Journée mondiale de la protection des données du 28 janvier : cybercriminalité, cybersécurité, cyberdéfense en question
La protection des données personnelles est au cœur de toutes les activités du digital. Elle nourrit de très nombreuses polémiques ces dernières années dans la vie du cyberespace. La journée du 28 janvier y est consacrée.
Les consommateurs se mettent en danger de différentes façons sans forcément en avoir conscience : le choix d’un mot de passe faible peut ouvrir la porte au vol et à l’usurpation d’identité ; les cybercriminels cherchent à pénétrer dans des réseaux d’objets connectés ; le Wi-Fi public est tentant pour de nombreux consommateurs qui veulent améliorer la vitesse de connexion de leur téléphone ou économiser la donnée mobile, beaucoup négligent le fait que les Wi-Fi publics pourraient les mettre en danger, car c’est un des biais par lesquels les cybercriminels passent afin de voler des informations personnelles ; les cybercriminels dupent fréquemment les consommateurs en envoyant des e-mails de phishing, déguisés en reçus de paiement, calqués sur ceux des marques populaires, telles que Netflix ou Spotify ; il devient de plus en plus compliqué de détecter les applications mobiles malveillantes, car les cybercriminels ne cessent d’échafauder de nouvelles tactiques pour imiter les applications fiables, ne laissant présager aucun ralentissement de leurs progressions. Au Cameroun par exemple, en 2018, 3388 cas d’usurpation d’identité ont été constatés. En 2019, 2050 plaintes relatives au scamming et au phishing dont environ 5 milliards FCFA de pertes financières, ainsi que près de 6 milliards de pertes relatives aux fraudes bancaires, et 11617 vulnérabilités ont été détectées sur les sites web des administrations publiques.
Il est donc important de rappeler aux consommateurs la façon dont les cybercriminels peuvent compromettre leurs informations personnelles par le biais de faibles mots de passe, de courriels d’hameçonnage, d’objets connectés, d’applications peu fiables ou encore des réseaux Wi-Fi non sécurisés.
Autrement dit, notre identité numérique actuelle compte. En effet, « un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, (…) un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » sont aujourd’hui considérés comme des données personnelles. Les données sont dites sensibles dès lors qu’elles révèlent l’origine raciale ou ethnique prétendue d’une personne, ses opinions politiques, ses convictions religieuses, son appartenance syndicale ou ses données médicales.
Dans la vie quotidienne, de nombreuses informations personnelles sont enregistrées dans des fichiers, communiquées à des tiers, rapprochées avec d’autres données ou ont des utilisations diverses, effet multiplié par l’apparition de technologies nouvelles et nomades. Devenues l’or noir de l’Internet, ces informations ont eu droit à leur journée : la Journée européenne de la protection des données qui se tient le 28 janvier. Désormais appelée « Journée mondiale de la protection des données » ou « Data Privacy Day », en anglais, cette journée vise à sensibiliser le grand public sur le délicat sujet de la protection des données personnelles et de la vie privée. Des données à caractère personnel sont traitées sans cesse – au travail, dans les rapports avec les pouvoirs publics, dans le secteur de la santé, lors d’achat de biens ou de services, lors de voyages ou lors de recherches sur internet. En général, les particuliers ne sont pas conscients des risques liés à la protection de leurs données à caractère personnel ni de leurs droits à cet égard. Ils savent rarement ce qu’ils peuvent faire quand ils estiment que leurs droits ont été violés, ou quel est le rôle des institutions nationales de protection des données.
Pourquoi le 28 janvier ?
Cette date correspond à la date anniversaire de l’ouverture à la signature de la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, qui est depuis plus de 30 ans la pierre angulaire de la protection des données en Europe et au-delà. Créé symboliquement le 26 avril 2006 durant le comité des ministres du Conseil de l’Europe, l’événement aura officiellement lieu pour la première fois le 28 janvier 2007. Sans aucun hasard, cette date rend hommage à la Convention 108 du Conseil de l’Europe qui vient donc transposer les droits et libertés fondamentales du citoyen dans l’univers du « traitement automatisé ». A cette date, les gouvernements, les parlements, les organes nationaux de protection des données et d’autres acteurs mènent des activités sur les droits à la protection des données à caractère personnel et au respect de la vie privée. Ainsi, des campagnes axées sur le grand public, des projets éducatifs pour enseignants et élèves, des opérations portes ouvertes dans des institutions de protection des données et des conférences. Cette initiative s’inscrit dans la continuité de la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, ouverte à la signature le 28 janvier 1981. Cette convention est devenue l’instrument juridique international de référence et a inspiré les directives adoptées par la suite par l’Union européenne le 24 octobre 1995 sur la protection des données personnelles et leur libre circulation et le 12 juillet 2002 sur la vie privée et les communications électroniques.
Aux États-Unis qui célèbrent la journée de protection des données depuis 2009, l’association américaine National Cyber Security Alliance a déjà amené de milliers d’entreprises à prendre part à cette journée, soit en créant des événements soit en communiquant sur ses pratiques en matière de vie privée et de protections des données.
En France, chaque année, l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) organise en France les Université des correspondants informatique et libertés. Depuis 2010, l’association qui représente les professionnels de la protection des données personnelles et de la conformité à la loi Informatique et Libertés publie un Index du droit d’accès(pour mesurer et objectiver la conformité de l’accueil réservé aux demandes d’exercice de ce droit).
Aujourd’hui célébrée largement à travers le monde, cette fête civile a même donné naissance en 2019 au prix Rodotà qui récompense « des projets de recherche universitaire novateurs et originaux dans le domaine de la protection des données. »
En 2020 plus que toutes les années précédentes, le sujet a été inévitable. Après les scandales à répétition de Facebook, la levée de boucliers contre les Gafam et la défiance toujours plus grande envers le flicage sur Internet, une pluie d’amendes tombent en Europe. La CNIL est l’autorité de contrôle française qui, à ce jour, a prononcé l’amende RGPD la plus lourde. Il s’agit en effet de l’amende de 50 millions d’euros prononcée à l’encontre de Google « pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité » ; l’affaire concernant l’amende de 200 millions d’euros contre l’IAG, propriétaire de British Airways, au Royaume-Uni, suite à une violation de données qui aurait touché des centaines de milliers de clients est aussi une amende record du RGPD … C’est Grindr, l’application de rencontre pour les hommes gays, bisexuels, transgenres et queers qui a récemment été accusée par un organisme norvégien, de revendre illégalement les données personnelles de ses mobinautes à des entreprises tierces.Une pratique qui pourrait être lourdement sanctionnée, si elle s’avère vraie. En effet, l’application partagerait les données GPS, l’adresse IP, des informations sur le profil avec une multitude d’acteurs sans avoir obtenu un consentement conforme RGPD des personnes, et ce dans le but d’envoyer des publicités mieux ciblées. D’ailleurs, toujours selon cet organisme, le partage de ces données trahirait implicitement l’orientation sexuelle des personnes ; pour rappel, l’orientation sexuelle est une donnée dite sensible !
En revanche, l’Irlande n’a, à la date d’aujourd’hui, attribué aucune amende au titre du RGPD, alors qu’elle est le siège européen de nombreux géants du numérique tels FaceBook, Google, Apple, etc. En 2021, l’Afrique est invitée à aller à la découverte d’une manifestation née de l’âge numérique.
Mais peut-on réellement protéger les données d’un pays en Afrique?
Comme l’indique le Conseil de l’Europe, « la date du 28 janvier devrait simplement être gardée à l’esprit lors de la planification par l’État ou l’entité d’activités au titre de sa stratégie de sensibilisation. » Ainsi, loin d’être un cadre strict, cette journée est largement symbolique et cherche simplement à encourager les États et les entreprises à communiquer sur le sujet autour de cette date pour sensibiliser le grand public. À cette occasion, chaque Etat entend rappeler aux organismes publics et aux entreprises l’importance de protéger les renseignements personnels tout au long de leur cycle de vie. Il profite également de cette journée pour rappeler aux citoyens que la sécurité est l’affaire de tous. Elle leur recommande donc de protéger leurs renseignements personnels en tout temps. Et, advenant le vol ou la perte de leurs cartes bancaires, de leur permis de conduire, de leur carte d’assurance sociale ou maladie, par exemple, elle les incite à prendre des mesures pour en limiter les conséquences. Le Brésil a récemment adopté une loi sur la protection des données directement inspirée du modèle européen, à savoir le Règlement Général sur la Protection des Données Personnelles. Cette loi, c’est la LGPD ou Loi Générale sur la Protection des Données. Mais ce n’est pas le seul pays à s’être doté d’une loi sur la protection des données semblable au RGPD. Depuis le 1er janvier 2020, l’état de Californie impose à certaines entreprises de respecter une nouvelle loi, le « California Consumer Privacy Act (CCPA) », visant à mieux protéger la vie privée des consommateurs californiens.Le Japon, quant à lui, fait dorénavant partie des pays reconnus comme assurant un niveau de protection conforme : désormais, une entreprise, située dans l’Union Européenne, souhaitant transférer des données au Japon, n’aura plus à adopter des clauses contractuelles types ou des règles d’entreprises contraignantes (BCR).
La protection des données est relayée dans chaque pays par les autorités ou organismes dédiés à la protection des données ou de la vie privée. À l’instar de plusieurs autres autorités de protection des renseignements personnels à travers le monde, le Règlement Général sur la Protection des Données (RGPD) a développé des actions menant à la protection des données personnelles en ligne. Il incombe, en effet, aux organismes publics et aux entreprises de veiller au respect et à la mise en œuvre des obligations énoncées, d’une part, dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et, d’autre part, dans la Loi sur la protection des renseignements personnels dans le secteur privé. Parmi ces exigences, on retrouve notamment l’obligation pour un organisme public ou une entreprise de « prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support ».
Dès lors, un organisme public ou une entreprise doit notamment adopter des dispositifs visant à protéger l’environnement de travail ou encore l’équipement. Il doit également instaurer des protocoles d’accès, d’utilisation et de sécurité. Il doit former et sensibiliser son personnel à la protection des renseignements personnels. Au regard de toutes ces exigences, les données d’une université, par exemple, peuvent-elles bénéficier d’une protection adéquate ?
En matière de sécurité, le « risque zéro » n’existe pas
Les organismes publics et les entreprises ne sont pas à l’abri d’incidents pouvant conduire, par exemple, à l’oubli de documents contenant des renseignements personnels dans un lieu public, à l’envoi au mauvais destinataire de correspondances d’affaires, à la conservation non sécuritaire de matériel contenant des renseignements personnels ou carrément à la perte et au vol de documents ou de support informatique. Face à une telle situation, un organisme public ou une entreprise doit réagir rapidement afin de circonscrire l’incident et en limiter les conséquences. Les mesures prises doivent régulièrement être mises à jour pour éviter tout incident.
Pour aider les organismes publics et les entreprises à mieux gérer les incidents de sécurité, une Commission mise sur pied au Canada propose un Aide-mémoire faisant état des principales étapes à suivre lors d’une perte ou d’un vol de renseignements personnels.
Comment naviguer sur le web en toute sécurité en Afrique?
Le Virtual Private Network (VPN) est-elle une garantie de sécurité ? La nouvelle fonction introduite par le RGPD qui parle de Data Protection Officer ou encore de Délégué à la Protection des Données (DPD) est-elle pertinente à cet effet ? L’année 2018 s’est illustrée par un changement majeur en matière de confidentialité et de protection des données. Jusqu’alors, les données personnelles étaient divulguées, partagées, suivies et analysées sans le consentement préalable des consommateurs et sans même qu’ils ne soient au courant. Mais l’entrée en vigueur de RGPD a permis aux citoyens de l’UE de pouvoir contrôler leurs données. On note qu’en Afrique les données sont contrôlées de l’extérieur. En ce sens, quelles réflexions sur la propriété des « data centers » ?
Quel système d’archivage dans ces conditions ? Et pour quelle rentabilité ?
Pendant très longtemps, les entreprises n’avaient pas conscience de la valeur réelle des données dont elles disposaient, ni des répercussions que pouvait engendrer une mauvaise gestion de ces données. Les conclusions d’une enquête norvégienne alertent sur l’usage que font plusieurs sites de rencontre des données personnelles de leurs utilisateurs. Plusieurs services de rencontre sont pointés du doigt pour défaut de protection des données personnelles. Le traitement de ces données est strictement encadré par le RGPD. Après la mise en vigueur du règlement européen général sur la protection des données à caractère personnel (RGPD), les internautes tentent de reprendre le contrôle sur la collecte et le traitement de leurs données personnelles. Cependant, il est primordial de poursuivre la sensibilisation des consommateurs sur l’importance de reconnaître notre emprunte numérique et de protéger nos données sur Internet. Les personnes concernées disposent de droits afin de garder le contrôle sur leurs données :droits d’accès, droit à l’effacement, droit de retirer son consentement, droit de rectification…Le droit à l’effacement est un droit garanti par le RGPD et la loi « Informatique et Libertés ». Ce droit permet à une personne de demander l’effacement de toutes ses données personnelles lorsque qu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées ou encore lorsque ses données ont fait l’objet d’un traitement illicite. Néanmoins, lorsque les données ont été collectées pour respecter une obligation légale, l’entreprise peut refuser de donner suite à ce droit.
Le consentement est l’une des six bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données ; l’entreprise peut alors traiter ces données en toute légalité, si celles-ci ont été consenties de manière libre, spécifique, éclairée et univoque. Le registre des traitements est un document qui recense tous les traitements portant sur les données à caractère personnel. Pour les activités de Webedia, par exemple, le consentement est requis pour toutes communications électroniques destinées à des prospects ; il est en de même pour les cookies déposés, visant à lui envoyer des publicités ciblées. Tout traitement qui implique des données à caractère personnel doit être régi par un contrat ou un acte juridique contraignant (devis, ordre d’insertion, etc.).
L’étude de Jean-Pierre Boushira « Truth in Cloud » a mis en lumière que plus de la moitié (60%) des sondés français pensent que les fournisseurs de services cloud en France sont les principaux responsables en cas d’interruption de service. 82% des sondés considèrent aussi que le fournisseur de services cloud de leur entreprise est tenue d’assurer que leurs charges de travail et leurs données dans le cloud sont protégées des pannes. Cette étude a d’ailleurs révélé que les consommateurs français seraient enclins à se tourner vers d’autres marques ou à porter préjudice à la réputation d’une marque si celle-ci ne protégeait pas correctement leurs données. Investir pour une meilleure gestion et une meilleure protection des données présente un certain nombre d’avantages, comme la personnalisation et l’amélioration du service client et la création de business model centrés sur la donnée qui peuvent constituer de nouvelles sources de revenus. De plus, près de la moitié des consommateurs dans le monde seraient prêts à dépenser davantage auprès d’entreprises qu’ils jugeraient fiables concernant leurs données. Au-delà de l’aspect technologique, les entreprises doivent veiller à inculquer une culture de la conformité et de la responsabilité auprès de leurs collaborateurs. Près de 91% des entreprises admettent qu’elles manquent d’une culture de gouvernance des données. En adoptant une approche intégrant à la fois la technologie, les process et les collaborateurs, les entreprises pourront ainsi récolter les fruits d’une gestion et d’une protection performante des données et inspireront confiance auprès des clients, des critères essentiels pour réussir dans l’économie digitale actuelle.
Alain Cyr Pangop