Gérer les risques
Aujourd'hui et demain

Cyberprévention

28 janvier 2021 : Data Privacy Day

Depuis 2006, la Journée de la protection des données personnelles fournit l’occasion d’examiner comment, dans la vie personnelle ou professionnelle, encourager le respect de la vie privée et la protection des données à caractère personnel.

Chaque année, le 28 janvier célèbre la Journée de la protection des données personnelles ou Data Privacy Day. C’est le Conseil européen qui a lancé cette initiative en 2006. À cette occasion, gouvernements, institutions et associations agissent de concert. Objectif : sensibiliser les citoyens aux droits à la protection des données personnelles et de la vie privée. Selon la CNIL, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Comme le prénom, le nom, la voix, l’image, l’adresse postale, le mail. Voire le numéro de téléphone, de plaque d’immatriculation ou de sécurité sociale. C’est l’occasion pour certains experts de reposer des questions de fond.

refusant-que-leurs-donnees-personnelles-soient-partagees-par-Facebook-les utilisateurs-de-whatsapp-sont massivement-partis-vers-l-application-signal.

Refusant que leurs données personnelles soient partagées par Facebook, les utilisateurs de WhatsApp sont massivement partis vers l’application Signal. © Signal

Ne pas rester éthique peut coûter cher

Cependant, citoyens et consommateurs sont de plus en plus conscients de l’importance de leurs données personnelles. En témoignent l’exode massif des utilisateurs de WhatsApp vers Signal qui se déroule à l’heure actuelle. « Ils attendent un comportement juste et honnête des services et des entreprises qu’ils utilisent », explique Frédéric Rivain, Directeur Technique de Dashlane, un éditeur de logiciels de sécurité. Mais quelle différence y a-t-il entre confidentialité et protection des données à caractère personnel ?

‘‘Confidentialité’’ ou ‘‘protection’’ des données ?

« La protection des données consiste à autoriser ou refuser l’accès à certaines données. Tandis que la confidentialité des données est plus sophistiquée, estime Wim Stoop, Directeur Commercial chez Cloudera, un expert de la transformation digitale. Il ne s’agit pas seulement de l’accès aux données mais également des données elles-mêmes. » Ainsi faut-il savoir identifier les données personnelles dites sensibles. Autrement dit, les données personnelles sensibles sont bien plus que des données propres à un individu. En effet, elles peuvent être une combinaison de plusieurs données. Associées les unes aux autres, celles-ci permettent d’identifier un individu. « Face au flux croissant de données, il est indispensable de classifier leurs données et d’en identifier les plus sensibles. Ainsi que celles qui, une fois combinées, le deviennent », reprend Wim Stoop.

Ne pas partager les mots de passe et les terminaux au bureau et à la maison

Nous avons tous de nombreux mots de passe pour accéder à des terminaux professionnels, des plateformes, des fichiers partagés, etc. Cependant, selon l’éditeur de sécurité SailPoint, 25 % des Français ont partagé leurs mots de passe professionnels avec un collègue. Voire un membre de leur famille. « Ceci accroît le risque que des mots de passe tombent entre de mauvaises mains. Et ouvre l’accès vers des données d’entreprise sensibles, avertit Hervé Liotaud, vice-président pour l’Europe de l’ouest chez SailPoint. Un mot de passe récupéré par un pirate, c’est un sésame pour pénétrer dans la vie personnelle de sa victime. Ainsi que dans celle de son employeur. »

Un risque accru avec le télétravail

Pendant le confinement, 24 % des Français ont régulièrement télétravaillé, selon un sondage Odoxa. Cette organisation du travail a accru les cybermenaces. En effet, les équipes IT ont parfois eu du mal à savoir qui avait accès à quoi. D’où l’importance d’organiser « des sessions de téléformation sur la sécurité et les gestionnaires de mots de passe. Ainsi que sur le moyen de réinitialiser automatiquement les identifiants. Sans faire appel au service informatique », précise Hervé Liotaud. Sans compter la nécessité d’outiller les laptops et smartphones avec les suites de logiciels de sécurité adéquates.

Proportionner la protection selon la criticité des données

Rappelons que l’entrée en vigueur du RGPD s’est effectuée en mai 2018 au sein de l’Union européenne. Tous les Européens bénéficient d’un encadrement juridique relatif au traitement et à la protection de leurs données. Entreprises et citoyens disposent ainsi d’un cadre juridique clair sur la collecte, la gestion et la suppression des données personnelles. Au-delà de la conformité, les entreprises ont tout intérêt à faire de la protection des données une priorité. Or, pour protéger les informations sensibles, il ne suffit pas de savoir où elles se trouvent. Il est également essentiel de classifier les données selon leur criticité. Et d’organiser une protection proportionnée. « Trop souvent, les organisations accordent autant d’attention aux données insignifiantes qu’aux contenus de valeur nécessitant une protection renforcée », soulève Pierre-Louis Lussan, directeur pour l’Europe du sud-ouest de Netwrix qui édite des logiciels de sécurité.

Erick Haehnsen

(1) Règlement général pour la protection des données personnelles en Europe

Commentez

Participez à la discussion