Les données personnelles dans le piège de la toile ?

Par Maxime de Jabrun.

Le mois dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) prononçait sa 6ème sanction de l’année pour défaut de sécurité des données. Cette dernière sanction cible Orange. Les données concernées sont les noms, prénoms, dates de naissance, e-mails et numéros de téléphone de près de 1,3 million de clients. Les utilisateurs de nouvelles technologies partagent massivement ce type de données sur les réseaux sociaux.

Pourquoi les Données à Caractère Personnel* doivent-elles être protégées par les entreprises? 

Tout simplement car le non respect de la confidentialité de ces données par un Tiers est une violation de la vie privée. Ainsi, en France, une autorité administrative indépendante est mise en place : la CNIL. Elle a pour mission de protéger les citoyens des détournements qui pourraient être fait de ces données, tels que la récupération à des fins commerciales ou malveillantes (spams, publicité ciblée, phishing, …), l’usurpation d’identité, etc.

Afin de faire respecter ces droits, la CNIL peut prononcer des sanctions allant du simple avertissement au retrait d’autorisation, en passant par la sanction pécuniaire (jusqu’à 300 000€ en cas de récidive), et l’injonction de cesser le traitement.

En plus de ces contraintes règlementaires, l’image de la société peut être impactée, avec des conséquences plus ou moins graves selon le secteur d’activité. Par exemple, en cas de fuite de données dans une entreprise bancaire, les clients se poseront la question de la capacité de la banque à garder leur argent en sécurité, ce qui peut les encourager à aller voir la concurrence.

Quelles sont les précautions à prendre pour manipuler ces informations?

L’article 34 de la loi Informatique et Libertés stipule : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Pour cela, il est indispensable de définir et appliquer des politiques de sécurité  qui permettront de sécuriser l’accessibilité au SI, notamment via Internet :

  • authentification, gestion d’habilitation et sensibilisation des utilisateurs et des développeurs ;
  • sécurisation physique et logique du matériel (postes de travail, informatique mobile, réseau informatique interne, serveurs et applications) ;
  • protection des  données via des mécanismes de chiffrement et d’anonymisation ;
  • intégration de la SSI dans les contrats avec les prestataires externes.

Ces politiques sont complémentaires les unes des autres et la moindre brèche peut être exploitée.

En effet, dans le cas d’Orange, la fuite de données était due à l’exploitation d’une faille technique chez un prestataire qui était en possession de ces données pour réaliser des campagnes marketing. Cependant, le contrat entre Orange et le sous-traitant ne faisait pas apparaître de clauses de confidentialité, ni d’audit du SI de ce sous-traitant. Orange est donc pleinement responsable de la fuite de données et en assume seul les conséquences.

Pour d’autres, comme pour SnapChat, c’est l’exploitation de failles de l’interface de programmation (API) qui a permis aux hackers de récupérer puis publier les données (identifiants et numéros de téléphones) de 4,6 millions de comptes. Pourtant, l’entreprise avait été préalablement informée de ces vulnérabilités, mais n’a pas apporté les correctifs suffisants.

Que dois-je faire si les données personnelles dont je suis responsable sont compromises ?

L’obligation majeure est de corriger la faille le plus rapidement possible.

Une exception s’applique aux fournisseurs de services de communications électroniques accessibles au public car ils sont soumis à l’article 34 bis. Ainsi, ils doivent en plus avertir la CNIL sans délai, et notifier le client si la violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique.

Le seul recours pour un utilisateur constatant une utilisation détournée de ses données est de porter plainte auprès de la CNIL. A la suite de cela, l’autorité peut auditer le SI de l’entreprise utilisant les données, qui ne devra pas entraver sa mission. Les sanctions seront ensuite prononcées.

Est-ce différent à l’étranger ?

Chaque pays possède (ou pas) sa propre autorité indépendante de protection des données nationales.

Dans la cadre de l’Union Européenne, le groupe de travail « G29 » a été constitué afin d’élaborer des normes à l’échelle européenne. Ainsi sauf cas spécial, il est possible de « transférer des données à caractère personnel vers un État n’appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. » (Article 68)

Les données personnelles - législation

Source : http://www.cnil.fr/linstitution/international/les-autorites-de-controle-dans-le-monde/ 

Finalement, vous l’aurez donc compris, les pénalités qui seront infligées à Apple © pour le piratage des photos de célébrités dénudées via i-Cloud dépendront de la réglementation du pays où ont été stockées ces données…

 

* Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »