Connect with us

Technologie

Le système d’empreintes digitales basé sur le cloud pour la police britannique est presque terminé | TechTarget

Published

on


Le développement d’un système national d’empreintes digitales numériques basé sur le cloud pour la police britannique devrait être achevé en décembre 2022 et facilitera l’accès et le partage de plus de 8,4 millions d’enregistrements de données dactyloscopiques via le cloud.

Connue sous le nom de programme Transforming Forensics (TF), la capacité est hébergée par le Service numérique de la police (PDS), qui vise à effectuer le premier déploiement complet en mars 2023.

Le PDS a déclaré que grâce à l’accès à une suite numérique d’outils – hébergée sur la plate-forme PDS Xchange, qui est alimentée par Amazon Web Services (AWS) – les équipes médico-légales de la police seraient en mesure d’envoyer des empreintes digitales et des images de scène de crime en temps réel, leur permettant d’identifier les suspects en quelques heures au lieu de plusieurs jours, ainsi que d’améliorer les processus de travail en les retirant du papier et en les transformant en flux de travail automatisés.

Il a ajouté qu’ils seraient également en mesure d’évaluer, de comparer et d’identifier les empreintes digitales à l’aide de l’Ident1 national, une base de données d’empreintes digitales existante créée par Home Office Biometrics (HOB), qui a été intégrée avec succès dans PDS Xchange en avril 2022.

« Ce que TF a créé avec cette capacité et la plate-forme Xchange fait entrer les empreintes digitales dans l’ère numérique tout en réduisant les risques d’obsolescence », a déclaré Andrew Price, directeur des services d’entreprise, médico-légaux et techniques à l’unité des opérations spéciales des East Midlands.

« Ce moment décisif met maintenant l’accent sur la priorité accordée à l’intégration entre HOB et TF, une exigence cruciale pour fournir le « Saint Graal » de l’identification des empreintes digitales et maximiser les résultats des enquêtes. »

Richard Meffen, directeur du programme de TF, a ajouté : « Nous sommes ravis d’avoir livré la plate-forme Xchange et la capacité d’empreintes digitales. Nous avons travaillé en étroite collaboration avec des experts techniques et judiciaires de partout au pays pour nous assurer que ce produit est vraiment transformationnel.

« Il s’agit d’un excellent exemple de la valeur que nous pouvons créer en travaillant en étroite collaboration avec les services de police, les organismes partenaires et le ministère de l’Intérieur pour assurer un résultat fructueux qui aura un impact significatif et positif sur la façon dont les empreintes digitales sont livrées et gérées à l’ère numérique.

Le PDS a également affirmé que les flux de travail automatisés fournis aideraient la police à se conformer « pleinement » aux normes de sécurité et de sûreté internationalement reconnues, ainsi qu’aux règles de protection des données concernant la conservation et la suppression des informations.

Il a ajouté que les nouvelles capacités de prise d’empreintes digitales permettraient aux services de police de réaliser les ambitions énoncées dans la Stratégie numérique nationale pour les services de police, publiée en février 2020, qui établit cinq priorités numériques pour la décennie à venir.

Ces priorités sont la prestation d’une expérience communautaire homogène, la lutte contre les préjudices, l’habilitation des agents et du personnel, l’intégration d’une approche globale du système public et l’autonomisation du secteur privé.

Préoccupations persistantes liées au cloud dans la police britannique

En février 2022, les forces de police d’Angleterre et du Pays de Galles ont été averties de la nécessité de mener une diligence raisonnable approfondie en matière de protection des données après l’annonce par le PDS que les 43 forces seraient en mesure d’utiliser sa zone d’atterrissage assurée par la police (PALZ), une autre plate-forme cloud alimentée par AWS destinée à moderniser les capacités informatiques de la police britannique.

La diligence raisonnable consiste à vérifier que les déploiements cloud sont conformes à la partie 3 de la loi sur la protection des données (DPA) 2018, qui établit, pour la première fois, des règles légales spécifiques pour le traitement des données personnelles par les entités chargées de l’application de la loi.

La diligence raisonnable requise comprend, par exemple, la vérification si chaque force a mené sa propre analyse d’impact sur la protection des données (AIPD) avant la mise en œuvre, et la recherche de garanties quant à l’endroit où les données qu’ils hébergent dans le cloud seront stockées géographiquement.

Une enquête de Computer Weekly a révélé en décembre 2020 que les forces de police britanniques traitaient illégalement les données personnelles de plus d’un million de personnes sur le service de cloud public hyperscale Microsoft 365, après avoir omis de se conformer aux principales exigences contractuelles et de traitement de la partie 3 de la DPA.

Computer Weekly a également constaté que les forces de police britanniques n’avaient pas effectué les contrôles de protection des données nécessaires avant de procéder à leurs déploiements dans le cloud Microsoft.

Le non-respect de la partie 3 de la DPA 2018 peut exposer les organisations à des sanctions pécuniaires importantes, qui sont supervisées et appliquées par le Bureau du commissaire à l’information (ICO).

Alors que l’organisme britannique de surveillance de la protection des données consultera initialement l’organisation pour la conseiller sur la façon de rendre ses opérations conformes, il se réserve également le droit d’imposer deux niveaux de sanctions pécuniaires. Il s’agit notamment d’une « pénalité maximale standard » d’environ 9 millions de livres sterling ou 2% de l’année de l’organisation.ou un « maximum supérieur » de 18 millions de livres sterling ou 4% du chiffre d’affaires annuel. Dans les deux cas, l’organisation fautive sera condamnée à une amende, le montant le plus élevé étant retenu.

Le consultant indépendant en protection de la vie privée, Owen Sayers, qui a plus de 20 ans d’expérience dans la fourniture de systèmes nationaux de police, y compris Ident1, a déclaré que jusqu’à ce qu’une AIPD soit rendue publique pour analyse, il est difficile de dire catégoriquement si le service fonctionne légalement ou non.

« La police britannique a peut-être négocié des conditions spéciales avec AWS, et la plate-forme cloud sous-jacente a peut-être été radicalement repensée pour la rendre légale pour la police », a-t-il déclaré. « Mais cela semble peu probable. La dernière liste AWS sur G-Cloud 13 for Digital Investigations and Forensic Storage semble être le service le plus probablement utilisé par le service de police dans ce cas.

« Après avoir analysé les conditions d’utilisation de cette liste G-Cloud, je peux absolument affirmer que les conditions de service fournies sont bien en deçà du minimum légal nécessaire pour se conformer à la loi sur la protection des données de 2018, partie 3. »

Sayers a ajouté que toute utilisation d’AWS par une force de police au Royaume-Uni pour traiter les empreintes digitales, la biométrie ou toute autre preuve numérique – en utilisant le service Xchange TF et en s’appuyant sur ces conditions contractuelles – violerait donc les lois britanniques sur la protection des données.

Il a ajouté que même si cela ne rendrait pas nécessairement les données traitées sur la plate-forme immédiatement inutilisables, il y avait de graves implications pour les forces de police utilisant le service, ainsi que pour AWS.

« Bien qu’il semble peu probable que l’ICO prenne des mesures à leur encontre – et la politique publique de l’ICO semble maintenant ne pas le faire – il existe un risque réel que toute personne dont les données sont traitées de cette manière et qui subit un préjudice ou est en détresse puisse déposer une demande d’indemnisation à laquelle elle a droit en vertu de l’article 169 de la LPD de 2018 contre l’un ou l’autre (ou les deux) du responsable du traitement (police) et du sous-traitant ( AWS) », a-t-il déclaré.

PDS répond

Computer Weekly a contacté PDS au sujet du programme de facilitation des échanges et de l’utilisation d’AWS par la plateforme Xchange pour demander, par exemple, si les conditions de service sont conformes à la partie 3 de la DPA 2018 ; si les données ont été stockées et traitées au Royaume-Uni ; les assurances qu’elle a reçues d’Amazon concernant le lieu de stockage et de traitement; la manière dont il a géré les risques présentés par les transferts de données vers les États-Unis, où les normes de protection des données sont manifestement inférieures; et si une AIPD a été réalisée.

En réponse, un porte-parole a déclaré que le programme de facilitation des échanges avait travaillé en étroite collaboration avec « les ressources d’assurance de l’information tout au long du développement de la plate-forme Xchange » afin d’assurer une approche sécurisée dès la conception.

« Xchange est par conception surveillé et assuré en permanence conformément aux meilleures pratiques de l’industrie. L’assurance de bout en bout de toutes les plates-formes est continuellement évaluée, y compris les changements au niveau de la plate-forme ou de l’application, et les évaluations d’impact sur la protection des données sont examinées en conséquence », ont-ils déclaré.

« Un partage rapide, sûr et proportionné des données entre les forces et les partenaires est essentiel pour enquêter sur les crimes complexes et protéger les personnes. Les méthodes de travail actuelles, qui reposent sur des serveurs sur place, ne sont pas évolutives et constituent des obstacles à l’échange d’information, ce qui peut entraîner des retards dans les enquêtes et avoir une incidence négative sur les résultats pour les victimes d’actes criminels.

« La police britannique est alignée sur l’approche « cloud-first » du gouvernement, décrite dans la stratégie de cybersécurité du gouvernement. Le service numérique de police continuera de travailler avec tous les fournisseurs pour développer et améliorer tous les aspects de la prestation de services numériques afin d’aider à transformer le processus opérationnel et de soutenir des services de police efficients et efficaces pour les citoyens britanniques.

Computer Weekly a contacté AWS avec les mêmes questions, mais a refusé de commenter.

Commentant la réponse du PDS, Sayers a déclaré: «[The cloud-first policy referred to] ne prévoit pas de mandat général pour la sélection de services en nuage inadaptés pour traiter les données personnelles des citoyens – il exige plutôt que le secteur public britannique analyse et confirme l’adéquation d’un service en nuage avant de choisir de l’utiliser.

« Il faut également se rappeler que le système de classification de sécurité du gouvernement restreint spécifiquement l’utilisation du cloud public pour les données personnelles sensibles – un fait souvent ignoré par les organisations du secteur public qui cherchent à adopter des services cloud. »

Il a ajouté: « Les PDS eux-mêmes n’ont aucune responsabilité légale et c’est peut-être pourquoi ils ne sont pas manifestement concernés à cet égard; mais la facilité avec laquelle une demande d’indemnisation S169 peut être faite, les preuves indiquant que le service est exploité en dehors de DP’18 Part 3, et les forces de difficulté et AWS devraient prouver son fonctionnement légal devraient les préoccuper réellement.

Commentant les alternatives potentielles pour la police britannique, Sayers fuRther a ajouté que l’utilisation d’AWS et d’autres services publics hyper cloud n’était pas « absolument essentielle pour ces services de données » et ne fournit en aucun cas de nouvelles capacités.

« La police britannique a les moyens de partager ces données entre les forces de la justice pénale et avec l’Union européenne depuis au moins 15 ans, et a utilisé des réseaux privés, sécurisés et conformes à la loi pour le faire », a-t-il déclaré. « C’est simplement la ruée de la police pour utiliser des services hyper-cloud publics qui a introduit ce nouveau service, et il n’y a vraiment aucun moyen que ces plates-formes – AWS, Azure et GCP [Google Cloud Platform] – peut actuellement satisfaire aux exigences légales pour le faire légalement ou en toute sécurité.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance