Archives quotidiennes :

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Antivirus, backdoor, Cybersécurité, Logiciels, Piratage, ransomware, Securite informatique

10 mythes et idées reçues à oublier au sujet des malwares

Les malwares font « jazzer » comme le disent nos amis Quebecois. Mais au fait, c’est quoi un malware ? Envie d’avoir quelques conseils afin de pouvoir faire la différence entre un Blue Screen of Death causé par un matériel défectueux et un vrai malware infectant vos équipements ? iTrust revient  sur quelques points qui vous y aideront, en décryptant les idées reçues et mythes qui gravitent autour des malwares depuis quelques années.

  • Mythe #1: Les cyberattaques sont récentes, peu nombreuses, massives et font toujours la une de l’actualité

Vous avez sûrement déjà entendu parler des cyberattaques causées par Petya, Wannacry ou plus récemment des incidents de sécurité informatique connus par Equifax. En seulement un an, ces cyberattaques massives ont fait des millions de victimes à travers le monde (notamment au sein de grandes entreprises), faisant les gros titres de l’actualité.

Cependant, si nous n’entendons pas parler d’autres attaques, cela ne signifie pas forcément qu’elles n’existent pas : des millions de tentatives (ou réussites) de piratage informatique visent les petites, moyennes et grandes entreprises au quotidien, utilisant des procédés qui passent du petit malware encodeur au vicieux malware effaceur.

Aussi, il est souvent dit que chaque cyberattaque menée est unique en son genre et qu’elle est composée d’une manière complexe et différente à chaque fois : s’il est vrai que ces attaques sont de plus en plus sophistiquées, il est à souligner que la plupart sont basées sur les mêmes procédés et changent peu dans leur composition.

  • Mythe #2: Les petites et moyennes entreprises ne sont pas une cible de choix pour les hackers  

Vous pensez que votre entreprise est bien trop petite pour attirer l’attention des hackers ? Grosse erreur.

Même si vous ne constituez pas la cible la plus lucrative aux yeux des hackers, votre entreprise n’en reste pas moins une cible de choix : elle constitue pour eux une cible facile à atteindre en peu de temps.  En effet, les petites et moyennes entreprises ont souvent des mesures de sécurité moins développées (voire inexistantes), qui permettent ainsi aux hackers de récupérer plus facilement nombre de données.

  • Mythe #3: Vous saurez immédiatement si votre ordinateur est infecté

Si certains types de malwares sont visibles au premier coup d’œil (comme par exemple les rançongiciels, qui bloquent tout accès à votre équipement ou encore certains malwares ralentissant de manière visible le fonctionnement de votre ordinateur), la plupart d’entre eux fonctionnent sans même que vous vous en rendiez compte, restant cachés au sein de vos équipements parfois durant des années.

La seule façon de vraiment savoir si votre ordinateur est infecté est de dépasser le stade d’une protection minimale de vos appareils en utilisant des solutions de cyber sécurité dynamiques, et non plus seulement statiques (type antivirus). En effet, les antivirus vous protègent seulement des attaques qu’ils ont déjà été recensées auparavant : mais qu’en est-il si un malware jusqu’alors inconnu s’infiltre dans vos équipements ? C’est alors que les solutions de sécurité informatique dites « dynamiques » entrent en jeu, sous la forme d’analyses de comportement utilisateurs. Pour en savoir plus, n’hésitez pas à lire notre article sur la détection d’analyses comportementales, ici.

D’autres mythes à découvrir sur le blog de iTrust.