Connect with us

Technologie

Security Think Tank : Optimiser la confidentialité, post-RGPD

Published

on


Suite à la promulgation du règlement général sur la protection des données (RGPD) de l’UE le 25 mai 2018, il y a eu un changement marqué dans la façon dont les organisations traitent le risque pour les données personnelles.

Dans les jours qui ont précédé le RGPD, la cybersécurité commençait à être considérée par les conseils d’administration comme un risque commercial, mais souvent l’impact de la perte de données ne pouvait pas être quantifié de manière adéquate et les coûts de l’augmentation des cyberdéfenses n’étaient pas basés sur un cadre juridique et étaient donc moins faciles à justifier.

L’avènement du RGPD, avec la promesse d’amendes importantes basées sur le chiffre d’affaires annuel d’une part et un cadre réglementaire clair permettant de démontrer la conformité d’autre part, a rendu l’analyse des risques commerciaux beaucoup plus facile. Même si les organisations ne se souciaient pas de la protection des données personnelles qu’elles traitaient avant l’introduction du RGPD, elles le font maintenant.

Mais le simple respect du RGPD ne garantit pas nécessairement la vie privée des employés et des clients. Le Bureau du Commissaire à l’information du Royaume-Uni (ICO) utilise désormais le terme « protection des données dès la conception » plutôt que « protection de la vie privée dès la conception ». C’est au moins en partie parce que la « vie privée » est dans une certaine mesure subjective, ce que les règles de protection des données ne peuvent pas être. En outre, certains qui prétendent se conformer aux règles de protection des données peuvent être conformes à la lettre de la réglementation, mais ne suivent pas nécessairement l’esprit de celles-ci.

Par exemple, dans le cas du consentement, l’exigence stipule : « En général, cela devrait être aussi facile pour eux [the data subject] de retirer votre consentement comme c’était à vous d’obtenir le consentement. Ce n’est pas quelque chose que j’ai vécu jusqu’à présent, peut-être parce que c’est assez difficile à réaliser. La plupart des gens le voient lorsque nous naviguons sur un nouveau site Web et qu’on leur demande d’« accepter tous les cookies ». C’est très facile à faire en cliquant simplement sur un bouton. Si vous changez d’avis, revenir en arrière et révoquer l’autorisation peut être un défi dans de nombreux cas.

Mais le consentement n’est qu’une des bases juridiques du traitement des données personnelles. D’autres incluent une responsabilité contractuelle ou légale qui ne peut être satisfaite que de cette manière, ou un « intérêt légitime » qui a également été mis en avant avec la nécessité de demander le consentement.

Dans le cadre du processus de consentement aux cookies, il y a souvent un bouton « intérêt légitime » caché en bas de l’écran. L’intérêt légitime est le traitement de données personnelles dans le cadre de l’intérêt légitime d’une personne, d’un tiers ou d’une entreprise à fournir un service, ou parce qu’il présente des avantages sociaux plus larges. Quelque chose qu’un consommateur s’attendrait à être nécessaire pour pouvoir consommer le service, ou les intérêts commerciaux du fournisseur.

« Même si les organisations ne se souciaient pas de la protection des données personnelles qu’elles traitaient avant l’introduction du RGPD, elles le font maintenant »

Paddy Francis, Airbus CyberSecurity

L’organisation qui traite les données doit toutefois être en mesure de démontrer qu’il n’y a pas de préjudice pour ceux dont les données sont traitées et qu’il n’existe pas de moyen moins intrusif d’atteindre l’objectif du service. L’intérêt légitime peut constituer une base juridique utile pour le traitement sans consentement explicite lorsqu’il n’existe aucune relation contractuelle ou obligation légale. Cependant, il reste à déclarer et les raisons justifiées. Cela peut, en partie, être la raison pour laquelle certains sites Web incluent un intérêt légitime dans leur processus de consentement. Néanmoins, alors que les cookies nécessitant un consentement sont « désactivés » par défaut, ceux relatifs à l’intérêt légitime sont généralement « activés ».

Un exemple concret où l’intérêt légitime pourrait être utilisé, mais pourrait être difficile à justifier, est l’analyse antivirus des e-mails quittant une organisation. On pourrait soutenir que c’est dans l’intérêt de la réputation de l’entreprise et de tout tiers recevant des courriels infectés, mais en même temps, une personne identifiable pourrait croire que l’envoi involontaire d’un tel courriel pourrait être retenu contre eux.

Un autre exemple est celui où un employé a un dossier sur son bureau nommé « personnel » qu’il utilise pour soutenir ses propres activités commerciales. L’employeur aurait-il un intérêt légitime à accéder aux dossiers « personnels » d’un utilisateur? Et s’ils le faisaient, les preuves obtenues en le faisant seraient-elles admissibles devant un tribunal du travail?

Le premier scénario pourrait être mieux couvert par le consentement et le second par un contrat de travail donnant à l’employeur ce droit.

Application des principes du RGPD

« Légalité, équité et transparence » constituent le premier des sept principes du RGPD, qui doivent clairement être pris en compte dès le départ dans tout nouveau projet et maintenus tout au long de la vie d’un système à mesure qu’il évolue. Les six autres principes sont les suivants : limitation de la finalité; minimisation des données; l’exactitude; les limites de stockage; l’intégrité et la confidentialité; et la responsabilisation.

Alors que l’ensemble du RGPD doit être pris en compte dès le premier jour d’un nouveau projet, la « limitation de la finalité » et la « minimisation des données » sont probablement les plus importantes à considérer en premier.

Comprendre le but de toute entreprise est essentiel. Avec le RGPD, il s’agit de la finalité pour laquelle vous collectez et traitez des données personnelles. Sans comprendre cela, vous ne pouvez pas savoir quelles données vous devez collecter et ne serez pas en mesure d’établir la base juridique pour les collecter et les traiter.

L’objectif doit être documenté et énoncé dans une politique de confidentialité, ou équivalente disponible pour tous les utilisateurs. Il est important d’identifier toutes les finalités pour lesquelles les données devront être traitées dès le départ, car le traitement ultérieur des données impliquera d’obtenir un consentement supplémentaire et de mettre à jour votre documentation.

La minimisation des données, d’autre part, consiste à minimiser les données collectées à ce qui est nécessaire à cette fin. Le mot « nécessaire » ici est également important, car il signifie que la solution doit minimiser ce qui est nécessaire pour collecter. Autrement dit, si le choix de la solution A nécessite la collecte de plus de données personnelles par rapport à la solution B, le fait que les données collectées soient nécessaires pour la solution A ne répond pas aux exigences de minimisation des données si elle n’est pas nécessaire pour la solution B. Ceci est important non seulement pour se conformer au RGPD, mais aussi pour minimiser la quantité de données personnelles qui ont besoin de protection et, idéalement, minimiser, ou éliminer, la nécessité de collecter ou de conserver des données personnelles sensibles.

Pseudonymisation des données des utilisateurs

Une autre approche de la protection des données des utilisateurs est le concept de pseudonymisation. Par exemple, l’identité de l’utilisateur peut être remplacée par une pseudo-identité aléatoire unique et la relation entre l’identité et la pseudo-identité de l’utilisateur peut être stockée séparément. Les données seraient alors considérées comme pseudonymisées. Il ne serait pas entièrement anonymisé, car l’utilisateur serait toujours indirectement identifiable à l’aide des données cartographiques. Cependant, les données pseudonymisées pourraient être traitées en toute sécurité à condition que la cartographie de leur identité réelle soit conservée en toute sécurité. S’il n’a jamais été nécessaire d’identifier l’utilisateur spécifique, il n’est pas nécessaire de conserver le mappage à l’identité réelle et les données peuvent être considérées comme entièrement anonymisées.

Cependant, une certaine prudence est nécessaire ici, car si le processeur de données ne détient pas la cartographie, mais qu’elle existe toujours ailleurs, elle ne serait pas considérée comme entièrement anonyme. En outre, si les données contenaient d’autres informations qui pourraient être utilisées pour identifier un individu par corrélation avec d’autres données – par exemple, la date de naissance et le code postal corrélés avec le registre électoral – alors les données ne seraient toujours que pseudo-anonymes, de sorte qu’elles devraient être protégées en tant que données personnelles.

Approches de la protection de la vie privée en constante évolution

Le RGPD a certainement eu un impact au cours des trois années qui ont suivi son introduction. Les organisations ont adapté leurs approches en matière de données personnelles pour se conformer à la réglementation, et les autorités les ont de plus en plus tenues responsables des violations de ces réglementations.

Il y a également eu un intérêt accru pour la protection de la vie privée de la part du public, avec des informations et des rapports sur les diverses violations de données et l’annonce faite plus tôt cette année par Apple qu’il supprime la possibilité pour les annonceurs de suivre l’activité des utilisateurs sur les applications et les appareils.

Bien que je ne m’attende pas à ce que le règlement change de façon importante à l’avenir, son application continue et la compréhension croissante du public à l’égard de la protection de la vie privée dans le monde numérique continueront probablement de changer notre approche de la protection de la vie privée pendant un certain temps encore.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance