Archives de catégorie : RGPD

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, RGPD, Securite informatique, Téléphonie

Espionnage des vidéos des sonnettes de porte d’entrée Ring

Les employés de la filiale d’Amazon, Ring, pouvaient consulter les vidéos et photos prises par les sonnettes de portes connectées installées partout dans le monde.

Ambiance espionnage pour la société Ring, filiale d’Amazon. Cette société, créée en Ukraine et racheté en 2018 par le géant de la vente en ligne américain (environ 1 milliard de dollars), commercialise des objets connectés, dont une sonnette pour porte d’entrée. L’objet permet de recevoir sur son smartphone des photos et vidéos des personnes pouvant sonner à l’entrée de votre domicile. Ring indique que sa mission est de « diminuer la criminalité dans les voisinages du monde entier« .

Les développeurs pouvaient accéder aux vidéos. Un espionnage des visiteurs sans véritable intérêt. Mais une fuite de données, reste une fuite de données d’autant plus pour les clients qui versent une abonnement de quelques euros par mois pour un stockage de 6 mois des documents créés par les sonnettes. The Information explique que les employés de l’ex-bureau de Ring en Ukraine accédait aux serveurs de stockage 3S d’Amazon.

Ensuite, les vidéos n’étaient pas chiffrées. Lisibles par tous, et cela depuis 2016. Il suffisait de taper le mail d’un client et utilisateur de Ring pour accéder aux clichés. Les employés se servaient des images pour « se taquiner ». La filiale d’Amazon a diffusé un communiqué de presse stipulant qu’elle prenait « très au sérieux la confidentialité et la sécurité des informations personnelles de ses clients. »

Pour conclure, le communiqué indique que les employés et son intelligence artificielle continuent de visionner les images prises par son matériel « afin d’améliorer ses services« . Des vidéos partagées publiquement. Les clients de Ring peuvent aussi donner leur accord de visionnage.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Base de données, Cybersécurité, Entreprise, Fuite de données, IOT, loi, Mise à jour, RGPD, Securite informatique

Microsoft confronté au RGPD en raison d’une collecte de données via Word, Excel, PowerPoint et Outlook

Le gouvernement néerlandais vient de rendre public un rapport commandité à la Privacy Company et ayant pour mission de montrer du doigt la collecte de données appartenant aux utilisateurs de Word, Excel, PowerPoint et Outlook.

Selon le rapport de The Privacy Compagny, Microsoft, via Office 365 et Office 2016, collecterait des données sans l’autorisation de ses utilisateurs. Commandité par le gouvernement néerlandais, l’enquête a eu pour mission de démontrer une sauvegarde d’informations personnelles sur des serveurs américains, ce qu’interdit le Règlement Général de la Protection des Données. Seconde plainte, les utilisateurs dans l’ignorance de cette collecte. De plus, Microsoft refuse d’indiquer le contenu de cette collecte via Word, Excel, PowerPoint ou encore Outlook.

« Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Indique The Privacy Company. Et elle le fait en catimini, sans en avertir les utilisateurs. Microsoft ne précise absolument pas la quantité de données. L’entreprise ne permet pas non plus la désactivation. De savoir quelles informations sont collectées, car le flux des données est chiffré. ». Selon l’enquête, le géant américain mettrait à jour entre 23 000 et 25 000 « events » (sic!). 20 à 30 équipes d’ingénieurs travailleraient avec ces données. Windows 10 ne collecterait « que » 1 000 à 1 200 events.

Microsoft a rappelé qu’il existait une version d’Office sans le moindre transfert de données. Une mise à jour, prévue en avril 2019, doit corriger la collecte incriminée par TPC.

Communiqué de presse, Cybersécurité, Justice, loi, Mise à jour, RGPD, Securite informatique

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, ransomware, ransomware, RGPD, Securite informatique

Cyberattaques : mon voisin, le pirate !

3 commentaires

Cyberattaques – On a l’habitude de dire que l’été est une période propice aux cambriolages. Mais il en de même pour le piratage qui ne « baisse pas pavillon »… bien au contraire. En effet, la cuvée 2018 a été marquée par une série de cyberattaques diverses et variées. C’est l’occasion de rappeler que la cybersécurité est un enjeu crucial tant au niveau local que global, qu’il s’agisse de grandes entreprises ou de petites structures, du secteur privé ou public.

Marie-Benoîte Chesnais, experte en cybersécurité chez CA Technologies, fait le point sur les principaux évènements de l’été, liés à cette menace grandissante qu’est le « piratage ».

Cyberattaques : Les temps forts de l’été

Au début de l’été, le FBI a adressé une note confidentielle aux banques américaines concernant des risques potentiels d’attaques informatiques visant les distributeurs de billets (« ATM Cashout »). L’Inde en a finalement été la première victime, le 11 août dernier. Le « butin », d’un montant d’environ 10 millions d’euros, retiré dans plus de 2 100 distributeurs de billets, dispersés dans 28 régions différentes du pays. Une sacre logistique.

Début août, c’est une mairie du Var (La Croix-Valmer), victime d’une attaque par « cryptovirus ». Les données des administrés prises en otage contre rançon. Refusant de céder aux pirates, la mairie a dû réunir une cellule de crise composée d’informaticiens afin de tenter de désamorcer la situation. Cependant, avec la mise en place du RGPD, la mairie encourt une amende salée…

Cyberattaques à l’encontre de banque

Le 26 août, sur fond de soupçon de revendications politiques, c’est la Banque d’Espagne qui, cette fois-ci, a dû composer avec un site internet bloqué par intermittence, fort heureusement sans conséquences sur la bonne marche des services. De même, en Belgique, les services publics fédéraux visés chaque semaine par des attaques.

Les failles de sécurité sont lourdes de conséquences mais peuvent également entacher la notoriété des entreprises. A titre d’exemple, Instagram constate une recrudescence des attaques, sous la forme de tentatives de « phishing » ou d’hameçonnage dont le nombre est passé de 150 à plus de 600 par jour.

A noter le bilan ÉTÉ Français de ZATAZ.COM sur les fuites de données dans l’hexagone.

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, loi, Mise à jour, Particuliers, RGPD, Securite informatique

HMA! renforce la vie privée des internautes et permet l’accès à du contenu restreint en ligne

Quand le RGPD restreint la liberté d’expression ! En mai dernier, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, offrant plus de transparence sur la collecte des données et des droits plus importants en termes de vie privée pour les Européens. Pourtant, comme le révélait alors une récente étude menée par HideMyAss!, près de la moitié des français (48 %) ne considèrent pas la vie privée comme un droit fondamental.

Le RGPD restreint la liberté d’expression ? Ils sont cependant 66 % à penser que le gouvernement, les fournisseurs d’accès à internet et les services de police peuvent accéder, à leur insu, à l’historique des sites qu’ils ont visité, et de leurs activités en ligne.

Pour répondre aux besoins des consommateurs soucieux du respect de leur vie privée, HMA! propose une couche d’anonymat supplémentaire lors de la navigation en ligne via son service gratuit Proxy Web. Cette fonctionnalité permet de masquer l’adresse IP d’un internaute et de lui en attribuer une nouvelle, afin d’acheminer le trafic web vers d’autres serveurs et adresses IP. Cela signifie que son adresse IP, qui représente également son identité en ligne, devient beaucoup plus difficile à repérer ou à suivre. En outre, la toute dernière version de HMA! est fournie via le protocole HTTPS, garantissant ainsi le cryptage des activités en ligne.

Elle permet également d’accéder à du contenu restreint. Un citoyen Européen pourra par exemple lire le Los Angeles Times, le New-York Daily News ou encore le Chicago Tribune, grâce à l’utilisation du Proxy Web. Impossible en effet de faire sans, car ces médias ont bloqué l’accès aux internautes basés en Europe, suite à l’entrée en vigueur du RGPD.

Un Proxy Web n’a cependant pas les mêmes fonctions qu’un réseau privé virtuel (VPN). Ce dernier devra en effet être envisagé par un internaute s’il recherche un anonymat en ligne avancé et une protection contre les regards indiscrets. En revanche, dans le cas où il veut se procurer un outil lui permettant de contourner la « censure locale » et de bénéficier d’un niveau convenable de confidentialité lors de sa navigation sur Internet, un Proxy Web constitue un bon point de départ.

Argent, Arnaque, Banque, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, Particuliers, Piratage, RGPD, Securite informatique, Smartphone, Vie privée

Dixons Carphone : Plusieurs millions de données compromises

Dixons Carphone : Une importante entreprise du Royaume-Uni face à une violation de données personnelles. Des infos financières de millions de clients compromises.

La société ciblée Dixons Carphone a reconnu la violation et a déclaré que les pirates avaient eu accès à 1,2 million de données personnelles et 5,9 millions de cartes de paiement à partir des systèmes de traitement de ses magasins Currys PC World et Dixons Travel. Dans un communiqué de presse [voir ci-dessus, NDR], le PDG de Dixons Carphone, Alex Baldock, a déclaré : « Nous sommes extrêmement déçus de tout ce bouleversement que cela pourrait vous causer. La protection des données doit être au cœur de nos activités« .

La société a également révélé que sur 5,9 millions de cartes de paiement, 5,8 millions de cartes sont protégées par des combinaisons de puce et de numéro d’identification, mais que 105 000 cartes basées en dehors de l’Union européenne ne sont pas protégées.

De plus, les 1,2 million d’enregistrements compromis contenaient des données personnelles de clients, notamment des noms, des adresses électroniques et des adresses. Cependant, l’entreprise affirme n’avoir aucune preuve que cette information a quitté ses systèmes ou a entraîné une fraude à ce stade.

Dixons Carphone est une importante société de distribution et de services de télécommunication et d’électricité avec des magasins dans toute l’Europe, notamment au Royaume-Uni, en Irlande, au Danemark, en Suède, en Norvège, en Finlande, en Grèce et en Espagne.

On ne sait pas comment la violation de données a eu lieu et qui est derrière elle depuis que les enquêtes sont en cours. Cependant, ce n’est pas la première fois que Dixons Carphone subit une violation de données aussi massive. En 2015, des pirates avait pu accéder aux données personnelles et bancaires de millions de clients de Carphone Warehouse lors d’une cyberattaque.

Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

Base de données, Chiffrement, Cybersécurité, double authentification, Entreprise, Fuite de données, Justice, loi, RGPD, santé, Securite informatique

RGPD cas d’école santé

RGPD cas d’école – Une infirmière consulte des données de santé sans autorisation. L’hôpital obligé d’alerter plusieurs centaines de patients.

RGPD cas d’école – L’Office régional de la santé de Winnipeg (canada) indique son obligation d’alerter des centaines de patients après qu’une infirmière ait accédé de façon inappropriée à des renseignements médicaux personnels. L’autorité indique dans un communiqué de presse que l’infirmière, qui avait accès au système d’information du service des urgences, a fouillé de façon inappropriée alors qu’elle travaillait à l’extérieur de service d’urgence de l’hôpital de Grace.

Un cas que pourraient vivre des centaines d’hôpitaux Français à partir du 25 mai 2018. « L’accès à notre système d’information sur les urgences est vital pour les infirmières et les employés du service des urgences afin qu’ils puissent avoir accès à des renseignements sur la prestation des soins à n’importe quel moment de leur quart de travail, déclare l’ORSW. La seule fois où l’information peut être utilisée à l’extérieur du service des urgences, cependant, est pour les transferts de patients – ce qui n’a pas eu lieu dans ce cas. » 1 756 patients sont concernés par cette consultation non autorisée. Le 25 mai 2018 en France, il faudra alerter la CNIL, les patients.

Base de données, Communiqué de presse, Cybersécurité, Fuite de données, RGPD, Securite informatique

Données personnelles : les consommateurs craignent de trop se dévoiler. Ils demandent plus d’informations et de transparence.

Une enquête menée en France, aux États-Unis, au Royaume-Uni et en Allemagne sur le rapport des consommateurs à leur identité numérique révèle qu’ils sont une majorité à s’inquiéter de partager trop d’informations personnelles en ligne. 3 sondés sur 5 connaissent mal leurs droits, voire pas du tout.

L’enquête a été menée par ComRes Global pour le compte de ForgeRock, société experte en gestion d’identité numérique. Elle révèle que 53% des 8 000 sondés (en France, 48%) s’inquiète d’avoir partagé trop d’informations personnelles en ligne. Un tiers des parents (30%) craint d’avoir partagé trop d’informations sur leurs enfants. Un autre enseignement de l’étude est le manque de sensibilisation quant au volume d’informations disponibles en ligne. En France, 48% des sondés affirment ne pas connaître la quantité de données disponibles à leur égard, et beaucoup sous-estiment cette quantité. 76% des adultes sondés utilisent Internet pour acheter des produits et services, mais seulement 49% d’entre eux pensent avoir partagé les données relatives à leur moyen de paiement ; près de la moitié des consommateurs (49%) pense que Facebook détient des informations qui permettent de savoir s’ils ont des enfants ou non ; seuls 22% pensent que Twitter a accès à des informations permettant de déterminer leurs affinités politiques ; seuls 37% des consommateurs croient qu’Instagram a accès aux données de localisation de ses utilisateurs ; 20% des consommateurs estiment même que Facebook n’a accès à aucune donnée personnelle relative à ses utilisateurs.

Un franc rejet des marques qui partagent les données de leurs utilisateurs.

En France comme dans les autres pays, les utilisateurs s’inquiètent de voir leurs données partagées avec des tiers. Seuls 26% sont prêts à partager leurs données personnelles afin de profiter d’offres personnalisées, contre une majorité (50%) qui ne souhaite pas que leurs données soient partagées avec des tiers, et ce quelle que soit la raison. À peine 15% affirment être susceptibles de vendre leurs données personnelles à un tiers. « Ce sondage révèle les craintes des consommateurs, qui ne savent pas à quel point leurs données personnelles sont partagées en ligne, ou comment elles sont utilisées par des tiers, » affirme Eve Maler, Vice-Présidente Innovation & Technologies Emergentes auprès du CTO de ForgeRock. Elle ajoute : « À choisir, la majorité préférerait partager moins d’informations. Cela doit alerter les entreprises, qui sont nombreuses à s’appuyer sur la data client pour piloter leur activité et augmenter leurs revenus. Les organisations doivent prendre en compte ces préoccupations, renforcer la confiance et la loyauté de leurs consommateurs en leur donnant plus de visibilité et de contrôle sur la manière dont leurs données sont collectées, gérées et diffusées. »

Les entreprises profitent de la donnée : elles en sont donc responsables.

Les consommateurs ont l’impression que l’utilisation de leurs données profite davantage aux entreprises qu’à eux-mêmes : 41% des personnes interrogées estiment que leurs données personnelles servent surtout, voire exclusivement, les intérêts de l’entreprise à qui elles les confient. En comparaison, ils ne sont que 17% à estimer que ces données sont utilisées principalement pour le bénéfice des consommateurs. En France, ce constat est à nuancer puisque seuls 29% estiment que leurs données personnelles servent surtout aux entreprises ; et 29% trouvent qu’elles sont utilisées principalement pour le bénéfice des consommateurs.

Mais dans tous les cas, les sondés considèrent que les entreprises sont responsables de la protection des données de leurs clients. En France, pour 9% d’entre eux à peine, ce sont d’abord les individus qui en sont les responsables, contre 50% qui estiment que cette responsabilité incombe à l’entreprise qui stocke les données. Par ailleurs, seuls 17% des sondés seraient prêts à payer pour récupérer des données volées.

Les consommateurs envoient un signal d’alerte aux entreprises qui partageraient leurs données sans leur consentement :

51% des sondés sont prêts à cesser d’utiliser les services de l’entreprise si cette dernière partage leurs données sans leur permission ;
46% retireraient, ou supprimeraient toutes leurs données stockées chez cette société ;
45% recommanderaient à leur famille et amis de ne plus utiliser cette entreprise ;
Un tiers (29%) engagerait une procédure judiciaire ;
30% informeraient la police, et 27% demanderaient une réparation financière.

Si c’est gratuit, alors c’est vous le produit : en matière de données personnelles, les banques plus fiables que les réseaux sociaux.

Les banques et les organismes de cartes de crédit sont désignés comme étant les plus fiables pour détenir des données personnelles. En France, 76% des consommateurs déclarent leur faire confiance pour stocker et utiliser leurs données personnelles de manière responsable. Amazon est également considéré comme fiable, puisque les deux tiers des consommateurs (66%) font confiance au géant du e-commerce pour gérer leurs données personnelles. Les réseaux sociaux sont plus clivants : Facebook et Twitter par exemple, totalisent respectivement 45% et 43% de sondés déclarant leur faire confiance pour gérer leurs données personnelles de manière responsable.

Il existe une forte corrélation entre les entreprises en qui les sondés font confiance, et le sentiment de contrôle qu’elles peuvent leur accorder : les banques et les sociétés émettrices de cartes de crédit (53%), Amazon (49%), ou encore les opérateurs de téléphonie mobile (51%) ont été désignés comme accordant le plus de contrôle aux utilisateurs. Tandis que seuls 39% des sondés déclarent se sentir en contrôle de leurs données sur Facebook et 23% sur Twitter.

Les usagers ne connaissent pas leurs droits.

Bien que les consommateurs soient préoccupés par la façon dont leurs données personnelles sont gérées et partagées, seule une minorité sait comment les protéger. Un tiers seulement des consommateurs (32%) sait comment supprimer les informations personnelles qui ont été partagées en ligne ; 57% affirment ne rien savoir ou presque de leurs droits concernant les données personnelles partagées en ligne ; Moins d’un tiers (26%) sauraient dire qui est responsable en cas de vol ou fuite de leurs données personnelles.

En Europe, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur cette année. Il renforce les droits relatifs au stock et au partage des données personnelles des consommateurs. Malgré cela, deux tiers des français (69%) affirment ne jamais avoir entendu parler de la législation, ou ne rien savoir de cette dernière. Eve Maler : « Notre étude révèle le fort besoin d’information sur la façon dont les données personnelles sont gérées et partagées en ligne. Les nouvelles réglementations, telles que le RGPD, visent à redonner au public le contrôle de leurs données, mais il est très clair que les consommateurs ne sont pas conscients de leurs droits et que beaucoup ne se sentent pas maîtres de leur identité numérique. L’industrie doit se réunir avec les pouvoirs publics pour sensibiliser les consommateurs sur les droits et protections mis en place. Sans cela, le public perdra confiance dans les marques qu’il rencontre en ligne, ce qui nuira au chiffre d’affaires et à la réputation.