Archives par mot-clé : RGPD

L’Union Européenne a-t-elle toujours sa souveraineté au niveau de la gestion des données personnelles ?

Aujourd’hui plusieurs enjeux impliquent forcément la gestion et le traitement des données personnelles collectées à travers les différents solution numérique en circulation.

L’utilisation des données présente beaucoup d’intérêt pour les entreprises et autres organisations. Pour cela les États le savent. À plusieurs reprises la problématique de la souveraineté au niveau de la gestion des données a été posée, particulièrement en Europe. Avec l’avènement de règlement européen la protection des données, l’objectif était de pouvoir réagir au mieux l’ensemble de 7 aspects qui semblent de plus en plus difficile à gérer.

Cet article va aussi vous intéresser : Union Européenne : Une vague de cyberattaques à anticiper

Face à la recrudescence des attaques informatiques, les choses prennent un aspect beaucoup plus compliqué que cela en a l’air. La sécurité, « inquiétude n°1 des entreprises, les demandes de rançon, fuites de données, offensives de phishing ciblées, mais aussi attaques étatiques coordonnées, guerres économiques, souveraineté nationale… Pour les entreprises, la sécurité informatique est devenue une hydre, monstre mythologique qui les fige et ralentit leur transformation digitale, désormais bien identifiée comme facteur clef de leur compétitivité. » souligne Jean-Paul Alibert, le Président de T-Systems France. « Seul problème aujourd’hui : les entreprises ne sont pas armées pour répondre à un certain nombre de préoccupations sécuritaires qui sortent clairement de leur champ opérationnel. Préserver la sécurité des postes de travail est en effet une chose que les DSI prennent couramment en charge, gérer l’éventualité de menaces internationales engagées par des nations étrangères ou s’interroger sur l’intégrité des données hébergées sur des Clouds internationaux en sont une autre. S’il revient aux entreprises d’agir pour faire face aux risques de premier niveau, dits de proximité, ce sont les états et l’Europe qui doivent prendre en charge les seconds. », ajoute le spécialiste.

Pour quelle raison l’Europe a-t-elle du mal à régir ce milieu ? Tout simplement à cause de retard que les institutions européennes ont accusé dans le traitement et la coordination des cybermenaces. Cependant avec l’adoption de la Cybersecurity Act, l’Union européenne veut rattraper son retard et semble s’engager profondément dans cette lettre stratégique qui consiste à préserver sa souveraineté numérique.

« Ce contexte d’incertitude et d’insécurité est la conséquence d’un vide créé par la difficulté de l’Europe à s’engager dans le traitement coordonné des cyber-menaces. Depuis 2004, l’Union Européenne s’organise sous l’égide de l’ENISA. Mais ce n’est que depuis mi-2019, avec l’adoption du règlement européen Cybersecurity Act, qu’elle a pris la pleine mesure de son rôle en matière de cybersécurité, d’indépendance stratégique et de souveraineté numérique européenne. » note Jean-Paul Alibert.

À propos de cela les institutions européennes mettaient en consultation, un projet sur la certification des fournisseurs de cloud avec 3 niveaux de contraintes. Pour beaucoup, c’est une très bonne nouvelle car cela permettra de pouvoir gérer les positions dominantes des géants américains que son Microsoft, Google et Amazon. L’idée étant d’ouvrir le marché à d’autres acteurs, principalement européens.

« L’urgence d’engager les entreprises européennes dans cette nouvelle géopolitique du Cloud. Les enjeux de cybersécurité sont désormais mondiaux, tout comme les infrastructures Cloud. Les technologies n’ont plus de frontières et les espaces numériques ont redessiné la cartographie mondiale faisant émerger une nouvelle géopolitique du Cloud. La problématique de sécurisation des données peut-elle encore être la prérogative d’Etats-Nations ? Non, car nous sommes désormais face à de super acteurs du numérique tels que la Chine, la Russie, les USA. Le Cloud est en outre le terrain de jeu de géants qui se sont affranchis depuis longtemps de toute forme de dépendance à leur nation d’origine. », note le premier responsable de T-Systems France.

En définitive, cela se présente comme nécessaire pour l’Union européenne de renforcer son poids dans la sphère technologique. En particulier dans un contexte international ou le numérique est très important. C’est d’ailleurs le cas avec le super projet pourtant sur la création du méta cloud européen dénommé Gaia-X. C’est un programme de partage entre de grandes organisations européennes les différents secteurs pour la mise en place d’un espace de stockage Cloud sécurisé pour la conservation commune des données. Tout cela pour éviter que les données européennes soient hébergées sur un Cloud à portée internationale.

« La force technologique de l’Union Européenne doit être d’attractivité et offrir, de par son poids, un terrain de négociation pour contraindre les acteurs internationaux à définir un cadre mondial permettant un nouvel équilibre des puissances numériques. L’idée est donc de créer des ponts d’abord au sein de l’Union Européenne, puis plus largement à l’échelle internationale. », conclut Jean-Paul Alibert.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La protection des données personnelles et l’utilisation des fiches papiers

Contrairement à ce que les gens tendance à croire, le règlement européen sur protection des données personnelles ne régit pas seulement que la donnée numérique.

Il concerne aussi l’ensemble des données contenues sur support papier. Ils doivent aussi être protégé cela va de soi. C’est qui soumet généralement les distributeurs d’assurance au respect des règlements de la RGPD.

Cet article va aussi vous intéresser : RGPD, rançongiciels : les inquiétudes du Clusif sur les collectivités

« L’essor des nouvelles technologies bouleverse notre société : la manière de travailler est modifiée (délais réduits, par­tage d’informations instantané…), les rapports humains évoluent (exigence de disponibilité accrue…) et le traitement de données personnelles se développe de façon exponentielle au point que lesdites données sont devenues le premier actif de la plupart des acteurs économiques. Courtiers, agents généraux et même compagnies n’échappent pas à ces règles et recherchent toujours de nouveaux moyens de faire évoluer la gestion des contrats, les relations avec les clients via des outils digitaux.

C’est dans ce contexte numérique et dématérialisé que le règlement européen sur la protection des données personnelles (RGPD) encadre les flux de données pour protéger les personnes physiques. Cependant, la digitalisation n’est pas une règle universelle et les données personnelles sont encore traitées par de nombreux distributeurs sans outil numérique. L’application du règlement européen à ces traitements de fichiers papier reste ainsi une source d’interrogation pour ces acteurs « traditionnels » signifie Pierre Craponne, avocat du conseil au sein du cabinet Choisez & Associés – et DPO certifié.

Pourtant, ce problème elle était tranchée par le règlement général sur la protection des données. En effet il faut signifier que la norme européenne, dans sa formulation ne fait aucune distinction entre le format papier ou le format numérique. Une donnée personnelle reste une donnée personnelle peu importe son support. Pourtant lorsqu’on aborde la question de fichier papier, on perçoit un véritable enjeu pour ce qui concerne les obligations les acteurs au niveau du traitement des données. À ce propos, rappelons la disposition de l’article 2 du règlement général de la protection des données qui signifie qu’il « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». En clair, on retient que les données doivent être traitées quelle que soit la procédure. Elles doivent être contenues dans un fichier pas de format. Pour ce qui est de la notion du « traitement”, au sens du règlement européen. L’article 4 de la norme européenne le définit comme définit comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation […] ». La même disposition définie le fichier comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés ».

On revient alors, au vu du règlement européen, que la question de données ne se limite pas seulement numérique. Le document papier n’est pas exclu donc doit être soumis au même régime que le document informatique. « Rien ne permet donc d’exclure les fichiers manuscrits ou les documents papier du champ d’application du RGPD dès lors qu’ils contiennent des données à caractère personnel, quand bien même elles seraient uniquement collectées et stockées. Or Ubi lex non distinguit, nec nos distinguere debemus (Là où la loi ne distingue pas, il n’y a pas lieu de distinguer) » précise Pierre Craponne

Pour ce qui est de l’obligation qui pèse sur les entreprises qui traite ses données, il est important de savoir que la sévérité de la loi ne va pas fluctuer. L’objectif du règlement général la protection des données et de permettre aux individus de pouvoir maîtriser leurs données personnelles. De savoir comment elles sont traitées et dans quelles conditions, de sorte à pas leur porter atteinte.

Dans la pratique, on verra que la sanction de la négligence de la part des personnes qui possèdent au traitement automatisé des données, généralement moindre que si c’était le cas des données numériques.

« La problématique est la même en ce qui concerne les risques d’atteinte aux données. Hormis l’hypothèse d’une effraction ou d’un dommage classique (incendie ou dégât des eaux), les risques de perte, vol, altération ou destruction des données compilées sur des fichiers papier sont limités. Si ces risques ne doivent jamais être écartés dans la gestion de l’entreprise, il n’en demeure pas moins que la conformité au RGPD d’entités ne traitant pas ou peu de données numériques, bien qu’obligatoire, reste moins contraignante dans sa mise en œuvre. Entre principe d’application et risques réels, le droit de la protection des données reste affaire de subtilité. » conclut Pierre Craponne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

RGPD, rançongiciels : les inquiétudes du Clusif sur les collectivités

L’association des spécialistes de la sécurité informatique vient de terminer son étude portant sur les menaces et les pratiques dans le domaine de la sécurité informatique.

Cette étude a été réalisée avec une analyse incluse du règlement européen portant sur la protection des données personnelles, pour le RGDP. Une chose à retenir à la suite de cette analyse, une augmentation des attaques fondées sur les logiciels de rançonnage.

Cet article va aussi vous intéresser : Les sites ont-ils le droit de bloquer les utilisateurs qui refusent d’accepter leurs cookies ?

Quand il en est à son habitude est au fondement même de sa création, le club de professionnels de la sécurité informatique, le Clusif mène des analyses sur la cybersécurité et les pratiques qui lui sont affiliées. Notons que le 30 juin dernier, le club publie un rapport de 52 pages sur « les menaces et pratiques dans les collectivités ». Ce rapport a abordé la question de politique de sécurité informatique ainsi que les relations entre les responsables de systèmes informatiques et des fournisseurs.

Pour rédiger le rapport, Il faut noter que l’étude s’est appuyée sur un ensemble de questionnaire qui aurait été soumis en début d’année après de 202 structures. Soit 31 communes, 111 communautés d’agglomération, urbaines ou métropoles, 34 communautés de communes, et 26 conseils territoriaux. Un échantillon qui dans la pratique est faible, mais qui permet de pouvoir observer certaines pratiques des collectivités.

La dernière étude de l’association remonte à 4 ans. Pour cette année certains points en particulier ont attiré l’attention des professionnels. En premier lieu, l’entrée en vigueur du règlement général de la protection des données, norme européenne, l’explosion des attaques par logiciels de rançonnage. Au niveau de la conformité à la norme européenne de défense des données personnelles :

– Seulement 34 pourcents des collectivités ont assuré être en conformité totale.

– 59% d’entre elles parlent d’une conformité partielle avec possibilité d’atteindre le total d’ici un an.

– 3/4 des collectivités territoriales ont bel et bien un délégué de protection des données personnelles engagé, une désignation qui est censée être obligatoire au regard du RGDP. À ce propos le responsable de sécurité du système d’information de Grenoble Alpes Métropole, Cyril Bras, considère cela comme un risque juridique, en tenant compte d’une situation où recruter un spécialiste en la matière est très difficile.

Les attaques aux logiciels de rançonnage sont en hausse. Le temps que la métropole de Marseille a été aussi victime en mi Mars ainsi que d’autres organisations publiques des plus les débuts de l’année. Une situation de l’association juge très inquiétante.

Si depuis la dernière étude de l’association la contamination par programmes malveillants a diminué de moitié, un tiers des communes et autres collectivités interrogées lors de cette récente enquête a confirmé avoir été victime de rançongiciels en 2019.

Et près de 4 organisations sur 5 ont essuyé de graves dommages après avoir subi ce genre d’attaques informatiques. La procédure de la cyberattaque est classique. En effet, le programme malveillant une fois dans le système chiffre l’ensemble des données, ce qui empêche alors les principaux utilisateurs d’informatique. A condition, bien sûr de verser la rançon exigée par les cybercriminels à l’origine de l’attaque informatique. Mais 80 % des collectivités affirment avoir pu récupérer leurs données et détecter au passage la source de la compromission.

Malheureusement, toutes les collectivités n’ont pas réussi cet exploit. La facture a été évalué jusqu’à 400 000 € pour les dommages liés à la compromission par un rançongiciel. « En matière de rançongiciels, le risque est clairement sous-estimé. Je crains un électrochoc, à l’image de la vague qui a frappé les collectivités américaines. », Note Cyril Bras.

Un autre point à retenir dans le rapport produit par l’association des professionnels de la sécurité informatique. Il touche principalement l’aspect de la perception du risque. En effet, il faut retenir que si une grande partie des communes et conseils régionaux essaient de se montrer le plus transparent possible dans leurs gestions du risque informatiques, une très grande majorité ne dépose pas plainte lorsque survient un incident de sécurité, généralement issu d’une cyberattaque. Il a été observé seulement que c’est dans un cas sur 10, une plainte a été déposée par une collectivité. Les spécialistes expliquent ce problème par le fait que généralement, qu’elles estiment que ce sont des procédures qui perdent énormément de temps et que très rarement, un résultat satisfaisant. Malheureusement, ces plaintes sont assez importantes pour les services de police et surtout de la justice, dans leur évaluation des menaces cyber et dans la définition de moyens de lutte efficace.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

StopCovid : l’application de traçage lancée dans les jours qui viennent

Pour l’application de traçage mobile initiée par le gouvernement Français, StopCoviD, les préparatifs ont atteint la phase finale.

Validé par toutes les autorités compétentes à la matière, notamment la Commission Nationale de l’Informatique et des libertés, l’ARCEP, ou encore le parlement, d’ici quelques jours, ce programme informatique sera déployé et mis à la disposition du grand public. Alors certaines informations doivent être élucidé sur cette appli, qui semble jouer un grand rôle dans le programme de déconfinement du gouvernement.

Cet article va aussi vous intéresser : StopCoviD, le déploiement de plus en plus polémique

Comme le décrivait le ministre Édouard Philippe le 28 mai, concernant la phase du déconfinement : « StopCovid est un outil complémentaire au travail des équipes de suivi (traçage) des contacts ». Et le fait tout le parlement français est donné son accord pour le déploiement officiel de l’application, le gouvernement se donne les moyens pour réussir son pari. Dans ce contexte, Édouard Philippe exhorte : « J’invite les concitoyens à l’utiliser pour se protéger et protéger les autres ».

Le déconfinement étant quelque chose qui s’est imposé pratiquement au gouvernement, ce dernier ne pouvait pas nier la peur d’une deuxième vague épidémique, et cela est de même dans plusieurs autres États à travers le monde. Alors l’utilisation de l’application va répondre besoin de retracer les différentes interactions entre les personnes après les déconfinement, de sorte à pouvoir repertorier les personnes qui seront testées positives, ainsi que d’autres avec qui elles auraient pu avoir un contact. Le secrétaire d’État au numérique, Cédric O note à propos de StopCoviD, comme étant le moyen de « prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même et si besoin d’être pris en charge très tôt, ou bien de se confiner. ».

Quand il était mentionné plus haut, le gendarme des données personnelles et des droits du numérique, la Commission Nationale de l’Informatique et des libertés a déjà validé le projet. Le 25 mai dernier, le ministère des armées annonce avoir déjà procéder à un test de l’application auprès des 60 soldats, l’objectif étant de « vérifier son fonctionnement et mesurer, en conditions réelles, les résultats de la détection de proximité dans différentes situations. ».

Concernant le principe de son fonctionnement, l’application devra être installé sur le smartphone de la sorte, lorsqu’un individu possédant un smartphone sur lequel est installé l’application rencontre une autre qui possède un smartphone du même genre, une interaction se crée. De sorte que, si l’un de ces personnes revenaient à être détectée comme positive au coronavirus, l’autre sera immédiatement informée et conseillé d’observer certaines mesures de sécurité. Mais pour que l’alerte puisse être transmise convenablement, la personne qui est positive doit accepter que cette information soit transmise. Bien sûr l’anonymat est respecté. L’identité de la personne ne sera pas révélée, seulement que les personnes concernées recevront des notifications qui leur avertiront avoir potentiellement rencontrer une personne contaminée. Pour la question de l’anonymat, de son côté, le premier ministre Édouard Philippe indiquait ceci : « Nous avons pris toutes les garanties nécessaires pour que StopCovid respecte les données personnelles et de vie privée de ceux qui l’utilisent, son utilisation sera anonyme. ». L’autorité administrative de la protection des données, en particulier Marie-Laure Denis, la présidente de la CNIL explique que StopCoviD : « respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes (générés automatiquement) et ne permettra pas de remontée de listes de personnes contaminées. ».

En outre, il faut noter que l’utilisation de l’application StopCoviD et totalement volontaire. Aucun citoyen français n’est obligé de l’installer sur son smartphone. « Un véritable volontariat est la meilleure garantie du respect du Règlement général sur la protection des données (RGPD) ». Indique Marie-Laure Denis. Elle insiste par ailleurs sur la nécessité d’avoir le consentement des utilisateurs sur plusieurs points dont : « Quelles données sont utilisées, par qui, avec qui sont-elles partagées, pour quelle finalité, pour combien de temps. Il faut veiller à ce qu’il n’y ait pas de case précochée. ».

Pour conclure, il faudrait noter que StopCoviD n’est pas une application unique en son genre. Plusieurs États à travers le monde ont initié ce genre de programme. En particulier la Corée du Sud, la Chine même quelques États européens. La Commission Nationale de l’Informatique et des libertés pour exemple, application de traçage mobile utilisé par l’État de Singapour : « Une application identique à StopCovid : TraceTogether est déjà utilisée à Singapour. Elle enregistre les rencontres entre deux personnes dans un rayon de deux mètres. Les données sont conservées, de manière chiffrée, pendant 21 jours sur le téléphone. Le ministère de la Santé peut y accéder sur demande pour identifier les personnes ayant été en contact » mettait en évidence l’autorité administrative indépendante.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les 2 ans du règlement général des données personnelles : quel bilan peut-on faire ?

Norme européenne édicté, il y a 2 ans de cela, le règlement général de la protection des données personnelles se trouve aujourd’hui dans une situation assez délicate.

Cet article va aussi vous intéresser : 6 notions à connaître en matière de cybersécurité moderne

Avec la pandémie qui secoue monde entier, il devient alors difficile pour les états de garantir l’intégralité des dispositions présentes dans cette norme. Car la situation ne s’y prête pas. Si ce n’est les autorités elle-même qui font souvent impasse à certains endroits détenus par les particuliers en application dudit règlement, ce sont les entreprises ou autres structures privées qui le font. Il peut s’agir des raisons d’intérêt général tel que la santé publique, ou de nature économique. Mais ça ce n’est que pour ces mois récents. Avant même la pandémie, la norme européenne sans se défendre les droits des utilisateurs des services numériques a eu un bilan à peu près une mitigé. À ce propos, Greg Day responsable et superviseur des opérations de la firme Palo Alto Networks sur la zone EMEA, par ailleurs, le chargé du développement des renseignements sur les cybermenaces et sur les pratiques d’hygiène en matière de sécurité notait à cet effet : « Alors que nous fêtons le deuxième anniversaire de l’entrée en vigueur du RGPD, l’une de mes principales inquiétudes est que, d’une façon ou d’une autre, l’objectif éducatif de cette régulation s’est perdu. Nous avons, semble-t-il, raté l’opportunité d’aider les entreprises à apprendre de leurs erreurs. Or pour moi, c’était l’un des aspects positifs du RGPD. Celui-ci a été conçu comme une feuille de route pour améliorer en continu la sécurité et le respect de la vie privée des entreprises. Toutefois, je ne crois pas qu’il y ait eu un effort international pour recenser les erreurs les plus courantes commises par les sociétés, quelle que soit leur taille, en appliquant le RGPD et pour les éviter. ».

Dans le contexte actuel, les entreprises pour être d’accord qu’avec l’expert. Car nous assistons aujourd’hui à une recrudescence des menaces informatiques et une situation où les règles et protocoles habituelles ont du mal à s’appliquer convenablement.

L’un des problèmes majeurs de règlement général de la protection des données, serait son adaptabilité à l’évolution constante de la technologie. En effet, pour une règle qui fut édicté il y a 2 ans de cela, il est fort probable qu’à l’heure actuelle, l’avancée technologique a rendu caduques ou difficilement applicables plusieurs de ses dispositions. Ce n’est pas seulement que la technologie qui a évolué. Mais aussi les pratiques en matière de collectes, de productions, et de gestion des données. « Il est important de s’assurer que l’application du RGPD reste claire malgré les différents changements technologiques. Ainsi, depuis que le RGPD est entré en application, de nombreuses sociétés ont migré dans le cloud, dont l’usage s’est fortement généralisé avec de forts taux d’adoption. Il faut que ces entreprises réfléchissent à la façon dont le RGPD s’y applique alors que les données circulent dans le cloud de façon nettement plus importante que prévu. Ceci pour documenter les risques spécifiques qui s’y posent, et pour définir une feuille de route pour un respect continu de la vie privée et une amélioration de la sécurité. » conseillait l’expert Greg Day.

Certaines situations telle que la pandémie du coronavirus à pousser les spécialistes de tout bord à remettre en question certains principes, du moins jusqu’à ce que la lutte contre cette maladie arrive à son fin. Et bien sûr, certaines pratiques qui ont débuté depuis le début du coronavirus, risque difficilement de prendre fin du jour au lendemain. De ce fait, la norme européenne gagnerait à s’adapter le plus rapidement possible une nouvelle technologie qui ne cesse de naître tout en essayant de contrôler au mieux l’aspect juridique de la gestion des données personnelles qui devient de plus en plus complexe.

Un autre point négatif et à souligner contre le RGPD. C’est la diversité des interprétations et de la transposition dans les pays de l’Union européenne. Ce fut l’un des points faibles majeur à soulever durant ces 2 années. Si l’on devait compter plusieurs pays, chacun avec sa propre interprétation de la règle, il devient alors difficile d’accorder la valeur obligatoire nécessaire à une disposition particulière face à un fait particulier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage