Archives de catégorie : loi

RGPD loi 490 : une évolution dans la protection des données personnelles mais qui n’est pas encore suffisante

Loi 490 – La mise en place du RGPD (Règlement Général sur la Protection de Données) entrera en vigueur le 25 mai 2018. Tous les pays membres de l’Union Européenne doivent mettre en conformité leurs législations nationales avec ce nouveau règlement européen.

En France, le projet de Loi n°490, relatif à la protection des données personnelles, présenté à l’Assemblé en février 2018, est quant à lui, destiné à compléter en France les dispositions du RGPD.
Le premier objectif de ce projet de Loi est de responsabiliser les entreprises qui doivent se montrer actives dans la protection des données et mettre en œuvre des actions. Celles-ci ne devront plus se contenter de « déclaration » mais tenir un « registre des activités de traitement », effectuer des « analyses d’impact relative à la protection des données » lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou encore faire appel à un « délégué à la protection des données » qui vient remplacer le CNIL. Le second objectif est de renforcer le droit des personnes en leur accordant des nouveaux droits.

Bien que ce projet de Loi n°490 souligne un besoin réel de changement dans l’encadrement de la protection des données à caractère personnel, il possède encore des zones d’ombres qui risquent de compromettre la mise en application des droits gagnés des utilisateurs, et qui demandent aux Responsables de Traitement de réaliser des concessions.

Qu’est-ce que « l’intérêt légitime » ?

Pour être licite, un traitement de données à caractère personnel doit respecter l’une des six bases légales fixées par le Règlement à savoir l’exécution d’un contrat, l’obligation légale, le consentement, l’intérêt vital, l’intérêt légitime. La notion d’intérêt légitime est subjective et n’a pas la même ampleur pour toutes les entreprises. Pourtant l’intérêt légitime sera l’une des bases juridiques valables pour se passer du consentement de l’utilisateur.

Chaque Responsable de Traitement devra alors posséder la preuve du consentement de la personne faisant l’objet du traitement de données, sauf dans plusieurs cas précis, comme par exemple celui de la poursuite légitime. Comment définit-on alors l’intérêt légitime ?

Les moyens d’exercice de son droit

Comment permettre aux internautes de faire appliquer leurs droits de suppression, d’information ou de limitation ? Quels sont les moyens d’exercice qui garantiront aux usagers de ne pas voir leurs demandes rester sans réponse ? Pourquoi reconnaître des droits s’il n’existe pas de canal d’application permettant de les faire exécuter ?

Il est important que les obligations du Responsable de Traitement soient assorties des modalités d’application adaptées. Egalement, il serait pertinent de voir la « demande par email » considérée, d’autant que l’essentiel des fichiers comportent et portent un email, et d’indiquer des délais suffisamment courts pour que cela soit efficace et que les demandes des internautes soient traitées par les éditeurs du fichier.

Devoir d’information des Responsables de Traitement

Les modalités de mise en oeuvre du devoir d’information des Responsables de Traitement n’ont pas été évoquées de façon précises : l’information doit être compréhensible, accessible, en termes clairs. Que se passe-t-il après avoir rempli ce devoir d’information « one shot » ? Si les responsables de traitement envoyaient une fois par an un email récapitulatif à toutes personnes concernées par le traitement sur leur adresse mail utilisée pour le fichier, cela permettrait aux internautes de se rappeler quelles informations sont fichées, et leur fournirait un point de contact utilisable (adresse d’email utilisée pour l’envoi) pour faire appliquer leurs droits. Naturellement un délai de réaction adapté doit courir dès l’envoi de l’email, au-delà duquel une non-réponse vaudra refus ou manquement et donc permettra à l’intéressé de se tourner vers la CNIL. La CNIL verra alors ses pouvoirs et ses devoirs de gendarme du web renforcés. Aura-t-elle ainsi ses moyens d’action, humains et matériels, ajustés à la hauteur des objectifs qui seront désormais les siens ? Si ce n’est pas, cela aggravera l’impression générale que la CNIL ne peut traiter qu’une infime partie des signalements, bref un gendarme qui n’est pris au sérieux ne peut pas gendarmer !

Durée de conservation des données

Est-il souhaitable qu’un moteur de recherche géant ou une société de remarketing puisse conserver 40 ans d’historique de la vie de quelqu’un ? Comment l’utilisateur sera-t-il informé que ces données aient bien été supprimées, sans contacts spontanés réguliers avec le responsable de traitement ? Cela ne renvoie-t-il pas à la nécessité d’informer régulièrement l’utilisateur ? Pris ensemble, ces éléments imposent aux Responsables de Traitement de fournir aux internautes une adresse email pour faire appliquer leurs droits. La mise à disposition de requêtes automatisées accessibles par URL est certainement la meilleure solution pour toutes les parties : garantie d’action immédiate pour le demandeur, et annulation de l’encombrement service client lié au traitement humain des demandes côté responsable de traitements.

Sécurisation des données

La responsabilité de la sécurisation des données incombe au responsable de traitement comme le vol de données ou le hacking. Le manquement à ses obligations peut entrainer de lourdes sanctions prononcées par la CNIL dont le rôle sera de distribuer des amendes, et pourtant de nombreuses sociétés n’ont encore aujourd’hui aucune gestion de sérieuse de leurs données. De nombreuses sociétés vont à présent se positionner sur l’appel d’air du RGPD et vendre des registres,
des audits à de nombreuses sociétés. Une prestation pour sécuriser a minima leurs bases de données. Comment les entreprises informeront-elles leurs prospects/clients ? Comment pourront-elles gérer leurs demandes, la mise à jour de leurs registres ? Ces flous persistants sont aussi un problème pour la majorité des Responsables de Traitement qui ne sont pas nécessairement des grands moteurs de recherche ou des sociétés de targeting.

Ce texte de Loi est une avancée mais des éléments concrets pour protéger l’identité numérique des personnes manquent encore, comme cadrer les raisons qui permettent de se passer du consentement mieux qu’avec l’intérêt légitime de l’entreprise contre l’attente raisonnable de l’utilisateur ; Donner des vrais moyens pour exercer les droits de l’internaute lorsque l’écueil de l’intérêt légitime sera évité ; Mieux expliciter le devoir d’information des Responsables de Traitement n’est pas explicité ; la durée de la conservation des données… (Ludovic Broyer, fondateur d’iProtego)

L’e-Santé et la santé connectée: la sécurité au cœur des enjeux

Aujourd’hui plus que jamais, la santé fait partie des préoccupations quotidiennes des Français . Et pour cause, les problématiques budgétaires liées au devenir de la sécurité sociale (7,2 milliards de déficit dont 4,1 milliards pour la branche assurance maladie en 2016 ), les déserts médicaux (initiés par la hausse de l’urbanisation), la remise en cause de la disponibilité des soins apportés dans les hôpitaux, une population de plus en plus vieillissante, amènent les pouvoirs publics à chercher des solutions.

Le Président Emmanuel Macron a exprimé à maintes reprises son souhait de débloquer un plan d’investissement de 5 milliards d’euros destiné à moderniser en profondeur le secteur médical. Depuis son élection, le gouvernement encourage les entrepreneurs à concevoir de nouvelles technologies pour développer l’e-Santé afin d’améliorer durablement la santé des citoyens tout en réduisant les coûts de l’assurance maladie .

L’e-santé ou la santé 3.0, qui peut être décrite comme le mariage entre les nouvelles technologies, les professionnels de santé et les patients, est déjà un domaine dynamique qui ne cesse de se développer en France. Ce marché est évalué à 4 milliards d’euros pour la France d’ici 2020 . Près 100 millions d’euros ont été investis dans le secteur de l’e-santé et du bien-être en 2016, ce qui en fait l’un des secteurs les plus attractifs de l’année .

A l’origine, la France est le pays précurseur en matière de numérisation du système de santé.
La diffusion de la première carte vitale en 1998 (qui va bientôt fêter ses 20 ans d’existence), permet à des millions de Français une gestion automatisée de leurs facturations de prestations de soins, et un remboursement plus rapide de leurs frais médicaux. Et pourtant aujourd’hui, l’Hexagone est classé parmi les pays « moyennement avancés » avec un niveau de déploiement de l’e-santé encore peu satisfaisant, qui le place loin derrière le Royaume-Uni, L’Espagne et les Etats-Unis . Etonnant pour un pays qui a pourtant des atouts considérables, fort de sa médecine et de son système de soins.

L’e-Santé offre pourtant de nouvelles opportunités comme la télémédecine, qui permet aux patients de bénéficier d’une consultation médicale à distance (en visioconférence) avec un ou plusieurs professionnels de santé (diagnostic, bilan de santé suivi médical etc.). La télémédecine est particulièrement bien adaptée pour répondre à la problématique des déserts médicaux en permettant non seulement le diagnostic à distance mais également une meilleure hospitalisation à domicile (télésurveillance) pour des suivis de maladies chroniques (cardiaque, diabète ; …), dans la prise en charge d’un AVC ou encore le suivi en continu des soins. Sur ce dernier point, l’installation d’équipements connectés au domicile du malade permet de fournir en permanence aux médecins des informations sur l’état de santé du patient. Les nouvelles technologies très poussées de ces appareils – miniaturisées à l’extrême avec des batteries allant jusqu’à 10 ans de durée de vie – rendent l’objet très peu intrusif dans le quotidien des patients qui l’adopte rapidement. La télésurveillance apporte aussi un confort non négligeable aux personnes âgées qui se sentent souvent mieux à leur domicile que dans des maisons de retraite. Par exemple, la société OnKöl a lancé en septembre 2017 un boitier intelligent prêt à l’emploi qui informe la famille du patient et les soignants de tous les détails des signes vitaux aux urgences, en passant par les rappels de prise de médicaments. Les données collectées sont chiffrées avant d’être transmises via le réseau mobile vers les professionnels de santé. Aux Etats-Unis, des appareils de lutte contre l’apnée du sommeil sont eux-aussi connectés pour vérifier que le traitement est efficace et l’ajuster si nécessaire.

La mise en place des systèmes d’informations de santé (SIS) ou hospitaliers (SIH) facilitent également les échanges de données et les dossiers médicaux numériques des patients entre le médecin, l’hôpital et la sécurité sociale.

Les citoyens français se montrent en grande majorité favorables au développement de nouvelles technologies liées à l’e-Santé, notamment à la transmission électronique de leurs résultats d’examen médicaux entre professionnels de santé (87%), au renouvellement d’ordonnances à distance (84%) et à la réception de leurs données médicales ou de leurs résultats d’examen sous format électronique (81%) . Malheureusement le projet de Dossier Médical Partagé (DMP) lancé initialement en 2004 sous le nom de Dossier Médical Personnalisé qui devait placer la France en tête, est loin de répondre aux attentes. En effet, le déploiement a été très faible, freiné par des problèmes techniques et une absence d’incitation des médecins généralistes qui doivent supporter le coût de mise à jour du DMP de chaque patient sans véritable contrepartie.

L‘autre frein au développement de l’e-santé réside dans la crainte des patients que le secret médical et la confidentialité de leurs données ne soient pas assez sécurisés. Cette crainte concernant la sécurité atteint 41% des personnes interrogées et 50% chez les jeunes.

Si la France est mature d’un point de vue politique et citoyens pour développer l’e-santé, il lui manque encore un cadre sécuritaire bien établi pour que cet écosystème voie le jour. La multiplication des cyberattaques d’envergure mondiale (Wannacry, NotPetya, Botnet Mirai) ces deux dernières années est révélatrice des failles encore existantes et invite à ne prendre aucun risque, surtout à l’échelle de données personnelles et privées, concernant des millions de citoyens. La sécurité des données passe par l’utilisation de technologies de chiffrement qui doivent être accompagnées de moyens de mise à jour régulière afin de faire face aux évolutions constantes des cyberattaques. La sécurité du système de santé, système dit « critique », doit donc être pensée dans sa globalité et de façon « bout en bout », de l’appareil de santé au stockage, usage et partage des données générées.

Pour assurer le bon fonctionnement d’un système de santé connectée dans son ensemble, il est indispensable de garantir l’efficience des nouvelles technologies et la protection des données sensibles qu’elles contiennent. Pour cela, il est nécessaire que la sécurisation des données personnelles de santé soit pensée à échelle nationale voire européenne avec une norme claire et définie. En effet, l’Union Européenne a défini un plan pour la santé au sein du marché unique numérique qui se focalise sur 3 objectifs prioritaires : permettre l’accès sécurisé et l’utilisation des données de santé par les citoyens sans frontière à l’intérieur de l’Europe, aider à la mise en place d’une infrastructure de données européenne pour faire avancer la recherche et les soins personnalisés, et enfin faciliter échanges et interactions entre les patients et les prestataires de santé.

L’essentiel à retenir est que tout est là : la volonté d’un Etat, l’attente d’une population, la technologie. L’e-Santé a aujourd’hui tous les ingrédients pour révolutionner notre système de santé et proposer des services plus adaptés à notre ère digitale. Il s’agit maintenant que tous les acteurs collaborent efficacement pour mettre en place une infrastructure fiable en collaboration avec l’UE pour que la France bénéficie des énormes avancées que l’Internet des Objets rend possibles tout en garantissant une sécurisation sans faille des données personnelles des patients. (Par Stéphane Quetglas, Directeur Marketing Internet des Objets (IoT) chez Gemalto)

Source : https://www.journalducm.com/sante-connectee-e-sante/
Source : http://www.lepoint.fr/societe/chomage-sante-retraites-premieres-preoccupations-des-francais-13-01-2017-2096886_23.php
Source : https://www.maddyness.com/entrepreneurs/2017/05/10/presidentielle-2017-emmanuel-macron-medecine-connectee/
Selon une étude de juillet 2017 menée par le cabinet Xerfi-Precepta
Source : https://www.journalducm.com/sante-connectee-e-sante/

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

Interdit d’interdire ! La Chine bloque de nombreuses applications iPhone

Le Ministère de la Santé Chinoise fait interdire de nombreuses applications après la modification de la législation locale. Skype résiste, mais pour combien de temps ?

La Chine fait interdire la VoIP ! Les utilisateurs Chinois d’iPhone sont de moins en moins à la fête après la modification de la loi Internet voté par le gouvernement. De nombreuses applications permettant de communiquer en mode VoIP ont été censurées. Le ministère de la santé publique a fait retirer plusieurs applications Voice-over-Internet-Protocol (VoIP). La loi ne les autorise plus sur le territoire Chinois.

Les boutiques d’Apple et Google souhaitant continuer à faire du business en Chine, les deux géants américains se plient donc à la censure Chinoise.

Skype fonctionne encore pour le moment, mais il n’est plus possible depuis fin octobre de payer les services Skype via Apple.

Skype est l’un des derniers outils non-chinois à fonctionner. Il y a six mois, Gmail, Twitter, Telegram ou encore Snapchat avaient été interdits. En septembre 2017, WhatsApp a été bloqué.

Des outils qui peuvent revenir batifoler avec le cyberespionnage Chinois à la condition ou le chiffrement des applications soit retiré. La Chine a aussi interdit l’utilisation des VPN. Amende et prison pour ceux qui tenteraient de jouer avec le yaomo, le diable.

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.

Assurance : Euler Hermes lance EH Fraud Reflex

La première assurance fraude globale et 100% digitale des petites entreprises.

Face à un risque de fraude croissant et protéiforme, Euler Hermes affirme à nouveau sa volonté d’accompagner les entreprises dans la prévention des risques et la protection de leur trésorerie. Le leader européen de l’assurance fraude lance une nouvelle solution complète et totalement dématérialisée à destination des petites entreprises[1], EH Fraud Reflex.

Entre persistance de la fraude par usurpation d’identité et explosion du nombre de cyber attaques, le risque de fraude se diversifie, s’intensifie, et évolue vers plus de sophistication. D’après l’étude menée en 2017 par Euler Hermes et la DFCG[2], 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude l’an passé, et 1 entreprise sur 5 a subi au moins une fraude avérée sur la même période.

« Les petites entreprises semblent les plus exposées au risque de fraude, car leur budget alloué à la protection des données et au renforcement des process est limité. De plus, la moindre perte peut s’avérer désastreuse pour leur trésorerie. Selon notre enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 €. Un montant conséquent qui mettrait en danger la viabilité de beaucoup de petites entreprises », analyse Sébastien Hager, Expert fraude chez Euler Hermes France.

Efficacité, simplicité et personnalisation

Afin d’aider les petites entreprises à protéger leur activité, Euler Hermes propose une nouvelle solution d’assurance fraude globale et 100% digitale. EH Fraud Reflex les protège contre la cyberfraude, la fraude externe et la fraude interne, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données). La couverture, la franchise et la durée sont personnalisées selon le profil de l’entreprise et modulables.

Le parcours de souscription, entièrement dématérialisé, s’effectue sur une plateforme internet dédiée : de la qualification du besoin à la définition des paramètres du contrat, avec une possibilité de signature électronique une fois les options et le tarif sélectionnés, EH Fraud Reflex propose une expérience digitale optimisée, intuitive et rapide. De plus, l’outil allie à la fois prévention et protection : plusieurs questions sont posées à l’entreprise afin de l’aider à identifier ses mesures de prévention face au risque de fraude, et à définir précisément son besoin de couverture.

« Finalement, EH Fraud Reflex pourrait se résumer en trois mots : efficacité, puisqu’elle protège contre tous les types de fraude à moindre coût (à partir de 75€ HT par mois) ; simplicité, puisqu’on peut y souscrire en ligne, en quelques clics et sans audit préalable ; personnalisation, puisqu’elle s’adapte aux besoins de l’entreprise », résume Sébastien Hager.

De nouveaux risques qui nécessitent de nouvelles défenses

Pour Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France, la dématérialisation de l’assurance répond parfaitement à l’évolution des attentes des petites entreprises. « Le progrès technologique permet aux pirates de se réinventer en permanence, d’où l’apparition récurrente de nouveaux risques pesant sur la trésorerie et la rentabilité des petites entreprises. Dans ce contexte, ces dernières recherchent avant tout de la flexibilité, de la simplicité et de l’immédiateté dans les outils qu’elles utilisent pour se défendre. L’assurance 100% digitale réunit l’ensemble de ces critères, et EH Fraud Reflex relève de cette philosophie. La commercialisation de cette nouvelle solution d’assurance fraude est une étape supplémentaire dans notre accélération digitale, et appelle à d’autres innovations dans la façon de protéger les actifs des sociétés. C’est un virage primordial pour accompagner au mieux les petites entreprises dans leur prévention, leur protection et leur développement. »

[1] Entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros
[2] Enquête menée en avril 2017 auprès de 200 entreprises. Toutes les tailles d’entreprises et tous les secteurs sont représentés

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

Le cabinet d’avocats Desmarais en direct dans le Dark Web

Dark Web, deux mots qui font fantasmer… et renvoient souvent aux hackers, crackers et autres pirates informatiques. Un espace qui pourtant n’est pas à négliger. Le cabinet d’avocats Desmarais vient d’y implanter un espace numérique.

Ce Dark Web, appelé officiellement « Internet Clandestin » par la Commission d’Enrichissement de la Langue Française n’est pas une zone de non droit pour Pierre Desmarais du Cabinet Desmarais Avocats. « Le Dark Web est d’abord et avant tout un espace chiffré permettant des échanges et des connexions sécurisées et plus anonymes. Comme sur tout espace public, le droit y a pleinement sa place ».

De l’autre côté du miroir

En amont de l’ouverture du Hackfest de Québec et à l’occasion du lancement de son nouveau site Internet (www.desmarais-avocats.fr), le Cabinet, spécialisé notamment en droit de l’innovation, des données et du numérique, a décidé de se présenter également sur TOR (The Onion Router) via l’adresse pxpalw3plncz4umm.onion (Uniquement via TOR).

« Aujourd’hui, c’est une simple transposition de note site classique. Demain, nous irons plus loin. En effet, les utilisateurs du Dark Web, de TOR, se posent de nombreuses questions sur l’usage crypté / anonymisé permis pour cet espace. C’est pourquoi nous allons rapidement leurs proposer une FAQ sur les points principaux » précise Mr Pierre Desmarais.

De plus, et pour aller encore plus loin, le cabinet Desmarais Avocats envisage déjà de réaliser des webinars dédiés sur TOR. Pour construire ceux-ci et préparer la FAQ, chaque internaute présent sur le Dark Web et s’interrogeant sur une question juridique liée à son usage est invité à transmettre celle-ci via le formulaire de contact présent sur le site.

Dark Web, un nouvel espace de sécurité pour les usagers et les entreprises

À l’heure où la sécurisation des données, leur anonymisation sont au centre de tous les débats, aussi bien dans le monde de la santé, du e-commerce, de la banque-assurance ou de l’information, le Dark Web est de plus en plus porteur de solutions.

OpenBazzar est un exemple révélateur de cette évolution, de ces nouveaux usages issus du Dark Web. Non seulement cette plateforme de e-commerce permet de limiter le prix de biens vendus (absence de commission, chaque utilisateur ou entreprise étant sa propre plateforme de e-commerce) mais elle permet également de rester maître de ses données personnelles, de ses habitudes d’achat qui ne sont transmises à personne.

« Les technologies blockchain, dont on parle de plus en plus et dont les usages commencent à émerger pour sécuriser des transactions financières, des échanges de données…, sont nées du Dark Web » indique Mr Pierre Desmarais avant de poursuivre « Il est nécessaire de s’immerger dans cet espace si l’on souhaite accompagner au mieux les usages. Cela fait partie de l’ADN du cabinet ».