Nous comprenons tous les risques associés à la divulgation accidentelle d’un numéro de sécurité sociale. Mais existe-t-il d’autres éléments d’informations moins personnels ou même anonymes qui, utilisés conjointement, fonctionnent comme un numéro de sécurité sociale ? L’Union européenne innove en matière de confidentialité des consommateurs en réformant sa propre réglementation. Les nouvelles perspectives de l’UE sur l’identité personnelle ont traversé l’Atlantique et ont inspiré de nouvelles réglementations aux États-Unis.
L’histoire de la réglementation en matière de confidentialité des consommateurs et de sécurité des données, dans l’Union européenne, commence avec la Directive sur la protection des données de 1995 ou EU 96/46EC pour les spécialistes de la sécurité. Les directives de l’UE fournissent une orientation pour la législation de ses pays membres, qui sont libres de créer ensuite leurs propres lois. La DPD a grandement contribué à forger le vocabulaire ou, selon le point de vue, le jargon de la discussion sur la confidentialité des consommateurs des deux côtés de l’Atlantique.
Aux États-Unis, le point de départ de la discussion sur la sécurité des données est le texte Sarbanes-Oxley, qui est devenu une loi en 2002. Si l’on compare les deux, on peut dire que la DPD s’est davantage concentrée sur la préservation des informations personnelles des consommateurs, et que, contrairement à SOX, elle a étendu cette préoccupation aux organisations publiques et privées. À ce jour il n’existe pas aux États-Unis de loi unique et complète sur le respect de la vie privée des consommateurs.
La directive originale de l’UE est significative parce qu’elle a défini les données personnelles comme « les informations relatives à une personne naturelle identifiée ou identifiable ». Par exemple, selon les lois de l’UE, l’adresse de rue, le nom et le numéro de téléphone sont des données personnelles ; la taille, la couleur des yeux et le modèle de voiture que vous conduisez n’en sont pas. Cette notion de données personnelles en tant que clé fait partie de la définition utilisée dans les lois sur le respect de la vie privée en dehors de l’UE, y compris aux États-Unis. En Amérique du Nord, cependant, nous utilisons notre propre concept de données personnelles, définies comme « informations personnellement identifiables » ou PII.
Au passage, le législateur européen a délibérément créé une définition moins explicite des données personnelles de façon qu’elle couvre les nouvelles technologies. En 2012, les données liées à une personne identifiable pouvaient être une adresse email, une adresse IP et même, pour certains pays de l’UE, une photographie.
Pour compléter ce résumé, les spécialistes de la sécurité ont commencé à réaliser qu’à côté des données personnelles se trouvaient d’autres données – appelons-les quasi-personnelles – qui, si elles étaient divulguées, pouvait également être utilisées pour retrouver un individu. L’opération à réaliser sur les données pour accomplir cette identification consiste en général à rassembler des éléments de données anonymes, tels que dates de naissance (ou âge), code postal, nationalité, et peut-être modèle de voiture conduite, et à les combiner à des données publiquement disponibles.
Il existe par exemple des cas bien documentés dans lesquels des enregistrements de sortie d’hôpital rendus anonymes ont été utilisés par la suite pour ré-identifier les patients concernés !
Avec Facebook et son quasi milliard d’utilisateurs actifs, il est juste de dire que le web déborde de données personnelles à tous les niveaux de détail. Au final, les réseaux sociaux ont fourni aux pirates – les nouveaux acteurs menaçants de cette scène – un immense répertoire public utilisable pour l’identification (voir Matt Honan).
Pour mieux comprendre comment il est possible de ré-identifier un individu, examinons une variante du cas à peine mentionné. Si cette technique ne permet pas d’identifier à tous les coups de manière unique une personne (cela dépend des informations relatives disponibles), elle peut souvent produire une liste restreinte de candidats hautement probables.
Supposons, pour la démonstration, qu’une entreprise de crédits hypothécaires européenne analyse un rapport médical d’un grand hôpital public. Le rapport montre que cinq individus ont reçus des soins pour une maladie rare. Leur âge est également publié. En supposant que les patients vivent près de l’hôpital, le prêteur filtre simplement sa base de données en utilisant le code postal et l’année de naissance. À partir d’un ensemble réduit de résultats, il examine ensuite les réseaux sociaux et autres forums en ligne en utilisant les noms trouvés et d’autres données, tout en recherchant, par exemple, des souhaits de bonne convalescence. Si les résultats obtenus à l’étape précédente étaient peu nombreux, en les combinant aux nouveaux éléments provenant des réseaux sociaux… Je pense que vous voyez où cela conduit.
La bonne nouvelle est que les pays de l’UE ont depuis longtemps reconnu que leurs lois n’étaient plus adaptées à l’évolution des choses. Et l’organe de gouvernement de l’UE est actuellement en train de reformuler la directive de 1995 en prenant en compte la nouvelle réalité des données publiques sur le web et l’effacement progressif de la limite entre données personnelles et données anonymes. Pour vous faire une idée des nouvelles réflexions de l’UE sur les données personnelles, vous pouvez lire cet article en cours d’élaboration.
Et il existe également des rumeurs de modifications aux États-Unis, qui suivent la même inspiration que les réformes européennes.
Je parlerai plus en détail de la législation américaine et de ce que cela signifie pour les politiques de protection des données de votre entreprise dans des articles à venir.
Photographie : http://en.wikipedia.org/wiki/File:Institutions_europeennes_IMG_4300.jpg
The post Le nouvel environnement de la confidentialité : l’Union européenne en pointe sur la protection des données personnelles appeared first on Varonis Français.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.