly demonstrating the benefits generated by collecting and using data, not only for the organisation but also for individuals. Such benefits can be shared with customers through various means, such as additional services, rebates and compensation.

This approach may even drive the ease in adoption of new uses in an environment where increases in market share carry significant impact.

Ultimately, we are able to identify several levers in motion for building an honourable circle of trust when using an individuals’ data with respect and for the purposes of increasing the level of confidence.

Cet article Privacy within the digital transformation: four major principles est apparu en premier sur RiskInsight.

This blog post is a part of a series of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

An increasingly international regulatory framework

The concept of privacy, as understood in history, can be understood across several centuries of legislation. It began taking shape in 1948, inscribed in Article 12 of the Universal Declaration of Human Rights: “No one will be the object of arbitrary interference in his private life (…). Everyone has the right to be protected by law against such interference or attacks”.

Regulation around the protection of personal data is a more recent phenomenon. It is directly linked to the development of information technology and the increased collection of data by organisations. In addition, the market value of data adds a further layer of complexity with the emergence of an international regulatory consensus. Sweden was the first state to establish legislation on the subject in 1973. In France, the “Loi Informatique et Libertés” was enacted in 1978, following debates over the Safari project, aimed at creating a centralised database of information about individuals.

Without reviewing each national law and its timeliness, an analysis of the initiatives implemented on regional scales provides a holistic view of the main privacy trends.

European Union: the state protecting its citizens

The European Union was the first institution to establish legislation on the subject in 1995 with the publication of Directive 1995/46/EC. This first attempt at creating legislative harmony on an institutional and European scale has been followed by the implementation of numerous principles, defined in the law of various Member States, including the establishment of supervisory authorities. This legislation is rooted in the “Guidelines for the Protection of Privacy and Transborder Flows of Personal Data” published by the OECD in 1980, which were non-binding.

In April 2016, the European Union elected to strengthen its legislation with the General Data Protection Regulation (GDPR), which, unlike the 1995 directive, will be directly applicable in the law of the Member States of the European Union.

Its implementation is planned for May 2018, when organisations must ensure their compliance with the requirements of the regulation. Developments will soon take place in e-privacy in the near future, aligning traditional requirements on privacy with more recent developments and innovation, thus addressing the topics of secrecy and correspondence in the digital age. Through such literature, the European Union will adopt the position as a protector of citizen data.

US: Making people aware of their responsilities

There is no specific regulation nor regulator within American law which oversees the collection and use of personal data at a federal level. Instead, the United States operates under a combination of laws which apply to certain sectors or states. Some regulation covers specific categories of personal data, such as financial data or health-related data, while others regulate activities which exploit such data, such as digital marketing. In addition to such regulations, best practices developed by federal agencies and industrial groups are also used as a means of auto-regulation. The Fourth Amendment of the US Constitution can also be referenced for the protection of personal privacy. Finally, laws around consumer protection, while they do not regulate personal privacy, forbid practices around the disclosure of personal data. Nevertheless, American citizens display a certain degree of flexibility regarding the distribution of their personal data.

As shown by the evolution of “Safe Harbor”, differences exist between the American and the European vision. This legal mechanism was implemented to ensure the protection of data transfer between the EU and the USA until October 2015, thereafter invalidated by the Court of Justice of the European Union (CJEU). According to the CJEU, the level of data protection offered by the United States was no longer satisfactory in light of the information leaked by Edward Snowden regarding the global surveillance programme operated by the American government. In February 2016, the United States and the EU drew up a new arrangement, the Privacy Shield, which came into force in August 2016 and is designed to offer better protection for data transfers.

Asia: a situation under development

With respect to data protection, we can categorise Asian countries and territories in two ways. Some are relatively mature on the subject, including South Korea, Singapore, Hong Kong or Taiwan. Until recently, China did not have any specific personal data protection legislation. However, in November 2016, new regulations applicable to operators from June 2017 were implemented. This new regulation will integrate widely agreed principles on respecting personal privacy and will require the storage of personal data on Chinese territory. On the other hand, other countries in the area are yet to implement regulations regarding the protection of personal data on a large scale, despite on-going debates.

Rest of the world: regional initiatives under development

In Africa, the first legislation on the subject was implemented in 2001, in Cape Verde. In 2004, Burkina Faso was the first state to establish a national regulator. At the regional level, the African Union Convention on Cybersecurity and Personal Data Protection, signed by 18 countries in 2014, incorporates notions derived from European legislation, with no legal binding.

In the Middle East, states such as the United Arab Emirates (UAE) and Saudi Arabia do not have specific legislation regarding the protection of personal data. Specific to these countries is the application of Sharia law, stating that damage can be claimed if the disclosure of personal data leads to abuse or damage.

In South America, several countries implement independent regulators. Moreover, they benefit from constitutional guarantees regarding personal data protection. This is particularly the case in Uruguay and Argentina, two countries recognised by the European Union as providing sufficient levels of data protection.

Cet article Privacy: which legal frameworks should be implemented on an international scale? est apparu en premier sur RiskInsight.

A consistent vision on an international scale

The countries selected for the survey, namely France, Italy, Germany, China, the United States and the United Kingdom, were selected on the basis of their socio-economic environments and the diversity of regulatory frameworks concerning privacy protection. These elements can influence the perception and opinion of citizens regarding the protection of personal data. However, despite initial contextual differences, we observed through collected responses that the theme of privacy is perceived in a relatively similar way across the surveyed countries.

Among the majority of respondents were younger generations, often perceived as “digital” citizens and more intrigued by the subject of privacy in a digital world.

Indeed, there are differences and particularities: notably in how German respondents place particular importance ahead of their counterparts on the definition of privacy relating to personal freedom. Responses from the United States demonstrate less confidence in public institutions. Generally, however, there is greater global awareness among individuals about privacy and personal data topics. This can be explained by the borderless nature of data and the digital world, with the digital citizen expecting his or her privacy to be respected regardless of borders. This observation reinforces the importance of respecting privacy in digital projects, regardless of the country and population in question.

From freedom to control: evolution of the meaning of “privacy”

Privacy is traditionally seen as the possibility for an individual to retain some form of anonymity in his or her activities and to have the ability to isolate oneself in order to best protect his or her interests. It is intimately linked to the notion of freedom. However, analysis of the survey results shows that this notion tends to disappear in favour of the control of information. We have proposed to our respondents to select one or more definitions that relate to either notion.

The most frequently selected responses relate to control. This pattern is confirmed by observing the intermediate proposals. For example, “having control over the type of information collected about you” is a more widely selected response (more than half) than “having moments alone, without being monitored by others”, relating to freedom.

It is also important to provide customers and employees with assurance that they have control over their data. This is possible by providing individuals with simple and autonomous means of access.

All personal data are viewed as sensitive in the eyes of citizens

When questioned about the level of sensitivity, the panel showed slight differences in their responses. Citizens considered most of the proposed types of data as sensitive. They did not perceive that leakage of certain data types could have serious or even irreversible consequences (e.g. health data), in contrast to other data types (e.g. financial data), for which most countries have already implemented regulatory frameworks which protect individuals (for example, rapid reimbursement in the event of fraud). This demonstrates that, regardless of the type of personal data handled by a project, special attention must be given at least to the communication of protection levels.

Trust varies greatly from one sector of activity to another

We asked respondents to indicate which type(s) of organisation(s) they trusted the most with regard to using their personal data for previously authorised use. We can differentiate between three main groups of actors.

• Firstly, the actors grouped under the category of “institutions” command the highest level of trust among respondents. / This includes public institutions, semi-public institutions or entities from the traditional economy with which individuals have historically shared a relationship of trust. This is particularly the case given how such institutions have processed sensitive data throughout their history (medical data, etc.). We also find significant differences within this category, with more than half of respondents claiming to trust banks with the processing of their data. Image and reputation are therefore crucial for banks, which serve to meet customer expectations in the aim of retaining their position as the number one trusted partner.
• Secondly, an intermediate category encompasses the actors of daily life such as transport operators and energy suppliers. Such B2C actors carry out swift digital transformation and benefit from the existing relationship of trust.
• Thirdly and finally are actors in the digital economy, whether web giants or technology firms.

Mistrust towards such companies can be attributed to the amount of data they collect and use on individuals, as well as recent high-profile prosecution cases related to such use. However, this result reveals a paradox. Despite this evident lack of trust, individuals continue to frequently use the services provided by these actors, due in part to a lack of alternative, as well as the information entrusted seeming to be, often wrongly, harmless and insignificant in the eyes of the individual.

New technologies raising fears

The panel highlights four technologies most likely to put their privacy in danger, according to respondents. What do they all have in common? Making it possible to collect data without this activity being under the control of the persons concerned. This would, for certain individuals, equate to a form of surveillance. On the other hand, technologies which provide citizens with the ability to choose the data they share, such as connected objects or Cloud services storing private information, are considered less risky in terms of privacy and therefore do not feature as any of the four technologies.

Although not traditionally thought of as “sensitive”, data on individual behaviours and actions are now viewed as a significant stumbling block between customer expectations about the respect for privacy and the increasingly personalised customer relationship.

Citizens who take action to protect their digital privacy

More than half of respondents claimed that they had made certain changes to their online behaviour in order to better protect their data. This illustrates a heightened level of awareness by individuals concerning the protection of their privacy. It is worth analysing how the means individuals take to ensure such protection. Our respondents described the measures they took, divided into two categories:

• Measures to limit the amount/ type of data provided: provision of inaccurate/incomplete information when creating an account, such as the use of a nickname or discarding non-mandatory fields or the use of anonymous accounts…
• Measures to improve the security of the data provided: increasing the level of security of online accounts such as strengthening passwords, changing passwords regularly, checking access rights and being more attentive when sharing personal information over the Internet…
• In addition to such measures, we find more extreme solutions. This ranges from the complete closure of accounts on social networks, exclusive use of trusted and tested sites or technologies, to deleting history and cookies with every use of search engines.

While these individual initiatives can contribute to increasing the protection of privacy, they may conflict with new uses and innovation promoted by organisations, thus limiting or even preventing the personalisation of the customer relationship.

The survey methodology

The survey was carried out among a 1587 respondents’ sample with people from 6 different countries: Germany, China, the United States, France, Italy and the United Kingdom. Answers have been analyzed by two Wavestone’s offices: Paris and Luxembourg. The respondents’ sample has been provided by a tierce organization (SSIS). The Wavestone research department is familiar with this structure because they used to work together on surveys on behalf of the European Commission. Before the emailing campaign, quizzes have been conceptualized and translated by Wavestone. The sample has been defined in order to ensure its representativeness. The panel needed to be representative of the targeted population without any gender and socio-professional category discrimination. Besides, the two selection criteria were that people need to be adults and they must have an Internet access. The survey was conducted from July to August 2016 and analysed from September to December of the same year. The final version has been finally published at the beginning of 2017. All the data from this survey have been anonymized. The data collection has been made for statistical purposes only.

Cet article What does privacy mean in a digital world? est apparu en premier sur RiskInsight.

Dans le monde d’aujourd’hui, le principe de la vie privée est en pleine évolution, tout comme le rôle qu’elle peut jouer au sein de la transformation numérique.

Au sein de Wavestone, nous avons la conviction que les organisations privées comme publiques doivent savoir utiliser les données personnelles pour devenir des champions du numérique, mais tout en maintenant le lien de confiance qui les unit à leurs employés et à leurs clients, la transparence étant pour nous la clé de voûte du maintien de cette confiance.

À travers cette publication, nous avons cherché à éclairer les différentes facettes de ce sujet complexe pour permettre à chaque organisation de trouver son propre positionnement face au défi de la vie privée dans le numérique.

Retrouvez notre synthèse sur la vie privée et la confiance numérique en cliquant ici.

Cet article La vie privée à l’ère numérique : au-delà de la conformité, un enjeu de confiance est apparu en premier sur RiskInsight.

Une évolution législative, dans le cadre des données à caractère personnel

Appelée loi de modernisation de notre système de santé, la loi santé (dont la première version du texte a été déposée à la fin de l’année 2014) a été adoptée début 2016 à l’Assemblée Nationale. En parallèle, au niveau européen était discuté le Règlement Européen sur la Protection des Données à caractère Personnel. Cette discussion concomitante est due à l’évolution des usages et aux transformations numériques en cours qui ont amené les législateurs français et européen à s’adapter à l’actualité de ces dernières années.

Le Règlement Européen précise la notion de donnée de santé à caractère personnel. Elles comprennent les données médicales mais aussi toute combinaison de données qui indique un état de santé. Par exemple, le diagnostic d’un cancer est une donnée de santé, mais aussi la simple association du poids et de la taille à un moment donné.

Ce Règlement Européen sera applicable le 25 mai 2018. En revanche, la date d’application finale de la loi santé n’est pas connue, même si elle le sera aussi probablement courant 2018. Le présent article a pour objectif de présenter une photographie à l’instant présent de cette nouvelle loi.

L’hébergement des données de santé : aujourd’hui déclaratif, et demain auditable

En France, l’hébergement des données de santé est soumis à une règlementation stricte depuis les années 2000. Toute entité qui héberge des données de santé qu’elle n’a pas produites doit obtenir à cet effet un agrément. Pour ce faire, l’hébergeur dépose un dossier qui sera vérifié par des institutions publiques : l’ASIP-Santé (l’Agence des Systèmes d’Information Partagés de santé), la CNIL et le Comité d’Agrément des Hébergeurs (comitlé ad hoc). Si leur avis est favorable, le Ministère de la Santé délivre l’agrément, valable pour 3 ans. Ce dossier demande notamment aux candidats hébergeurs de mener une analyse de risques et de mettre en place une politique de sécurité des systèmes d’informations.

Un point toujours sujet à interprétation : héberger ses propres données

Le fait que les entités hébergeant elles-mêmes leurs données ne soient pas soumises à l’obtention de l’agrément a historiquement créé une interrogation. Ce point remet en cause la sécurité des données de santé du point de vue des patients de ces établissements. La législation a été construite afin de simplifier l’agrémentation en évitant des démarches trop lourdes pour les petits acteurs de la santé comme les médecins libéraux indépendants. Aussi, la notion même de « produire ses propres données » n’est pas toujours claire.

Aujourd’hui il ne semble pas que le gouvernement ait l’intention de changer l’orientation de la législation sur ce point : son agence l’ASIP-Santé a mis à jour sa foire aux questions le 24 mai 2016 en indiquant expressément que ce sont les hébergeurs de données tierces qui doivent obtenir l’agrément (ou la future certification).

Pour autant, le processus législatif français n’est pas arrivé à terme : ce point pourrait malgré tout être amené à évoluer. La loi est dans l’attente d’une ordonnance pour sa mise en application. Cette même ordonnance « sera précisée par un décret qui définira la procédure de certification. […] L’ordonnance et son décret comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification » (F.A.Q de l’ASIP-Santé).

Que change la nouvelle loi santé ?

La nouvelle loi santé bouscule la procédure d’agrément actuelle, en la faisant passer de l’État aux structures privées. Les candidats hébergeurs devront obtenir une certification, auprès d’un organisme certificateur privé, après audit. Première conséquence : le coût du dispositif n’est plus supporté par l’État mais par les hébergeurs. C’est le changement le plus important : les candidats ne devront plus seulement préparer un dossier (processus déclaratif) mais se préparer à un audit externe, et donc collecter des preuves pour les mettre à disposition des auditeurs.

La loi, publiée au journal officiel le 27 janvier, a déjà mis en application certains changements. Ainsi, le consentement de la personne qui était jusque-là requis est remplacé par une simple obligation d’information. D’autre part, le secteur médico-social entre dans le périmètre de l’agrément. Ce secteur hétérogène comprend notamment les établissements pour personnes âgées (EHPAD, etc.) ou handicapées, les foyers d’accueil pour jeunes, etc. Le secteur médico-social n’avait jusque-là pas de cadre légal concernant le traitement et l’hébergement de ses données. La nouvelle définition des données de santé, émise par le groupe de travail du règlement européen sur la protection des données à caractère personnel, inclut également ce type de données médico-sociales.

En synthèse : j’héberge des données de santé, que dois-je faire aujourd’hui ?

Aujourd’hui, pour les hébergeurs qui veulent se préparer à la nouvelle loi, trois situations sont possibles :

• J’ai déjà l’agrément hébergeur de données de santé : hier, je déposais un dossier montrant ce que je fais en vue d’un contrôle de ce dossier. Demain, un auditeur viendra contrôler sur site. Alors aujourd’hui, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• Je n’ai pas l’agrément hébergeur de données de santé, mais je vais être amené à héberger des données de santé (ou simplement médico-sociales) produites par un tiers : je dois me mettre en conformité dès maintenant en obtenant l’agrément. Je mets en place des politiques de sécurité en alignement avec les attendus pour le dossier d’agrément et les bonnes pratiques de référence (telle que la norme ISO 27001) Je dépose un dossier sans attendre. Là aussi, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• J’héberge des données de santé que je produis moi-même : alors hier, aujourd’hui comme demain, je n’ai pas de démarche à effectuer, pas d’agrément ou de certification à obtenir.

Aujourd’hui, même incomplète, cette nouvelle loi permet donc aux hébergeurs de données de santé de se projeter dans le monde de la santé numérique qui se dessine. L’adoption de nouveaux référentiels et de nouvelles procédures de mise en conformité permet aux acteurs du secteur de gagner en crédibilité et progressivement d’harmoniser leurs pratiques au niveau européen.

Cet article Nouvelle loi santé : trois situations pour les hébergeurs de données de santé est apparu en premier sur RiskInsight.

Le trilogue informel débuté en juin dernier semble finalement avoir porté ses fruits. En effet, dans son communiqué du 15 décembre 2015, la Commission Européenne a annoncé qu’un accord a été conclu entre elle-même, le Conseil de l’Union Européenne et le Parlement Européen. Le texte est donc prêt à être promulgué, ne reste plus qu’au Parlement et au Conseil d’adopter formellement le texte (voir la procédure d’adoption d’un règlement européen). Nous avions précédemment parcouru le contenu des dernières propositions en date afin d’en décrypter les 3 impacts majeurs, nous vous proposons aujourd’hui d’en faire de même sur la version finale du règlement.

QUEL CHANGEMENT POUR LES ENTREPRISES ?

Premier point important à noter, le règlement n’impose pas les mêmes obligations aux multinationales et aux PME de moins de 250 employés (cf. Commission Recommendation 2003/361/EC of 6 May 2003) : ces dernières, sous certaines conditions (absence de traitements sensibles et réalisation de traitements de données occasionnels) se voient dispensées de l’obligation de tenir un registre des traitements.

Responsabilisation ou « Accountability »

Le règlement fait disparaitre l’obligation de déclaration des traitements mais impose la tenue d’une documentation permettant au responsable de traitement de prouver sa conformité détaillant : les coordonnées du responsable de traitement, la liste des traitements de données avec leur finalité, les catégories de personnes concernées, les personnes pouvant accéder aux données, les transferts internationaux, la date de suppression des données et les mesures de sécurité associées. Le Data Privacy Officer (DPO), s’il est nommé, sera le garant de ce registre. Cependant, pour les traitements identifiés comme sensibles à la suite d’une l’analyse d’impact, le responsable de traitement devra consulter son autorité de référence avant de le mettre en œuvre. Cette autorité pourra lui imposer des mesures à mettre en place.

Le DPO ne sera pas généralisé à toutes les entreprises et contrairement à ce qui avait été proposé, il n’y aura pas de seuil relatif au nombre d’employés ou de personnes concernées par le traitement. L’obligation de nommer un DPO sera limitée :

• Aux autorités publiques (à l’exception des tribunaux) ;
• Aux entreprises qui, de par leurs activités, collectent des données personnelles de manière systématique ou sur un grand nombre de personne ;
• Aux entreprises dont le cœur de métier de l’entreprise repose sur des traitements définis comme sensibles par le règlement au sein de l’article 9.

Les tâches et activités du DPO sont définies par le règlement :

• Servir de point de contact aux contrôleurs,
• Participer aux analyses d’impact,
• Surveiller la conformité de l’entreprise au règlement
• Conseiller le responsable de traitement et ses employés sur les sujets relatifs aux données à caractère personnel.

Dernier point à noter, ce DPO ne devra pas nécessairement être employé directement par le responsable de traitement et pourra être mutualisé, à condition qu’il reste facilement accessible.

Mise en place du Privacy by Design

Les responsables de traitement devront garantir que les traitements de données ne portent pas atteinte à la vie privée des personnes en recourant à divers mécanismes (pseudo anonymisation, collecte des données au strict minimum nécessaire, durée de conservation, restriction des accès…). Cette réflexion devra non seulement être réalisée au moment de la conception du traitement, mais également tout au long de la durée de vie du traitement à l’aide d’un processus d’audit préalablement défini. Afin d’accompagner les entreprises dans ces travaux, des codes de conduites ou des certifications pourront être mis en place par les contrôleurs.

Le règlement prévoit explicitement que des analyses d’impacts sur la vie privée des personnes soient réalisées sur les traitements présentant des risques pour les droits et libertés des individus. Ces analyses permettront de définir les mécanismes de sécurité à y associer ou encore la nécessité de modifier le traitement. Ce sera le DPO qui devra arbitrer sur la nécessité de réaliser ces analyses.

Là encore, afin d’accompagner les entreprises, deux mesures sont mises en place : les contrôleurs sont invités à établir une liste de traitements pour lesquels une analyse d’impact est obligatoire et en cas de fort risque identifié par l’entreprise, elle devra collecter l’avis du contrôleur compétent sur le traitement.

Point intéressant à noter, une unique analyse pourra être réalisée pour un ensemble de traitement similaire.

Notification des fuites

Le règlement entérine également l’obligation de notification des fuites de données. En effet, le responsable de traitement aura 72h pour notifier les autorités en décrivant : la nature de la fuite de données, le nombre et la catégorie de personnes concernées, la nature ainsi que le volume des données et le plan de remédiation.

Par ailleurs le responsable de traitement devra également notifier, sans délai, les personnes concernées s’il estime que la fuite présente un risque avéré pour ces personnes.

Les autres mesures à garder en tête

Il a été décidé de renforcer les pouvoirs du « European Data Protection Board », groupement de l’ensemble des autorités de contrôle, qui devra s’assurer de la cohérence de l’application du règlement au sein des différents Etats de l’Union Européenne.

Le droit à la portabilité, qui n’était pas systématiquement présent entre les différentes versions du règlement a été réintégré. Pour les entreprises, cela signifie qu’elles devront être capables de restituer l’ensemble des données personnelles à la personne concernée sous un format structuré et pouvant être traité simplement. Par ailleurs, ces données pourront également être transmises directement à une autre entreprise sur demande.

Comme évoqué précédemment, une liste des données sensibles a été définie dans le règlement : origine ethnique, opinions politiques, religieuses ou philosophiques, données génétiques, biométriques, relatives à la santé et aux préférences sexuelles des personnes. Le traitement de ces données sera soumis à de strictes restrictions.

En plus de ces données, les autorités de contrôle, via le « European Data Protection Board », pourront définir une liste de traitements sensibles.

Le principe du guichet unique a été précisé. Chaque entreprise devra choisir une autorité de référence (celle de son établissement principal) qui lui servira du point de contact unique avec l’ensemble des autorités de contrôle. Cependant n’importe quelle autorité pourra décider d’une action envers le responsable de traitement. Elle devra pour cela en informer néanmoins l’autorité de référence qui restera l’interlocuteur unique de l’entreprise. En cas de désaccord entre les 2 autorités, un arbitrage aura lieu au sein du « European Data Protection Board ».

Concernant les sanctions, deux seuils sont fixés en cas de non-conformité au règlement européen suivant la nature de l’infraction (l’article 79 du règlement détaille la liste des infractions pour chacun des seuils :

• Un premier seuil à 2% du chiffre d’affaire mondial ou 10 millions d’euros (maximum des 2 valeurs) pour les infractions mineures : absence de registre des traitements, non nomination d’un DPO si elle est obligatoire ou encore non réalisation des analyses d’impact
• Un deuxième seuil à 4% du chiffre d’affaire mondial ou 20 millions d’euros (maximum des 2 valeurs) pour les infractions les plus graves : non recueil du consentement, non-respect des droits des personnes, transfert international illégal ou encore non-respect d’une interdiction de mise en œuvre d’un traitement.

Le montant des amendes dépendra de la nature de l’infraction ainsi que de l’éventuelle récidive du responsable de traitement.

Que retenir ?

Nous nous dirigeons donc de manière certaine vers une accentuation de la responsabilité et de l’autonomie des entreprises concernant la gestion des données personnelles : le modèle de contrôle « a priori » va se transformer en un modèle de contrôle et sanction « a postériori ». Le message est clair : les entreprises pourront bénéficier d’une plus grande souplesse concernant la gestion des données à caractère personnel, mais seront susceptibles d’être sanctionnée beaucoup plus fortement.

Cela devrait également permettre aux autorités de contrôle de se concentrer sur les sujets les plus sensibles et d’être capables de répondre aux requêtes dans des délais raisonnables.

Prochaine étape, le texte doit maintenant être officiellement approuvé par le Parlement et le Conseil. Compte tenu du calendrier des réunions, nous pouvons supposer un règlement promulgué en Avril prochain, suivi d’une période de deux ans pour la mise en conformité.

Cet article Nouveau règlement Européen sur la protection des données personnelles : quels impacts suite à la version du trilogue ? est apparu en premier sur RiskInsight.

Les révélations de Snowden sur la NSA derrière l’invalidation du Safe Habor

En principe, le transfert de données personnelles hors de l’Union européenne est autorisé à condition que le pays destinataire offre un niveau de protection des données au moins égal à celui garanti au sein de l’UE. Pour transférer des données personnelles vers des pays non-adéquats, les entreprises doivent s’engager à respecter des accords particuliers permettant de garantir un niveau de protection suffisant au regard du droit européen.

Adopté en 2000, le Safe Harbor est un accord de ce type, autorisant donc le transfert des données personnelles des citoyens européens vers les États-Unis. Plusieurs milliers d’entreprises américaines étaient jusqu’à présent concernées par cet accord, des géants du numérique aux petites et moyennes entreprises. Mais en octobre 2015, la Cour de justice de l’Union européenne (CJUE) – considérant les révélations faites par Edward Snowden sur les pratiques américaines en matière de surveillance – a invalidé le Safe Harbor . En effet, compte tenu de la primauté de la législation américaine liée à la sécurité nationale sur l’accord Safe Harbor, la CJUE a estimé qu’il existe des risques « d’ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ». La CJUE a également motivé sa décision par le fait qu’il n’existait « aucune possibilité pour le justiciable d’exercer des voies de droit » lui permettant d’accéder à ses données ou d’en obtenir la rectification ou la suppression, ce qui est contraire au droit européen.

En considérant que le Safe Harbor ne garantissait pas une protection adéquate des données personnelles, la CJUE a rendu de fait illégale des centaines de milliers de transferts de données. Pour autant, ces transferts transatlantiques ne pouvaient évidemment pas être arrêtés brutalement en raison des forts enjeux économiques inhérents. Conséquence directe de cette invalidation donc, trois mois de latence ont été accordés aux diplomates américains et européens pour négocier et définir un nouvel accord permettant de satisfaire les exigences de la CJUE. Par ailleurs, poursuivant le raisonnement de la CJUE, les CNIL européennes ont demandé que les solutions proposées par les parties s’appuient sur des « mécanismes clairs et contraignants » et comportent « au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits et des personnes ».

Privacy Shield : un tour de force diplomatique qui ne fait pas l’unanimité

Et c’est finalement le 2 février dernier – deux jours après la fin du délai accordé par les CNIL européennes – qu’un accord politique entre les parties européennes et américaines a été trouvé, remplaçant le Safe Harbor par le Privacy Shield . Ce mécanisme devrait permettre aux citoyens européens d’attaquer en justice les entreprises américaines si celles-ci divulguent leurs données personnelles à un tiers sans leur accord ou si elles refusent de fournir un accès aux données collectées les concernant. Une commission bipartite devrait également être créée pour contrôler l’application de l’accord, et un système d’arbitrage spécial via un médiateur sera mis en place en tant qu’instance de dernier recours. Par ailleurs les États-Unis ont fourni une garantie écrite assurant que l’accès aux données des citoyens européens par les services de renseignement sera limitée et contrôlé.
Mais le Privacy Shield fait déjà grincé des dents, puisqu’il est, pour l’instant, seulement un accord politique et donc non-contraignant juridiquement. Côté européen, une transposition dans le droit communautaire est le préalable pour qu’il puisse produire des effets juridiques.

Au-delà de l’accord de principe et du soulagement immédiat à la hauteur du défi diplomatique que représentait la conclusion d’un tel accord dans des temps aussi courts, il s’agira de constater, dans les mois et années à venir, sa traduction en règles juridiquement contraignantes et effectivement respectées. Dans le cas contraire, ce nouvel accord sera de toute évidence, à son tour, contesté devant la CJUE qui est la seule autorité compétente pour déclarer l’invalidité d’un acte de l’Union.

Sceptiques, les CNIL européennes se prononceront en mars

Une entrée en vigueur de l’accord « EU-US Privacy Shield » est prévue d’ici trois mois et sera pilotée durant les prochaines semaines par la Commission européenne. Par ailleurs cette dernière sera attentive à l’avis des vingt-neuf CNIL européennes, autrement appelées G29. Réuni le 3 février, et dirigé actuellement par la Présidente de la CNIL française Isabelle Falque-Pierrotin, le G29 s’est montré réservé sur le Privacy Act, avec cette formule : « We can’t just accept words. (…) The legal format of the arrangement is still unclear for us ». Les CNIL européennes attendent en effet la réception de l’ensemble des documents composant le Privacy Shield, d’ici la fin du mois de février, pour se prononcer sur le fond de l’accord à la fin du mois de mars .

Ce même jour le G29 était justement réuni pour présenter son interprétation de la jurisprudence européenne, fondée sur la décision de la CJUE, en matière de transfert des données personnelles. Pour les autorités européennes, quatre garanties doivent donc être respectées, et seront donc considérées dans les semaines à venir lors de l’étude du Privacy Act :

1. Le traitement des données doit être fait selon des règles claires, précises et accessibles
2. L’accès aux données doit être nécessaire et proportionnel à la fin poursuivie
3. Un mécanisme indépendant de surveillance doit pouvoir vérifier l’accès aux données
4. Des recours effectifs doivent exister pour les citoyens

En attendant d’en savoir plus sur le Privacy Shield, le G29 est resté pragmatique au sujet des transferts actuels de données personnelles en les autorisant, jusqu’à nouvel ordre . Enfin, Isabelle Falque-Pierrotin, réélue à la tête du G29 le 3 février, a partagé son inquiétude sur les probables répercussions de l’élection présidentielle américaine à venir sur l’accord.

Cet article Transfert des données UE-USA : le Safe Harbor remplacé par le Privacy Shield est apparu en premier sur RiskInsight.

Le Privacy By Design permet de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Dans le premier volet, nous sommes revenus sur les deux premiers facteurs clés de succès à prendre en compte qui sont :

• Concevoir une méthodologie de Privacy Impact Assessment pragmatique
• S’intégrer dans la méthodologie Projet existante

Nous reviendrons ici sur les deux derniers facteurs essentiels à prendre en compte.

Identifier les projets sensibles pour prioriser les efforts d’accompagnement

Dans la majorité des organisations, le volume de projets est trop important pour que les équipes en charge de la conformité aient la capacité d’accompagner chacun d’eux et en particulier de réaliser une analyse de risques même simplifiée. Il est donc nécessaire d’adapter l’approche systématique de PIA en identifiant le plus en amont possible les projets qui présentent une sensibilité accrue afin de prioriser les efforts d’accompagnement.

Les chefs de projets, souvent peu familiers de la Loi Informatique et Libertés, peuvent se retrouver en difficultés lorsqu’il s’agit d’exprimer la sensibilité de leur projet au sens de la Loi. Il est donc nécessaire de les accompagner dans cette étape en leur fournissant une liste de questions simples et compréhensibles par les non-initiés.

Dans la pratique, plusieurs facteurs peuvent rendre un projet sensible. Par exemple, la manipulation de données sensibles au sens de la loi la mise en œuvre de transferts hors UE. D’autres facteurs, moins directement liés à la loi peuvent également être identifié : utilisation de nouvelles technologies (Big data par exemple) ou existence de données sensibles dans le contexte de l’organisation (ex : identité des collaborateurs intervenant à proximité de produits cancérigènes).

Il conviendra donc d’identifier la liste des critères rendant un projet sensible en fonction du contexte spécifique de l’organisation et des risques qui pèsent sur elle.

Rendre autonome le chef de projet dans la conduite de cette étape permet de s’assurer que tous les projets feront l’objet d’une appréciation de leur sensibilité vis-à-vis de la Loi Informatique et Libertés. Enfin, en associant les équipes conformités aux comités chargés du suivi des projets en phase d’étude préalable, l’analyse des chefs de projets peut être challengée avant validation.

Il conviendra alors d’adapter l’investissement de l’équipe conformité à la sensibilité des projets. D’un suivi distant pour les projets les moins sensibles (alimentation en guides de mise en conformité, réponses à des demandes d’expertise) à un suivi rapproché pour les projets les plus sensibles (groupes de travail spécifiques sur le sujet du Privacy, analyse de risques détaillée, vérification des livrables exprimant les exigences de conformité, pilotage de la recette conformité, etc.). Dans tous les cas, l’équipe devra maintenir une liste des projets, des évaluations de criticité et s’assurer d’être présente dans les bonnes instances pour avoir accès à l’actualité des projets (création, arrêt…), voire disposer d’un accès direct au portfolio projet qui existe dans les organisations les plus avancées.

Outiller les chefs de projet

Tous les projets ne pouvant être accompagnés de façon rapprochée par l’équipe conformité, les chefs de projets devant traiter la mise en conformité en autonomie devront disposer d’outils pour les aider, généralement un guide de mise en conformité à la loi Informatique et Libertés. Ce guide ne doit pas ressembler à un document juridique mais bien plus à une traduction concrète, explicite et intelligible de la loi pour un non initié et doit permettre d’accompagner le chef de projet dans le choix des meilleures mesures pour s’y conformer, qu’elles soient organisationnelles ou techniques.

L’un des sujets qui nécessite une attention particulière est par exemple le transfert de données à des tiers ou hors de l’UE. Le transfert de données – qui peut désigner aussi bien le simple transit d’un flux par un équipement réseau, l’hébergement dans le Cloud de la messagerie ou la consultation de données sur un site web – sera explicité afin que chef de projet puisse identifier par lui-même les transferts de données réalisés dans le cadre de son projet. Il pourra alors par exemple s’appuyer sur les modèles de clauses proposées dans le guide pour les intégrer dans ses contrats avec des tiers ou utiliser une liste des filiales ayant signées les Binding Corporate Rules pour s’assurer que son transfert à l’international est autorisé.

Ce guide de mise en conformité pourra être associé à un cahier de recette type, permettant de contrôler le bon respect des principes juridiques fondamentaux. Une liste de questions restreintes (autour d’une dizaine généralement) aidera le chef de projet à contrôler les points majeurs et ainsi valider la conformité globale du projet à la Loi Informatique et Libertés : les mentions d’information sont-elles bien ajoutées ? Les cases de champs libres disposent-elles d’un disclaimer sur leur bonne utilisation ? Les contrats contiennent-ils des clauses LIL ? La durée de conservation des données a-t-elle été définie et leurs modalités de suppression étudiées ?

À moyen terme, l’outillage pourra aller un cran au-delà en proposant aux chefs de projet des solutions techniques pour faciliter la mise en conformité. Des plateformes mutualisées de chiffrement ou d’anonymisation de données ou encore des processus de collecte de données conformes pourront être construits. Les investissements déjà réalisés dans la filière sécurité de l’information pourront être largement exploités.

Un processus à concevoir et des équipes pour le déployer

Le Privacy By Design, future obligation réglementaire, constitue dès à présent un moyen de s’assurer de la conformité des nouveaux projets.

Le CIL et ses équipes devront s’armer d’une bonne dose de pragmatisme pour adapter les processus existants en les alimentant de leurs exigences essentielles tout en identifiant les projets les plus sensibles afin d’y apporter une vigilance accrue.

Mais au-delà du processus en lui-même, le CIL ou futur DPO devra se poser au plus tôt la question de ses besoins en ressources pour suivre ces projets : combien de personnes sont à mobiliser pour accompagner sereinement les chefs de projets ? Quelles sont les compétences attendues de ces équipes (expertise juridique, connaissances métiers, capacité à interagir avec les équipes IT et SSI, compétences de chef de projets,  …) ? Quelle mutualisation possible avec les filières existantes (RSSI, Conformité, RPCA, etc.) ?

Autant de questions auxquelles il conviendra de répondre afin d’assurer au Privacy By Design un déploiement réussi, élément clé pour que cette contrainte devienne une opportunité !

Cet article Privacy by design : anticiper pour mieux protéger (2/2) est apparu en premier sur RiskInsight.

Adopter une démarche de Privacy By Design c’est intégrer le respect de la vie privée dès la conception des projets, c’est-à-dire s’assurer de la pertinence des données collectées, comprendre les risques pour les personnes concernées, anticiper l’information et le droit d’accès, etc.

La Loi Informatique et Liberté, via l’article 34, demandait déjà au responsable de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » mais n’imposait pas explicitement la mise en oeuvre d’une démarche de Privacy By Design. De ce fait, peu d’organisations ont déjà mis en place une telle démarche.

Le Privacy By Design permet pourtant de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux.

Privacy By Design

Au regard des échéances réglementaires, et afin de mieux traiter les contraintes de conformité, les premières initiatives de Privacy By Design débutent et se multiplient. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Concevoir une méthodologie de Privacy Impact Assessment pragmatique

Plutôt que de repartir de zéro, il convient comme souvent de s’inspirer des travaux de réflexion menés par ses pairs. En particulier, la CNIL a décidé d’accompagner les responsables de traitements désireux de s’engager dans le Privacy By Design en publiant en juillet 2015 une version révisée de son guide de gestion des risques sur la vie privée. Elle l’adapte ainsi au positionnement du règlement européen et aux retours d’expérience en proposant une méthodologie pour mener des Privacy Impact Assessment (PIA).

Le guide décrit la façon d’employer la méthode EBIOS, déjà très connue et reconnue pour la sécurité de l’information, sur le sujet Informatique et Libertés. Les deux premières étapes visent respectivement à identifier le contexte particulier aux traitements mis en œuvre par le projet et à identifier les mesures nécessaires au respect des principes juridiques fondamentaux : respect de la finalité, pertinence des données collectées, information des personnes, exercice des droits, sécurité des données, accomplissement des formalités. Puis vient l’étape dite d’analyse des risques durant laquelle les menaces pertinentes sont identifiées et associées aux évènements redoutés suivant trois grands types : accès illégitime, modification ou disparition des données personnelles. Les risques liés à la conformité Informatique et Libertés sont alors évalués en termes de gravité et de vraisemblance et font l’objet d’une décision quant à leur acceptation.

La méthodologie d’analyse de risques EBIOS vise l’exhaustivité dans l’analyse des risques encourus. Cette exhaustivité impose généralement aux organisations qui l’utilisent pour leurs analyses de risques SSI de s’appuyer sur des équipes d’intégration de la sécurité dans les projets à même de consacrer suffisamment de temps à l’accompagnement des chefs de projets et en mesure de maîtriser la méthodologie, souvent perçue comme complexe au premier abord.

Les équipes en charge de la conformité ne sont généralement ni organisées ni dimensionnées pour réaliser un accompagnement de tous les projets d’une organisation sur la base d’une méthodologie aussi chronophage.

La conduite systématique d’analyses de risques EBIOS pour encadrer les risques Informatiques et Libertés apparaît alors souvent comme trop ambitieuse au regard des ressources à engager et risque ainsi d’alourdir de façon démesurée la charge du chef de projet et donc d’entraver le bon déroulement de la méthodologie projet.

Il reviendra donc au Correspondant Informatique ou Liberté (CIL) ou futur Data Privacy Officer (DPO) d’adapter et de simplifier la méthodologie d’analyse de risques qu’il souhaite déployer aux capacités d’accompagnement de ses équipes. Plusieurs pistes sont envisageables : réalisation d’un questionnaire simple de pré-qualification du risque pour prioriser les efforts entre les projets, limitation du nombre de scénarios de risques étudiés, réduction des listes de menaces applicables dans le contexte, préidentification des risques types, etc.

S’intégrer dans la méthodologie Projet existante

Un écueil souvent rencontré pour de nouvelles méthodologies : vouloir s’appuyer sur un nouveau processus, propre au sujet traité (ici la mise en conformité LIL3), qu’il faudra alors déployer dans l’organisation. Évangélisation chronophage, non connaissance des méthodes de travail des chefs de projets, redondance dans les demandes : autant de raisons justifiant l’échec probable de cette orientation.

Le CIL devrait plutôt chercher à s’intégrer dans le processus de gestion de projet existant : étapes clés, comités, livrables, etc. Des équipes (responsable méthode ou qualité par exemple) ont en général la responsabilité des méthodologies projet et peuvent accompagner le CIL dans sa compréhension et challenger ses propositions d’amendements.

Depuis plusieurs années de nombreuses organisations ont d’ailleurs déjà amendé leur processus de gestion de projet pour y intégrer les exigences de sécurité SI. Un exercice dont la réussite dépend souvent d’une bonne répartition des travaux au sein des grandes phases d’un projet. Il se décompose en plusieurs phases :

• Étude préalable : appréciation de la criticité du projet afin d’identifier les projets les plus sensibles et prioriser les efforts d’accompagnement. Une analyse de risques SSI détaillée sera seulement conduite pour les projets les plus sensibles.
• Conception : identification des exigences de sécurité à prendre en compte par chacun des acteurs.
• Mise en œuvre : suivi de la bonne mise en œuvre des mesures choisies pour répondre aux exigences.
• Recette : conduite d’une recette sécurité qui valide la prise en compte des exigences sécurité et l’efficacité des mesures mises en place. Elle est souvent accompagnée d’un audit de sécurité ou de tests d’intrusion.

Les enjeux étant similaires, la même méthodologie est tout à fait adaptable dans un contexte de Privacy By Design. Les erreurs à éviter seront alors les mêmes : sous dimensionnement des équipes en charge d’accompagner les chefs de projets, complexité de la méthode, absence ou réalisation trop tardive de la recette visant à valider la conformité en fin de processus, non implication des acteurs en charge de la conformité dans les comités clés.

Idéalement, le Privacy By Design cherchera à faire évoluer la méthodologie existante d’intégration de la sécurité dans les projets, celle-ci étant déjà rodée et bien connue des acteurs du projet.

La 2^ème partie publiée le mois prochain reviendra sur les deux autres facteurs clés de succès à prendre en compte : concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Cet article Privacy by design : anticiper pour mieux protéger (partie 1) est apparu en premier sur RiskInsight.

Quel changement pour les entreprises ?

Mise en place du Privacy by Design

(Articles 23, 30, 32a, 33a et 33)

Première nouveauté, les entreprises devront définir et mettre en œuvre des procédures permettant d’intégrer les problématiques liées à la manipulation des données personnelles dès la conception de nouveaux services.

Cette démarche s’accompagne de l’obligation de réaliser des analyses de risques relatives à la vie privée des personnes (discrimination, diffusion de données confidentielles, etc.) préalablement à la mise en place des traitements les plus sensibles et à chaque modification du traitement.

Face aux risques sur la vie privée des personnes induits par ces traitements, il sera imposé aux entreprises d’adopter des mesures de sécurité adéquates en vue de les maitriser.

Concrètement que retenir du Privacy by Design ? Une mise à jour de la méthodologie projet afin d’identifier au plus tôt les traitements sensibles et une méthode d’analyse de risques à définir et outiller. Il sera pour cela possible de s’inspirer des guides pratiques de la CNIL intitulés « Etude d’impact sur la vie privée », qui seront à simplifier et contextualiser aux besoins spécifiques de l’entreprise.

Responsabilisation ou « Accountability »

(Articles 22 et 28)

Toute entreprise devra désormais être capable de prouver sa conformité vis-à-vis du règlement.

Cette exigence se traduit par :

• l’adoption d’une politique cadre de gestion des données à caractère personnel ;
• une organisation associée ;
• des procédures opérationnelles déclinant les thèmes du règlement (information, respect des droits des personnes, transfert à des sous-contractants, etc.).

L’entreprise devra également être en capacité de prouver l’application de ces politiques et donc, de mettre en place des processus de contrôle.

L’occasion de parler de la personne qui illustrera ce principe d’ « Accountability » : le DPO (pour Data Protection Officer). Il devient quasiment obligatoire et remplace le CIL actuel.

Concernant ce DPO, le texte entérine l’obligation de lui fournir le personnel, les locaux, les équipements et toutes les autres ressources nécessaires pour mener à bien ses missions. Encore une fois le parlement souhaite aller au-delà de cette exigence : il propose de nommer au sein de la direction une personne responsable du respect du règlement.

Comment appliquer ce principe ? Il sera nécessaire de définir a minima une politique avec des règles de protection des données ainsi qu’’un plan de contrôle et de formation. Cette politique pourra par exemple s’inspirer du modèle des BCR « Binding Corporate Rules », dont le principe a été entériné dans le futur texte, pour lesquelles des modèles types et des premiers retours d’expérience existent déjà.

Obligation de notification des fuites (articles 31 et 32)

L’ensemble des parties s’accordent sur l’obligation de notification des fuites aux autorités. Le Parlement propose même que les entreprises mettent en ligne un registre listant les types de brèches de sécurité rencontrées. Il sera intéressant de constater comment cette exigence cohabitera avec les législations nationales en matière de sécurité et la protection des intérêts de la nation qui tendent à limiter la diffusion de ce type d’information.

La notification de fuites aux personnes concernées, quant à elle, n’est obligatoire que si l’entreprise n’est pas en mesure de démontrer qu’elle a mis en œuvre des mesures afin de rendre cette fuite sans conséquence. D’où l’intérêt d’effectuer correctement l’analyse de risques, de définir et d’implémenter des mesures appropriées.

Au final, deux recommandations afin d’anticiper le futur règlement sur ce point :

• un processus de gestion des fuites de données à définir en l’orchestrant avec les dispositifs de gestion de crise existants et les processus de relation client,
• la réalisation d’exercices réguliers afin de tester son efficacité avec tous les acteurs concernés.

Une mise en conformité à anticiper

Au-delà de ces trois nouveautés majeures, d’autres modifications plus limitées en termes d’impacts organisationnels sont également à prendre en compte, comme la création du droit à la portabilité ou l’extension de la liste des données sensibles. On peut par ailleurs noter le renforcement d’obligations existantes comme le droit à l’information et le recueil du consentement. Le diable se nichera dans les détails.

Pour conclure, les deux années de mise en application du règlement ne seront pas de trop (soit une mise en conformité d’ici début 2018) et nous ne pouvons que conseiller d’initier la mise en conformité dès 2016, avec le cadrage et le lancement des premiers chantiers majeurs. D’autant plus que le sujet devient de plus en plus visible médiatiquement (condamnation récente de Boulanger, Google et l’application du droit à l’oubli, etc.) et que les sanctions financières deviennent réellement significatives (entre 2 et 5% du chiffre d’affaire mondial). L’occasion pour toutes les entreprises de communiquer largement sur les principes de respect de la vie privée effectivement appliqués.

Cet article Nouveau règlement européen sur la protection des données personnelles : anticiper les 3 impacts majeurs est apparu en premier sur RiskInsight.

Quel est le contenu de la proposition ?

Troisième temps fort dans l’avancée du règlement européen, le Conseil de l’Union Européenne a adopté ce lundi 15 juin une position commune. Attention, cela ne signifie pas que le texte soit prêt à être publié. En effet, après le Parlement Européen qui avait amendé et voté le texte proposé par la Commission Européenne, c’est maintenant le Conseil de l’Union Européenne qui vient de faire de même. Reste maintenant aux trois parties de trouver un accord sur un texte définitif. Cet accord représente avant tout une grande avancée : désormais le Parlement et le Conseil disposent d’un délai établi pour parvenir à un accord.

Rentrons dès à présent dans le vif du sujet, que contient cette proposition ?

Tout d’abord des évolutions sont attendues sur la liste des données sensibles. Celle-ci a été réduite, en particulier les données biométriques et celles relatives aux infractions pénales n’en font plus parties. L’utilisation des données judiciaires est cependant soumise à l’aval d’une autorité compétente. Par ailleurs, le texte précise que l’utilisation d’un identifiant national unique (ex : le NIR en France) sera sujette à une réglementation nationale.

Par rapport à l’assouplissement du droit à l’information, le délai de réponse passe de quarante jours à un mois mais la transmission des catégories de données collectées n’est plus obligatoire. Il est également à noter que le droit à l’oubli fait son retour. Il avait été renommé droit à l’effacement par le Parlement. Son contenu n’est cependant pas modifié. Même traitement pour le droit à la portabilité, cette fois-ci sans obligation concernant le format de restitution des données. Il est intéressant de noter que le nouveau texte crée un droit de « Restriction of Processing ». Il s’agit de l’application cumulée du droit à l’oubli et du droit à la portabilité. Les données sont restituées puis supprimées.

Chaque organisation aura l’obligation de nommer un DPO quelle que soit sa taille, cependant il pourra être mutualisé. Le principe d’accountability reste présent mais le conseil ne souhaite pas imposer la réalisation d’une analyse de risques, seulement une analyse d’impacts (sans obligation de la renouveler tous les 2 ans). Le texte supprime également l’obligation systématique de notification des fuites de données aux autorités de protection. Elle sera désormais limitée aux fuites possédant un « risque important sur les droits et les libertés du sujet » (dans un délai de 72h).

Le conseil s’est aligné sur la position de la Commission en diminuant le montant des amendes et a introduit une gradation de leur montant suivant les infractions : trois seuils sont définis : 250.000€ ou 0,5% du CA, 500.000 € ou 1% du CA et 1.000.000 € ou 2% du CA.

Dernier point intéressant à noter, le nouveau texte entend rendre obligatoire l’open data pour les administrations. Les entreprises seront libres d’utiliser ces données.

Un règlement d’ici la fin de l’année 2015 ?

Le processus d’adoption du règlement est long et complexe, il s’agit de la « Procédure Législative Ordinaire ». Elle permet une écriture coordonnée du texte entre le Parlement Européen et le Conseil de l’Union Européenne. Il s’agit de la principale procédure législative par laquelle les textes sont adoptés.

Le texte a initialement été proposé par la Commission Européenne le 25 janvier 2012. Le 12 mars 2015, le Parlement a adopté une nouvelle version du texte en première lecture (après de nombreux groupes de travail en interne et avec la Commission). La proposition a ensuite été soumise au Conseil (qui regroupe les représentants des États, dans notre cas, les ministres de la justice). Si ce dernier avait approuvé le texte en l’état, la procédure aurait été close. Dans notre cas, le Conseil a proposé une nouvelle version du texte. Ceci clôt la première étape de la procédure dite « la première lecture ».

Débute alors la phase de seconde lecture, semblable à la première à l’exception du fait que les parties disposent désormais chacune d’un délai pour voter le texte (3 mois + 1 mois si nécessaire). Si le consensus n’est pas atteint, c’est à dire si le Conseil amende à nouveau la proposition du Parlement, le texte rentrera dans la troisième et dernière phase, la phase de conciliation.

Au cours de cette dernière étape, les trois parties disposent d’un délai de six semaines (+2 si nécessaire) pour mettre en place un groupe de négociation, appelé « trilogue ». Il disposera à son tour de six semaines (+2 si nécessaire) pour parvenir à un accord.

Le Parlement a cependant annoncé que, pour raccourcir les délais, la phase de trilogue démarrera de manière informelle dès le 24 juin. Quel intérêt ? La version votée par le Parlement aura été rédigée en accord avec la vision du Conseil, qui n’aura plus qu’à la valider. Résultat : un accord dès la fin de la seconde lecture et une adoption du texte avant la fin de l’année.

Que retenir ?

Premièrement, la fin de l’enlisement du règlement avec une volonté de l’ensemble des acteurs, tant publics que privés, d’aboutir rapidement à une version finale. Deuxièmement, une mise en conformité complète des entreprises d’ici fin 2017 (deux ans de délai d’application). Et pour terminer, de nombreux concepts dont les contours se dessinent de plus en plus finement, et qui nécessitent d’être anticipés au plus tôt. Pour plus de détails sur ces concepts, vous pouvez consulter cet article.

Cet article Données à caractère personnel : un pas de géant en faveur de l’adoption du règlement européen ? est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Une législation « permissive » aux États-Unis, une opportunité pour les data brokers

Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d’internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, …). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu’il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic…), chacun pouvant détenir plusieurs centaines de milliards de données ! Un marché qui ne cesse d’augmenter, à l’ère du Big Data et de l’explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain.

En effet, il n’existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L’approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d’un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l’information ou le droit à la rectification tels que nous les connaissons, sont absents.

Une amorce de prise de conscience pour une législation renforcée aux États-Unis…

 La FTC s’est penchée sur la question de ce vide juridique vis-à-vis des data brokers et a livré ses recommandations dans un rapport publié en Mai 2014. L’autorité préconise des dispositions législatives, déjà présentes dans les différentes réglementations en Europe, comme le droit de rectification, le droit d’opposition, le droit à l’information et le droit d’accès. En outre, la FTC recommande aux data brokers de prendre des précautions pour renoncer à la collecte d’informations relatives à des mineurs ainsi que de considérer les enjeux de la vie privée dans toutes les étapes du traitement des données : c’est le principe du « Privacy by Design » (on retrouve d’ailleurs ces deux notions dans le projet de futur règlement européen). Ce rapport a permis de mettre sur le devant de la scène le sujet des données personnelles aux États-Unis. Cette tendance risque certainement de s’amplifier avec le discours du ministère de la Justice de l’administration Obama du 25 juin dernier qui s’est engagé à légiférer plus largement sur la protection des données personnelles.

Avant les États-Unis, d’autres pays ont légiféré… avec difficulté

 De nombreux pays ont récemment tenté de légiférer dans ce  sens,  en s’inspirant plus ou moins fortement des principes européens. C’est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l’Inde (2013), du Brésil (2014), ainsi que de nombreux pays d’Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l’intérêt croissant des pays « dits » émergents pour ce sujet qui n’est plus uniquement une question européenne.

L’Europe est-elle en passe d’imposer sa vision sur le traitement des DCP ?

Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l’événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s’appuie sur des principes bien connus en Europe.
En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s’ajouter au modèle européen ou l’Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain ? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s’inscrire dans une optique européenne de protection que dans la logique permissive historique outre atlantique.

Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l’USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie…

Cet article Législation américaine sur les « data brokers » : une influence limitée sur la gouvernance mondiale des données personnelles ? est apparu en premier sur RiskInsight.

Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent personne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

Cet article Fuite de données personnelles : comment stopper l’hémorragie ? est apparu en premier sur RiskInsight.

Des tentatives infructueuses

La carte d’identité nationale électronique sécurisée est un projet d’identité numérique français datant de 2003. Cette carte d’identité devait contenir des informations biométriques. Ces données devaient également être conservées dans un fichier centralisé, solution perçue comme une atteinte aux libertés individuelles par nombre d’associations. Le projet a été arrêté puis relancé à de nombreuses reprises jusqu’en 2012. Le Conseil constitutionnel donna alors un coup d’arrêt définitif au projet en le censurant.

En parallèle, certains citoyens français ont pu expérimenter l’utilisation d’un certificat électronique « pour un usage unique » dans le cadre de leur déclaration d’impôts en ligne. L’expérimentation a finalement été abandonnée en raison de processus jugés trop complexes pour les utilisateurs (notamment lors d’un changement d’ordinateur) et trop coûteux pour le fournisseur (notamment en matière de support aux utilisateurs).

En 2010, un nouveau projet d’identité numérique, baptisé IDéNum est lancé. Deux ans plus tard, peu d’avancées concrètes à constater, sans qu’aucune raison officielle ne soit donnée.

L’échec des précédents projets gouvernementaux n’a cependant pas découragé les initiatives privées. Ainsi, La Poste propose un service de courrier recommandé en ligne, via une identité numérique baptisée « IDN ». Les informations personnelles sont vérifiées via plusieurs mécanismes, notamment la présentation d’une pièce d’identité à domicile à un facteur. Son utilisation reste cependant limitée à cet usage très ciblé.

2013 : un nouvel envol ?

Le gouvernement tente de relancer le projet IDéNum depuis début 2013. Le projet, financé par un partenariat public-privé, doit permettre de « préserver notre souveraineté nationale face aux alternatives étrangères et non sécurisées ».

Le projet adopte une approche innovante : garantir la fiabilité des Identités émises sans imposer l’État comme autorité de confiance. Ainsi, IDéNum devrait proposer un ou plusieurs « labels » reprenant des critères de qualité, de confidentialité, d’interopérabilité ou encore de contrôle fixés par l’État. Charge aux fournisseurs d’Identités privés de répondre à ces critères pour être labélisés et ainsi pouvoir émettre des Identités numériques fiables et reconnues.

Cette identité numérique devrait permettre d’accéder aux services administratifs de l’État, et plus largement à n’importe quel service privé qui y aura souscrit. C’est donc bien le « label » qui porte le niveau de fiabilité associé à l’identité numérique. D’où, peut-être, la possibilité de promouvoir plusieurs labels, correspondant à des critères de qualité différents, et adaptés à différents usages. Le « label » devrait aussi définir les « droits et devoirs » des fournisseurs de services souhaitant utiliser IDéNum. Ainsi, il permettrait d’encadrer l’usage et la diffusion des données recueillies.

Caractère universel, maîtrise de ses informations personnelles et fiabilité : 3 conditions de succès

Quels que soient les choix retenus, trois points cristallisent la relation à l’objet « identité numérique », et donc son futur niveau d’adoption : le caractère universel de son usage, la confiance de l’utilisateur dans le système – matérialisée par la maîtrise de ses informations personnelles -, et la confiance des fournisseurs de services utilisant ce même système, matérialisée par la fiabilité des informations.

Le caractère quasi universel d’une identité numérique – c’est-à-dire la possibilité de l’utiliser pour tout, tout le temps sans limite ni contrainte – est une condition sine qua non à une adoption de masse. Aussi, la question de l’interopérabilité, avec fournisseurs de services et entre pays, est primordiale. Le projet se doit donc d’emporter l’adhésion de nombreux acteurs publics comme privés. Pour cela il doit notamment offrir une prise en main et une utilisation des plus simples, pour les utilisateurs et également pour les fournisseurs de services. Par ailleurs, les initiatives de chaque pays européen doivent être compatibles et offrir un unique standard d’interopérabilité. En 2012, la Commission européenne a d’ailleurs publié un projet de règlement visant à définir un cadre européen pour l’identité numérique.

De plus, les utilisateurs doivent avoir confiance dans la maîtrise de leurs informations personnelles. La multiplication des comptes en ligne a conduit les internautes à diffuser massivement des informations personnelles, qui sont parfois monnayées à des tiers. L’identité numérique, qui fournit des informations qualifiées, ne doit pas devenir une source d’information à tout-va. L’utilisateur devra pouvoir choisir quelles informations il souhaite communiquer en fonction du service accédé et donc contrôler la diffusion de ses informations personnelles.

Aujourd’hui, un site de poker en ligne qui souhaite vérifier que vous êtes majeur vous demande de fournir une photocopie de votre carte d’identité. Cette dernière contient bien plus d’informations que la simple réponse à la question « Êtes-vous majeur ? ». Une identité numérique pourrait autoriser une granularité bien plus fine dans la diffusion des informations personnelles. De la même manière, un site de vente en ligne a besoin de connaître votre adresse postale, mais non votre date de naissance ou votre statut marital. Autre point d’attention : les adhérences entre les sphères privées, publiques ou professionnelles. Un fournisseur de services (par exemple de la sphère professionnelle) ne devrait a priori pas avoir connaissance des autres usages associés à une identité. L’identité numérique doit donc garantir souplesse, transparence et confidentialité sur les informations diffusées.

Enfin, l’adoption par les fournisseurs de services passe par un niveau de confiance élevé dans la fiabilité des informations recueillies. Par exemple, pour les services les plus critiques, permettre d’interroger le fournisseur d’Identités numériques pour garantir la validité de l’information fournie. À l’instar des cartes d’Identité physique, le vol ou la falsification seront autant de menaces pesant sur l’identité numérique. D’où la nécessité de définir un cadre légal, autant pour protéger les utilisateurs que les fournisseurs de services.

Alors, l’identité numérique, un levier pour de nouveaux usages ?

IDéNum doit permettre de dématérialiser encore plus de procédures, avec un niveau de confiance adapté, et accélérer ainsi l’émergence de nouveaux services sur internet (B2C notamment). Les entreprises vont en particulier y trouver un levier pour faciliter la relation client. L’identité numérique devrait simplifier des processus de souscription, et améliorer la confiance mutuelle : l’utilisateur dans l’usage de ses données personnelles et les fournisseurs de services dans la qualité des informations recueillies.

Mais soyons pragmatiques et n’attendons pas IDéNum pour avancer. Les Identités numériques existent déjà, même si elles ne sont pas qualifiées ou réputées fiables. Et pour certains usages, c’est déjà bien suffisant. Quels risques à permettre à un prospect de sauvegarder un devis et de s’authentifier avec son compte Google ? Si vous employez des étudiants saisonniers durant les congés estivaux, est-ce plus risqué d’utiliser des comptes génériques avec un mot de passe trivial, ou de leur permettre de s’authentifier avec leur compte Facebook ou LinkedIn ? Cette tendance est d’ailleurs déjà associée à un acronyme : « BYOID » pour Bring Your Own IDentity.

Au-delà des concepts, les fondamentaux « traditionnels » de l’identité doivent rester au cœur des réflexions : comment proposer une Identité unique et pérenne ? Comment garantir le lien avec le cycle de vie des utilisateurs dans l’entreprise ? Ou encore comment garantir un niveau d’authentification en cohérence avec les services offerts et les risques associés ? Autant de questions qui devront servir de guide à la définition de l’identité numérique de demain.

Cet article Identité numérique : quel état des lieux aujourd’hui en France ? est apparu en premier sur RiskInsight.

Une attaque motivée par la perspective de gains financiers

L’enquête semble converger vers un prestataire de l’opérateur qui aurait réalisé le vol de données. Ce dernier a déjà été interpellé par les forces de l’ordre, preuve pour les plus sceptiques, de l’efficacité aujourd’hui des autorités sur ces dossiers d’attaques informatiques. Nous en saurons certainement plus dans les jours qui viennent sur ses motivations, mais la recherche de gains financiers ne doit pas être négligée. Aujourd’hui, un « enregistrement client » (nom, prénom, adresse…) peut se monnayer autour de 15 centimes de dollars, ce qui représente quand même plus 300 000 euros dans le cas de Vodafone.

En effet, plus de deux millions de données clients ont été dérobées, dont certaines informations bancaires. Ces données pourront servir à réaliser des attaques en phishing de « haute qualité », capables de tromper plus facilement les destinataires grâce à des informations fiables. Heureusement, les enregistrements les plus sensibles (numéro de carte, mot de passe…) semblent avoir été épargnés. Dans le cas contraire,  l’impact aurait pu être bien plus important : des fraudes financières auraient pu être réalisées directement.

 Prestataires et administrateurs : des populations à encadrer

Cet incident met à nouveau en lumière la faille majeure que représentent les fonctions d’administrations du SI. Sans préjuger de la situation de Vodafone, ces fonctions sont souvent externalisées à moindre coût dans des méga-contrats dont les contours sont toujours difficiles à cerner (qualification des employés, sous-traitance masquée, pays concernés…) et dont les mesures de sécurité censés encadrer les usages sont rarement vérifiées sur le terrain. Et cette situation se rencontre malheureusement dans de nombreux secteurs, même les plus sensibles. N’oublions pas qu’Edward Snowden, administrateur sous-traitant, nous dévoile régulièrement depuis le début de l’été des documents secrets de la NSA…

Des changements à entamer à la DSI et à la direction des achats dès aujourd’hui pour limiter les risques

Vodafone vient de voir son image écornée et les coûts de gestion de l’incident risquent d’être élevés. Au-delà des coûts directs liés aux investigations, le volet notification des clients peut être majeur. Les chiffres en provenance des États-Unis parlent d’un coût autour de 100€ par clients à notifier, nous sommes dans une fourchette rapidement supérieures à la centaine de millions d’euros.

Dans cette situation, et pour limiter les impacts, un contrat de cyber assurance peut être utile, mais attention il ne doit pas contenir d’exclusion sur les malveillances internes.

Au-delà de cette mesure de compensation, il est bien évidemment nécessaire de vérifier sur les périmètres les plus sensibles de l’entreprise, la qualité et la sécurité des processus d’administration. Il s’agit d’un chantier d’ampleur, qui au-delà de la mise en place de mesures techniques (mise en place de plateforme de rebond, journalisation des actions, limitations des comptes d’administration, utilisation de postes de travail dédiés non connectés à Internet…) est avant tout un projet de conduite du changement. Un changement à mener à deux niveaux, auprès de populations de la DSI souvent très (voir trop) autonomes dans la réalisation de leurs actions au quotidien qui doivent accepter la mise en place de mesure de sécurité et de contrôle, mais aussi et peut être surtout au niveau de la direction des achats pour valoriser les fonctions d’administration du SI et faire de la sécurité un des critères de premiers plans dans les contrats d’externalisation.

Cet article Vol de données chez Vodafone : un rappel douloureux de la « menace intérieure » est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.

Les chiffres donnent le vertige : lors de la préparation de son introduction en Bourse, Facebook a évalué ses 850 millions d’amis à 100 milliards de dollars.

De son côté, Google recentre de plus en plus ostensiblement son business model sur la collecte et la valorisation des données relatives à ses utilisateurs et du profilage qu’il en déduit.

Car ces données à caractère personnel constituent bien, des mots mêmes de Viviane Reding, la devise des marchés numériques d’aujourd’hui. Et la commissaire européenne à la Justice d’en déduire : et comme toute monnaie, celle-ci requiert stabilité et confiance. Ce n’est que lorsque les consommateurs pourront avoir pleinement confiance en la protection de leurs données qu’ils continueront à les confier aux entreprises et autorités, à acheter en ligne et à accepter de nouveaux services.

La vie privée à l’heure des nouvelles frontières du numérique

Jusqu’à présent, le droit européen en matière de protection des données à caractère personnel se fonde sur une Directive de 1995, écrite alors qu’Internet n’en était qu’à ses balbutiements.

Depuis, la part d’Internet dans les communications mondiales est passée de 1% à plus de 97%. Cette internationalisation des échanges de données, en parallèle de la monétisation croissante des données, met en évidence les limites et insuffisances de la législation actuelle.

En ce sens, le projet de refonte dévoilé le 25 janvier dernier est doublement intéressant.

Tout d’abord, là où l’on attendait une nouvelle Directive, la Communauté a publié un Règlement : bien loin d’une coquetterie de juriste, il s’agit d’affirmer une approche radicalement différente de celle qui était jusqu’alors en œuvre et fortement décriée. Un Règlement a ceci de spécifique qu’il s’applique directement aux membres, sans qu’ils aient à l’intégrer à leur droit national. En effet, alors que les frontières existent de moins en moins pour les flux de données, il a été estimé que les disparités dans les traductions nationales du droit communautaire en la matière coûtent à elles seules jusqu’à 2,3 milliards par an aux entreprises.

L’objectif, réaffirmé en introduction du document, est donc bien de s’adapter à un monde ouvert et d’harmoniser la protection des données au niveau européen.

Les enjeux, ensuite, ont très clairement évolué. En 1995, le législateur mettait le citoyen au cœur de ses préoccupations, puisqu’il entendait le protéger contre l’informatisation croissante des entreprises et des États. En 2012, maturité aidant, les enjeux économiques et commerciaux sont passés au premier plan : il ne s’agit plus uniquement de protéger la vie privée – ce droit à la vie privée est passé dans les mœurs – mais d’apporter confiance au citoyen (et consommateur) et sécurité juridique aux opérateurs privés et publics.

Les réseaux sociaux en ligne de mire

Un Règlement donc, pour la forme.

Sur le fond, cette proposition s’attaque sans surprise aux nouveaux enjeux liés au développement des réseaux sociaux.

Elle pose ainsi de nouvelles règles, spécifiques au traitement des données à caractère personnel relatives aux enfants de moins de 13 ans, qui sera désormais soumis à l’autorisation de leurs parents. Elle instaure également explicitement un droit à l’oubli numérique, y compris pour les données rendues publiques par la personne. Les pratiques de profilage, telles que celles mises en œuvre par Google, requerront quant à elles le consentement explicite des personnes concernées.

En réaction à la démocratisation d’Internet, elle rend de plus obligatoire la mise en place de canaux électroniques pour l’exercice des droits d’accès et de modification, tout en imposant un délai raisonnable du traitement des demandes.

Une amende à 500 millions de dollars

Si chaque État reste maître dans la définition des sanctions pénales en cas de non-respect des exigences du Règlement, les sanctions administratives sont, elles, considérablement augmentées puisqu’elles pourront atteindre 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise. À titre d’illustration, la sanction maximale prononcée l’année dernière par la CNIL à l’encontre de Google s’élevait à 100 000 €. Demain, elle pourra s’élever à près de 500 millions de dollars…

Vers l’obligation d’un système de management de la protection des données à caractère personnel

Ultime raffinement de l’existant, directement inspiré des meilleures pratiques du marché, cette proposition de Règlement pourrait accélérer la mise en œuvre de systèmes de management de la protection des données à caractère personnel.

On connait les systèmes de management tels que définis dans les normes ISO : par exemple, la qualité, dans l’ISO 9001 (SMQ), la sécurité, dans l’ISO 27001 (SMSI), ou encore l’environnement, dans l’ISO 14001 (SME).

De manière analogue, figurent en effet explicitement dans le texte :

• A l’instar de l’analyse de risque, qui guide la mise en œuvre des mesures de sécurité dans un SMSI, l’obligation :

– De conduire des analyses d’impacts relatifs à la vie privée sur les traitements les plus sensibles.

– De prendre en compte la protection des données à caractère personnel dès la conception des systèmes (le privacy by design anglo-saxon), en fonction des coûts des mesures de sécurité et de l’état de l’art en la matière.

• A l’instar du contrôle, ensuite, qui fonde l’amélioration continue dans les différents systèmes de management cités, un devoir d’audit de l’efficacité des mesures par le responsable de traitement.

Argument complémentaire, si besoin en était, pour la mise en place de tels systèmes : si les formalités déclaratives disparaissent, en contrepartie de l’obligation de désigner officiellement un correspondant aux données à caractère personnel (le CIL français), l’obligation de notification des violations aux traitements de données à caractère personnel, actuellement valable pour les opérateurs télécoms, s’appliquera à l’ensemble des secteurs.

Les critiques de la CNIL

Ce projet de Règlement constitue ainsi une volonté de synthèse entre les meilleures pratiques du marché et des réponses pragmatiques aux difficultés des organismes, en particulier multinationaux, à répondre aux exigences actuelles.

Dans sa volonté d’harmonisation et de renforcement de la coopération européenne en la matière, la Commission propose ainsi un fonctionnement en mode guichet unique : si le justiciable peut s’adresser à l’autorité de contrôle (les CNIL européennes) de son choix, chaque entreprise est placée sous la responsabilité d’une autorité unique, en fonction de la localisation de son siège européen.

Et c’est là que le bât blesse.

Dans un communiqué publié début mars, la CNIL s’est ainsi fait la voix des nombreux détracteurs de cet aspect du Règlement. Intitulé La défense de la vie privée s’éloigne du citoyen, cet article fait état de l’opposition ferme de la commission à ce principe, qui constitue, selon ses termes, une véritable régression vis-à-vis des droits des citoyens.

Pour autant, la majorité des autres points du Règlement ont d’ores-et-déjà emporté l’adhésion de nombreux spécialistes du sujets, juristes et opérationnels. Les organismes seraient donc bien avisés dès maintenant de les intégrer à leur réflexion afin d’être à même de respecter les futures exigences légales.

Et Facebook ne s’y est pas trompé, qui a fait figurer en bonne position parmi les risques mentionnés dans son dossier d’introduction en bourse le durcissement de la législation en matière de données à caractère personnel.

Cet article La vie privée à 27 : encadrer la ruée vers l’or numérique est apparu en premier sur RiskInsight.

Mais de l’autre coté, les réseaux sociaux implémentent des mécanismes innovants de protection et de partage de l’information, précurseurs du futur de la protection des données. Même si ces innovations sont moins évidentes de prime abord, elles sont concrètes et en place dès aujourd’hui.

Prenons l’exemple du partage d’information entre des applications. Aujourd’hui, dans le monde de l’entreprise, chaque application échange des flux avec d’autres sans mettre en place (ou alors très rarement) des mécanismes d’authentification et d’autorisation. A contrario, les plateformes tels que Twitter permettent des gérer des droits d’accès applicatifs de manière simple et  efficace. L’utilisateur, avec son compte Twitter, peut autoriser des applications tierces à réaliser plus ou moins d’actions sur ses données. Lire les messages, ajouter des utilisateurs, écrire des messages, il est possible de gérer toutes ces opérations de manière transparente et claire avec un tableau de bord qui résume les droits accordés. Ces autorisations peuvent aussi être limitées dans le temps comme le propose LinkedIn.

Innovation complémentaire, la simplification et le renforcement de l’authentification de l’utilisateur. De plus en plus d’applications web permettent de s’authentifier en utilisant le compte Twitter ou Facebook de l’utilisateur. Voilà un moyen simple de limiter le nombre de comptes et de mots de passe dans la lignée des WebSSO mis en place dans l’entreprise. Certains vont même jusqu’à mettre en place gratuitement une authentification forte (Google par exemple) ou des mécanismes de ré-authentification pour les opérations les plus sensibles. Ces mêmes applications vont générer des alertes en cas de comportements suspicieux (utilisation depuis un autre pays, à des heures non cohérentes). Ces mécanismes avancés, au combien difficile à exiger en entreprise, sont implémentés aujourd’hui dans des applications grand public protégeant parfois de simples photos de vacances !

Autre exemple, la gestion des droits d’accès utilisateurs. L’utilisation de Google Docs montre comment l’utilisateur peut décider d’accorder des accès de manière simple (lecture, modification) à des utilisateurs qu’il connaît. Couplé avec une traçabilité et un suivi des modifications dans le temps implémentées nativement, ces fonctionnalités sont à des années lumières de ce que permettent aujourd’hui le partage de fichiers par messagerie, ou encore pire sur des clés USB. Google+ et sa gestion de « cercles » de contacts amène également une vue simple et compréhensible par l’utilisateur de la gestion des droits d’accès.

Bien entendu, ces mécanismes ne fonctionnent aujourd’hui que dans un monde « connecté » et dans l’écosystème d’un fournisseur (Google, Twitter, LinkedIn…). Bien entendu les grands acteurs du web ont des ressources importantes et des équipes expérimentées pour gérer leurs écosystèmes. Mais les entreprises pourraient à minima s’inspirer de ces innovations, voire même dans certains cas s’appuyer sur elles ! Nul besoin de recréer des comptes utilisateurs sur un site de recrutement externe, l’utilisation du compte Twitter ou Facebook peuvent être une alternative permettant de simplifier l’accès pour les candidats. Ceci peut également être vrai dans des campagnes de promotion B2C ou dans l’accès à certains espaces clients.

Il va donc être intéressant de suivre toutes les innovations apportées par ces réseaux sociaux dans la protection des données et d’estimer, en analysant les risques, comment ceux-ci peuvent être transposés ou utilisés dans les systèmes d’information des grandes entreprises !

Cet article Protection des données : les réseaux sociaux montrent la bonne direction est apparu en premier sur RiskInsight.