La loi informatique et libertés est très restrictive. En défendant les libertés individuelles, elle oblige les entreprises à protéger leurs données sensibles
A l’occasion d’une matinée consacrée à la sécurité et au big data et au cloud, organisée par la revue de sécurité CNIS, la nécessité de nouvelles défenses pour nos données personnelles est apparue flagrante. Du point de vue de la loi informatique et libertés, les données sensibles ne sont pas, par exemple, les fichiers stratégiques et économiques, comme on peut le croire dans les entreprises, mais celles qui montrent parfois indirectement : vos origines ethniques, vos opinions politiques, syndicales ou religieuses et surtout toutes les données relatives à votre santé. Sur les données personnelles, la loi impose que tout traitement de données personnelles fasse l’objet de formalités préalables (déclaration, demande d’autorisation), sous peine de sanctions pénales (5 ans d’emprisonnement, 300 000 euros d’amende). Cette notion de protection de la vie privée s’avère largement bafouée par bon nombre d’entreprises américaines qui profitent aux USA d’une approche plus souple, celle de la notion de données commerciales. Ces fichiers de plus en plus se nourrissent de données issues des réseaux sociaux.
Aux USA, on scrute les réseaux sociaux à des fins commerciales
Pour l’obtention de prêts, des firmes spécialisées, en pointe, étudient pour les banques votre environnement de travail et vos relations pour établir un niveau de risque. Ce genre d’analyse est totalement interdit en France et en Europe, mais les données des réseaux sociaux étant pour la plupart stockées aux USA, rien n’empêcherait des intermédiaires, tels des détectives privés, de proposer des « profils » ou des études sur mesure.
LinkedIn ouvre votre courrier avec son service intro
Pour l’avocate Garance Mathias, présente à la conférence (photo), l’actualité récente montre une montée des dangers. L’exploitation des données de messageries contenues sur LinkedIn a connu la semaine passée un rebondissement symptomatique. Pour offrir l’affichage systématique de l’émetteur, encore uniquement disponible sur la version de messagerie pour l’iPhone, LinkedIn récupère les photos contenues dans les profils et les colle dans l’entête de votre courrier. Outre le fait que LinkedIn fasse transiter vos données de messageries IMAP et SMTP au travers de leurs serveurs, la firme les analyse et les modifie. C’est pour beaucoup d’observateurs un risque évident d’espionnage et d’insertion de malwares, même si LinkedIn se défend de toute intervention humaine.
Bruce Schneier, (photo ci-contre) un gourou de la sécurité, aime à répéter à propos des réseaux sociaux « Ne faites pas l’erreur de croire que vous êtes le client, vous ne l’êtes pas, vous n’êtes que le produit ». La prochaine sanction de la Cnil à l’égard de Google pour avoir refusé d’expliquer quels traitements la société américaine appliquait aux données à caractère personnel, sans informer les utilisateurs sur les finalités des traitements ainsi mis en œuvre, montre le dialogue de sourds dans lequel on se trouve actuellement. Ces firmes se réfugient derrière la législation américaine au lieu de répondre aux injonctions des législateurs européens pour clarifier le traitement des données personnelles. Plus de 6 Cnil européennes ont mis en demeure Google d’expliquer ses traitements. Au vu des révélations sur Prism cet été, et l’indifférence des firmes américaines mises en cause, la création d’une législation pour un internet européen sécurisé et un cloud totalement indépendant a désormais du sens.
En France, la Cnil veille
En France, au pays de la liberté et de l’égalité, la Cnil veille et du coup menace et condamne ceux qui par négligence ou cupidité remettent en cause les valeurs défendues par la république. Dernièrement, c’est l’hôpital de Saint-Malo qui a subi une remontrance pour avoir laissé à des sous traitants informatiques des données médicales sensibles non « anonymisées » au préalable, ce qui est pénalement condamnable. 950 patients ont vu leurs données très personnelles « sortir » de l’hôpital. Rendre anonymes les données est la solution préconisée par la Cnil pour les données personnelles en particulier celles relevant de la santé. Cette forme de protection est tout a fait possible grâce à une palanquée d’outils de masquage des données. C’est une solution alternative au chiffrement des données stockées ou la tokenisation qui rend illisible certaines parties des enregistrements.
« Sortez masqués , c’est une solution »
Pour Informatica, présent aussi à la conférence CNIS, c’est le masquage dynamique qui garantirait une parfaite transparence pour les traitements. « Les fichiers de données sont complètement transformés » précisait Gilles Maghami, un consultant sénior de la firme ( photo, ci-contre). Sans l’algorithme de l’applicatif qui se situe dans un proxy sur le site ou dans le cloud., impossible de retrouver la trace des vrais fichiers. « C’est important de ne pas réaliser des tests avec des données réelles comme jeu d’essai, c’est une dérive habituelle . L’outil restreint l’accès des utilisateurs finaux et des membres habilités de l’informatique au niveau des écrans, tables, colonnes, lignes et cellules en ajustant le contrôle effectué sur le processus de masquage dynamique des données ». La firme fait partie avec Oracle (Data masking pack) et IBM (infosphere Optim data privacy) des sociétés les mieux placées selon le bureau d’études Gartner. Grid Tools, Mentis, Compuware et Camouflage software, un peu en retrait par rapport aux trois ténors se distinguent néanmoins soit par leur capacité à innover soit par leur capacité à mettre en œuvre des solutions de masquages.