Les récents épisodes de « hackage » de bases de données soit à des fins de remise de rançon, soit à des fins de piratage de fichiers d’entreprises, nous rappellent régulièrement que la donnée qui est au cœur des systèmes d’information est une valeur qu’il faut préserver.
La sécurité est aujourd’hui au centre de la protection des données personnelles, et l’application prochaine, le 25 mai 2018 exactement, du nouveau Règlement européen sur la protection des données personnelles qui renforce les droits des citoyens sur leurs données, accentue les obligations en matière de sécurité des responsables de traitement.
Au sein des entreprises et des organisations, la sécurité doit être un processus collectif et collaboratif défini sous la responsabilité des dirigeants et associant tous les acteurs.
Le sujet de la sécurité des données à caractère personnel ne doit plus rester cantonné au seul étage de la direction des systèmes d’information.
Le Règlement européen offre à cet effet de nouveaux outils pour gérer la politique de sécurité. Ainsi, à partir de la réalisation d’une analyse de risques appliquée aux traitements préalablement répertoriés, le responsable de traitement devra réaliser une étude d’impact lui permettant de mettre en place les mesures techniques et organisationnelles de nature en particulier à préserver la sécurité des données.
Pour déterminer ces mesures adéquates, il doit être tenu compte de la nature particulière des données faisant l’objet du traitement et des risques présentés par la destruction, perte, altération ou divulgation éventuelle de celle-ci. L’adoption de codes de conduites ou de certifications propres à chaque secteur permettra d’aider le responsable de traitement à identifier ces mesures.
Le règlement consacre également une place particulière à l’existence de garanties appropriées telles que le chiffrement ou la pseudonymisation comme participant à la sécurité des applications.
Mais au-delà de ces dispositions, la sécurité reste avant tout l’affaire de chaque utilisateur et il convient d’appliquer certaines mesures de sécurité physique et logique désormais classiques – mais encore insuffisamment mises en œuvre.
Peuvent être cités par exemple,
- les moyens d’identification et d’authentification qui incluent la définition d’une politique de gestion des mots de passe dynamique (conformité aux règles posées par la CNIL pour leur composition[1], changements réguliers etc…),
- la gestion des habilitations de chaque utilisateur et son corollaire indispensable, le contrôle régulier de la traçabilité des accès,
- la sécurisation physique et logique des postes de travail (locaux fermés et/ surveillés, pare-feux, antivirus) et, pour les outils mobiles, chiffrement des données lors de leur transfert vers un système d’information,
- l’encadrement des activités de sous-traitance et en particulier de maintenance sur les systèmes,
- la définition d’une politique de sauvegarde assurant la restitution intègre des données.
Telles sont quelques unes des mesures à mettre en œuvre dont l’effectivité permettraient de réduire de façon conséquente les risques d’intrusion.
Notons également que le Règlement européen imposera demain au responsable de traitement de notifier l’existence d’une violation des données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance.
La sécurité des données, c’est aussi le respect des droits de la personne et la maîtrise qu’elle peut avoir de l’utilisation de ses données (notion d’empowerment).
Les individus restent les premiers concernés par la sécurité de leurs données soit à titre individuel, soit en tant que salarié ou employé au sein de l’organisation dans laquelle ils travaillent.
Ils sont souvent les principaux acteurs de la sécurité de leurs données et surtout de l’effectivité de sa mise en œuvre quotidienne.
Mais l’information sur ce qu’il est possible de faire ou de ne pas faire est souvent pour eux encore parcellaire ou inégale.
Ainsi, au moment de partager ses données, l’utilisateur doit au préalable être informé et le consentement – lorsqu’il est exigé – ne doit être que l’aboutissement de cette information.
Par exemple, s’agissant de l’utilisation et de l’analyse des données de navigation via les cookies, notamment à des fins de publicité comportementale, les utilisateurs doivent pouvoir contrôler l’utilisation qui est faite de leurs données de navigation sur internet en modifiant les paramètres de leur navigateur.
La CNIL vient à cet égard dans sa récente délibération du 27 avril 2017, sanctionnant la société Facebook, de rappeler avec force les obligations des émetteurs de cookies ou de ceux qui utilisent l’information collectée par ce biais[2].
Le respect des droits d’accès et de communication, le nouveau droit à la portabilité des données inscrit dans le Règlement européen, sont autant d’obligations à la charge des responsables de traitement qui ne seront en mesure d’en garantir l’effectivité qu’en s’appuyant sur une politique de sécurité solide.
Gageons que les nouvelles sanctions considérablement accrues par le texte européen, notamment en cas de rupture de confidentialité, constitueront une forte incitation pour les acteurs à faire du security by design.
[1] Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe
[2] Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND