Blog GlobalSign

17 oct. 2018

Quelle différence y a-t-il entre protection de la vie privée et sécurité ?

Protection de la vie privée ou sécurité : en public ou en privé ? Laquelle est arrivée en premier ?

Je sais ce que vous vous dites : « Ah, super, rebelote. Encore un blogueur qui donne son avis dans un article peu étayé sur la protection de la vie privée par rapport à la sécurité. »  D’accord, d’accord, vous avez vu juste. Sauf que je ne livre aucun avis officiel ; je ne fais que dresser un panorama à partir de millions de faits, d’aspects et d’opinions sur l’un des sujets les plus épineux dont nous ayons eu à débattre ces 50 à 100 dernières années (à l’exception de l’éternelle question de « l’œuf ou la poule » qui, d’après certains, aurait été récemment résolue, même si d’autres en doutent encore).

Dans son spectacle, le comédien américain Ron White raconte qu’un soir, il s’installe dans un bar dans l’idée de se soûler. Il y parvient et se met torchon, chiffon, carpette dans l’intimité du bar. Considérant qu’il n’est plus le bienvenu, la direction de l’établissement le jette à la rue, où il se retrouve au milieu des agents de sécurité du bar venus en nombre, prêts à en découdre. Mais avant que la bagarre n’éclate, la police arrive et arrête M. Ron « Tater Salad » White (du nom de son site web) pour ivresse sur la voie publique.

M. White clame alors son innocence à l’agent venu l’arrêter (à moins qu’il n’effectue un transfert de culpabilité ?) :

« Je n’étais pas ivre “en public” jusqu’à ce qu’ils me jettent dehors, ce sont eux qu’il faut arrêter !»

Pour ceux qui apprécient l’humour décalé et les blagues vaseuses, n’hésitez pas à rechercher la vidéo sur Google ; elle dure deux minutes et vaut le coup d’œil.

Cela étant, même si ça n’était pas son intention, M. White pose les bases d’un débat qui séduit et s’intensifie depuis quelque temps, à l’heure où le numérique poursuit sa transformation et la nôtre. Protection de la vie privée vs Sécurité... ou sécurité publique, comme certains se plaisent à dire. Laquelle est plus importante ? Laquelle impacte l’autre ? Et que faire, en tant que pays, citoyens/consommateurs, entreprises et industries pour nous protéger de ces intrusions dans la vie privée ?

Qu’entend-on par protection de la vie privée ?

Simple, n’est-ce pas ?  En fait, pas du tout. Commençons par poser quelques définitions de base. D’après nos amis de Secureworks :

La protection de la vie privée désigne souvent la capacité à protéger des données sensibles relatives à des renseignements personnels identifiables, alors que la protection constitue un élément de sécurité. D’autres la définissent comme le droit à la tranquillité.”

Ils soulignent ensuite les cinq principes du respect de la vie privée appliqués au secteur de la sécurité :

  • Quelles données est-on censé collecter ?
  • Pour quelles utilisations autorisées ?
  • Avec qui ces données sont-elles susceptibles d’être partagées ?
  • Combien de temps faut-il conserver les données ?
  • Quel est le modèle de contrôle d’accès granulaire adéquat ?

OK, c’est assez clair, jusqu’à l’analogie et les définitions proposées dans l’article de CSOOnline :

Imaginez une fenêtre dans votre maison. Elle offre plusieurs fonctions. Elle vous permet de regarder à l’extérieur. De laisser entrer la lumière naturelle chez vous. Avec une fenêtre, le mauvais temps reste dehors. On peut ouvrir une fenêtre pour laisser entrer l’air frais. En cas d’urgence, on peut sortir par la fenêtre.

Mais une fenêtre est également vulnérable. Si d’un côté on peut l’utiliser comme « sortie », d’autres peuvent s’en servir comme « entrée ». Pour se protéger des visiteurs indésirables, on peut installer des barreaux ou une grille devant la fenêtre. On préserve ainsi l’ensemble des fonctionnalités « désirables » de la fenêtre. C’est la sécurité.

Mais si l’on peut regarder par la fenêtre, d’autres peuvent voir à l’intérieur. Pour se mettre à l’abri des regards indésirables, on peut installer un rideau, un voilage ou un store à l’intérieur. C’est la protection de la vie privée (ou de l’intimité). Le fait d’obstruer la vue de votre intérieur contribue un peu à la sécurité en empêchant d’éventuels intrus de savoir quand vous êtes chez vous ou ce que vous possédez.

Pour l’auteur de cette tribune parue dans CSO-Online, la « protection de la vie privée » garantit que la collecte, le traitement (l’utilisation), la protection et la destruction des renseignements personnels (données d’entreprise confidentielles dans certains cas) sont effectués dans le respect du droit et des principes d’équité.

Il souligne qu’à l’instar « des rideaux que l’on peut considérer comme une mesure de sécurité assurant également une protection de la vie privée, un programme de sécurité informatique fournit les contrôles nécessaires à la protection des renseignements personnels. Les contrôles de sécurité limitent l’accès aux renseignements personnels et protègent contre toute utilisation et acquisition non autorisées de ces informations. L’efficacité d’un programme de protection de la vie privée passe aussi par un programme de sécurité. »

Mais n’ayez crainte : ce débat a toujours cours !

Un constat qui fait froid dans le dos…

Let's get scary

L’ancien ministre américain de la Sécurité intérieure, Michael Chertoff a fait parler de lui avec ses propos sur la cybersécurité et son nouveau livre « Exploding Data ». Son point de vue est d’ailleurs assez effrayant. Il laisse en effet entendre que la plupart de nos données personnelles et professionnelles sont déjà dans la nature, et nous ignorons qui les détient et les intentions de ces détenteurs. Les données sont devenues le « nouveau domaine de la guerre », ou font du moins partie de l’arsenal de guerre.

Mais alors, peut-on considérer le vol de données ou l’espionnage comme un acte de guerre ? Ce n’est pas l’avis de Chertoff, « mais si l’on utilise les données pour détruire et tuer, alors là, c’est la guerre ».

Il incrimine par ailleurs la fascination et la dépendance du public et des entreprises vis-à-vis des réseaux sociaux dans cette hémorragie de données. Chertoff nous met en garde contre l’utilisation de nos mobiles comme vecteur direct de fuite d’informations personnelles et privées. « Nous nous livrons et acceptons de communiquer nos données, même nos données de localisation... c’est un véritable pot d’échappement numérique ou “Digital Exhaust” », comme il l’appelle. Cartes de fidélité au magasin du coin, cartes de paiement, porte-monnaie électroniques, services de transport... Chertoff explique qu’au nom de la praticité et du consumérisme, nous lâchons facilement nos informations.  A-t-il raison ? Pour moi, coupable !

En public ou en privé

in the public or private

Où tout cela s’arrête-t-il, si cela s’arrête ? Dans un récent article de TechCrunch, « Personal privacy vs. Public security: fight! [Protection de la vie privée ou sécurité publique : le combat !), Jon Evans nous demande de réfléchir... “aux demandes permanentes pour l’instauration de portes dérobées accessibles à l’aide d’une clé magique (golden key) et devant permettre aux gouvernements d’accéder aux téléphones cryptés qui restent muets.” Les détracteurs soulignent la vulnérabilité inévitable d’un tel système face à des personnes malintentionnées —hackers, harceleurs, evil maids… Peu osent suggérer que, même si la clé magique parfaite existait — clé qui ne pourrait être utilisée que par les fonctionnaires dans le cadre de leurs attributions officielles — le bien-fondé de leur mise en œuvre reste une question moralement délicate. »

Selon Jon Evans, “cette accumulation de données n’est, en soi, pas un problème qui relève de la ‘protection de la vie privée’, mais un énorme problème de sécurité publique”. Elle pose en fait trois problèmes que l’on peut résumer ainsi :

1. La perte “d’espaces privés” inhibe la croissance, l’expérimentation, la recherche et le progrès technologique et culturel :

Les espaces privés sont les boîtes de Pétri expérimentales des sociétés. Si vous savez que chacun de vos mouvements peut être observé et que chaque communication peut être surveillée, il n’y a effectivement pas d’espace privé, vous êtes par conséquent beaucoup moins susceptible d’expérimenter quoi que ce soit de subversif ou controversé ; à une époque où les caméras sont partout, la reconnaissance faciale ou de la démarche, les lecteurs de plaque d’immatriculation, les dispositifs d’écoute téléphonique type “Stingrays”... vos mouvements peuvent être observés."

2. La perte d’intimité à grande échelle et le fait d’en exonérer les “riches” contribuent à maintenir le statu quo juridique et normatif, ainsi que l’ordre établi, et encouragent le parasitisme, la corruption et le capitalisme de copinage :

Prenons cette célèbre citation du cardinal Richelieu : “Qu’on me donne six lignes écrites de la main du plus honnête homme et j’y trouverai de quoi le faire pendre”. Encore plus simple aujourd’hui, pour peu que des membres de l’Establishment aient accès à l’ensemble des propos et des actions d’un dissident, sans craindre pour leur vie privée. Combien de temps avant que l’éradication de la vie privée au nom de la lutte contre le terrorisme ne se mue en “application sélective de lois injustes” conduisant de facto au fichage de quiconque remettrait en question le statu quo ?’”

3. Les progrès technologiques peuvent manipuler le public en fonction de ses données privées.

Pensez-vous qu’actuellement la publicité soit mauvaise ? Une fois que l’IA aura commencé à optimiser la boucle de feedback de données publicitaires, il est possible que vous aimiez les publicités que vous verrez, probablement à un niveau primitif, mammifère et limbique. Les partisans affirment que c’est évidemment mieux que de ne pas les aimer. Mais une boucle de données de propagande n’est autre que des données publicitaires pas moins sujettes à “optimisation”.”

Evans nous encourage également à lire le blog 538.com dont le postulat est le suivant : “impossible de refuser que vos données soient transmises, même si vous n’avez pas donné votre consentement.”

Ce qui nous ramène à M. Ron White expulsé d’un bar en état d’ébriété sur la voie “publique”. Si vous pensez que vos données relèvent du domaine privé, mais que vous les avez transmises à une personne, un objet ou une entreprise en échange de quelque chose, il y aura toujours le risque qu’elles soient expulsées de la sphère “privée” pour atterrir dans le “public”. Et, oui, si vos données personnelles ou privées n’ont pas encore été volées à la personne / l’objet / l’entreprise à qui vous les avez transmises, elles peuvent facilement être vendues... Il n’y a qu’à poser la question aux patrons de Facebook. Comme dit plus haut, le débat n’est pas clos.

Rappelons toutefois que l’on ne saurait sous-estimer l’importance de la sécurité comme première étape idéale pour protéger la vie privée. Comme le formule clairement l’article CSO évoqué plus haut, les consommateurs doivent s’impliquer activement dans la protection de leur vie privée. Ils doivent à cet effet lire les avis de confidentialité avant de transmettre des informations personnelles et prendre des mesures de sécurité proactives pour se protéger des virus, logiciels malveillants et arnaques de type hameçonnage. Il est par ailleurs préférable que les entreprises commencent par évaluer sérieusement leur sécurité, avant d’élaborer un programme complémentaire à leur plan de protection de la vie privée.

Comme le conseille l’auteur,

Ce n’est pas à un programme de protection de la vie privée d’énoncer la technologie ou les processus à utiliser pour la protection d’informations personnelles (même si l’opinion de l’équipe “Protection de la vie privée” présente un intérêt certain) ; c’est aux spécialistes de la sécurité qu’il appartient de prendre cette décision. ”

Et il y a bien sûr l’argument selon lequel le respect de la vie privée et la sécurité ne sont pas si différents. Daniel Miessler étudie ce point dans son article :

Le mot Sécurité vient du latin “se” et “cura” qui signifie “sans soucis”.

L’expression “sans soucis” est la formulation la plus succincte que j’aie jamais entendue pour décrire l’objectif de la sécurité, et elle s’applique aussi bien à la protection de la vie privée qu’à la sécurité informatique. Cela permet aussi de revenir aux principes de base. "

Si j’ai mon propre avis et mes propres recommandations sur le sujet ?  Très certainement, mais pour l’heure, je les garde pour moi.

Partager ce blog