Blog GlobalSign

17 mai 2017

Comment respecter le Règlement général sur la protection des données (RGPD) lorsque l’on est une DSI ?

Je pense avoir environ 50 comptes différents en ligne dans divers forums de discussion, sites marchands et de ventes aux enchères, annuaires de fournisseurs, mais également sur les sites de compagnies aériennes, banques et compagnies d’assurances, référentiels publics, services cloud, réseaux sociaux, fournisseurs (énergie, internet, téléphonie mobile, etc), sans oublier l’Internet des Objets et les objets connectés. En disant 50, je suis sans doute largement en deçà de la réalité, car le fait est que j’ai perdu le compte. Je suis partout et « ils » ont toutes les informations me concernant. Ils ne connaissent sans doute pas ma couleur préférée, qui se trouve être le violet — et voilà, maintenant, même cette information est dans le domaine public. Certains sites se trouvent dans l’Union européenne et d’autres, en dehors.

Et les utilisateurs, ils pensent quoi de leurs données ?

Le dilemme est constant entre « leur » besoin de tout savoir et ma réticence à divulguer quoi que ce soit. Certains des sites que j’utilise contiennent beaucoup d’infos erronées ou de données périmées ; et non des données factuelles à mon sujet. Je possède un compte de messagerie « Poubelle » pour mes inscriptions et je renseigne généralement les formulaires de manière très précise ; Nom : Freddy Krueger, Adresse : Griffes de la nuit 13, Ville : Tron s/Onneuse, Pays France. D’après les renseignements que j’ai communiqués, on pourrait supposer que je suis fan de documentaires sur le côté sombre de la nature humaine. Mais pour les sites et services qui me transmettent des infos importantes ou qui m’envoient des objets physiques, je dois communiquer les bonnes informations. Je n’aimerais pas que Freddy Krueger bénéficie de mon électricité.

Dans la majorité des cas, je n’ai pas la moindre idée de la manière dont ces sites traitent mes données, principalement à cause de ma paresse naturelle (mais, chut, ne le dites pas mon patron !). J’ai tout simplement la flemme de lire les déclarations de confidentialité et d’essayer de savoir si le prestataire est digne de confiance ou pas. Je pense qu’à cet égard, je réagis comme la grande majorité des internautes. Si j’ai besoin ou envie de quelque chose, je fais le dos rond et communique ma véritable adresse, ou d’autres attributs non pertinents, mais obligatoires, pour qu’ils puissent m’envoyer ma carte mémoire. Je fais cependant attention à un point : la présence d’une barre d’adresse verte dans mon navigateur qui m’indique que le site utilise le type de certificat SSL le plus sûr, qui chiffre les données envoyées via le site. En l’absence de cette barre verte, je passe mon chemin et vais généralement voir ailleurs.

Règlement général sur la protection des données pour les organisations

Les entreprises qui, pour une raison ou une autre, collectent des données me concernant doivent le faire dans le respect de la réglementation. Le traitement des données personnelles aux États-Unis diffère profondément des façons de faire dans l’Union européenne. Aux États-Unis, mes attributs, mes schémas comportementaux, mes habitudes d’achat, etc. sont en général des données gratuites. Dans l’UE, les législations ou réglementations qui régissent la protection de la vie privée sont beaucoup plus strictes. Le nouveau projet de règlement général sur la protection des données (RGPD) vise à réactualiser les anciennes règles de protection des données. Le but est de créer un cadre réglementaire harmonisé à travers l’Europe et de clarifier les règles applicables au traitement des données personnelles. Les sociétés qui traitent des données personnelles seront désormais responsables devant les autorités locales avec, à la clé, une couverture européenne – ce qui constitue un changement très apprécié. Qui dit conformité au niveau national, dit conformité dans toute l’Union européenne.

Autre volet de la réglementation : donner aux citoyens plus de contrôle sur leurs données et leur permettre d’accéder plus facilement à leurs données personnelles. La portabilité des données pourrait ouvrir de nouveaux débouchés concurrentiels dans pratiquement tous les domaines – des médias sociaux au secteur financier. J’ai caressé l’idée de créer un nouveau réseau social révolutionnaire basé en Europe et baptisé Facialitterature. Les gens pourraient y partager des photos de nourriture, de boisson et des « mèmes » artistiques. Révolutionnaire, hein ? En vertu de la nouvelle réglementation, les utilisateurs de Facebook pourraient, s’ils le souhaitaient, transférer leurs données sur le nouveau service Facialitterature.

Accès aux données

Si vous souhaitez enregistrer des données sur vos clients, vos utilisateurs ou toute autre personne, vous devez prendre en compte deux types de conditions d’accès : l’accès interne et l’accès externe.

Les données collectées ne doivent être utilisées qu’aux fins énoncées dans votre déclaration de confidentialité. Accès interne : vous ne pouvez pas rendre le référentiel de données accessible à l’ensemble de vos employés pour satisfaire leur curiosité. Seuls ceux ayant une raison valable d’y accéder doivent être autorisés à y accéder. Cela signifie en général que seules certaines personnes dans votre organisation sont autorisées à consulter, voire modifier, les données.

Accès externe : vous devez être en mesure de permettre à vos utilisateurs d’accéder à leurs données. Si le service a besoin de recueillir plus d’attributs d’identité que les attributs de base, le jeu de données peut devenir confidentiel. L’accès à ces données doit être protégé en conséquence. L’accès à un jeu de données contenant des renseignements sur la solvabilité, des numéros de sécurité sociale, des données de facturation, etc. à l’aide d’un identifiant social est déconseillé.

Protéger les données inertes

Pendant toute la durée où les données sont conservées dans vos référentiels – et dès lors que vous avez fait le nécessaire pour que seules les personnes autorisées dans votre organisation puissent les consulter –, vous devez vous assurer qu’en cas de fuite, ces données resteront protégées. Le chiffrement des données est une sage précaution.

Vous devez aussi réfléchir à la gestion des droits d’accès des utilisateurs privilégiés. Les administrateurs informatiques qui peuvent en pratique accéder à tous les systèmes doivent également appartenir au même groupe d’utilisateurs que ceux autorisés à consulter et/ou accéder aux données. Or, généralement, ils ne sont pas dans ce groupe.

API et transfert des données

Dès lors que vous entamez une démarche d’économies via les API et que vos interfaces se retrouvent exposées sur Internet — là où les internautes peuvent vous envoyer leurs demandes —, vous devez prêter une attention spéciale aux points suivants :

Qui peut demander ces données ?

Que comprendra votre réponse ?

Créez de préférence votre réponse de sorte qu’elle reste confidentielle (là aussi, le chiffrement a un rôle à jouer).

Consentement et autorisation

Le consentement de l’utilisateur est essentiel si vous décidez de partager les données que vous contrôlez. Si vos utilisateurs n’ont pas donné leur accord pour partager vos données avec des tiers, vous ne devez pas le faire. La clause de consentement peut être intégrée aux Conditions générales d’utilisation que personne ne lit. Il est généralement de bon ton d’informer vos utilisateurs de façon humaine si vous partagez leurs données, et de demander leur consentement actif – ils doivent spécifiquement vous donner l’autorisation de partager leurs données. Prenons l’exemple du site de ma compagnie d’assurance : j’utilise mon identifiant mobile pour me connecter sur son service en ligne. Le contrôleur des données est mon opérateur de réseau mobile et la partie utilisatrice est le service d’assurance. Au moment de m’authentifier, je dois donner mon consentement pour que l’opérateur puisse envoyer certains de mes attributs d’identité au service d’assurance. Si je ne suis pas d’accord avec cette idée, je peux annuler le processus.

Droit à l’oubli

Le droit à la radiation de vos informations dans le référentiel de données est déjà en vigueur. Si je demande à Google de m’oublier, comme par magie, les recherches sur le nom « Stéphanie Gallet » commenceront à afficher des informations sur une autre personne du même nom.

Ce privilège à être « rayé de la liste » peut être difficile à mettre en œuvre si votre société exploite plusieurs référentiels de données à caractère personnel. C’est pourquoi je recommande la consolidation. En consolidant leurs référentiels de données, certains de nos clients ont non seulement réalisé des économies de coûts, mais ils ont aussi instauré un traitement beaucoup plus cohérent des données personnelles.

Le Règlement général sur la protection des données changera la façon dont sont traitées les données personnelles dans l’UE, et cela approche à grands pas. Si vous ne vous y êtes pas encore attelé, il est grand temps d'y penser !

Partager ce blog