L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.

Les cookies, vrais ou faux amis ?

Qui sont les cookies ?

Le cookie est un fichier texte (combinaison de chiffres et de lettres d’une taille maximale de 4 KB) déposé par un service web sur l’appareil – smartphone, tablette ou PC – de l’utilisateur. Ces informations permettent de reconnaître l’utilisateur au-delà d’une première visite ainsi que ses paramètres. Il existe de nombreuses catégories de cookies. Par exemple, certains cookies sont strictement nécessaires au bon fonctionnement d’une page web (ex. load balancing, session de l’utilisateur ou facilitation du shopping en ligne lors de l’ouverture de plusieurs sessions) ou permettent de produire des statistiques, dans ce cas, leur usage relève de l’intérêt légitime du responsable de traitement et ne nécessite donc pas la collecte d’un consentement (cf. délibération de la CNIL du 4 juillet 2019 relative à l’utilisation des cookies et traceurs). D’autres cookies ont pour objectif de mieux connaître l’utilisateur via l’analyse de sa navigation ou de ses habitudes de consommation. Ils nécessitent alors le recueil d’un consentement de la part de l’utilisateur dans la mesure où leur absence n’altère en rien le bon fonctionnement du site. Ces derniers – et plus particulièrement les « cookies tiers » ou « cookies de suivi » – interrogent quant au respect de la vie privée dans la mesure où ils permettent de suivre la navigation d’un utilisateur lors de ses visites de différents sites web, une activité également connue sous le terme « tracking », qui permet de déduire des habitudes et de modes de vie des utilisateurs plus ou moins intrusives (centres d’intérêt, habitudes de consommation, lieux de vie ou mobilité, fréquentation de centre de soin, opinion politique, orientation sexuelle, sensibilité religieuse, etc.).

Ainsi, la CNIL distingue les catégories de cookies suivantes :

Attention, certains cookies de mesures d’audience peuvent être exemptés de consentement en fonction du choix et du paramétrage de la solution de mesure d’audience associée. Pour plus d’information sur les solutions de mesures d’audience nécessitant ou pas le consentement, se référer ici.

Les cookies comme réponse à des enjeux métiers dans un environnement concurrentiel

Si ces outils sont si utilisés aujourd’hui, c’est d’abord et avant tout parce qu’ils répondent à des besoins métiers, notamment pour les directions marketing/commerciales ou de la communication. D’une part, ils permettent d’offrir une expérience personnalisée en définissant ou en associant un « profil utilisateur » à leurs clients ou prospects. Pour que les campagnes marketing soient plus précises (mieux ciblées) ou pour toucher un plus grand nombre de personnes susceptibles d’être intéressées par le produit / service, ces entreprises ont souvent besoin d’enrichir leurs bases avec des cookies tiers et des segments marketing. Pour cela, elles s’appuient sur des prestations « clé en main » fournies par des régies publicitaires dont l’un des métiers est de vendre d’immenses bases de données de cookies (Criteo, RelevanC).

De manière générale on observe que les organisations qui utilisent ces cookies ont mis en place des outils permettant à l’utilisateur de décider lui-même s’il souhaite les accepter ou non en fonction de leurs finalités. Mais certaines pratiques sont loin d’être totalement transparentes…

Le pixel invisible ou espion, une technologie méconnue de l’utilisateur

Qu’est-ce qu’un pixel ?

Le pixel invisible (ou espion) est parfois utilisé comme une alternative au cookie dans la mesure où son usage ne peut techniquement pas être bloqué par un navigateur. Il s’agit d’un graphique (1×1 pixel) qui est téléchargé lors de la consultation d’une page web ou lors de l’ouverture d’un email. Ce pixel est généralement masqué ou si petit qu’il est impossible à voir. Sa fonction est de collecter des informations sur l’utilisateur (adresse IP, type d’appareil, version du navigateur, résolution d’écran, etc.)[1] ou de permettre le dépôt d’un cookies tiers permettant de renvoyer ces informations à un serveur.

Si la plupart des sites mentionnent l’utilisation de pixels et permettent à l’utilisateur de gérer ses préférences, la très grande majorité utilisateurs ignorent à quoi ils servent. De plus, il arrive que ces pixels soient présents dans le contenu d’emails sans que le(s) destinataire(s) n’en soit informé(s). Non visibles et encore très peu soumis au recueil du consentement, le pixel continue enregistre quantité de données à caractère personnel pouvant porter atteinte à la vie privée du destinataire. Que dit la réglementation et jusqu’où s’applique-t-elle ?

[1] L’ajout d’un script Javascript permet de recueillir des informations complémentaires à propos de l’utilisateur qui en est très rarement informé (ex. système d’exploitation, localisation approximative, etc.).

Le RGPD définit des obligations claires à respecter

Les données à caractère personnel collectées et traitées par les traceurs qui peuvent ensuite être utilisées pour en déduire des habitudes et de modes de vie des utilisateurs sont soumises au RGPD qui définit des exigences claires quant à leur utilisation. Préalablement au dépôt de cookies ou traceurs sur des terminaux, les acteurs du numérique doivent respecter, entre autres, les obligations suivantes sous peine de ne pas être en conformité :

1. Informer l’utilisateur de la mise en œuvre de traceurs et cookies utilisés et leur(s) finalité(s) précise(s) dans un bandeau rédigé en des termes simples et compréhensibles
2. Recueillir le consentement de l’utilisateur ou de lui fournir la possibilité de s’y opposer (nb. ce consentement est valable 13 mois maximum)
3. Respecter l’activation par l’utilisateur du paramètre DoNotTrack offert par certaines récentes versions de navigateurs

Attention : jusqu’en juillet 2019, la CNIL considérait que la poursuite de la navigation vallait accord au dépôt de Cookies sur le terminal utilisateur. Cette pratique, qualifiée de « soft opt-in » a depuis été révisée par CNIL (voir ici).

En conclusion, des efforts restent à réaliser pour aller vers plus de transparence et de pédagogie vis-à-vis des utilisateurs pour qu’ils puissent choisir de faire l’objet d’une navigation personnalisée respectueuse de la vie privée.

Un an après l’entrée en application du RGPD, les traceurs – incluant les cookies et les pixels – sont généralement bien gérés par les entreprises lors de la navigation web. En effet, la plupart des sites mettent à disposition des utilisateurs un bandeau d’information, une politique relative à l’utilisation des données à caractère personnel et un outil de gestion des cookies, incluant les pixels, pour que l’utilisateur puisse gérer ses préférences (opt-out lorsque le consentement n’est pas nécessaire) et consentements sur ces sites. Néanmoins, l’information relative à l’usage de ces traceurs à des fins de traitement marketing (ciblage, profilage) ne fait pas toujours la distinction entre les cookies et les pixels, ce qui ne permet pas l’information claire et transparente de l’utilisateur. Pour finir, l’information quant à l’utilisation de pixels dans les emails est presque inexistante (ou alors accessible après plusieurs clics !) ne permettant pas d’assurer la transparence envers les destinataires. Bien qu’elles ne permettent pas d’endiguer le dépôt de traceurs, des solutions telles que l’effacement régulier de l’historique de navigation ou de moteur de recherche ou telles que l’installation d’extensions (ex.  NoScript, Ghostery, Adblock Plus et bien d’autres encore pour la navigation, PixelBlock, Ugly Email pour la messagerie) peuvent être mises en œuvre par les utilisateurs pour limiter la collecte de leurs données à caractère personnel.

Cet article Traceurs et vie privée : quels efforts à faire pour une navigation respectueuse de la vie privée ? est apparu en premier sur RiskInsight.

Le projet de loi, créé à la base pour modifier un projet de loi de 1986, le «Stored Communication Act», permet aux États-Unis de forcer les fournisseurs de services américains  à transmettre les données de leurs clients stockées à l’étranger de manière beaucoup plus rapide. Il faut en moyenne dix mois pour obtenir les données, une durée improductive pour les enquêtes menées par les États-Unis. Le projet de loi vise à permettre aux autorités américaines (du shérif à la CIA) à accéder à des données hébergées par des entreprises américaines sans passage devant un juge. Les grandes entreprises technologiques, qui ont soutenu le projet de loi devant le Sénat, pourront s’opposer à une demande si :

• Le client ou l’abonné n’est pas américain ou ne réside pas aux États-Unis (section 3.2.b.h.2.i), et
• Le transfert obligerait le fournisseur à enfreindre les réglementations du pays hébergeant les données (section 3.2.b.h.2.ii)

Cette demande sera alors portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Sa décision sera basée, entre autres, sur la validité des informations apportées, de l’intérêt de la requête pour les Etats-Unis et de l’envergure et les chances d’application de la violation de loi dans le pays étranger. Le caractère public du recours n’est pas précisé, en particulier la capacité des entreprises à communiquer sur ces contestations. Aujourd’hui, il nous parait probable que les grands acteurs américains utilisent ce recours pour garder la confiance de leurs clients.

Afin d’éviter d’enfreindre les réglementations des pays concernés, les États-Unis pourront passer des accords bilatéraux avec ces États, qui, en échange de leur bonne volonté, pourront accéder aux données sur le territoire américain.

Aux États-Unis, le CLOUD Act reste contesté pour les risques hérités par les potentiels accords avec les pays étrangers. Le fait que le pouvoir exécutif soit à même de mettre en place les accords mutuels inquiète la population américaine, qui craint que des puissances étrangères se servent du Cloud Act pour aller fouiller dans leurs données sans garde-fou.

Quelles conséquences pour les clients européens ?

Alors que les géants de la technologie (Facebook, Google, Microsoft, Apple) ont soutenu le projet de loi (les autorités américaines s’abstenant de les approcher pour un accès backdoor et fournissant un cadre clair pour exercer le transfert de données), ces réglementations peuvent être inquiétantes pour la privacy des clients des entreprises ciblés. Cette loi pourrait laisser les clients sans droit de regard, ni information sur l’accès à leurs données par les autorités américaines.

Cependant, les clients européens dont les données sont traitées en Europe pourraient être bientôt protégés par le Règlement Général sur la Protection des Données (RGPD). Les articles 45 et 48 du règlement qui entrera bientôt en vigueur définissent un ensemble de règles claires pour permettre le transfert vers des pays tiers. Selon Frank Jennings (avocat de renom sur les sujets cloud), l’European Data Protection Board, en charge de l’implémentation du RGPD, sera en charge de décider si les saisies dans le cadre du CLOUD Act constituent une mesure nécessaire à la sauvegarde de la sécurité nationale américaine, ou si la demande ne respecte pas la nouvelle réglementation.  Cela pourrait obliger les États-Unis à négocier avec l’UE ou ses États membres les conditions de tels transferts, et donc à protéger leurs citoyens contre les transferts illégitimes. Les clients américains resteraient toutefois sous la portée du CLOUD Act.

Des négociations doivent commencer entre la Commission européenne et les Etats-Unis. Les dirigeants de l’UE ont déjà critiqué le projet de loi américain pour son adoption précipitée, ce qui risque de compliquer les négociations. Entre-temps, une centaine d’organisations de la société civile ont pressé le Conseil de l’Europe à rendre publiques les négociations prévues lors de la « Convention sur la cybercriminalité » (ou « Convention de Budapest »).

Les lois de confidentialité, un atout pour les entreprises ?

Alors que le RGPD a pu préoccuper une bonne partie des entreprises sur le changement que cela impliquerait pour leurs systèmes d’information et que la directive « E-Privacy » se prépare, il pourrait être intéressant de voir le rapport à la réglementation évoluer dans le monde des affaires. Les lois de «data privacy » pourraient, dans un futur proche ou lointain, être considérées comme une aide à la protection de leurs données et au maintien de la confiance des clients.

Dans un monde où les questions de confidentialité des données deviennent de plus en plus importantes (Cambridge Analytica, Google Home Mini), les protections sur les données des clients peuvent être un argument décisif lors du choix entre des offres compétitives. Le positionnement des fournisseurs américains sur les questions de Privacy et de protection des données est attendu impatiemment.

Que faire aujourd’hui ?

Pour conclure, les nouvelles réglementations sur la privacy restent assez ambiguës et peuvent même se heurter sur certains points. La principale conclusion reste que les Européens devraient être mieux protégés par le RGPD face au CLOUD Act, si les fournisseurs américains dénoncent les requêtes abusives et que les tribunaux en charge de valider la demande jouent leurs rôles. Les clients non européens, quant à eux, ne seraient pas plus protégés en hébergeant leurs données en Europe.

En attendant l’entrée en vigueur de nouvelles lois traitant de la confidentialité et les éventuelles saisies des données, vous pouvez prendre des mesures pour protéger vos données personnelles et commerciales contre les écoutes d’outre-mer et autres menaces potentielles :

1. Clarifier avec votre fournisseur dans quelles conditions il pourrait être amené à donner accès à vos données, sans oublier de prendre en compte les traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaties).
2. Définir ou revoir votre stratégie d’hébergement suivant le type de données, la nationalité du fournisseur et la location de l’hébergement
3. Privilégier l’hébergement de données dans des datacenters européens ou dans des pays disposant de règles bien établies en matière de confidentialité des données.
4. Choisir un fournisseur français ou européen permet d’éviter les risques du CLOUD Act. En contractualisant qu’il n’utilise pas de sous-traitants américains (directement ou indirectement) !

Cet article CLOUD Act : vos données sont-elles mieux protégées ? est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.

Cependant, de nouvelles réglementations le soumettent à des contraintes de plus en plus fortes telles que le GDPR (General Data Protection Regulation) visant toutes les données à caractère personnel, ou les différentes lois sur la protection des infrastructures critiques des pays. La France est particulièrement en avance aujourd’hui avec la LPM (Loi de Programmation Militaire [lien EN / lien FR ]) qui s’applique aux organisations les plus critiques pour le fonctionnement de l’Etat.

Comment mettre en place un système de détection de plus en plus fin, tout en s’inscrivant dans un cadre réglementaire toujours plus strict ?

Une standardisation des SOC à l’échelle européenne (et mondiale)

Au milieu des années 2000, la mise en place des premiers SOC consistait, dans la plupart des cas, à déployer un collecteur de logs par plaque géographique et à mettre en place une gestion des alertes en central. Cependant, des évolutions réglementaires récentes peuvent imposer des changements d’architecture. En particulier en France dans le cadre de la LPM, l’obligation de mise en place d’un « système de corrélation et d’analyses de journaux » (autrement dit : SOC outillé par un SIEM) s’est accompagnée d’une structuration règlementaire stricte décrite dans le référentiel d’exigences PDIS (Prestataires de Détection des Incidents de Sécurité [lien FR]).

Trois points sont traités en particulier pour la standardisation :

• D’abord, l’organisation de la surveillance : il existe dorénavant une obligation de détection de certains types d’attaques communes et d’implémentation de contrôles faisant suite à des recommandations réalisées via des audits qualifiés suivant le référentiel PASSI (Prestataires d’Audit de la Sécurité de Systèmes d’information [lien EN / lien FR]). L’entreprise doit également mettre en place une cellule de veille permettant de notifier l’ANSSI en cas de compromission du SI d’importance vitale.
• Le second point concerne la sécurisation des actifs du SOC : de nouvelles mesures de sécurisation décrites dans le référentiel de qualification PDIS imposent notamment un durcissement des postes des opérateurs et des administrateurs du SOC (authentification à deux facteurs, limitations des accès à internet…). Ces mesures de sécurité seront vérifiées par l’ANSSI via des audits ou rétroactivement suite à la notification de compromission du SI.
• L’architecture enfin, avec une complexification de celle-ci : un découpage en zones de confiance cloisonnées ainsi qu’un élargissement du périmètre du réseau surveillé sont imposés (outre les « classiques » équipements de sécurité, les serveurs métiers et les terminaux mobiles doivent maintenant aussi être surveillés). Les informations liées à un incident de sécurité (événements, rapports d’analyses et les notifications associées) doivent également être conservées pendant toute la durée de la prestation.

Sécurisation forte et respect des données personnelles : 2 enjeux incompatibles ?

Afin de pouvoir assurer des analyses a posteriori et notamment d’être capable de déterminer l’origine des cyberattaques, de nombreuses données personnelles et critiques doivent être collectées, conservées et exploitées. Pourtant, ces données sont soumises au GDPR qui tend à l’inverse à limiter leur collecte et leurs usages.

La récente amende de l’AGPD (l’autorité de protection des données à caractère personnel en Espagne) à Google met en lumière des problématiques que pourrait rencontrer le SOC concernant le traitement des données à caractère personnel :

• Le droit à la manipulation des données personnelles et le droit à l’oubli des utilisateurs a été la première cause de condamnation de Google. En effet, le GDPR compte offrir aux citoyens européens la possibilité d’accéder, de modifier ou de supprimer leurs données où qu’elles soient stockées (y compris dans le Cloud). Cela signifie, en pratique, que l’entreprise doit connaître exactement la teneur des données collectées par son SOC pour pouvoir en informer les clients, ses employés… Cela signifie également que ceux-ci devraient pouvoir exiger leur suppression à tout moment. Cependant, le GDPR semble indiquer qu’il est possible de conserver certaines données si celles-ci sont nécessaires à la protection des entreprises. Cette définition est appelée à être discutée dans les années à venir.
• L’obligation de transparence quant à l’exploitation des données est la seconde problématique soulevée par l’AGPD. Cependant, dans le cadre de PDIS, l’obligation de monitorer une grande variété d’équipements va engendrer la récupération d’un grand nombre de données de natures différentes. Un travail sur le contenu des logs collectés va donc être nécessaire afin de s’assurer que seules les données nécessaires à l’activité de surveillance sécurité sont récupérées.
• Enfin, le GDPR impose la justification de la conservation de la donnée. Or PDIS impose de conserver les données sur au moins six mois afin de pouvoir effectuer des analyses sur du long terme ou rétroactivement créant ainsi un flou législatif : jusqu’où peut-on aller pour assurer la protection de son SI ?

Au-delà du cas Espagnol, il est intéressant de noter les approches des différents textes sur la notification des incidents. Ceux dédiés à la protection des données à caractère personnel ciblent une notification rapide pour limiter les impacts sur la vie des citoyens, quand les textes sur la protection des infrastructures critiques eux imposent des notifications limitées et très confidentielles pour prendre le temps de gérer correctement l’incident sans révéler à l’attaquant le fait qu’il a été découvert. GDPR a finalement prévu ce cas de figure mais d’autres textes pourraient également être contradictoires.

Un cadre réglementaire strict mais bénéfique

Le durcissement du cadre réglementaire pour le SOC, que ce soit direct (PDIS) ou indirect (GDPR), va engendrer une transformation de l’écosystème. De nouveaux profils pourraient ainsi s’intégrer aux équipes comme le DPO (Data Privacy Officer) que le SOC pourrait considérer comme un acteur clé pour maintenir sa conformité dans la durée.

De plus, ces réglementations vont tirer vers le haut les niveaux de maturité des acteurs soumis à ces référentiels ainsi que de ceux s’en inspirant. D’ores et déjà on observe de nombreux chantiers de mise en conformité touchant tant à l’architecture du SOC qu’à ses processus et sa gouvernance.

Pour satisfaire aux réglementations, l’outillage compte également, et il faut jouer avec les innovations telle que la surveillance orientée sur les données (avec de l’outillage de type Data Leakage Prevention – DLP), qui peut aider à la mise en conformité sur la protection des données sensibles.

Vers des réglementations plus réalistes…

L’apport des référentiels est indéniable, en tant que standard et en tant que cible à atteindre pour nombre d’organisations.

Si la barre peut sembler haute, ou que l’on trouve encore quelques incohérences entre les différents textes, on peut gager que les prochaines révisions apporteront un cadre solide pour la conception et l’amélioration des SOC.

Cet article Le SOC, un service en pleine mutation réglementaire est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

Décryptage dans le domaine des ressources humaines, avec le témoignage de Jean-Christophe Procot et Hervé Commerly, expert Ressources Humaines chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Comment est perçue la notion de vie privée entre les collaborateurs et leur employeur ?

C’est une notion qui a très fortement évolué ces dernières années. Pour l’employeur, la vie privée de son collaborateur est le plus souvent le temps qu’il ne consacre pas à son travail. Pour l’employé,la notion de vie privée se conjugue également avec la souplesse dans les conditions de travail (fluctuation des horaires, diminution du contrôle, télétravail) et une limite dans les informations dont l’employeur dispose sur lui. Sur la base de sa conception de la vie privée, et pour améliorer celle de ses collaborateurs, l’employeur a de plus en plus cherché à assister ses collaborateurs dans leur vie quotidienne grâce à la mise en place de divers services : services de pressing, crèche et restaurant d’entreprise,assurances complémentaires, etc. Mais cette assistance nécessite que l’employeur connaisse de plus en plus d’éléments sur la vie privée du collaborateur : composition familiale, habitudes alimentaires en période de fête religieuse, etc.

Qu’est-ce qui explique cette réticence ?

Il faut comprendre que l’employeur souhaite de plus en plus collecter des données pour améliorer la connaissance de ses collaborateurs. Il souhaite les conserver plus longtemps, catégoriser les collaborateurs,automatiser ou faciliter des prises de décisions et mieux piloter la performance. L’employeur recherche d’ailleurs de plus en plus de données non communiquées directement par le collaborateur mais collectées auprès de tiers : réseaux sociaux,précédents employeurs, managers, don-nées issues des outils de travail, etc. L’employé, comme le client, s’inquiète de cette évolution car, je dirais presque par définition, l’employé suspecte son employeur de vouloir le surveiller. Le collaborateur se demande alors comment il peut conserver la maîtrise sur sa vie privée si son employeur collecte toutes ces informations, si celles-ci ne proviennent pas nécessairement de lui et de son choix assumé de les communiquer et si son employeur les corrèle entre elles pour prendre des décisions dont il n’a pas conscience.

Un projet récent fait-il directement échos à ces inquiétudes ?

Le projet du gouvernement français d’introduction d’un impôt prélevé à la source (c’est-à-dire sur le salaire du collaborateur par l’employeur) est un bon exemple. Cette évolution vise à simplifier la vie des citoyens en évitant les paiements différés qui peuvent produire des situations difficiles (par exemple, une baisse de revenus ne permettant plus de payer l’impôt de l’année précédente) et améliorer le recouvrement des impôts pour l’État (l’employeur étant perçu comme plus fiable pour collecter l’impôt). Pour autant, des citoyens ont rapidement exprimé des inquiétudes vis-à-vis des informations que leur employeur pouvait apprendre sur eux. Une déclaration d’impôts peut comporter de nombreuses informations sur la vie privée : situation maritale, enfants, revenus annexes, assistance de personnes en difficultés, dons, etc. L’objectif est donc de s’assurer que la finalité des données communiquées sera limitée au prélèvement des impôts et que l’accès à ces données sera bien encadré. L’employé souhaite s’assurer que ses données ne seront pas utilisées à d’autres fins, par exemple faire varier ses augmentations par rapport à un collègue au regard de ses autres revenus.

Et quelles évolutions émergentes en matière de gestion des ressources humaines vont-elles avoir un impact sur la protection des données personnelles ?

Plusieurs tendances majeures se dégagent :

• L’arrivée du big data ans les activités de recrutement, en particulier de sourcing, qu’il convient d’encadrer en s’assurant de notre légitimité à collecter ces données ;
• La multiplication du décisionnel pour la gestion des carrières (constitution d’arbres de succession ou identification des key people par exemple)avec des prises de décisions automatisées, sujet sur lequel le régulateur est assez sensible ;
• La mobilité avec l’introduction de plus en plus fréquente de nouveaux terminaux mobiles professionnels,ne facilitant pas la séparation entre la donnée produite dans un cadre privé et celle produite dans un cadre professionnel. La question du « droit à la déconnexion » est également régulièrement posée.

Cet article Evolution de la gestion des ressources humaines : quels impacts sur la protection des données personnelles ? est apparu en premier sur RiskInsight.

Décryptage d’un projet concret dans le domaine de la distribution, avec le témoignage d’Armand de Vallois, expert Biens de consommation et distribution chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Quels changements ont eu lieu ces dernières années dans le monde de la distribution ?

Nous sommes passés depuis une dizaine d’années d’un modèle qui privilégiait les coûts et les volumes à un modèle qui souhaite davantage connaître ses clients. On abandonne ainsi un métier de distribution de masse, où l’on ne se souciait plus de la proximité client (la caisse automatique ayant illustré cette tendance à son paroxysme), pour entrer toujours plus dans un modèle où la connaissance client, la proximité et la fidélisation doivent concourir à améliorer la fréquence et le nombre d’achats.

Comment faut-il alors appréhender ces évolutions ?

Les  acteurs  du  commerce  ont  pris conscience ces dernières années que la donnée est une ressource dotée d’un très grand potentiel. Mais cette ressource doit avant tout être bien utilisée, c’est-à-dire valorisée comme il se doit pour répondre aux enjeux de proximité client. Les données doivent ainsi être collectées, manipulées, rapprochées dans un cadre en ligne avec les attentes du consommateur et les exigences du régulateur. On pense par exemple à la notion « d’opt-in », ou comment s’assurer que le client est informé et qu’il accepte la collecte de ses données et ce qu’il en sera fait. De plus en plus souvent, la gratification (ou reward) est utilisée pour encourager le client à accepter de communiquer ses données. Mais ce modèle a ses limites. Il convient alors de s’assurer que les services envisagés auront du sens pour les clients, qu’ils contribuent à leur simplifier la vie, et que le client aura alors le souhait de fournir ses données.

Avez-vous un exemple d’un projet ayant provoqué des inquiétudes ?

L’introduction des puces RFID (technologie intégrée permettant notamment l’identification et le suivi d’objets ou de personnes) pour l’étiquetage électronique me semble un bon exemple. Dans le textile, au regard des coûts de production du produits, de la facilité d’introduction de la puce dans les étiquettes, et des gains importants concernant l’automatisation des inventaires en rayons ou en entrepôts, de nombreux projets ont été lancés. Dans un contexte d’omnicanalité où l’achat sur internet précède le retrait en rayon, connaître son stock en temps réel et disposer d’une information fiable est un élément essentiel de la promesse client. Les puces RFID peuvent également contribuer à produire des données sur les parcours clients en traçant les mouvements d’un produit dans un magasin afin de, par exemple, produire des ratios sur le nombre de produits essayés en cabine au regard du nombre réellement vendus. Dans un contexte de fast fashion du textile, où il est essentiel de savoir très vite ce qui marche ou non et pourquoi, ces informations deviennent cruciales. Mais cette puce introduit également une inquiétude sur le fait que, « potentiellement », le vendeur pourrait lier une personne à un produit (la puce RFID ayant un identifiant unique) et le suivre dans le temps dans ses magasins (la puce restantactive). Pour plusieurs projets que nous avons suivis, des citoyens se sont mobilisés afin que les technologies envisagées n’empiètent pas sur la vie privée.

Comment avez-vous répondu à ces inquiétudes ?

Nous avons mis en place ce que l’on appelle du Privacy By Design. Au-delà de principes stricts sur l’utilisation des puces (identifier et suivre un produit et non un client), plusieurs autres principes ont été établis :

• Un marquage visible informant que le vêtement contient une puce RFID ;
• Une formation des vendeurs du magasin afin qu’ils sachent répondre aux questions  des  clients,  par exemple sur le fait qu’il est possible d’enlever la puce en coupant l’étiquette (service proposé par le magasin) ou que l’entreprise ne fait jamais de lien entre la puce et le client ;
• La mise en œuvre d’un site internet spécifique afin de communiquer l’ensemble des informations nécessaires à la compréhension des puces et des données manipulées.

Il faut certainement retenir de ces projets une bonne pratique applicable à tout projet où des données sensibles sont manipulées : nous nous devons d’être exemplaires concernant ce qui est fait des données et la manière dont nous en informons les individus. Il convient de rassurer afin de lever les craintes et répondre, en les anticipant, aux interrogations.

Cet article Vie privée et transformation numérique : le retail mise sur une stratégie de confiance est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

La donnée personnelle, vecteur incontournable de la transformation des processus métiers et de la relation client

Plusieurs exemples issus des retours d’expériences de consultants Wavestone, illustrent le rôle de la donnée dans la transformation des processus traditionnels. Un postier, un releveur de compteurs, ou un technicien de maintenance travaille historiquement avec du papier (pour les bases d’adresses, la documentation de maintenance ou les parcours de relève). Il organise son travail en fonction des tâches à réaliser et intervient généralement seul et de façon autonome pendant la journée avant de consolider les informations produites en fin de journée.

La dématérialisation de ces processus papiers a vocation à aider l’organisation ou l’agent dans ses activités en collectant certaines données, par exemple en lui permettant de mieux organiser son travail et l’enchaînement des tâches (données de localisation et parcours d’intervention géolocalisé). Cette vague de digitalisation se produit dans différents secteurs d’activités pour des besoins spécifiques : dans l’énergie, l’avènement des compteurs communicants voulu par le régulateur ouvre de nombreuses opportunités d’innovations dans la gestion de la fraude et l’économie d’énergie grâce à la collecte des données de consommation ; dans l’assurance, l’accumulation de données concernant les préférences client permet la personnalisation des services et la proposition d’offres complémentaires ; ou encore dans la distribution et les ressources humaines, comme le montrent les entretiens des pages suivantes.

L’ensemble de ces évolutions nécessite de collecter et de manipuler de nombreuses données personnelles.

La cybersécurité ne suffit pas à protéger la vie privée numérique

Pour protéger ces données personnelles essentielles aux nouveaux usages digitaux, les entreprises ont souvent recours à la cybersécurité, au travers de mesures telles que l’utilisation de protocoles de transfert sécurisés ou le chiffrement des données. Mais est-ce suffisant, alors que les craintes liées à l’utilisation abusive des données, au profilage ou à l’automatisation des décisions ne font que s’amplifier ?

Certainement pas. Une approche uniquement technique ne portera pas ses fruits. Pour répondre aux craintes engendrées par le respect de la vie privée, il est essentiel de rassurer les individus en leur donnant l’assurance de ne pas croiser, exploiter ou échanger leurs données à leur insu et contre leur volonté.

Quatre grands principes de respect de la vie privée

Les principes suivants sont à appliquer dans la collecte et l’utilisation des données personnelles.

1 – Communiquer de manière transparente et explicite

en informant sur les données collectées, même si elles n’ont pas été obtenues directement auprès des personnes concernées. Notre enquête l’illustre, c’est aujourd’hui le sens de la privacy pour les citoyens : quelles sont les informations accessibles, et à qui. Cela passe aussi par le partage des motivations de la collecte des données et des usages envisagés avec celles-ci. En aucun cas il ne faut considérer qu’une donnée puisse être collectée pour une finalité non avouable auprès de la personne concernée. Les récentes sanctions des régulateurs nous ont montré que cette information finit toujours par ressortir dans les médias, et que l’impact en termes de confiance et de durabilité de la relation client est fort. Construire une relation de confiance nécessite des années, la perdre quelques minutes.

2 – Minimiser et désensibiliser les données personnelles collectées et stockées.

Plus le nombre de données collectées sera limité, plus les risques d’usages détournés et de non-conformité seront faibles. Pour les données existantes, il est possible de les exploiter en minimisant les risques par l’utilisation de techniques de désensibilisation telles que l’anonymisation, la pseudonymisation (remplacer des identifiants directs par des « codes »), la randomisation (mélange aléatoire de données qui conservent leurs valeurs statistiques mais font perdre le lien avec les personnes) ou de généralisation des jeux de données.

En ce qui concerne le partage et l’échange de données, des méthodes mathématiques permettent d’échanger des données entre deux organisations tout en garantissant leur caractère anonyme. Il est important au moment du choix de ces méthodes d’évaluer aussi leurs limites, une désensibilisation mal faite pouvant quand même permettre d’identifier des personnes (suppression du nom mais conservation de la date de naissance, du lieu de naissance et de l’adresse par exemple).

Ces méthodes permettent une double optimisation de la relation client pour l’entreprise (en fournissant une meilleure connaissance du profil digital de la clientèle) et du respect de la vie privée des clients. C’est une approche qu’Apple met en avant via le concept de differential privacy pour se différencier de Google ou encore de Microsoft.

3 – Garantir aux individus le contrôle sur leurs données personnelles

en ne se basant plus sur l’accès aux données afin de générer de la valeur, mais en laissant aux individus le contrôle de leurs données pour leur permettre de générer un service adapté à leur besoin.

Cette approche qualifiée de self-data est, par exemple, appliquée dans le cadre d’un projet d’optimisation de consommation énergétique, où un cas d’usage vise à permettre au consommateur de renseigner la température de son habitat pour lui indiquer les économies qu’il pourrait réaliser en réduisant le chauffage. Il obtient l’estimation du montant économisé en utilisant lui-même une plate-forme cloud de self-data, géré par le particulier, qui se connecte à ses équipements personnels pour croiser de manière intelligente les données de son thermomètre connecté, de ses factures d’énergie…

Le self-data est également à l’étude dans le secteur de l’assurance, où certains acteurs envisagent de supprimer complètement leurs espaces clients pour les installer sur une plate-forme cloud de self-data : l’assureur a accès aux données de son client mais n’en est plus propriétaire. Au-delà du self-data, cette tendance peut même aller jusqu’à la logique du « Green Button » où l’individu valide l’accès à ses données à chaque fois de manière explicite. Ce principe, complexe à mettre en œuvre, peut être réservé à des données particulièrement sensibles (santé, etc.).

4 – Mettre en place un modèle Win-Win

affichant clairement les bénéfices engendrés par la collecte et l’utilisation des données, non seulement pour l’organisation, mais aussi pour les individus. Ces bénéfices pouvant être partagés avec les clients sous diverses formes (services additionnels, réduction, rémunération…).

Cette approche peut même être un levier d’adoption des nouveaux usages dans un contexte où la prise de part de marché est cruciale.

En définitive, plusieurs leviers majeurs sont à l’œuvre dans l’établissement d’un cercle vertueux permettant d’utiliser respectueusement les données des individus et d’augmenter le niveau de confiance

Cet article Respect de la vie privée dans la transformation numérique : les 4 grands principes est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

Un cadre réglementaire de plus en plus international

Le concept de vie privée, évoqué dès l’Antiquité, est présent depuis plusieurs centaines d’années dans différents textes de loi. Il a pris corps à partir de 1948, en étant inscrit au sein de l’article 12 de la Déclaration Universelle des Droits de l’Homme : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».

La réglementation autour de la protection des données personnelles est beaucoup plus récente. Cette notion est directement liée au développement de l’informatique et de la collecte croissante de données par les organisations et les entreprises. De plus, la valeur marchande de la donnée est un enjeu supplémentaire qui complexifie l’émergence d’un consensus réglementaire international. La Suède est le premier État à avoir légiféré sur le sujet en 1973. En France, la « Loi Informatique et Libertés » a été promulguée en 1978 à l’issue des débats suscités par le projet Safari visant à créer une base de données centralisée des individus.

Sans passer en revue chacune des lois nationales et leur actualité, l’analyse des initiatives mises en œuvre à des échelles régionales permet de dresser un portrait des grandes tendances à l’œuvre en termes de protection de la vie privée.

Union Européenne : l’Etat protège les citoyens

L’Union Européenne a été la première institution à légiférer sur le sujet à une large échelle en 1995 avec la publication de la directive 1995/46/CE. Ce premier effort d’harmonisation législative au niveau de l’Union Européenne a mis en place différents principes ensuite déclinés dans le droit des différents États membres, parmi lesquels l’instauration d’autorités de contrôle dans chacun d’entre eux. Il puise ses racines dans les « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel » publiées par l’OCDE en 1980, qui étaient sans valeur contraignante.

En avril 2016, l’Union Européenne a fait le choix de renforcer sa législation avec le Règlement Général sur la Protection des Données (ou GDPR en anglais, comme nous y ferons référence), qui sera, à la différence de la directive de 1995, directement applicable dans le droit des États membres de l’UE.

La mise en œuvre effective étant prévue pour mai 2018, les organisations et entreprises devront donc d’ici cette date s’assurer de leur conformité aux différents points du règlement. Des travaux vont également s’engager prochainement sur la e-privacy afin d’aligner les exigences classiques sur la vie privée dans les moyens de communication aux évolutions et innovations récentes, faisant ainsi entrer le set des correspondances dans l’ère numérique. L’Union Européenne adopte via ces textes une posture de protection par l’état des données de ses citoyens.

Etats-Unis : une responsabilisation des citoyens  avant tout

Dans le droit américain, il n’existe pas de loi ni de régulateur unique au niveau fédéral régulant la collecte et l’utilisation des données personnelles. À la place, les États-Unis disposent d’un assemblage de lois s’appliquant à certains secteurs ou États. Certaines visent des catégories particulières de données personnelles, comme les données financières ou de santé, tandis que d’autres régulent les activités faisant usage de ces données, comme le marketing digital. En parallèle de ces lois, les bonnes pratiques développées par les agences fédérales et groupements industriels sont également utilisées à des fins d’auto-régulation. Le 4e amendement à la Constitution peut également être invoqué en défense de la vie privée. Enfin, les lois de protection du consommateur, bien que ne régissant pas directement la vie privée, ont déjà interdit des pratiques considérées comme illégitimes impliquant la divulgation de données personnelles. Néanmoins, les citoyens américains conservent une certaine latitude quant au partage de leurs données personnelles.

Il existe donc des différences entre la vision américaine et la vision européenne, comme le montre l’évolution du Safe Harbor. Ce dispositif légal garantissait la protection des transferts de données entre l’UE et les États-Unis jusqu’en octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) l’a invalidé. Le niveau de protection des données offert par les États-Unis n’était plus satisfaisant selon la CJUE, notamment à la lumière des informations révélées par Edward Snowden concernant les écoutes pratiquées par le gouvernement américain. En février 2016, États-Unis et Europe ont mis en place un nouveau dispositif, le Privacy Shield, visant à protéger davantage les transferts de données, qui est finalement entré en vigueur en août 2016.

Asie : une situation hétérogène mais en développement

Force est de constater que l’Asie abrite deux profils de pays. Certains pays font preuve d’une maturité certaine sur ce sujet, à l’image de la Corée du Sud, Singapour, Hong Kong ou de Taiwan. La Chine ne disposait pas jusqu’à récemment de législation spécifique protégeant les données personnelles, mais elle a publié en novembre 2016 un texte de loi qui sera applicable dès juin 2017 aux opérateurs réseaux au sens large. Cette nouvelle réglementation intégrera certains principes communément admis du respect de la vie privée et exigera également le stockage des données personnelles sur le territoire chinois. En regard, dans beaucoup d’autres pays de la zone, la protection des données personnelles n’est pas encore entrée dans les mœurs même si des réflexions sont en cours.

Reste du monde : des initiatives régionales de développement

En Afrique, la première législation date de 2001 et est cap-verdienne. En 2004, le Burkina Faso est le premier État à instaurer un régulateur national. Au niveau régional, la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, signée en 2014 par 18 pays, reprend des notions directement issues de la législation européenne, sans leur donner de valeur contraignante.

Au Moyen-Orient, plusieurs États comme les Émirats Arabes Unis (EAU) et l’Arabie Saoudite n’ont pas de législation spécifique protégeant les données personnelles. La particularité de ces deux pays réside dans le fait qu’en cas de vide juridique, la charia prévaut. Or le droit islamique prévoit la possibilité de demander des dommages et intérêts si la divulgation abusive de données personnelles a occasionné un préjudice.

En Amérique du Sud, plusieurs pays bénéficient de garanties constitutionnelles concernant la protection des données personnelles et disposent de régulateurs indépendants. C’est le cas de l’Argentine et l’Uruguay, pays reconnus par la Commission Européenne comme assurant un niveau de protection adéquat des données.

Cet article Vie privée : quel cadre juridique à l’échelle internationale ? est apparu en premier sur RiskInsight.

Une vision homogène à l’échelle l’internationale

Les pays retenus pour l’enquête, à savoir l’Allemagne, la Chine, les États-Unis, la France, l’Italie, et le Royaume-Uni, ont été choisis sur la base de leurs environnements socio-économiques et de leur diversité de cadres réglementaires concernant la protection de la vie privée. Ces éléments sont à même d’influencer la perception et les opinions des citoyens concernant la protection des données personnelles. Toutefois, malgré ces différences de contexte initiales, nous avons pu observer au travers des réponses collectées que la thématique de la vie privée est perçue d’une manière relativement homogène dans les différents pays étudiés.

Parmi les personnes ayant répondu à l’enquête, les jeunes générations, plus digitalisées et qui sont souvent les plus intéressées par le sujet de la vie privée dans un monde numérique, sont majoritaires.

Bien sûr, il existe certaines différences et sensibilités particulières : ainsi, les sondés originaires d’Allemagne ont-ils accordé proportionnellement plus de poids aux définitions de la vie privée ayant trait à la liberté que ceux originaires d’autres pays. Les réponses provenant des États-Unis affichent, pour leur part, une confiance moins grande dans les institutions publiques. Néanmoins, de manière générale, on note une véritable prise de conscience globale des individus liée à la vie privée et aux données personnelles. Celle-ci peut s’expliquer par le caractère transfrontalier du monde numérique et de la donnée, le citoyen numérique souhaitant faire respecter sa vie privée indépendamment des frontières. Cette observation renforce l’importance de la prise en compte du respect de la vie privée dans les projets numériques, quels que soient le pays et la population concernés.

De la liberté à la maîtrise : l’évolution du sens de la « vie privée »

La vie privée est traditionnellement perçue comme la possibilité pour un individu de conserver une forme d’anonymat dans ses activités et de disposer d’une capacité à s’isoler pour protéger ses intérêts. Elle est donc intimement liée à la notion de liberté. Mais l’analyse des résultats du panel montre que cette notion tend à disparaître au profit de la maîtrise des informations. Nous avons proposé à nos sondés de sélectionner une ou plusieurs définitions ayant davantage trait à l’une ou l’autre de ces deux notions.

Les réponses les plus fréquemment choisies ont toutes trait à la maîtrise. Cette tendance se confirme si l’on observe les propositions intermédiaires : « avoir le contrôle sur le type d’informations collectées sur vous » est davantage plébiscité (plus de la moitié des réponses) que « avoir ses moments seul, sans devoir subir l’attention d’autrui », relatif à la liberté.

Dans tout projet faisant appel aux données, il sera alors important de donner aux clients et aux collaborateurs l’assurance qu’ils disposent de cette maîtrise, en prévoyant des modes d’accès simples et en autonomie.

Toutes les données sensibles aux yeux des citoyens

Interrogé sur les niveaux de sensibilité, le panel a fait ressortir de très faibles différences, les citoyens considérant la plupart des types de données proposés comme relativement sensibles. Ils n’ont pas perçu que des fuites de certains types de données peuvent avoir des conséquences lourdes, voire irréversibles (données de santé par exemple), contrairement à d’autres (données financières par exemple) pour lesquelles la plupart des pays ont mis en place un cadre réglementaire protégeant les individus (remboursement rapide en cas de fraude). Ce constat montre que quelles que soient les données personnelles manipulées dans le cadre d’un projet, une attention particulière devra y être portée, a minima dans la communication sur les niveaux de protection.

Une confiance qui varie fortement d’un pays à l’autre

Nous avons demandé aux sondés d’indiquer le ou les type(s) d’organisations en lesquels ils avaient le plus confiance dans l’utilisation de leurs données personnelles pour un usage préalablement autorisé. On observe une réelle différenciation entre trois grandes familles d’acteurs :

• En première position, les acteurs regroupés sous la catégorie des institutions sont ceux qui suscitent le plus la confiance des sondés. Il s’agit d’institutions publiques, semi-publiques ou de l’économie traditionnelle avec qui les individus ont un lien de confiance historique, d’autant qu’elles traitent depuis toujours des données sensibles (données médicales…). À noter que l’on observe de vraies différences au sein même de cette catégorie, les banques arrivant en tête avec plus de la moitié des sondés déclarant leur faire confiance pour le traitement de leurs données. L’enjeu en termes d’image est donc particulièrement fort pour les acteurs du secteur bancaire : ils se devront d’être à la hauteur des attentes de leurs clients s’ils veulent conserver leur place de partenaire de confiance numéro un.
• En deuxième place, une catégorie intermédiaire englobant les acteurs de la vie quotidienne : opérateurs de transport, fournisseurs d’énergie… Ces acteurs historiques du B2C sont en train de mener leur transformation numérique à marche forcée et peuvent tirer les fruits de cette confiance déjà présente.
• En troisième et dernière position, les acteurs de l’économie numérique, qu’il s’agisse de géants du web ou d’entreprises technologiques.

La défiance des individus à leur égard peut s’expliquer par la quantité de données collectées et utilisées par ces tech-companies et les condamnations récentes de celles-ci liées à l’utilisation qu’elles en font. Cependant ce résultat souligne un paradoxe. Malgré ce manque de confiance criant, les individus continuent d’utiliser massivement les services fournis par ces acteurs, en partie par manque d’alternative mais aussi parce que les informations confiées peuvent paraître, souvent à tort, anodines.

Des nouvelles technologies qui suscitent des craintes

Le panel met en lumière 4 technologies, les plus susceptibles de mettre en danger leur vie privée selon les sondés. Leur point commun ? Elles permettent toutes de collecter des données sans que cette collecte ne puisse être maîtrisée par les personnes concernées. Elles seraient donc, pour certaines personnes, synonymes de surveillance. À contrario, des technologies où le citoyen a la capacité de choisir quelles données il partage, comme les objets connectés ou certains services cloud permettant de stocker des informations privées, sont considérées comme moins risquées pour leur vie privée, et n’entrent donc pas dans ce top 4.

Bien que non traditionnellement considérées comme sensibles, les données sur les comportements et les agissements de chacun sont donc aujourd’hui l’objet de l’attention des individus, et constituent un point d’achoppement non négligeable entre une relation client toujours plus personnalisée et les attentes desdits clients en termes de respect de leur vie privée.

Des citoyens qui agissent pour protéger leur vie privée numérique

Plus de la moitié des sondés déclarent ainsi avoir modifié certains de leurs comportements pour mieux protéger leurs données. Ce changement illustre la prise de conscience des individus quant à la protection de leur vie privée. Il est également intéressant d’étudier comment les individus procèdent pour mettre en place cette protection. Nos sondés ont décrit des mesures concrètes qui peuvent être réparties en deux catégories :

• Mesures visant à limiter la quantité/ le type de données fournies : fourniture d’informations inexactes/ incomplètes lors de la création d’un compte (utilisation de pseudonyme ou non-remplissage des champs non obligatoires), utilisation de comptes anonymes…
• Mesures visant à renforcer la sécurité des données fournies : hausse du niveau de sécurité de leurs comptes en ligne (renforcement du mot de passe, changements de mots de passe plus réguliers, révision des droits d’accès…), attention accrue lors du partage de données personnelles sur internet…
• En marge de ces mesures on trouve également quelques solutions plus extrêmes : fermeture complète de compte sur les réseaux sociaux, utilisation exclusive de sites ou de technologies testés et de confiance, suppression de l’historique et des cookies après chaque utilisation des navigateurs de recherche.

À noter que si ces initiatives individuelles peuvent contribuer à améliorer la protection de la vie privée, elles risquent toutefois d’entrer en conflit avec les nouveaux usages et innovations promus par les organisations et entreprises, et donc de limiter, voire d’empêcher, la personnalisation de leur relation avec celles-ci.

Methodologie de l’enquête

L’enquête a été réalisée auprès d’un panel constitué de 1 587 répondants basés dans 6 pays différents : Allemagne, Chine, Etats-Unis, France, Italie, et Royaume-Uni. Les  réponses ont été analysées par les équipes de Wavestone Paris et Luxembourg.  L’échantillon de répondants a été fourni par un tiers (SSIS) avec lequel les équipes de recherche Wavestone collaborent depuis plusieurs années, notamment dans la conduite d’enquêtes destinées à la Commission Européenne. Les questionnaires ont été conçus et traduits par Wavestone puis envoyés par email. Le panel a été sélectionné pour assurer sa représentativité vis-à-vis de la population des pays ciblés sans discrimination de genre ou de catégorie socio-professionnelle, les deux critères de sélections étant qu’il s’agisse de personnes majeures et disposant d’un accès à Internet. L’enquête a été conduite entre juillet et août 2016 et analysée de septembre à décembre 2016 pour une publication en début d’année 2017. Les données de cette enquête ont été rendues anonymes : la collecte est uniquement statistique.

Cet article Dans un monde numérique : quelle vie privée ? est apparu en premier sur RiskInsight.

Dans le monde d’aujourd’hui, le principe de la vie privée est en pleine évolution, tout comme le rôle qu’elle peut jouer au sein de la transformation numérique.

Au sein de Wavestone, nous avons la conviction que les organisations privées comme publiques doivent savoir utiliser les données personnelles pour devenir des champions du numérique, mais tout en maintenant le lien de confiance qui les unit à leurs employés et à leurs clients, la transparence étant pour nous la clé de voûte du maintien de cette confiance.

À travers cette publication, nous avons cherché à éclairer les différentes facettes de ce sujet complexe pour permettre à chaque organisation de trouver son propre positionnement face au défi de la vie privée dans le numérique.

Retrouvez notre synthèse sur la vie privée et la confiance numérique en cliquant ici.

Cet article La vie privée à l’ère numérique : au-delà de la conformité, un enjeu de confiance est apparu en premier sur RiskInsight.

Une évolution législative, dans le cadre des données à caractère personnel

Appelée loi de modernisation de notre système de santé, la loi santé (dont la première version du texte a été déposée à la fin de l’année 2014) a été adoptée début 2016 à l’Assemblée Nationale. En parallèle, au niveau européen était discuté le Règlement Européen sur la Protection des Données à caractère Personnel. Cette discussion concomitante est due à l’évolution des usages et aux transformations numériques en cours qui ont amené les législateurs français et européen à s’adapter à l’actualité de ces dernières années.

Le Règlement Européen précise la notion de donnée de santé à caractère personnel. Elles comprennent les données médicales mais aussi toute combinaison de données qui indique un état de santé. Par exemple, le diagnostic d’un cancer est une donnée de santé, mais aussi la simple association du poids et de la taille à un moment donné.

Ce Règlement Européen sera applicable le 25 mai 2018. En revanche, la date d’application finale de la loi santé n’est pas connue, même si elle le sera aussi probablement courant 2018. Le présent article a pour objectif de présenter une photographie à l’instant présent de cette nouvelle loi.

L’hébergement des données de santé : aujourd’hui déclaratif, et demain auditable

En France, l’hébergement des données de santé est soumis à une règlementation stricte depuis les années 2000. Toute entité qui héberge des données de santé qu’elle n’a pas produites doit obtenir à cet effet un agrément. Pour ce faire, l’hébergeur dépose un dossier qui sera vérifié par des institutions publiques : l’ASIP-Santé (l’Agence des Systèmes d’Information Partagés de santé), la CNIL et le Comité d’Agrément des Hébergeurs (comitlé ad hoc). Si leur avis est favorable, le Ministère de la Santé délivre l’agrément, valable pour 3 ans. Ce dossier demande notamment aux candidats hébergeurs de mener une analyse de risques et de mettre en place une politique de sécurité des systèmes d’informations.

Un point toujours sujet à interprétation : héberger ses propres données

Le fait que les entités hébergeant elles-mêmes leurs données ne soient pas soumises à l’obtention de l’agrément a historiquement créé une interrogation. Ce point remet en cause la sécurité des données de santé du point de vue des patients de ces établissements. La législation a été construite afin de simplifier l’agrémentation en évitant des démarches trop lourdes pour les petits acteurs de la santé comme les médecins libéraux indépendants. Aussi, la notion même de « produire ses propres données » n’est pas toujours claire.

Aujourd’hui il ne semble pas que le gouvernement ait l’intention de changer l’orientation de la législation sur ce point : son agence l’ASIP-Santé a mis à jour sa foire aux questions le 24 mai 2016 en indiquant expressément que ce sont les hébergeurs de données tierces qui doivent obtenir l’agrément (ou la future certification).

Pour autant, le processus législatif français n’est pas arrivé à terme : ce point pourrait malgré tout être amené à évoluer. La loi est dans l’attente d’une ordonnance pour sa mise en application. Cette même ordonnance « sera précisée par un décret qui définira la procédure de certification. […] L’ordonnance et son décret comporteront des dispositions transitoires pour organiser le passage de la procédure d’agrément actuelle à la future procédure de certification » (F.A.Q de l’ASIP-Santé).

Que change la nouvelle loi santé ?

La nouvelle loi santé bouscule la procédure d’agrément actuelle, en la faisant passer de l’État aux structures privées. Les candidats hébergeurs devront obtenir une certification, auprès d’un organisme certificateur privé, après audit. Première conséquence : le coût du dispositif n’est plus supporté par l’État mais par les hébergeurs. C’est le changement le plus important : les candidats ne devront plus seulement préparer un dossier (processus déclaratif) mais se préparer à un audit externe, et donc collecter des preuves pour les mettre à disposition des auditeurs.

La loi, publiée au journal officiel le 27 janvier, a déjà mis en application certains changements. Ainsi, le consentement de la personne qui était jusque-là requis est remplacé par une simple obligation d’information. D’autre part, le secteur médico-social entre dans le périmètre de l’agrément. Ce secteur hétérogène comprend notamment les établissements pour personnes âgées (EHPAD, etc.) ou handicapées, les foyers d’accueil pour jeunes, etc. Le secteur médico-social n’avait jusque-là pas de cadre légal concernant le traitement et l’hébergement de ses données. La nouvelle définition des données de santé, émise par le groupe de travail du règlement européen sur la protection des données à caractère personnel, inclut également ce type de données médico-sociales.

En synthèse : j’héberge des données de santé, que dois-je faire aujourd’hui ?

Aujourd’hui, pour les hébergeurs qui veulent se préparer à la nouvelle loi, trois situations sont possibles :

• J’ai déjà l’agrément hébergeur de données de santé : hier, je déposais un dossier montrant ce que je fais en vue d’un contrôle de ce dossier. Demain, un auditeur viendra contrôler sur site. Alors aujourd’hui, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• Je n’ai pas l’agrément hébergeur de données de santé, mais je vais être amené à héberger des données de santé (ou simplement médico-sociales) produites par un tiers : je dois me mettre en conformité dès maintenant en obtenant l’agrément. Je mets en place des politiques de sécurité en alignement avec les attendus pour le dossier d’agrément et les bonnes pratiques de référence (telle que la norme ISO 27001) Je dépose un dossier sans attendre. Là aussi, je rédige ma documentation, je collecte et je conserve des preuves pour me préparer à un audit externe.
• J’héberge des données de santé que je produis moi-même : alors hier, aujourd’hui comme demain, je n’ai pas de démarche à effectuer, pas d’agrément ou de certification à obtenir.

Aujourd’hui, même incomplète, cette nouvelle loi permet donc aux hébergeurs de données de santé de se projeter dans le monde de la santé numérique qui se dessine. L’adoption de nouveaux référentiels et de nouvelles procédures de mise en conformité permet aux acteurs du secteur de gagner en crédibilité et progressivement d’harmoniser leurs pratiques au niveau européen.

Cet article Nouvelle loi santé : trois situations pour les hébergeurs de données de santé est apparu en premier sur RiskInsight.

Le trilogue informel débuté en juin dernier semble finalement avoir porté ses fruits. En effet, dans son communiqué du 15 décembre 2015, la Commission Européenne a annoncé qu’un accord a été conclu entre elle-même, le Conseil de l’Union Européenne et le Parlement Européen. Le texte est donc prêt à être promulgué, ne reste plus qu’au Parlement et au Conseil d’adopter formellement le texte (voir la procédure d’adoption d’un règlement européen). Nous avions précédemment parcouru le contenu des dernières propositions en date afin d’en décrypter les 3 impacts majeurs, nous vous proposons aujourd’hui d’en faire de même sur la version finale du règlement.

QUEL CHANGEMENT POUR LES ENTREPRISES ?

Premier point important à noter, le règlement n’impose pas les mêmes obligations aux multinationales et aux PME de moins de 250 employés (cf. Commission Recommendation 2003/361/EC of 6 May 2003) : ces dernières, sous certaines conditions (absence de traitements sensibles et réalisation de traitements de données occasionnels) se voient dispensées de l’obligation de tenir un registre des traitements.

Responsabilisation ou « Accountability »

Le règlement fait disparaitre l’obligation de déclaration des traitements mais impose la tenue d’une documentation permettant au responsable de traitement de prouver sa conformité détaillant : les coordonnées du responsable de traitement, la liste des traitements de données avec leur finalité, les catégories de personnes concernées, les personnes pouvant accéder aux données, les transferts internationaux, la date de suppression des données et les mesures de sécurité associées. Le Data Privacy Officer (DPO), s’il est nommé, sera le garant de ce registre. Cependant, pour les traitements identifiés comme sensibles à la suite d’une l’analyse d’impact, le responsable de traitement devra consulter son autorité de référence avant de le mettre en œuvre. Cette autorité pourra lui imposer des mesures à mettre en place.

Le DPO ne sera pas généralisé à toutes les entreprises et contrairement à ce qui avait été proposé, il n’y aura pas de seuil relatif au nombre d’employés ou de personnes concernées par le traitement. L’obligation de nommer un DPO sera limitée :

• Aux autorités publiques (à l’exception des tribunaux) ;
• Aux entreprises qui, de par leurs activités, collectent des données personnelles de manière systématique ou sur un grand nombre de personne ;
• Aux entreprises dont le cœur de métier de l’entreprise repose sur des traitements définis comme sensibles par le règlement au sein de l’article 9.

Les tâches et activités du DPO sont définies par le règlement :

• Servir de point de contact aux contrôleurs,
• Participer aux analyses d’impact,
• Surveiller la conformité de l’entreprise au règlement
• Conseiller le responsable de traitement et ses employés sur les sujets relatifs aux données à caractère personnel.

Dernier point à noter, ce DPO ne devra pas nécessairement être employé directement par le responsable de traitement et pourra être mutualisé, à condition qu’il reste facilement accessible.

Mise en place du Privacy by Design

Les responsables de traitement devront garantir que les traitements de données ne portent pas atteinte à la vie privée des personnes en recourant à divers mécanismes (pseudo anonymisation, collecte des données au strict minimum nécessaire, durée de conservation, restriction des accès…). Cette réflexion devra non seulement être réalisée au moment de la conception du traitement, mais également tout au long de la durée de vie du traitement à l’aide d’un processus d’audit préalablement défini. Afin d’accompagner les entreprises dans ces travaux, des codes de conduites ou des certifications pourront être mis en place par les contrôleurs.

Le règlement prévoit explicitement que des analyses d’impacts sur la vie privée des personnes soient réalisées sur les traitements présentant des risques pour les droits et libertés des individus. Ces analyses permettront de définir les mécanismes de sécurité à y associer ou encore la nécessité de modifier le traitement. Ce sera le DPO qui devra arbitrer sur la nécessité de réaliser ces analyses.

Là encore, afin d’accompagner les entreprises, deux mesures sont mises en place : les contrôleurs sont invités à établir une liste de traitements pour lesquels une analyse d’impact est obligatoire et en cas de fort risque identifié par l’entreprise, elle devra collecter l’avis du contrôleur compétent sur le traitement.

Point intéressant à noter, une unique analyse pourra être réalisée pour un ensemble de traitement similaire.

Notification des fuites

Le règlement entérine également l’obligation de notification des fuites de données. En effet, le responsable de traitement aura 72h pour notifier les autorités en décrivant : la nature de la fuite de données, le nombre et la catégorie de personnes concernées, la nature ainsi que le volume des données et le plan de remédiation.

Par ailleurs le responsable de traitement devra également notifier, sans délai, les personnes concernées s’il estime que la fuite présente un risque avéré pour ces personnes.

Les autres mesures à garder en tête

Il a été décidé de renforcer les pouvoirs du « European Data Protection Board », groupement de l’ensemble des autorités de contrôle, qui devra s’assurer de la cohérence de l’application du règlement au sein des différents Etats de l’Union Européenne.

Le droit à la portabilité, qui n’était pas systématiquement présent entre les différentes versions du règlement a été réintégré. Pour les entreprises, cela signifie qu’elles devront être capables de restituer l’ensemble des données personnelles à la personne concernée sous un format structuré et pouvant être traité simplement. Par ailleurs, ces données pourront également être transmises directement à une autre entreprise sur demande.

Comme évoqué précédemment, une liste des données sensibles a été définie dans le règlement : origine ethnique, opinions politiques, religieuses ou philosophiques, données génétiques, biométriques, relatives à la santé et aux préférences sexuelles des personnes. Le traitement de ces données sera soumis à de strictes restrictions.

En plus de ces données, les autorités de contrôle, via le « European Data Protection Board », pourront définir une liste de traitements sensibles.

Le principe du guichet unique a été précisé. Chaque entreprise devra choisir une autorité de référence (celle de son établissement principal) qui lui servira du point de contact unique avec l’ensemble des autorités de contrôle. Cependant n’importe quelle autorité pourra décider d’une action envers le responsable de traitement. Elle devra pour cela en informer néanmoins l’autorité de référence qui restera l’interlocuteur unique de l’entreprise. En cas de désaccord entre les 2 autorités, un arbitrage aura lieu au sein du « European Data Protection Board ».

Concernant les sanctions, deux seuils sont fixés en cas de non-conformité au règlement européen suivant la nature de l’infraction (l’article 79 du règlement détaille la liste des infractions pour chacun des seuils :

• Un premier seuil à 2% du chiffre d’affaire mondial ou 10 millions d’euros (maximum des 2 valeurs) pour les infractions mineures : absence de registre des traitements, non nomination d’un DPO si elle est obligatoire ou encore non réalisation des analyses d’impact
• Un deuxième seuil à 4% du chiffre d’affaire mondial ou 20 millions d’euros (maximum des 2 valeurs) pour les infractions les plus graves : non recueil du consentement, non-respect des droits des personnes, transfert international illégal ou encore non-respect d’une interdiction de mise en œuvre d’un traitement.

Le montant des amendes dépendra de la nature de l’infraction ainsi que de l’éventuelle récidive du responsable de traitement.

Que retenir ?

Nous nous dirigeons donc de manière certaine vers une accentuation de la responsabilité et de l’autonomie des entreprises concernant la gestion des données personnelles : le modèle de contrôle « a priori » va se transformer en un modèle de contrôle et sanction « a postériori ». Le message est clair : les entreprises pourront bénéficier d’une plus grande souplesse concernant la gestion des données à caractère personnel, mais seront susceptibles d’être sanctionnée beaucoup plus fortement.

Cela devrait également permettre aux autorités de contrôle de se concentrer sur les sujets les plus sensibles et d’être capables de répondre aux requêtes dans des délais raisonnables.

Prochaine étape, le texte doit maintenant être officiellement approuvé par le Parlement et le Conseil. Compte tenu du calendrier des réunions, nous pouvons supposer un règlement promulgué en Avril prochain, suivi d’une période de deux ans pour la mise en conformité.

Cet article Nouveau règlement Européen sur la protection des données personnelles : quels impacts suite à la version du trilogue ? est apparu en premier sur RiskInsight.

Les révélations de Snowden sur la NSA derrière l’invalidation du Safe Habor

En principe, le transfert de données personnelles hors de l’Union européenne est autorisé à condition que le pays destinataire offre un niveau de protection des données au moins égal à celui garanti au sein de l’UE. Pour transférer des données personnelles vers des pays non-adéquats, les entreprises doivent s’engager à respecter des accords particuliers permettant de garantir un niveau de protection suffisant au regard du droit européen.

Adopté en 2000, le Safe Harbor est un accord de ce type, autorisant donc le transfert des données personnelles des citoyens européens vers les États-Unis. Plusieurs milliers d’entreprises américaines étaient jusqu’à présent concernées par cet accord, des géants du numérique aux petites et moyennes entreprises. Mais en octobre 2015, la Cour de justice de l’Union européenne (CJUE) – considérant les révélations faites par Edward Snowden sur les pratiques américaines en matière de surveillance – a invalidé le Safe Harbor . En effet, compte tenu de la primauté de la législation américaine liée à la sécurité nationale sur l’accord Safe Harbor, la CJUE a estimé qu’il existe des risques « d’ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ». La CJUE a également motivé sa décision par le fait qu’il n’existait « aucune possibilité pour le justiciable d’exercer des voies de droit » lui permettant d’accéder à ses données ou d’en obtenir la rectification ou la suppression, ce qui est contraire au droit européen.

En considérant que le Safe Harbor ne garantissait pas une protection adéquate des données personnelles, la CJUE a rendu de fait illégale des centaines de milliers de transferts de données. Pour autant, ces transferts transatlantiques ne pouvaient évidemment pas être arrêtés brutalement en raison des forts enjeux économiques inhérents. Conséquence directe de cette invalidation donc, trois mois de latence ont été accordés aux diplomates américains et européens pour négocier et définir un nouvel accord permettant de satisfaire les exigences de la CJUE. Par ailleurs, poursuivant le raisonnement de la CJUE, les CNIL européennes ont demandé que les solutions proposées par les parties s’appuient sur des « mécanismes clairs et contraignants » et comportent « au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits et des personnes ».

Privacy Shield : un tour de force diplomatique qui ne fait pas l’unanimité

Et c’est finalement le 2 février dernier – deux jours après la fin du délai accordé par les CNIL européennes – qu’un accord politique entre les parties européennes et américaines a été trouvé, remplaçant le Safe Harbor par le Privacy Shield . Ce mécanisme devrait permettre aux citoyens européens d’attaquer en justice les entreprises américaines si celles-ci divulguent leurs données personnelles à un tiers sans leur accord ou si elles refusent de fournir un accès aux données collectées les concernant. Une commission bipartite devrait également être créée pour contrôler l’application de l’accord, et un système d’arbitrage spécial via un médiateur sera mis en place en tant qu’instance de dernier recours. Par ailleurs les États-Unis ont fourni une garantie écrite assurant que l’accès aux données des citoyens européens par les services de renseignement sera limitée et contrôlé.
Mais le Privacy Shield fait déjà grincé des dents, puisqu’il est, pour l’instant, seulement un accord politique et donc non-contraignant juridiquement. Côté européen, une transposition dans le droit communautaire est le préalable pour qu’il puisse produire des effets juridiques.

Au-delà de l’accord de principe et du soulagement immédiat à la hauteur du défi diplomatique que représentait la conclusion d’un tel accord dans des temps aussi courts, il s’agira de constater, dans les mois et années à venir, sa traduction en règles juridiquement contraignantes et effectivement respectées. Dans le cas contraire, ce nouvel accord sera de toute évidence, à son tour, contesté devant la CJUE qui est la seule autorité compétente pour déclarer l’invalidité d’un acte de l’Union.

Sceptiques, les CNIL européennes se prononceront en mars

Une entrée en vigueur de l’accord « EU-US Privacy Shield » est prévue d’ici trois mois et sera pilotée durant les prochaines semaines par la Commission européenne. Par ailleurs cette dernière sera attentive à l’avis des vingt-neuf CNIL européennes, autrement appelées G29. Réuni le 3 février, et dirigé actuellement par la Présidente de la CNIL française Isabelle Falque-Pierrotin, le G29 s’est montré réservé sur le Privacy Act, avec cette formule : « We can’t just accept words. (…) The legal format of the arrangement is still unclear for us ». Les CNIL européennes attendent en effet la réception de l’ensemble des documents composant le Privacy Shield, d’ici la fin du mois de février, pour se prononcer sur le fond de l’accord à la fin du mois de mars .

Ce même jour le G29 était justement réuni pour présenter son interprétation de la jurisprudence européenne, fondée sur la décision de la CJUE, en matière de transfert des données personnelles. Pour les autorités européennes, quatre garanties doivent donc être respectées, et seront donc considérées dans les semaines à venir lors de l’étude du Privacy Act :

1. Le traitement des données doit être fait selon des règles claires, précises et accessibles
2. L’accès aux données doit être nécessaire et proportionnel à la fin poursuivie
3. Un mécanisme indépendant de surveillance doit pouvoir vérifier l’accès aux données
4. Des recours effectifs doivent exister pour les citoyens

En attendant d’en savoir plus sur le Privacy Shield, le G29 est resté pragmatique au sujet des transferts actuels de données personnelles en les autorisant, jusqu’à nouvel ordre . Enfin, Isabelle Falque-Pierrotin, réélue à la tête du G29 le 3 février, a partagé son inquiétude sur les probables répercussions de l’élection présidentielle américaine à venir sur l’accord.

Cet article Transfert des données UE-USA : le Safe Harbor remplacé par le Privacy Shield est apparu en premier sur RiskInsight.

Le Privacy By Design permet de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Dans le premier volet, nous sommes revenus sur les deux premiers facteurs clés de succès à prendre en compte qui sont :

• Concevoir une méthodologie de Privacy Impact Assessment pragmatique
• S’intégrer dans la méthodologie Projet existante

Nous reviendrons ici sur les deux derniers facteurs essentiels à prendre en compte.

Identifier les projets sensibles pour prioriser les efforts d’accompagnement

Dans la majorité des organisations, le volume de projets est trop important pour que les équipes en charge de la conformité aient la capacité d’accompagner chacun d’eux et en particulier de réaliser une analyse de risques même simplifiée. Il est donc nécessaire d’adapter l’approche systématique de PIA en identifiant le plus en amont possible les projets qui présentent une sensibilité accrue afin de prioriser les efforts d’accompagnement.

Les chefs de projets, souvent peu familiers de la Loi Informatique et Libertés, peuvent se retrouver en difficultés lorsqu’il s’agit d’exprimer la sensibilité de leur projet au sens de la Loi. Il est donc nécessaire de les accompagner dans cette étape en leur fournissant une liste de questions simples et compréhensibles par les non-initiés.

Dans la pratique, plusieurs facteurs peuvent rendre un projet sensible. Par exemple, la manipulation de données sensibles au sens de la loi la mise en œuvre de transferts hors UE. D’autres facteurs, moins directement liés à la loi peuvent également être identifié : utilisation de nouvelles technologies (Big data par exemple) ou existence de données sensibles dans le contexte de l’organisation (ex : identité des collaborateurs intervenant à proximité de produits cancérigènes).

Il conviendra donc d’identifier la liste des critères rendant un projet sensible en fonction du contexte spécifique de l’organisation et des risques qui pèsent sur elle.

Rendre autonome le chef de projet dans la conduite de cette étape permet de s’assurer que tous les projets feront l’objet d’une appréciation de leur sensibilité vis-à-vis de la Loi Informatique et Libertés. Enfin, en associant les équipes conformités aux comités chargés du suivi des projets en phase d’étude préalable, l’analyse des chefs de projets peut être challengée avant validation.

Il conviendra alors d’adapter l’investissement de l’équipe conformité à la sensibilité des projets. D’un suivi distant pour les projets les moins sensibles (alimentation en guides de mise en conformité, réponses à des demandes d’expertise) à un suivi rapproché pour les projets les plus sensibles (groupes de travail spécifiques sur le sujet du Privacy, analyse de risques détaillée, vérification des livrables exprimant les exigences de conformité, pilotage de la recette conformité, etc.). Dans tous les cas, l’équipe devra maintenir une liste des projets, des évaluations de criticité et s’assurer d’être présente dans les bonnes instances pour avoir accès à l’actualité des projets (création, arrêt…), voire disposer d’un accès direct au portfolio projet qui existe dans les organisations les plus avancées.

Outiller les chefs de projet

Tous les projets ne pouvant être accompagnés de façon rapprochée par l’équipe conformité, les chefs de projets devant traiter la mise en conformité en autonomie devront disposer d’outils pour les aider, généralement un guide de mise en conformité à la loi Informatique et Libertés. Ce guide ne doit pas ressembler à un document juridique mais bien plus à une traduction concrète, explicite et intelligible de la loi pour un non initié et doit permettre d’accompagner le chef de projet dans le choix des meilleures mesures pour s’y conformer, qu’elles soient organisationnelles ou techniques.

L’un des sujets qui nécessite une attention particulière est par exemple le transfert de données à des tiers ou hors de l’UE. Le transfert de données – qui peut désigner aussi bien le simple transit d’un flux par un équipement réseau, l’hébergement dans le Cloud de la messagerie ou la consultation de données sur un site web – sera explicité afin que chef de projet puisse identifier par lui-même les transferts de données réalisés dans le cadre de son projet. Il pourra alors par exemple s’appuyer sur les modèles de clauses proposées dans le guide pour les intégrer dans ses contrats avec des tiers ou utiliser une liste des filiales ayant signées les Binding Corporate Rules pour s’assurer que son transfert à l’international est autorisé.

Ce guide de mise en conformité pourra être associé à un cahier de recette type, permettant de contrôler le bon respect des principes juridiques fondamentaux. Une liste de questions restreintes (autour d’une dizaine généralement) aidera le chef de projet à contrôler les points majeurs et ainsi valider la conformité globale du projet à la Loi Informatique et Libertés : les mentions d’information sont-elles bien ajoutées ? Les cases de champs libres disposent-elles d’un disclaimer sur leur bonne utilisation ? Les contrats contiennent-ils des clauses LIL ? La durée de conservation des données a-t-elle été définie et leurs modalités de suppression étudiées ?

À moyen terme, l’outillage pourra aller un cran au-delà en proposant aux chefs de projet des solutions techniques pour faciliter la mise en conformité. Des plateformes mutualisées de chiffrement ou d’anonymisation de données ou encore des processus de collecte de données conformes pourront être construits. Les investissements déjà réalisés dans la filière sécurité de l’information pourront être largement exploités.

Un processus à concevoir et des équipes pour le déployer

Le Privacy By Design, future obligation réglementaire, constitue dès à présent un moyen de s’assurer de la conformité des nouveaux projets.

Le CIL et ses équipes devront s’armer d’une bonne dose de pragmatisme pour adapter les processus existants en les alimentant de leurs exigences essentielles tout en identifiant les projets les plus sensibles afin d’y apporter une vigilance accrue.

Mais au-delà du processus en lui-même, le CIL ou futur DPO devra se poser au plus tôt la question de ses besoins en ressources pour suivre ces projets : combien de personnes sont à mobiliser pour accompagner sereinement les chefs de projets ? Quelles sont les compétences attendues de ces équipes (expertise juridique, connaissances métiers, capacité à interagir avec les équipes IT et SSI, compétences de chef de projets,  …) ? Quelle mutualisation possible avec les filières existantes (RSSI, Conformité, RPCA, etc.) ?

Autant de questions auxquelles il conviendra de répondre afin d’assurer au Privacy By Design un déploiement réussi, élément clé pour que cette contrainte devienne une opportunité !

Cet article Privacy by design : anticiper pour mieux protéger (2/2) est apparu en premier sur RiskInsight.

Adopter une démarche de Privacy By Design c’est intégrer le respect de la vie privée dès la conception des projets, c’est-à-dire s’assurer de la pertinence des données collectées, comprendre les risques pour les personnes concernées, anticiper l’information et le droit d’accès, etc.

La Loi Informatique et Liberté, via l’article 34, demandait déjà au responsable de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » mais n’imposait pas explicitement la mise en oeuvre d’une démarche de Privacy By Design. De ce fait, peu d’organisations ont déjà mis en place une telle démarche.

Le Privacy By Design permet pourtant de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux.

Privacy By Design

Au regard des échéances réglementaires, et afin de mieux traiter les contraintes de conformité, les premières initiatives de Privacy By Design débutent et se multiplient. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Concevoir une méthodologie de Privacy Impact Assessment pragmatique

Plutôt que de repartir de zéro, il convient comme souvent de s’inspirer des travaux de réflexion menés par ses pairs. En particulier, la CNIL a décidé d’accompagner les responsables de traitements désireux de s’engager dans le Privacy By Design en publiant en juillet 2015 une version révisée de son guide de gestion des risques sur la vie privée. Elle l’adapte ainsi au positionnement du règlement européen et aux retours d’expérience en proposant une méthodologie pour mener des Privacy Impact Assessment (PIA).

Le guide décrit la façon d’employer la méthode EBIOS, déjà très connue et reconnue pour la sécurité de l’information, sur le sujet Informatique et Libertés. Les deux premières étapes visent respectivement à identifier le contexte particulier aux traitements mis en œuvre par le projet et à identifier les mesures nécessaires au respect des principes juridiques fondamentaux : respect de la finalité, pertinence des données collectées, information des personnes, exercice des droits, sécurité des données, accomplissement des formalités. Puis vient l’étape dite d’analyse des risques durant laquelle les menaces pertinentes sont identifiées et associées aux évènements redoutés suivant trois grands types : accès illégitime, modification ou disparition des données personnelles. Les risques liés à la conformité Informatique et Libertés sont alors évalués en termes de gravité et de vraisemblance et font l’objet d’une décision quant à leur acceptation.

La méthodologie d’analyse de risques EBIOS vise l’exhaustivité dans l’analyse des risques encourus. Cette exhaustivité impose généralement aux organisations qui l’utilisent pour leurs analyses de risques SSI de s’appuyer sur des équipes d’intégration de la sécurité dans les projets à même de consacrer suffisamment de temps à l’accompagnement des chefs de projets et en mesure de maîtriser la méthodologie, souvent perçue comme complexe au premier abord.

Les équipes en charge de la conformité ne sont généralement ni organisées ni dimensionnées pour réaliser un accompagnement de tous les projets d’une organisation sur la base d’une méthodologie aussi chronophage.

La conduite systématique d’analyses de risques EBIOS pour encadrer les risques Informatiques et Libertés apparaît alors souvent comme trop ambitieuse au regard des ressources à engager et risque ainsi d’alourdir de façon démesurée la charge du chef de projet et donc d’entraver le bon déroulement de la méthodologie projet.

Il reviendra donc au Correspondant Informatique ou Liberté (CIL) ou futur Data Privacy Officer (DPO) d’adapter et de simplifier la méthodologie d’analyse de risques qu’il souhaite déployer aux capacités d’accompagnement de ses équipes. Plusieurs pistes sont envisageables : réalisation d’un questionnaire simple de pré-qualification du risque pour prioriser les efforts entre les projets, limitation du nombre de scénarios de risques étudiés, réduction des listes de menaces applicables dans le contexte, préidentification des risques types, etc.

S’intégrer dans la méthodologie Projet existante

Un écueil souvent rencontré pour de nouvelles méthodologies : vouloir s’appuyer sur un nouveau processus, propre au sujet traité (ici la mise en conformité LIL3), qu’il faudra alors déployer dans l’organisation. Évangélisation chronophage, non connaissance des méthodes de travail des chefs de projets, redondance dans les demandes : autant de raisons justifiant l’échec probable de cette orientation.

Le CIL devrait plutôt chercher à s’intégrer dans le processus de gestion de projet existant : étapes clés, comités, livrables, etc. Des équipes (responsable méthode ou qualité par exemple) ont en général la responsabilité des méthodologies projet et peuvent accompagner le CIL dans sa compréhension et challenger ses propositions d’amendements.

Depuis plusieurs années de nombreuses organisations ont d’ailleurs déjà amendé leur processus de gestion de projet pour y intégrer les exigences de sécurité SI. Un exercice dont la réussite dépend souvent d’une bonne répartition des travaux au sein des grandes phases d’un projet. Il se décompose en plusieurs phases :

• Étude préalable : appréciation de la criticité du projet afin d’identifier les projets les plus sensibles et prioriser les efforts d’accompagnement. Une analyse de risques SSI détaillée sera seulement conduite pour les projets les plus sensibles.
• Conception : identification des exigences de sécurité à prendre en compte par chacun des acteurs.
• Mise en œuvre : suivi de la bonne mise en œuvre des mesures choisies pour répondre aux exigences.
• Recette : conduite d’une recette sécurité qui valide la prise en compte des exigences sécurité et l’efficacité des mesures mises en place. Elle est souvent accompagnée d’un audit de sécurité ou de tests d’intrusion.

Les enjeux étant similaires, la même méthodologie est tout à fait adaptable dans un contexte de Privacy By Design. Les erreurs à éviter seront alors les mêmes : sous dimensionnement des équipes en charge d’accompagner les chefs de projets, complexité de la méthode, absence ou réalisation trop tardive de la recette visant à valider la conformité en fin de processus, non implication des acteurs en charge de la conformité dans les comités clés.

Idéalement, le Privacy By Design cherchera à faire évoluer la méthodologie existante d’intégration de la sécurité dans les projets, celle-ci étant déjà rodée et bien connue des acteurs du projet.

La 2^ème partie publiée le mois prochain reviendra sur les deux autres facteurs clés de succès à prendre en compte : concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Cet article Privacy by design : anticiper pour mieux protéger (partie 1) est apparu en premier sur RiskInsight.

Quel changement pour les entreprises ?

Mise en place du Privacy by Design

(Articles 23, 30, 32a, 33a et 33)

Première nouveauté, les entreprises devront définir et mettre en œuvre des procédures permettant d’intégrer les problématiques liées à la manipulation des données personnelles dès la conception de nouveaux services.

Cette démarche s’accompagne de l’obligation de réaliser des analyses de risques relatives à la vie privée des personnes (discrimination, diffusion de données confidentielles, etc.) préalablement à la mise en place des traitements les plus sensibles et à chaque modification du traitement.

Face aux risques sur la vie privée des personnes induits par ces traitements, il sera imposé aux entreprises d’adopter des mesures de sécurité adéquates en vue de les maitriser.

Concrètement que retenir du Privacy by Design ? Une mise à jour de la méthodologie projet afin d’identifier au plus tôt les traitements sensibles et une méthode d’analyse de risques à définir et outiller. Il sera pour cela possible de s’inspirer des guides pratiques de la CNIL intitulés « Etude d’impact sur la vie privée », qui seront à simplifier et contextualiser aux besoins spécifiques de l’entreprise.

Responsabilisation ou « Accountability »

(Articles 22 et 28)

Toute entreprise devra désormais être capable de prouver sa conformité vis-à-vis du règlement.

Cette exigence se traduit par :

• l’adoption d’une politique cadre de gestion des données à caractère personnel ;
• une organisation associée ;
• des procédures opérationnelles déclinant les thèmes du règlement (information, respect des droits des personnes, transfert à des sous-contractants, etc.).

L’entreprise devra également être en capacité de prouver l’application de ces politiques et donc, de mettre en place des processus de contrôle.

L’occasion de parler de la personne qui illustrera ce principe d’ « Accountability » : le DPO (pour Data Protection Officer). Il devient quasiment obligatoire et remplace le CIL actuel.

Concernant ce DPO, le texte entérine l’obligation de lui fournir le personnel, les locaux, les équipements et toutes les autres ressources nécessaires pour mener à bien ses missions. Encore une fois le parlement souhaite aller au-delà de cette exigence : il propose de nommer au sein de la direction une personne responsable du respect du règlement.

Comment appliquer ce principe ? Il sera nécessaire de définir a minima une politique avec des règles de protection des données ainsi qu’’un plan de contrôle et de formation. Cette politique pourra par exemple s’inspirer du modèle des BCR « Binding Corporate Rules », dont le principe a été entériné dans le futur texte, pour lesquelles des modèles types et des premiers retours d’expérience existent déjà.

Obligation de notification des fuites (articles 31 et 32)

L’ensemble des parties s’accordent sur l’obligation de notification des fuites aux autorités. Le Parlement propose même que les entreprises mettent en ligne un registre listant les types de brèches de sécurité rencontrées. Il sera intéressant de constater comment cette exigence cohabitera avec les législations nationales en matière de sécurité et la protection des intérêts de la nation qui tendent à limiter la diffusion de ce type d’information.

La notification de fuites aux personnes concernées, quant à elle, n’est obligatoire que si l’entreprise n’est pas en mesure de démontrer qu’elle a mis en œuvre des mesures afin de rendre cette fuite sans conséquence. D’où l’intérêt d’effectuer correctement l’analyse de risques, de définir et d’implémenter des mesures appropriées.

Au final, deux recommandations afin d’anticiper le futur règlement sur ce point :

• un processus de gestion des fuites de données à définir en l’orchestrant avec les dispositifs de gestion de crise existants et les processus de relation client,
• la réalisation d’exercices réguliers afin de tester son efficacité avec tous les acteurs concernés.

Une mise en conformité à anticiper

Au-delà de ces trois nouveautés majeures, d’autres modifications plus limitées en termes d’impacts organisationnels sont également à prendre en compte, comme la création du droit à la portabilité ou l’extension de la liste des données sensibles. On peut par ailleurs noter le renforcement d’obligations existantes comme le droit à l’information et le recueil du consentement. Le diable se nichera dans les détails.

Pour conclure, les deux années de mise en application du règlement ne seront pas de trop (soit une mise en conformité d’ici début 2018) et nous ne pouvons que conseiller d’initier la mise en conformité dès 2016, avec le cadrage et le lancement des premiers chantiers majeurs. D’autant plus que le sujet devient de plus en plus visible médiatiquement (condamnation récente de Boulanger, Google et l’application du droit à l’oubli, etc.) et que les sanctions financières deviennent réellement significatives (entre 2 et 5% du chiffre d’affaire mondial). L’occasion pour toutes les entreprises de communiquer largement sur les principes de respect de la vie privée effectivement appliqués.

Cet article Nouveau règlement européen sur la protection des données personnelles : anticiper les 3 impacts majeurs est apparu en premier sur RiskInsight.

Quel est le contenu de la proposition ?

Troisième temps fort dans l’avancée du règlement européen, le Conseil de l’Union Européenne a adopté ce lundi 15 juin une position commune. Attention, cela ne signifie pas que le texte soit prêt à être publié. En effet, après le Parlement Européen qui avait amendé et voté le texte proposé par la Commission Européenne, c’est maintenant le Conseil de l’Union Européenne qui vient de faire de même. Reste maintenant aux trois parties de trouver un accord sur un texte définitif. Cet accord représente avant tout une grande avancée : désormais le Parlement et le Conseil disposent d’un délai établi pour parvenir à un accord.

Rentrons dès à présent dans le vif du sujet, que contient cette proposition ?

Tout d’abord des évolutions sont attendues sur la liste des données sensibles. Celle-ci a été réduite, en particulier les données biométriques et celles relatives aux infractions pénales n’en font plus parties. L’utilisation des données judiciaires est cependant soumise à l’aval d’une autorité compétente. Par ailleurs, le texte précise que l’utilisation d’un identifiant national unique (ex : le NIR en France) sera sujette à une réglementation nationale.

Par rapport à l’assouplissement du droit à l’information, le délai de réponse passe de quarante jours à un mois mais la transmission des catégories de données collectées n’est plus obligatoire. Il est également à noter que le droit à l’oubli fait son retour. Il avait été renommé droit à l’effacement par le Parlement. Son contenu n’est cependant pas modifié. Même traitement pour le droit à la portabilité, cette fois-ci sans obligation concernant le format de restitution des données. Il est intéressant de noter que le nouveau texte crée un droit de « Restriction of Processing ». Il s’agit de l’application cumulée du droit à l’oubli et du droit à la portabilité. Les données sont restituées puis supprimées.

Chaque organisation aura l’obligation de nommer un DPO quelle que soit sa taille, cependant il pourra être mutualisé. Le principe d’accountability reste présent mais le conseil ne souhaite pas imposer la réalisation d’une analyse de risques, seulement une analyse d’impacts (sans obligation de la renouveler tous les 2 ans). Le texte supprime également l’obligation systématique de notification des fuites de données aux autorités de protection. Elle sera désormais limitée aux fuites possédant un « risque important sur les droits et les libertés du sujet » (dans un délai de 72h).

Le conseil s’est aligné sur la position de la Commission en diminuant le montant des amendes et a introduit une gradation de leur montant suivant les infractions : trois seuils sont définis : 250.000€ ou 0,5% du CA, 500.000 € ou 1% du CA et 1.000.000 € ou 2% du CA.

Dernier point intéressant à noter, le nouveau texte entend rendre obligatoire l’open data pour les administrations. Les entreprises seront libres d’utiliser ces données.

Un règlement d’ici la fin de l’année 2015 ?

Le processus d’adoption du règlement est long et complexe, il s’agit de la « Procédure Législative Ordinaire ». Elle permet une écriture coordonnée du texte entre le Parlement Européen et le Conseil de l’Union Européenne. Il s’agit de la principale procédure législative par laquelle les textes sont adoptés.

Le texte a initialement été proposé par la Commission Européenne le 25 janvier 2012. Le 12 mars 2015, le Parlement a adopté une nouvelle version du texte en première lecture (après de nombreux groupes de travail en interne et avec la Commission). La proposition a ensuite été soumise au Conseil (qui regroupe les représentants des États, dans notre cas, les ministres de la justice). Si ce dernier avait approuvé le texte en l’état, la procédure aurait été close. Dans notre cas, le Conseil a proposé une nouvelle version du texte. Ceci clôt la première étape de la procédure dite « la première lecture ».

Débute alors la phase de seconde lecture, semblable à la première à l’exception du fait que les parties disposent désormais chacune d’un délai pour voter le texte (3 mois + 1 mois si nécessaire). Si le consensus n’est pas atteint, c’est à dire si le Conseil amende à nouveau la proposition du Parlement, le texte rentrera dans la troisième et dernière phase, la phase de conciliation.

Au cours de cette dernière étape, les trois parties disposent d’un délai de six semaines (+2 si nécessaire) pour mettre en place un groupe de négociation, appelé « trilogue ». Il disposera à son tour de six semaines (+2 si nécessaire) pour parvenir à un accord.

Le Parlement a cependant annoncé que, pour raccourcir les délais, la phase de trilogue démarrera de manière informelle dès le 24 juin. Quel intérêt ? La version votée par le Parlement aura été rédigée en accord avec la vision du Conseil, qui n’aura plus qu’à la valider. Résultat : un accord dès la fin de la seconde lecture et une adoption du texte avant la fin de l’année.

Que retenir ?

Premièrement, la fin de l’enlisement du règlement avec une volonté de l’ensemble des acteurs, tant publics que privés, d’aboutir rapidement à une version finale. Deuxièmement, une mise en conformité complète des entreprises d’ici fin 2017 (deux ans de délai d’application). Et pour terminer, de nombreux concepts dont les contours se dessinent de plus en plus finement, et qui nécessitent d’être anticipés au plus tôt. Pour plus de détails sur ces concepts, vous pouvez consulter cet article.

Cet article Données à caractère personnel : un pas de géant en faveur de l’adoption du règlement européen ? est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Une législation « permissive » aux États-Unis, une opportunité pour les data brokers

Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d’internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, …). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu’il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic…), chacun pouvant détenir plusieurs centaines de milliards de données ! Un marché qui ne cesse d’augmenter, à l’ère du Big Data et de l’explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain.

En effet, il n’existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L’approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d’un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l’information ou le droit à la rectification tels que nous les connaissons, sont absents.

Une amorce de prise de conscience pour une législation renforcée aux États-Unis…

 La FTC s’est penchée sur la question de ce vide juridique vis-à-vis des data brokers et a livré ses recommandations dans un rapport publié en Mai 2014. L’autorité préconise des dispositions législatives, déjà présentes dans les différentes réglementations en Europe, comme le droit de rectification, le droit d’opposition, le droit à l’information et le droit d’accès. En outre, la FTC recommande aux data brokers de prendre des précautions pour renoncer à la collecte d’informations relatives à des mineurs ainsi que de considérer les enjeux de la vie privée dans toutes les étapes du traitement des données : c’est le principe du « Privacy by Design » (on retrouve d’ailleurs ces deux notions dans le projet de futur règlement européen). Ce rapport a permis de mettre sur le devant de la scène le sujet des données personnelles aux États-Unis. Cette tendance risque certainement de s’amplifier avec le discours du ministère de la Justice de l’administration Obama du 25 juin dernier qui s’est engagé à légiférer plus largement sur la protection des données personnelles.

Avant les États-Unis, d’autres pays ont légiféré… avec difficulté

 De nombreux pays ont récemment tenté de légiférer dans ce  sens,  en s’inspirant plus ou moins fortement des principes européens. C’est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l’Inde (2013), du Brésil (2014), ainsi que de nombreux pays d’Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l’intérêt croissant des pays « dits » émergents pour ce sujet qui n’est plus uniquement une question européenne.

L’Europe est-elle en passe d’imposer sa vision sur le traitement des DCP ?

Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l’événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s’appuie sur des principes bien connus en Europe.
En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s’ajouter au modèle européen ou l’Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain ? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s’inscrire dans une optique européenne de protection que dans la logique permissive historique outre atlantique.

Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l’USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie…

Cet article Législation américaine sur les « data brokers » : une influence limitée sur la gouvernance mondiale des données personnelles ? est apparu en premier sur RiskInsight.

Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent personne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

Cet article Fuite de données personnelles : comment stopper l’hémorragie ? est apparu en premier sur RiskInsight.

Des tentatives infructueuses

La carte d’identité nationale électronique sécurisée est un projet d’identité numérique français datant de 2003. Cette carte d’identité devait contenir des informations biométriques. Ces données devaient également être conservées dans un fichier centralisé, solution perçue comme une atteinte aux libertés individuelles par nombre d’associations. Le projet a été arrêté puis relancé à de nombreuses reprises jusqu’en 2012. Le Conseil constitutionnel donna alors un coup d’arrêt définitif au projet en le censurant.

En parallèle, certains citoyens français ont pu expérimenter l’utilisation d’un certificat électronique « pour un usage unique » dans le cadre de leur déclaration d’impôts en ligne. L’expérimentation a finalement été abandonnée en raison de processus jugés trop complexes pour les utilisateurs (notamment lors d’un changement d’ordinateur) et trop coûteux pour le fournisseur (notamment en matière de support aux utilisateurs).

En 2010, un nouveau projet d’identité numérique, baptisé IDéNum est lancé. Deux ans plus tard, peu d’avancées concrètes à constater, sans qu’aucune raison officielle ne soit donnée.

L’échec des précédents projets gouvernementaux n’a cependant pas découragé les initiatives privées. Ainsi, La Poste propose un service de courrier recommandé en ligne, via une identité numérique baptisée « IDN ». Les informations personnelles sont vérifiées via plusieurs mécanismes, notamment la présentation d’une pièce d’identité à domicile à un facteur. Son utilisation reste cependant limitée à cet usage très ciblé.

2013 : un nouvel envol ?

Le gouvernement tente de relancer le projet IDéNum depuis début 2013. Le projet, financé par un partenariat public-privé, doit permettre de « préserver notre souveraineté nationale face aux alternatives étrangères et non sécurisées ».

Le projet adopte une approche innovante : garantir la fiabilité des Identités émises sans imposer l’État comme autorité de confiance. Ainsi, IDéNum devrait proposer un ou plusieurs « labels » reprenant des critères de qualité, de confidentialité, d’interopérabilité ou encore de contrôle fixés par l’État. Charge aux fournisseurs d’Identités privés de répondre à ces critères pour être labélisés et ainsi pouvoir émettre des Identités numériques fiables et reconnues.

Cette identité numérique devrait permettre d’accéder aux services administratifs de l’État, et plus largement à n’importe quel service privé qui y aura souscrit. C’est donc bien le « label » qui porte le niveau de fiabilité associé à l’identité numérique. D’où, peut-être, la possibilité de promouvoir plusieurs labels, correspondant à des critères de qualité différents, et adaptés à différents usages. Le « label » devrait aussi définir les « droits et devoirs » des fournisseurs de services souhaitant utiliser IDéNum. Ainsi, il permettrait d’encadrer l’usage et la diffusion des données recueillies.

Caractère universel, maîtrise de ses informations personnelles et fiabilité : 3 conditions de succès

Quels que soient les choix retenus, trois points cristallisent la relation à l’objet « identité numérique », et donc son futur niveau d’adoption : le caractère universel de son usage, la confiance de l’utilisateur dans le système – matérialisée par la maîtrise de ses informations personnelles -, et la confiance des fournisseurs de services utilisant ce même système, matérialisée par la fiabilité des informations.

Le caractère quasi universel d’une identité numérique – c’est-à-dire la possibilité de l’utiliser pour tout, tout le temps sans limite ni contrainte – est une condition sine qua non à une adoption de masse. Aussi, la question de l’interopérabilité, avec fournisseurs de services et entre pays, est primordiale. Le projet se doit donc d’emporter l’adhésion de nombreux acteurs publics comme privés. Pour cela il doit notamment offrir une prise en main et une utilisation des plus simples, pour les utilisateurs et également pour les fournisseurs de services. Par ailleurs, les initiatives de chaque pays européen doivent être compatibles et offrir un unique standard d’interopérabilité. En 2012, la Commission européenne a d’ailleurs publié un projet de règlement visant à définir un cadre européen pour l’identité numérique.

De plus, les utilisateurs doivent avoir confiance dans la maîtrise de leurs informations personnelles. La multiplication des comptes en ligne a conduit les internautes à diffuser massivement des informations personnelles, qui sont parfois monnayées à des tiers. L’identité numérique, qui fournit des informations qualifiées, ne doit pas devenir une source d’information à tout-va. L’utilisateur devra pouvoir choisir quelles informations il souhaite communiquer en fonction du service accédé et donc contrôler la diffusion de ses informations personnelles.

Aujourd’hui, un site de poker en ligne qui souhaite vérifier que vous êtes majeur vous demande de fournir une photocopie de votre carte d’identité. Cette dernière contient bien plus d’informations que la simple réponse à la question « Êtes-vous majeur ? ». Une identité numérique pourrait autoriser une granularité bien plus fine dans la diffusion des informations personnelles. De la même manière, un site de vente en ligne a besoin de connaître votre adresse postale, mais non votre date de naissance ou votre statut marital. Autre point d’attention : les adhérences entre les sphères privées, publiques ou professionnelles. Un fournisseur de services (par exemple de la sphère professionnelle) ne devrait a priori pas avoir connaissance des autres usages associés à une identité. L’identité numérique doit donc garantir souplesse, transparence et confidentialité sur les informations diffusées.

Enfin, l’adoption par les fournisseurs de services passe par un niveau de confiance élevé dans la fiabilité des informations recueillies. Par exemple, pour les services les plus critiques, permettre d’interroger le fournisseur d’Identités numériques pour garantir la validité de l’information fournie. À l’instar des cartes d’Identité physique, le vol ou la falsification seront autant de menaces pesant sur l’identité numérique. D’où la nécessité de définir un cadre légal, autant pour protéger les utilisateurs que les fournisseurs de services.

Alors, l’identité numérique, un levier pour de nouveaux usages ?

IDéNum doit permettre de dématérialiser encore plus de procédures, avec un niveau de confiance adapté, et accélérer ainsi l’émergence de nouveaux services sur internet (B2C notamment). Les entreprises vont en particulier y trouver un levier pour faciliter la relation client. L’identité numérique devrait simplifier des processus de souscription, et améliorer la confiance mutuelle : l’utilisateur dans l’usage de ses données personnelles et les fournisseurs de services dans la qualité des informations recueillies.

Mais soyons pragmatiques et n’attendons pas IDéNum pour avancer. Les Identités numériques existent déjà, même si elles ne sont pas qualifiées ou réputées fiables. Et pour certains usages, c’est déjà bien suffisant. Quels risques à permettre à un prospect de sauvegarder un devis et de s’authentifier avec son compte Google ? Si vous employez des étudiants saisonniers durant les congés estivaux, est-ce plus risqué d’utiliser des comptes génériques avec un mot de passe trivial, ou de leur permettre de s’authentifier avec leur compte Facebook ou LinkedIn ? Cette tendance est d’ailleurs déjà associée à un acronyme : « BYOID » pour Bring Your Own IDentity.

Au-delà des concepts, les fondamentaux « traditionnels » de l’identité doivent rester au cœur des réflexions : comment proposer une Identité unique et pérenne ? Comment garantir le lien avec le cycle de vie des utilisateurs dans l’entreprise ? Ou encore comment garantir un niveau d’authentification en cohérence avec les services offerts et les risques associés ? Autant de questions qui devront servir de guide à la définition de l’identité numérique de demain.

Cet article Identité numérique : quel état des lieux aujourd’hui en France ? est apparu en premier sur RiskInsight.

Une attaque motivée par la perspective de gains financiers

L’enquête semble converger vers un prestataire de l’opérateur qui aurait réalisé le vol de données. Ce dernier a déjà été interpellé par les forces de l’ordre, preuve pour les plus sceptiques, de l’efficacité aujourd’hui des autorités sur ces dossiers d’attaques informatiques. Nous en saurons certainement plus dans les jours qui viennent sur ses motivations, mais la recherche de gains financiers ne doit pas être négligée. Aujourd’hui, un « enregistrement client » (nom, prénom, adresse…) peut se monnayer autour de 15 centimes de dollars, ce qui représente quand même plus 300 000 euros dans le cas de Vodafone.

En effet, plus de deux millions de données clients ont été dérobées, dont certaines informations bancaires. Ces données pourront servir à réaliser des attaques en phishing de « haute qualité », capables de tromper plus facilement les destinataires grâce à des informations fiables. Heureusement, les enregistrements les plus sensibles (numéro de carte, mot de passe…) semblent avoir été épargnés. Dans le cas contraire,  l’impact aurait pu être bien plus important : des fraudes financières auraient pu être réalisées directement.

 Prestataires et administrateurs : des populations à encadrer

Cet incident met à nouveau en lumière la faille majeure que représentent les fonctions d’administrations du SI. Sans préjuger de la situation de Vodafone, ces fonctions sont souvent externalisées à moindre coût dans des méga-contrats dont les contours sont toujours difficiles à cerner (qualification des employés, sous-traitance masquée, pays concernés…) et dont les mesures de sécurité censés encadrer les usages sont rarement vérifiées sur le terrain. Et cette situation se rencontre malheureusement dans de nombreux secteurs, même les plus sensibles. N’oublions pas qu’Edward Snowden, administrateur sous-traitant, nous dévoile régulièrement depuis le début de l’été des documents secrets de la NSA…

Des changements à entamer à la DSI et à la direction des achats dès aujourd’hui pour limiter les risques

Vodafone vient de voir son image écornée et les coûts de gestion de l’incident risquent d’être élevés. Au-delà des coûts directs liés aux investigations, le volet notification des clients peut être majeur. Les chiffres en provenance des États-Unis parlent d’un coût autour de 100€ par clients à notifier, nous sommes dans une fourchette rapidement supérieures à la centaine de millions d’euros.

Dans cette situation, et pour limiter les impacts, un contrat de cyber assurance peut être utile, mais attention il ne doit pas contenir d’exclusion sur les malveillances internes.

Au-delà de cette mesure de compensation, il est bien évidemment nécessaire de vérifier sur les périmètres les plus sensibles de l’entreprise, la qualité et la sécurité des processus d’administration. Il s’agit d’un chantier d’ampleur, qui au-delà de la mise en place de mesures techniques (mise en place de plateforme de rebond, journalisation des actions, limitations des comptes d’administration, utilisation de postes de travail dédiés non connectés à Internet…) est avant tout un projet de conduite du changement. Un changement à mener à deux niveaux, auprès de populations de la DSI souvent très (voir trop) autonomes dans la réalisation de leurs actions au quotidien qui doivent accepter la mise en place de mesure de sécurité et de contrôle, mais aussi et peut être surtout au niveau de la direction des achats pour valoriser les fonctions d’administration du SI et faire de la sécurité un des critères de premiers plans dans les contrats d’externalisation.

Cet article Vol de données chez Vodafone : un rappel douloureux de la « menace intérieure » est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.

Les chiffres donnent le vertige : lors de la préparation de son introduction en Bourse, Facebook a évalué ses 850 millions d’amis à 100 milliards de dollars.

De son côté, Google recentre de plus en plus ostensiblement son business model sur la collecte et la valorisation des données relatives à ses utilisateurs et du profilage qu’il en déduit.

Car ces données à caractère personnel constituent bien, des mots mêmes de Viviane Reding, la devise des marchés numériques d’aujourd’hui. Et la commissaire européenne à la Justice d’en déduire : et comme toute monnaie, celle-ci requiert stabilité et confiance. Ce n’est que lorsque les consommateurs pourront avoir pleinement confiance en la protection de leurs données qu’ils continueront à les confier aux entreprises et autorités, à acheter en ligne et à accepter de nouveaux services.

La vie privée à l’heure des nouvelles frontières du numérique

Jusqu’à présent, le droit européen en matière de protection des données à caractère personnel se fonde sur une Directive de 1995, écrite alors qu’Internet n’en était qu’à ses balbutiements.

Depuis, la part d’Internet dans les communications mondiales est passée de 1% à plus de 97%. Cette internationalisation des échanges de données, en parallèle de la monétisation croissante des données, met en évidence les limites et insuffisances de la législation actuelle.

En ce sens, le projet de refonte dévoilé le 25 janvier dernier est doublement intéressant.

Tout d’abord, là où l’on attendait une nouvelle Directive, la Communauté a publié un Règlement : bien loin d’une coquetterie de juriste, il s’agit d’affirmer une approche radicalement différente de celle qui était jusqu’alors en œuvre et fortement décriée. Un Règlement a ceci de spécifique qu’il s’applique directement aux membres, sans qu’ils aient à l’intégrer à leur droit national. En effet, alors que les frontières existent de moins en moins pour les flux de données, il a été estimé que les disparités dans les traductions nationales du droit communautaire en la matière coûtent à elles seules jusqu’à 2,3 milliards par an aux entreprises.

L’objectif, réaffirmé en introduction du document, est donc bien de s’adapter à un monde ouvert et d’harmoniser la protection des données au niveau européen.

Les enjeux, ensuite, ont très clairement évolué. En 1995, le législateur mettait le citoyen au cœur de ses préoccupations, puisqu’il entendait le protéger contre l’informatisation croissante des entreprises et des États. En 2012, maturité aidant, les enjeux économiques et commerciaux sont passés au premier plan : il ne s’agit plus uniquement de protéger la vie privée – ce droit à la vie privée est passé dans les mœurs – mais d’apporter confiance au citoyen (et consommateur) et sécurité juridique aux opérateurs privés et publics.

Les réseaux sociaux en ligne de mire

Un Règlement donc, pour la forme.

Sur le fond, cette proposition s’attaque sans surprise aux nouveaux enjeux liés au développement des réseaux sociaux.

Elle pose ainsi de nouvelles règles, spécifiques au traitement des données à caractère personnel relatives aux enfants de moins de 13 ans, qui sera désormais soumis à l’autorisation de leurs parents. Elle instaure également explicitement un droit à l’oubli numérique, y compris pour les données rendues publiques par la personne. Les pratiques de profilage, telles que celles mises en œuvre par Google, requerront quant à elles le consentement explicite des personnes concernées.

En réaction à la démocratisation d’Internet, elle rend de plus obligatoire la mise en place de canaux électroniques pour l’exercice des droits d’accès et de modification, tout en imposant un délai raisonnable du traitement des demandes.

Une amende à 500 millions de dollars

Si chaque État reste maître dans la définition des sanctions pénales en cas de non-respect des exigences du Règlement, les sanctions administratives sont, elles, considérablement augmentées puisqu’elles pourront atteindre 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise. À titre d’illustration, la sanction maximale prononcée l’année dernière par la CNIL à l’encontre de Google s’élevait à 100 000 €. Demain, elle pourra s’élever à près de 500 millions de dollars…

Vers l’obligation d’un système de management de la protection des données à caractère personnel

Ultime raffinement de l’existant, directement inspiré des meilleures pratiques du marché, cette proposition de Règlement pourrait accélérer la mise en œuvre de systèmes de management de la protection des données à caractère personnel.

On connait les systèmes de management tels que définis dans les normes ISO : par exemple, la qualité, dans l’ISO 9001 (SMQ), la sécurité, dans l’ISO 27001 (SMSI), ou encore l’environnement, dans l’ISO 14001 (SME).

De manière analogue, figurent en effet explicitement dans le texte :

• A l’instar de l’analyse de risque, qui guide la mise en œuvre des mesures de sécurité dans un SMSI, l’obligation :

– De conduire des analyses d’impacts relatifs à la vie privée sur les traitements les plus sensibles.

– De prendre en compte la protection des données à caractère personnel dès la conception des systèmes (le privacy by design anglo-saxon), en fonction des coûts des mesures de sécurité et de l’état de l’art en la matière.

• A l’instar du contrôle, ensuite, qui fonde l’amélioration continue dans les différents systèmes de management cités, un devoir d’audit de l’efficacité des mesures par le responsable de traitement.

Argument complémentaire, si besoin en était, pour la mise en place de tels systèmes : si les formalités déclaratives disparaissent, en contrepartie de l’obligation de désigner officiellement un correspondant aux données à caractère personnel (le CIL français), l’obligation de notification des violations aux traitements de données à caractère personnel, actuellement valable pour les opérateurs télécoms, s’appliquera à l’ensemble des secteurs.

Les critiques de la CNIL

Ce projet de Règlement constitue ainsi une volonté de synthèse entre les meilleures pratiques du marché et des réponses pragmatiques aux difficultés des organismes, en particulier multinationaux, à répondre aux exigences actuelles.

Dans sa volonté d’harmonisation et de renforcement de la coopération européenne en la matière, la Commission propose ainsi un fonctionnement en mode guichet unique : si le justiciable peut s’adresser à l’autorité de contrôle (les CNIL européennes) de son choix, chaque entreprise est placée sous la responsabilité d’une autorité unique, en fonction de la localisation de son siège européen.

Et c’est là que le bât blesse.

Dans un communiqué publié début mars, la CNIL s’est ainsi fait la voix des nombreux détracteurs de cet aspect du Règlement. Intitulé La défense de la vie privée s’éloigne du citoyen, cet article fait état de l’opposition ferme de la commission à ce principe, qui constitue, selon ses termes, une véritable régression vis-à-vis des droits des citoyens.

Pour autant, la majorité des autres points du Règlement ont d’ores-et-déjà emporté l’adhésion de nombreux spécialistes du sujets, juristes et opérationnels. Les organismes seraient donc bien avisés dès maintenant de les intégrer à leur réflexion afin d’être à même de respecter les futures exigences légales.

Et Facebook ne s’y est pas trompé, qui a fait figurer en bonne position parmi les risques mentionnés dans son dossier d’introduction en bourse le durcissement de la législation en matière de données à caractère personnel.

Cet article La vie privée à 27 : encadrer la ruée vers l’or numérique est apparu en premier sur RiskInsight.

Mais de l’autre coté, les réseaux sociaux implémentent des mécanismes innovants de protection et de partage de l’information, précurseurs du futur de la protection des données. Même si ces innovations sont moins évidentes de prime abord, elles sont concrètes et en place dès aujourd’hui.

Prenons l’exemple du partage d’information entre des applications. Aujourd’hui, dans le monde de l’entreprise, chaque application échange des flux avec d’autres sans mettre en place (ou alors très rarement) des mécanismes d’authentification et d’autorisation. A contrario, les plateformes tels que Twitter permettent des gérer des droits d’accès applicatifs de manière simple et  efficace. L’utilisateur, avec son compte Twitter, peut autoriser des applications tierces à réaliser plus ou moins d’actions sur ses données. Lire les messages, ajouter des utilisateurs, écrire des messages, il est possible de gérer toutes ces opérations de manière transparente et claire avec un tableau de bord qui résume les droits accordés. Ces autorisations peuvent aussi être limitées dans le temps comme le propose LinkedIn.

Innovation complémentaire, la simplification et le renforcement de l’authentification de l’utilisateur. De plus en plus d’applications web permettent de s’authentifier en utilisant le compte Twitter ou Facebook de l’utilisateur. Voilà un moyen simple de limiter le nombre de comptes et de mots de passe dans la lignée des WebSSO mis en place dans l’entreprise. Certains vont même jusqu’à mettre en place gratuitement une authentification forte (Google par exemple) ou des mécanismes de ré-authentification pour les opérations les plus sensibles. Ces mêmes applications vont générer des alertes en cas de comportements suspicieux (utilisation depuis un autre pays, à des heures non cohérentes). Ces mécanismes avancés, au combien difficile à exiger en entreprise, sont implémentés aujourd’hui dans des applications grand public protégeant parfois de simples photos de vacances !

Autre exemple, la gestion des droits d’accès utilisateurs. L’utilisation de Google Docs montre comment l’utilisateur peut décider d’accorder des accès de manière simple (lecture, modification) à des utilisateurs qu’il connaît. Couplé avec une traçabilité et un suivi des modifications dans le temps implémentées nativement, ces fonctionnalités sont à des années lumières de ce que permettent aujourd’hui le partage de fichiers par messagerie, ou encore pire sur des clés USB. Google+ et sa gestion de « cercles » de contacts amène également une vue simple et compréhensible par l’utilisateur de la gestion des droits d’accès.

Bien entendu, ces mécanismes ne fonctionnent aujourd’hui que dans un monde « connecté » et dans l’écosystème d’un fournisseur (Google, Twitter, LinkedIn…). Bien entendu les grands acteurs du web ont des ressources importantes et des équipes expérimentées pour gérer leurs écosystèmes. Mais les entreprises pourraient à minima s’inspirer de ces innovations, voire même dans certains cas s’appuyer sur elles ! Nul besoin de recréer des comptes utilisateurs sur un site de recrutement externe, l’utilisation du compte Twitter ou Facebook peuvent être une alternative permettant de simplifier l’accès pour les candidats. Ceci peut également être vrai dans des campagnes de promotion B2C ou dans l’accès à certains espaces clients.

Il va donc être intéressant de suivre toutes les innovations apportées par ces réseaux sociaux dans la protection des données et d’estimer, en analysant les risques, comment ceux-ci peuvent être transposés ou utilisés dans les systèmes d’information des grandes entreprises !

Cet article Protection des données : les réseaux sociaux montrent la bonne direction est apparu en premier sur RiskInsight.