FAQ | Inscription/connexionContact

Actus

Les entreprises respectent-elles vraiment le RGPD ?

18 septembre 2020

Le scandale Uber

En 2017, un an avant l’introduction du RGPD (Réglement Général sur la Protection des Données), il a été révélé que Uber avait dissimulé une énorme fuite de données pendant plus de 12 mois.

L’attaque a eu lieu en octobre 2016, en raison de laquelle des enregistrements de données de près de 50 millions d’utilisateurs et 7 millions de conducteurs ont été volés : cela comprenait des informations personnelles comme leurs noms, numéros de téléphone et adresses e-mail. Pour les conducteurs, les hackers ont également réussi à voler leurs numéros de permis de conduire. Ce n’est pas la première fois que Uber est accusé de ne pas avoir respecté les lois sur les données, malgré cela, la société a choisi de cacher cette fuite et de payer la rançon exigée par les pirates afin de supprimer les données volées. Suite à de plus profondes enquêtes, il en a été déduit que l’attaque avait été rendue possible suite à une erreur humaine : les hackers ont réussi à obtenir les informations d’identification de l’un des ingénieurs logiciels de Uber pour ensuite accéder aux bases de données des utilisateurs (Petterson, 2017).

Uber s’est construit une réputation de bafouage des réglementations. Pour avoir caché cette fuite considérable de données, l’entreprise a été condamnée à une amende de 148 millions de dollars. Si la violation de données se produisait après l’introduction du RGPD, Uber paierait 260 millions de dollars (Petterson, 2017).

rubik's cube RGPD

Mieux comprendre les modèles de gestion des données actuels des entreprises

AIIM, l’Association pour la gestion intelligente de l’information, a mené une enquête auprès de 218 participants de diverses entreprises, afin de mieux comprendre leurs modèles de gestions des données en interne. 17% des répondants ont admis que les données étaient mal gérées dans leur entreprise, tandis que seulement 3% étaient satisfaits des politiques de gouvernance des données en place (« Governance and Compliance in 2017 – A Real World View », 2017). Aussi, 10% ont déclaré que les pertes de données se produisaient assez régulièrement et qu’elles étaient souvent dues à l’erreur humaine (négligence du personnel ou mauvaise gouvernance des données). Cela peut être corrélé au fait que 34% ont déclaré qu’il n’y avait pas de formation préalable sur la gestion des données pour les collaborateurs de l’entreprise. 

L’étude a été menée un an avant l’introduction du RGPD, alors que les entreprises se préparaient à l’arrivée de lois plus strictes sur la gestion des données. Cette étude nous montre que les pratiques de gouvernance en place dans la majorité des entreprises ne sont pas efficace. Le changement doit être profond et sera probablement complexe pour de nombreux acteurs : les collaborateurs doivent tout particulièrement être accompagnés et prendre conscience de la valeur des données qu’ils manipulent (« Governance and Compliance in 2017 – A Real World View« , 2017).

Quatre erreurs qui mènent à une fuite des données en entreprise

Selon l’étude réalisée par Bitglass, fournisseur de solutions de sécurité ayant interviewé plus de 500 experts en cybersécurité, il existe quatre problèmes majeurs qui pourraient éventuellement provoquer des violations de données en entreprise. En premier lieu (pour 62% des interrogés), il y a l’absence ou le manque de formation des salariés : ce point a par ailleurs été soulevé dans l’étude précédente. Les trois autres problèmes importants sont la mauvaise gouvernance des données (pour 57% des interrogés), l’augmentation du nombre d’appareils ayant accès à des données sensibles ou privées (54%) et le périmètre de données qui est de moins en moins contrôlé (pour 48% des interrogés) (Greengard, 2018).

Les risques informatiques liés aux données évoluent constamment. La première hypothèse qui nous permettrait d’expliquer cette mauvaise gestion des données serait de penser que les entreprises sont rapidement dépassées par la technologie, et souffrent de contraintes budgétaires liées à la sécurisation des données qu’elles accumulent. Les entreprises n’auraient de ce fait pas les ressources nécessaires pour appréhender ce risque, ce qui expliquerait les statistiques précédentes. Cependant, cela ne semble pas être le cas : la CNIL constate qu’un grand nombre de manquements sont liés à une négligence “aisément évitable par l’entreprise”. Les problématiques budgétaires sont donc écartées pour les PME qui doivent redoubler d’attention pour éviter ces cinq erreurs de base (cnil.fr ; sécurité des sites web : les 5 problèmes les plus souvent constatés, 28 juin 2018) :

  • Les mots de passe ne sécurisant pas suffisamment les points d’entrée car peu complexes.
  • L’absence de règles d’authentifications des comptes pour par exemple éviter d’afficher des informations personnelles sans être complètement logué. 
  • La non-sécurisation des URL individuelles, permettant ainsi d’accéder aux pages d’un autre compte utilisateur en modifiant simplement les caractères de l’URL. 
  • L’absence de chiffrement des données. 
  • L’indexation des données privées dans les moteurs de recherche (cnil.fr ; sécurité des sites web : les 5 problèmes les plus souvent constatés, 28 juin 2018).

Malgré tout, les entreprises doivent mettre en place une gouvernance solide, en considérant la valeur des données collectées. Cette gouvernance consiste en la “gestion globale de la disponibilité, de l’exploitation, de l’intégrité et de la sécurité des données utilisées dans une entreprise” (Margaret Rousse ; WhatIs.com). Cette action à certe un coût, mais elle garantit l’homogénéité et la qualité des données recueillies ainsi que la crédibilité de l’entreprise à terme pour ses clients.

Nombreuses sont les entreprises qui cherchent à dégager le maximum de bénéfices des données collectées sur Internet. Elles exploitent cette ressource en prenant, pour la majorité, le manque de législation comme un avantage. 

Avant la loi RGPD, divers abus avaient été constatés : les applications mobiles collectaient parfois les informations sensibles des utilisateurs de manière abusive (notamment l’accès aux informations sensorielles du téléphone). C’est ce qu’on appelle les « dangerous permissions ». Le Règlement Général sur la Protection des Données semble avoir permis de réduire ce genre de pratiques, mais il reste difficile de faire un état des lieux concret de la situation à ce stade (Momen, 2019).

La CNIL, l’autorité française de régulation des données, a publié un rapport dans lequel elle soulignait l’importance d’une vigilance accrue sur les politiques de conformité au RGPD. Après l’introduction du RGPD, de nombreux cas d’agences fictives proposant des solutions pour rentrer en conformité sont apparues pour tenter d’accéder aux données confidentielles de leurs clients (« Pratiques abusives « Mise en conformité RGPD » : comment s’en prémunir ? », 2020).

Pour prévenir contre ce genre de pratiques, deux mesures principales sont préconisées par la CNIL :

  • Toujours vérifier si l’entreprise est agréée par les autorités pour accompagner dans l’adoption du RGPD et développer de nouvelles politiques de gouvernance des données. Il est par exemple possible de consulter son statut et son SIRET sur Internet.
  • Toujours demander ce qui est inclus dans leurs services et lire attentivement le contrat et ses extensions. Si une entreprise propose simplement de modifier les chartes existantes, il est très probable qu’elle ne soit pas agréée et ne puisse pas coordonner pleinement la mise en place de nouvelles procédures de gestion des données conformes au RGPD (« Pratiques abusives « Mise en conformité RGPD » : comment s’en prémunir ? », 2020).

Parfois, ces entreprises se disent être des autorités publiques. Il est très important de toujours vérifier ces informations avant qu’elles n’accèdent aux données confidentielles des utilisateurs de la société cliente.

Ces sociétés n’offrent généralement pas de solution exhaustive ou peuvent même voler des données utilisateur, ce qui entraînerait une violation des données et par conséquent des sanctions financières (« Pratiques abusives « Mise en conformité RGPD » : comment s’en prémunir ? », 2020).

Les pratiques abusives à proscrire

Le LINC (Laboratoire d’innovation numérique de la CNIL) a publié une liste de pratiques abusives à proscrire afin d’être conforme à la nouvelle réglementation. Parmi les plus fréquentes nous trouvons: 

  • La collecte de données non-nécessaires mais « obligatoires » pour valider la commande, par exemple, le numéro de téléphone pour la livraison.
  • La tentative de collecte de données personnelles sous prétexte qu’elles ne soient pas visibles, par exemple, le parcours scolaire sur les réseaux sociaux. 
  • Promettre la personnalisation de l’offre en faveur du partage des données.
  • Obliger des internautes à créer un compte ou accepter des cookies pour un service pour lequel la collecte de données n’est pas nécessaire, par exemple, le suivi de colis sur un site de prestataire externe. (« [IP6] Pouvoir et libertés au pays des interfaces | LINC », 2020). 
Hong Kong de nuit

Malgré l’inquiétude grandissante des consommateurs quant à la gestion de leurs données privées, ceux-ci acceptent tout de même de donner une partie de leurs informations aux entreprises afin d’être en capacité de commercer sur Internet (Brinson, 2016).

Les derniers articles

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *