Archives par mot-clé : données personnelles

Cybersécurité, Entreprise, Justice

Prospection politique : la CNIL sanctionne cinq candidats

En décembre 2025, la CNIL frappe cinq candidats des scrutins européens et législatifs 2024. Motif : des messages de campagne envoyés à des électeurs, sans respecter plusieurs exigences de protection des données.

La CNIL a prononcé en décembre 2025 cinq sanctions simplifiées contre des candidats aux élections européennes et aux législatives anticipées de 2024. Les contrôles, déclenchés après des signalements via un téléservice dédié, ont mis au jour des manquements liés à l’envoi de SMS, courriels ou courriers de prospection politique. Au total, 23 500 € d’amendes ont été infligés. La CNIL relève notamment l’incapacité à prouver la base légale du traitement, l’utilisation de données collectées pour d’autres finalités, une information incomplète des personnes, l’absence de mécanisme d’opposition, le défaut de réponse à des demandes de droits, et une faille de confidentialité par envoi sans « cci ».

Un observatoire des élections pour capter les dérives

L’épisode démarre pendant la séquence électorale de 2024, marquée par les européennes et des législatives anticipées. Pour canaliser les remontées du public, la CNIL a ouvert un téléservice, pensé comme un point d’entrée unique pour signaler des situations problématiques, dont la réception de messages de prospection politique. Le dispositif, présenté comme un « observatoire des élections », a servi de déclencheur opérationnel. Des citoyens y ont rapporté des SMS, des courriels ou des courriers perçus comme intrusifs, ou envoyés dans des conditions jugées irrégulières.

À partir de ces alertes, l’autorité a interrogé les candidats mis en cause sur la manière dont ils avaient géré les traitements de données liés à leurs envois. Le cœur du sujet n’est pas la communication politique en elle-même, mais la façon dont des informations personnelles ont été utilisées, et sécurisées, pour toucher des électeurs. Dans une campagne, la tentation est forte d’aller vite, d’externaliser, de réutiliser des fichiers existants ou de s’appuyer sur des circuits déjà prêts. C’est précisément là que la CNIL place son curseur : une campagne électorale n’est pas une zone de non-droit, et la mécanique de prospection doit rester compatible avec les règles de protection des données.

Les investigations ont débouché sur cinq sanctions financières prononcées via la procédure simplifiée. La somme totale des amendes atteint 23 500 €. Dit autrement, le dossier met en scène un volume limité de décisions, mais une diversité de défaillances. Et, en filigrane, une même question de gouvernance : qui maîtrise réellement la chaîne, depuis la collecte des données jusqu’au clic sur « envoyer » ?

Des manquements répétés, du consentement à la sécurité

Premier reproche, la difficulté, pour certains candidats, de démontrer que le traitement reposait sur une base légale. La CNIL rappelle que le candidat reste responsable, y compris s’il confie l’envoi à une société spécialisée. Externaliser l’exécution ne transfère pas l’obligation de conformité. Concrètement, les candidats doivent pouvoir établir soit que les destinataires ont accepté de recevoir ces messages, soit que les conditions permettant d’invoquer un intérêt légitime sont réunies, notamment en montrant que les personnes pouvaient raisonnablement s’attendre à être contactées. Or, les contrôles indiquent que certains n’ont pas été capables de fournir ces éléments, ce qui constitue un manquement à l’article 5-2 du RGPD. Sur le plan cyber, l’enjeu est simple : sans traçabilité, pas de preuve, et sans preuve, la conformité s’effondre au premier contrôle.

Deuxième manquement, l’usage de données pour un objectif différent de celui annoncé au départ. Un cas ressort nettement : l’un des candidats, professionnel de santé, a utilisé les numéros de téléphone de ses patients, collectés pour organiser les consultations et assurer le suivi médical, afin d’envoyer un SMS vantant sa candidature. La CNIL juge cet emploi incompatible avec la finalité initiale (article 5-1-b du RGPD). L’affaire illustre une dérive classique dans les environnements riches en données : la réutilisation opportuniste d’un fichier « disponible », sans reposer la question du pourquoi et du cadre. Dans une logique de renseignement, le point d’alerte est évident : lorsqu’une même personne cumule des rôles, l’accès à des données sensibles au travail peut devenir un levier d’influence en dehors de ce contexte.

Troisième reproche, l’information insuffisante des personnes. En prospection politique, la CNIL rappelle l’obligation de fournir l’ensemble des informations prévues par les articles 13 et 14 du RGPD. Le moment dépend de l’origine des données : à la collecte, ou dès le premier message si les données proviennent d’un tiers, par exemple des listes électorales, de sociétés spécialisées dans la revente de données, d’un listing de parti politique, ou d’autres canaux cités par l’autorité. Or, dans quatre cas sur cinq, les messages ou courriers contrôlés n’incluaient pas ces informations, ou seulement une partie. Cette lacune n’est pas un détail rédactionnel. Elle empêche l’électeur de comprendre pourquoi il est ciblé, par qui, et sur quel fondement. Pour une campagne, c’est aussi une erreur stratégique : l’opacité alimente la défiance et transforme un message de mobilisation en signal d’intrusion.

Quatrième manquement, l’absence de mécanisme d’opposition réellement utilisable. Deux candidats n’avaient prévu aucun dispositif permettant aux personnes de refuser la réception de nouveaux messages. La CNIL cite, à titre d’exemples, un « STOP SMS » ou un lien de désinscription. Ici, la logique est binaire : si l’opposition n’est pas simple, elle n’est pas effective, et le droit devient théorique. Dans une lecture cyber, c’est aussi une question de contrôle des flux : une campagne qui ne sait pas traiter les demandes d’opposition est une campagne qui perd la maîtrise de sa propre base, et augmente mécaniquement le risque de plaintes, de blocages et d’escalade contentieuse.

Cinquième point, le défaut de réponse à une demande d’exercice de droits. Un plaignant, destinataire d’un SMS de prospection, a demandé des explications, notamment sur la source de ses données et sur la base légale du traitement, et a également demandé l’effacement. Le candidat n’a pas répondu. La CNIL a sanctionné ce silence et a ajouté une injonction : répondre aux demandes. Ce volet, souvent traité comme un irritant administratif, est en réalité un test de maturité organisationnelle. Répondre suppose d’avoir documenté les entrées de données, les échanges avec d’éventuels prestataires, et la logique de conservation. Là encore, sans journalisation et sans chaîne de responsabilité, la réponse devient impossible.

Enfin, la CNIL relève un manquement à la confidentialité (article 32 du RGPD) dans un envoi par courriel à plusieurs centaines de destinataires, tous adhérents d’un même parti, sans utiliser le champ « cci ». Résultat : les adresses électroniques ont été exposées à l’ensemble des destinataires. L’autorité insiste sur la gravité du risque, car ces données peuvent révéler des opinions politiques réelles ou supposées. Elle rappelle qu’il s’agit de données sensibles au sens de l’article 9 du RGPD. Pour l’angle cybersécurité, c’est le point le plus immédiatement tangible : une simple erreur de paramétrage, ou un geste mal maîtrisé, suffit à créer une fuite de données, avec un impact potentiel sur la sécurité des personnes et sur la confiance dans l’organisation politique.

Ce que la CNIL rappelle aux candidats, et aux prestataires

Pris ensemble, ces manquements dessinent une cartographie très concrète des fragilités des campagnes. D’abord, la gouvernance. La CNIL répète un principe clé : même si une entreprise est sollicitée pour envoyer les messages, le candidat demeure comptable de la conformité. Dans les faits, cela signifie que la délégation ne peut pas se limiter à « faire partir » un volume de messages. Elle doit inclure la capacité à démontrer la licéité, à expliquer l’origine des données, et à garantir les droits. Ce n’est pas une formalité, c’est une obligation de preuve.

Ensuite, la discipline des finalités. Le cas du professionnel de santé résume l’écueil : une donnée collectée dans un contexte relationnel asymétrique, ici le soin, ne peut pas être recyclée pour un objectif électoral. Au-delà du cadre juridique rappelé par la CNIL, l’effet de renseignement est évident : des bases constituées pour des usages de confiance, lorsqu’elles sont détournées, deviennent des outils de pression ou d’influence, même si l’intention initiale se veut « seulement » politique. La frontière, pour le public, se brouille immédiatement.

Troisième enseignement, la transparence n’est pas optionnelle. La CNIL insiste sur l’information complète : dire ce qui est fait, avec quelles données, et comment exercer ses droits. Ce point est crucial dans un environnement où les données circulent par listes, par prestataires, par réutilisations successives. Le texte de l’autorité cite explicitement des sources possibles de données, comme les listes électorales ou la revente, ce qui suffit à comprendre le risque : dès que l’origine n’est plus directe, la charge de clarté augmente.

Quatrième leçon, l’opposition et la gestion des droits doivent être conçues comme un circuit. Un « STOP » absent, une demande ignorée, et la campagne se retrouve à la fois en infraction et dans l’incapacité de corriger. Ce n’est pas seulement une faute, c’est une perte de contrôle. Les campagnes modernes fonctionnent avec des outils, des envois en masse, parfois des fichiers multiples. Sans procédure, l’organisation ne sait plus où se trouvent les données, qui les a, ni comment arrêter l’usage.

Cinquième rappel, la sécurité opérationnelle la plus basique compte. L’épisode du courriel sans « cci » montre qu’une fuite peut naître d’un acte banal. Dans le champ politique, où l’exposition peut être sensible, divulguer une appartenance ou une proximité partisane, même indirectement, peut entraîner des conséquences disproportionnées. La CNIL qualifie ces informations de sensibles, et souligne la gravité de leur révélation. Ce rappel vaut comme message plus large : la conformité n’est pas qu’une affaire de formulaires, elle touche à la protection effective des personnes, et donc à la sécurité.

Entreprise, Justice

New York encadre la tarification algorithmique

New York devient le premier État américain à réglementer l’usage des algorithmes dans la fixation des prix.

Depuis lundi, la loi new-yorkaise sur la tarification algorithmique impose aux entreprises de déclarer si elles exploitent les données personnelles des consommateurs pour ajuster leurs tarifs. Cette obligation marque une première nationale, la loi californienne équivalente n’étant pas encore entrée en vigueur.

Des prix calculés à partir des données personnelles

La tarification algorithmique repose sur des modèles capables de modifier automatiquement les prix en fonction de variables comme le revenu, l’historique d’achats ou la géolocalisation. Cette pratique, utilisée dans le commerce en ligne ou les services de transport, permet d’optimiser les marges, mais soulève de fortes inquiétudes éthiques.

Selon les défenseurs de la vie privée, cette « tarification de la surveillance » risque d’amplifier les discriminations économiques, en facturant davantage certaines catégories de consommateurs jugées plus solvables. La Federal Trade Commission (FTC) a d’ailleurs publié en janvier un rapport analysant ces risques et les dérives possibles de l’IA dans la fixation des prix.

La procureure générale durcit le ton

La procureure générale Letitia James a publié une alerte aux consommateurs, appelant les New-Yorkais à signaler tout cas d’utilisation non divulguée de données personnelles dans la tarification.
Elle a rappelé dans un communiqué : « Les New-Yorkais méritent de savoir si leurs informations personnelles servent à fixer les prix qu’ils paient. Je n’hésiterai pas à agir contre ceux qui tentent d’induire les consommateurs en erreur. »

Le bureau de la procureure entend renforcer la transparence et la responsabilité des entreprises, notamment celles qui emploient des outils d’intelligence artificielle ou d’apprentissage automatique pour personnaliser les prix.

Vers une régulation nationale de la tarification automatisée ?

L’entrée en vigueur de la loi new-yorkaise pourrait faire école. En Californie, le texte équivalent, encore en attente d’application, devrait s’inspirer du modèle new-yorkais pour encadrer la collecte, le traitement et l’usage des données de consommation dans la tarification.

Cette régulation s’inscrit dans un mouvement plus large aux États-Unis visant à limiter les effets opaques de l’IA dans la sphère économique. La question centrale demeure : comment concilier innovation algorithmique et respect des droits des consommateurs ?

L’ère des algorithmes régissant les prix touche à sa première grande régulation. Entre transparence et surveillance, New York teste le futur du commerce automatisé. La loi suffira-t-elle à freiner les dérives de l’intelligence économique ?

Cybersécurité, Justice, Mise à jour, Propriété Industrielle, RGPD

La faillite de Near relance le débat sur la revente des données de géolocalisation

La société Near, autrefois valorisée à un milliard de dollars, a fait faillite. Son immense base de données de géolocalisation suscite aujourd’hui de vives inquiétudes politiques et juridiques.

Near, courtier en données basé en Inde, s’était imposé en 2021 comme un acteur majeur de la collecte de données de localisation. Elle affirmait alors détenir des informations sur « 1,6 milliard de personnes dans 44 pays ». Introduite en bourse en 2023 via une SPAC, l’entreprise a pourtant déposé le bilan sept mois plus tard. Sa liquidation pose une question cruciale : que deviendront les données personnelles qu’elle détient, notamment celles liées à des lieux sensibles aux États-Unis ?

Des données de géolocalisation au cœur d’une tempête politique

La faillite de Near a rapidement attiré l’attention du Congrès américain. Le sénateur Ron Wyden a demandé à la Federal Trade Commission (FTC) d’empêcher toute revente des bases de données de géolocalisation, en particulier celles collectées autour des cliniques d’avortement. Son bureau avait ouvert une enquête après un article du Wall Street Journal de mai 2023 révélant que Near avait vendu des licences de données à l’organisation anti-avortement Veritas Society. Cette dernière aurait ciblé des publicités vers les visiteuses de 600 cliniques Planned Parenthood dans 48 États.

L’enquête a également montré que Near fournissait des données de géolocalisation au département de la Défense et à des services de renseignement américains. Dans sa lettre à la FTC, Wyden a dénoncé des pratiques « scandaleuses » et exigé la destruction ou l’anonymisation des données américaines sensibles.

Une ordonnance de faillite sous haute surveillance

Les demandes de Wyden ont été entendues. Un document judiciaire publié cette semaine impose de strictes restrictions sur la gestion et la revente des données collectées par Near. Toute entreprise reprenant ces actifs devra instaurer un « programme de gestion des données de géolocalisation sensibles », incluant une surveillance continue, des politiques de conformité et une liste de lieux interdits.

Parmi ces lieux figurent les établissements de santé reproductive, les cabinets médicaux, les églises, les prisons, les centres d’hébergement et les établissements psychiatriques. L’ordonnance interdit toute collecte, utilisation ou transfert de données sans le consentement explicite des personnes concernées.
Dans un communiqué transmis à The Markup, Ron Wyden a salué la décision de la FTC, estimant qu’elle « empêchera l’utilisation abusive du stock de données de géolocalisation des Américains ».

Les pratiques du marché de la donnée mises à nu

Les documents de faillite de Near offrent un rare aperçu du fonctionnement du marché des données de géolocalisation. Ils révèlent des accords de monétisation conclus avec plusieurs courtiers et annonceurs : X-Mode, Tamoco, Irys, Digital Origin, ainsi que des institutions universitaires et des administrations locales.

Un contrat de 2023 liait Near à Digital Origin (maison mère de X-Mode) pour 122 706 $ (112 000 euros). La FTC a depuis interdit à X-Mode de vendre des données de géolocalisation sensibles après un règlement amiable. D’autres contrats montrent que Tamoco et Irys, identifiés parmi 47 acteurs majeurs de ce marché évalué à plusieurs milliards de dollars, avaient conclu des partenariats similaires avec Near.

Selon la politique de confidentialité de l’entreprise, les données pouvaient être « transférées aux acheteurs potentiels » en cas de vente. Une clause devenue critique maintenant que Near cherche un repreneur.

Cybersécurité, Espionnage Spy, Justice

PowerSchool : un pirate de 19 ans condamné à quatre ans de prison

Un jeune Américain a été condamné à quatre ans de prison pour avoir piraté PowerSchool et tenté d’extorquer plusieurs millions de dollars à l’éditeur de logiciels éducatifs.

L’affaire PowerSchool marque l’une des plus vastes fuites de données du secteur éducatif américain. Un étudiant de 19 ans, originaire du Massachusetts, a compromis les informations personnelles de plus de 70 millions d’utilisateurs avant de réclamer une rançon de 2,9 millions $. Le tribunal fédéral l’a condamné à quatre ans d’emprisonnement, assortis d’une amende de 25 000 $ et d’une restitution de près de 14 millions $ (13 millions d’euros €). Ce piratage, d’une ampleur inédite, relance la question de la sécurité des données scolaires et des défaillances de la chaîne numérique éducative.

Une attaque d’ampleur contre l’écosystème éducatif

Matthew Lane, 19 ans, a reconnu avoir infiltré les serveurs de PowerSchool en décembre 2024 à l’aide d’identifiants volés auprès d’un prestataire de maintenance. Les enquêteurs fédéraux ont établi qu’il avait exfiltré des bases de données contenant des informations nominatives, des numéros de sécurité sociale et des dossiers médicaux concernant plus de 60 millions d’élèves et 9 millions d’enseignants. Ces données concernaient notamment le statut d’éducation spécialisée et certaines conditions médicales, rendant la fuite particulièrement sensible.

Lane a ensuite exigé le paiement de 2,9 millions $ (2,7 millions €) en cryptomonnaie pour ne pas divulguer les informations. L’entreprise a refusé de céder au chantage, mais a dû engager des frais considérables pour sécuriser ses systèmes et offrir des services de surveillance d’identité aux victimes. Selon les documents judiciaires, le coût total du piratage s’élève à plus de 14 millions $ (13 Millions €).

L’affaire a été rendue publique en janvier 2025, après la découverte de la fuite sur un forum fréquenté par des groupes de rançongiciel. Le FBI a rapidement identifié le pirate grâce aux traces laissées lors des transactions et à l’exploitation d’un portefeuille de cryptomonnaie lié à d’autres intrusions plus anciennes. Les procureurs ont décrit un individu « motivé par l’appât du gain » et disposant d’un « long historique d’activités informatiques illégales ».

Une sanction exemplaire mais mesurée

Le juge fédéral Margaret Guzman a prononcé une peine de quatre ans de prison et trois ans de surveillance d’aprés incarcération. Les procureurs demandaient sept ans d’emprisonnement, estimant que l’ampleur du préjudice justifiait une sanction plus sévère. Le tribunal a retenu la coopération de Lane et son absence de casier judiciaire comme circonstances atténuantes.

La condamnation comprend également une amende de 25 000 $ et une restitution de 14 millions $ (≈13 M €) correspondant au coût des réparations et aux compensations versées par PowerSchool. Ce montant, jugé symbolique par les victimes, illustre néanmoins la prise de conscience judiciaire face à la gravité croissante des attaques contre les infrastructures éducatives.

Du point de vue du renseignement, l’affaire met en lumière la vulnérabilité des systèmes d’information du secteur public et parapublic. Les établissements scolaires dépendent d’un écosystème de fournisseurs souvent sous-dimensionnés en matière de cybersécurité. L’exploitation d’un simple compte de prestataire a suffi à compromettre des millions de profils sensibles.

Un signal d’alerte pour la cybersécurité éducative

Le piratage PowerSchool agit comme un électrochoc pour le monde de l’ed-tech. Il démontre qu’un acteur isolé peut, avec des outils accessibles sur le web, compromettre un système national. Cet incident pourrait entraîner un renforcement des obligations de sécurité imposées aux éditeurs de logiciels éducatifs, notamment en matière de chiffrement, de segmentation réseau et de gestion des accès à privilèges.

Les données volées, très détaillées, possèdent une valeur durable sur les marchés clandestins. Contrairement à des identifiants bancaires, elles ne peuvent être facilement révoquées. Leur utilisation future à des fins de fraude ou de chantage individuel reste donc une menace. Certains États envisagent désormais de réduire la durée de conservation des dossiers scolaires et d’imposer des audits réguliers aux opérateurs privés.

Sur le plan stratégique, les services américains de renseignement économique s’inquiètent d’une possible revente de ces données à des acteurs étrangers intéressés par les profils médicaux et comportementaux d’élèves. Le lien entre espionnage de données civiles et collecte de renseignement de masse s’affirme chaque année davantage, notamment dans le champ éducatif où les plateformes concentrent une masse d’informations rarement protégée selon les standards militaires ou financiers.

Une faille révélatrice d’un écosystème fragile

Le cas PowerSchool rappelle que la chaîne d’approvisionnement logicielle demeure un point de vulnérabilité critique. Les fournisseurs intermédiaires, souvent peu surveillés, deviennent les cibles privilégiées des cybercriminels. L’incident a mis en évidence l’absence de supervision centralisée de la sécurité numérique dans l’enseignement primaire et secondaire aux États-Unis, où chaque district scolaire choisit ses propres prestataires.

Pour PowerSchool, coté en bourse et présent dans plus de 90 pays, la crise a également un coût réputationnel majeur. Le groupe a dû notifier l’ensemble de ses clients, renforcer ses protocoles d’accès et collaborer avec le FBI et la CISA (Cybersecurity and Infrastructure Security Agency). La société a déclaré avoir « pris toutes les mesures nécessaires pour prévenir toute récidive », mais l’impact sur la confiance des établissements reste considérable.

Les experts estiment que cette attaque pourrait accélérer la normalisation des pratiques de cybersécurité dans l’éducation, à l’image de ce qui existe déjà dans la santé ou la finance. Toutefois, le cas Lane démontre qu’une faille humaine — ici l’exploitation d’un compte de prestataire — peut suffire à anéantir des systèmes théoriquement conformes aux standards de sécurité.

L’affaire PowerSchool illustre une réalité inquiétante : le secteur éducatif, souvent sous-protégé, est devenu une cible stratégique pour les cybercriminels. Entre rançon, fuite de données et espionnage potentiel, les institutions scolaires devront désormais aborder la cybersécurité comme une composante essentielle de leur mission publique. Jusqu’où faudra-t-il aller pour que les données des élèves soient considérées avec la même rigueur que celles des contribuables ou des patients ?

Sources
– Reuters, Massachusetts man behind PowerSchool hacking gets 4 years in prison, 14 octobre 2025 : https://www.reuters.com/legal/government/massachusetts-man-behind-powerschool-hacking-gets-4-years-prison-2025-10-14/

backdoor, Cybersécurité, Espionnage Spy, Justice

Caméras cachées : la CNIL inflige 100 000 € à La Samaritaine

La CNIL sanctionne La Samaritaine pour usage de caméras dissimulées dans ses réserves. Une affaire révélant les dérives technologiques en matière de surveillance interne et de protection des données.

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 100 000 € à La Samaritaine, grand magasin parisien, pour avoir utilisé des caméras cachées dans ses zones de stockage. L’autorité a estimé que ces dispositifs, dissimulés dans de faux détecteurs de fumée et capables d’enregistrer le son, violaient les règles du Règlement général sur la protection des données (RGPD). Les salariés n’avaient pas été informés de la surveillance, et aucune analyse d’impact n’avait été réalisée. Cette affaire illustre les tensions croissantes entre sécurité interne et respect des droits fondamentaux à l’ère numérique.

Une surveillance dissimulée dans les réserves du magasin

Le dossier commence par une découverte en apparence anodine. Dans les zones de stockage de La Samaritaine, rénovée et rouverte au public en 2021, des dispositifs de surveillance avaient été installés. Contrairement aux caméras classiques visibles à l’entrée ou dans les espaces de vente, celles-ci ne se repéraient pas. Elles étaient intégrées dans de faux boîtiers de détecteurs de fumée, positionnés au plafond. Leur apparence inoffensive masquait une capacité d’enregistrement vidéo et sonore.

Selon l’enquête de la CNIL, ces caméras avaient pour objectif de surveiller les flux de marchandises et les activités du personnel dans les réserves. L’enseigne n’avait toutefois pas pris les mesures nécessaires pour garantir la transparence de cette surveillance. Les salariés, directement concernés, n’avaient reçu aucune information préalable. Les visiteurs ou prestataires extérieurs qui pouvaient également pénétrer dans ces espaces n’étaient pas davantage avertis.

La CNIL a jugé que ce dispositif de surveillance constituait une atteinte au droit fondamental à la protection des données personnelles. Le caractère dissimulé des caméras accentuait la gravité de l’infraction.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Des manquements multiples au RGPD

L’autorité de contrôle a identifié plusieurs manquements au Règlement général sur la protection des données. Le premier concerne l’absence de transparence. Toute installation de vidéosurveillance doit être signalée clairement aux personnes filmées, ce qui n’était pas le cas. Le deuxième point tient à l’absence d’analyse d’impact, pourtant obligatoire pour des dispositifs susceptibles de générer un risque élevé pour les droits et libertés des personnes. Une telle analyse aurait permis de mesurer les risques et de définir des mesures correctrices.

Le troisième manquement porte sur la proportionnalité. La CNIL estime que le recours à des caméras cachées ne peut être justifié que dans des cas exceptionnels, par exemple lors d’enquêtes ciblées et temporaires. Ici, le dispositif était permanent et concernait l’ensemble du personnel circulant dans les zones de réserve. Enfin, l’autorité a relevé un défaut de base légale, puisque le recours à ce type de surveillance ne pouvait être légitimé par une simple nécessité interne de sécurité ou de gestion.

Ces manquements cumulés ont conduit à une sanction pécuniaire significative. L’amende de 100 000 € reflète la volonté de la CNIL de rappeler aux entreprises que la vidéosurveillance, surtout lorsqu’elle est cachée, ne peut s’affranchir des règles européennes.

Un signal fort pour le monde du travail et la cybersurveillance

Au-delà de la sanction financière, l’affaire La Samaritaine envoie un signal clair. Dans le monde du travail, la surveillance technologique ne cesse de s’étendre. Capteurs, logiciels de suivi d’activité, géolocalisation : les dispositifs sont nombreux. L’installation de caméras cachées illustre une tendance inquiétante, où la frontière entre sécurité et intrusion se brouille.

La CNIL rappelle que la confiance au sein de l’entreprise repose sur la transparence. Le fait de cacher un dispositif de surveillance détruit ce principe et fragilise la relation employeur-salarié. Dans un contexte plus large, cette affaire résonne avec les enjeux de cybersurveillance. Les mêmes logiques de disproportion et d’opacité se retrouvent dans certains usages des technologies de suivi numérique.

En sanctionnant La Samaritaine, la CNIL veut montrer que les entreprises, même prestigieuses, doivent respecter les règles. La mise en conformité ne relève pas d’un simple formalisme administratif. Elle constitue une obligation légale et un garde-fou essentiel contre les abus.

Cette sanction pose une question clé : comment concilier les besoins de sécurité interne avec le respect strict des règles de transparence et de proportionnalité en matière de surveillance numérique ?

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.

backdoor, Cybersécurité, Espionnage Spy, Justice

Meta accusée de graves manquements en cybersécurité

Un ex-employé de WhatsApp accuse Meta d’avoir ignoré des failles critiques et d’avoir réprimé ses alertes. L’affaire implique Mark Zuckerberg et relance le débat sur la transparence des géants du numérique.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaullah Baig, ancien ingénieur de WhatsApp, affirme que des centaines de salariés pouvaient accéder sans restriction aux données sensibles des utilisateurs. Il accuse Meta d’avoir violé un accord conclu avec la FTC en 2020, de ne pas avoir signalé ces risques à la SEC et de l’avoir licencié après ses alertes. L’entreprise conteste, évoquant un collaborateur de faible niveau et mal noté. Mais le procès, qui met en cause directement Zuckerberg, soulève une question centrale : la gouvernance interne de Meta est-elle compatible avec la sécurité des données de milliards d’usagers ?

Des accusations directes contre la gouvernance de Meta

L’affaire débute par une série de découvertes que Baig dit avoir faites au sein de WhatsApp. Selon lui, des centaines d’ingénieurs disposaient d’un accès illimité aux informations personnelles des utilisateurs. Cet accès, décrit comme injustifié et incontrôlé, contreviendrait frontalement à l’engagement pris par Meta en 2020 devant la Federal Trade Commission (FTC). L’accord, conclu après plusieurs scandales liés à la vie privée, imposait un contrôle strict des accès internes et une responsabilisation accrue des dirigeants.

Baig soutient que non seulement ces obligations n’ont pas été respectées, mais que l’entreprise aurait sciemment fermé les yeux sur les vols de comptes. Les signalements de compromission d’identités numériques, fréquents sur WhatsApp, auraient été minimisés dans la communication interne et externe. L’ingénieur affirme aussi que Meta a manqué à ses devoirs de transparence envers la Securities and Exchange Commission (SEC) en omettant de déclarer ces risques dans les documents officiels remis aux investisseurs. Cette omission pourrait être assimilée à une fraude boursière.

Selon sa plainte, Baig a personnellement alerté Mark Zuckerberg, directeur général de Meta, et Will Cathcart, patron de WhatsApp. Plutôt que de traiter les failles, il décrit une réaction hostile : dénigrement de ses performances, microgestion intrusive et démantèlement des fonctionnalités de sécurité conçues par son équipe. Estimant avoir été victime de représailles, il a ensuite saisi la SEC. Peu après, il a été licencié.

Aujourd’hui, l’ancien ingénieur réclame sa réintégration, des compensations financières et un procès devant jury. Pour Meta, l’affaire ne repose sur rien : les représentants du groupe affirment que Baig n’était pas un responsable sécurité mais un simple manager de développement logiciel de niveau junior, dont les résultats jugés médiocres justifiaient le licenciement.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces qui vous visent avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Entre obligations réglementaires et enjeux stratégiques

L’aspect juridique de l’affaire repose sur deux points clés : le respect de l’accord FTC de 2020 et la communication à la SEC. L’accord imposait à Meta un dispositif de contrôle interne renforcé, notamment sur la gestion des accès aux données personnelles. Tout manquement à ces obligations pourrait exposer l’entreprise à de lourdes sanctions.

La SEC, de son côté, sanctionne toute dissimulation d’informations pouvant influencer les investisseurs. Si les accusations de Baig sont confirmées, Meta pourrait être poursuivie pour avoir présenté une image trompeuse de sa maîtrise des risques liés à la sécurité et à la confidentialité.

Au-delà du droit, le dossier révèle la tension permanente entre impératifs économiques et exigences de cybersécurité. WhatsApp, propriété de Meta depuis 2014, compte plus de deux milliards d’utilisateurs. Toute faille ou compromission massive aurait un impact mondial. L’accusation d’accès incontrôlé à grande échelle questionne directement la capacité du groupe à protéger les données sensibles, alors même que son modèle repose sur la confiance des utilisateurs et des annonceurs.

La défense de Meta s’appuie sur des éléments factuels : le département du Travail américain a déjà rejeté une plainte antérieure de Baig, estimant que son licenciement ne relevait pas de représailles. Pour l’entreprise, il s’agit donc d’un contentieux personnel monté en épingle. Mais le fait que l’affaire cite explicitement Mark Zuckerberg met sous tension la communication du groupe.

Cybersécurité et renseignement : une faille stratégique

L’accusation centrale, celle d’un accès illimité aux données utilisateurs par un trop grand nombre d’ingénieurs, mérite une lecture stratégique. Dans toute organisation numérique, la gestion des accès est l’un des piliers de la cybersécurité. Multiplier les accès sans justification augmente mécaniquement les risques d’abus, d’espionnage industriel ou d’ingérences étatiques.

Pour une plateforme mondiale comme WhatsApp, utilisée aussi bien par des particuliers que par des entreprises, des ONG ou des responsables politiques, la question prend une dimension de renseignement. L’hypothèse qu’un nombre élevé d’employés ait pu explorer les données personnelles ouvre la possibilité d’une exploitation malveillante interne ou externe.

Les services de renseignement, qui suivent de près les pratiques des grandes plateformes, s’intéressent à ce type de faille. Une infrastructure comptant des milliards d’utilisateurs représente une cible idéale pour l’espionnage, qu’il soit mené par des acteurs étatiques ou criminels. Les accusations de Baig, si elles se vérifient, signifieraient que Meta aurait facilité malgré elle la tâche de tout acteur souhaitant infiltrer ses systèmes.

La portée de l’affaire dépasse donc largement le cas d’un licenciement contesté. Elle interroge sur la gouvernance de la donnée au sein d’une entreprise devenue un nœud stratégique de communication mondiale.

Une crise de confiance pour Meta ?

Le groupe de Menlo Park se trouve à nouveau confronté à une crise de confiance. Depuis Cambridge Analytica, Meta traîne une réputation fragile en matière de protection des données. Chaque révélation ou accusation relance les doutes sur sa capacité à garantir la confidentialité.

Pour les régulateurs, cette affaire pourrait devenir un test. Si le procès confirme les accusations, la FTC et la SEC seraient contraintes de durcir encore leur contrôle. Si, au contraire, les arguments de Meta l’emportent, le cas illustrerait la difficulté pour un lanceur d’alerte interne de se faire entendre dans un groupe tentaculaire.

Dans les deux scénarios, l’impact est réel : la question de la sécurité des données chez Meta reste ouverte. La mention directe de Zuckerberg dans le dossier montre que la responsabilité personnelle des dirigeants est désormais au cœur des débats.

La cybersécurité, longtemps traitée comme une fonction technique, devient ici un enjeu de gouvernance et de confiance publique. Dans un monde où la donnée est ressource stratégique, chaque faille non traitée peut se transformer en crise globale.

Au-delà du conflit personnel entre un ex-ingénieur et son employeur, l’affaire Baig révèle les tensions profondes qui traversent les géants du numérique : comment concilier croissance, gouvernance et sécurité dans un environnement où la donnée est devenue cible de convoitises multiples ? La justice américaine devra déterminer si Meta a failli à ses obligations. Mais la question qui reste est plus large : si même un acteur central comme WhatsApp ne parvient pas à maîtriser ses accès internes, quels garde-fous restent aux utilisateurs et aux États face aux risques d’ingérence ?

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Sources

Cybersécurité, Espionnage Spy, Justice

Disney sanctionné pour collecte illégale de données d’enfants

Disney a accepté de verser 10 M$ (9,3 M€) à la FTC pour avoir violé la loi COPPA en mal étiquetant des vidéos YouTube destinées aux enfants, permettant la collecte de données personnelles sans consentement parental.

Le règlement impose à Disney de revoir sa gestion de contenus en ligne. L’affaire révèle un problème plus large : les limites du système actuel de protection de la vie privée des mineurs, alors que la publicité ciblée et l’IA façonnent déjà l’écosystème numérique des plus jeunes.

Disney face aux accusations de la FTC

La FTC reproche à Disney d’avoir utilisé des paramètres par défaut au niveau des chaînes plutôt qu’une classification vidéo par vidéo. Résultat : des contenus pour enfants issus de franchises comme Frozen, Toy Story ou Les Indestructibles ont été étiquetés « non destinés aux enfants ». Cette erreur a ouvert la voie à la collecte de données et à la publicité personnalisée, pratiques interdites par la COPPA.

En 2020, YouTube avait pourtant corrigé plus de 300 vidéos mal classées, les passant en « contenu enfant ». Malgré ce signalement, Disney a maintenu son système de réglage global, y compris sur des chaînes explicitement dédiées aux plus jeunes comme Disney Junior, Mickey Mouse ou Pixar Cars. L’absence de contrôle individuel a ainsi prolongé les violations de la loi.

Selon la FTC, ces erreurs ont exposé les enfants à des fonctionnalités interdites, telles que l’autoplay ou les annonces ciblées. Disney, qui tire profit des revenus publicitaires générés sur YouTube, est accusé d’avoir négligé sa responsabilité en matière de protection des mineurs.

Les obligations du règlement

L’amende de 10 M$ (≈ 9,3 M€) n’est qu’un aspect de la sanction. Disney devra désormais informer clairement les parents avant toute collecte de données personnelles concernant des enfants de moins de 13 ans et obtenir leur accord préalable.

L’entreprise est également contrainte de mettre en place un programme complet de vérification de l’ensemble de ses vidéos YouTube. Cette obligation pourrait être levée uniquement si YouTube déploie une « technologie d’assurance d’âge » : un système capable de vérifier automatiquement l’âge réel des spectateurs.

Cette perspective ouvre un débat plus large. Jusqu’ici, les plateformes reposaient sur l’autodéclaration et le bon vouloir des entreprises pour étiqueter correctement leurs contenus. L’exigence de solutions automatisées marque un tournant vers une identification systématique et centralisée des spectateurs mineurs, avec tout ce que cela implique en termes de surveillance numérique.

Une première pour les créateurs de contenus YouTube

Le président de la FTC, Andrew Ferguson, a résumé l’enjeu : « Notre décision sanctionne l’abus de confiance des parents par Disney. » Au-delà du cas particulier, ce règlement illustre une évolution : les autorités ne se contentent plus de cibler les plateformes, elles sanctionnent désormais aussi les producteurs de contenus.

C’est la première fois qu’une procédure COPPA vise directement un fournisseur de vidéos sur YouTube, et non la plateforme elle-même. En 2019, Google et YouTube avaient conclu un accord record de 170 M$ (≈ 157,7 M€) pour des violations similaires. L’affaire Disney s’inscrit donc dans la continuité d’un durcissement de la régulation, où les grandes marques ne sont pas à l’abri.

Si Disney se conforme aux nouvelles règles, les contenus destinés aux enfants devraient être correctement classés à l’avenir, limitant l’exposition aux publicités ciblées et améliorant la protection des données. Mais l’affaire rappelle surtout que la protection des mineurs ne peut être laissée au seul bon sens des entreprises, même celles qui incarnent une image familiale.

L’affaire révèle un basculement : le contrôle des contenus pour enfants se déplace vers des mécanismes de vérification technique. La question reste ouverte : jusqu’où l’« assurance d’âge » automatisée peut-elle protéger les enfants sans instaurer une surveillance généralisée des internautes ?

RGPD

Les Français, mauvais élèves européens de la protection de leurs données

86 % des Français n’ont aucune idée du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles. 38 % des Français n’ont aucune connaissance de la législation destinée à protéger leurs données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols.

Une nouvelle étude* OpenText réalisée auprès de 2000 consommateurs français, met en lumière un manque de connaissance du public quant au traitement de ses données par les entreprises, comparé à ses voisins européens. L’enquête révèle que moins d’un Français sur cinq (17 %) serait prêt à payer plus cher ses achats auprès d’une entreprise qui s’engage à protéger la confidentialité de ses données personnelles. Une proportion bien inférieure à celle de leurs homologues allemands (41 %), britanniques (49 %) ou espagnols (36 %).

Un tiers (33 %) des Français interrogés ne font pas confiance aux entreprises pour préserver la sécurité ou la confidentialité de leurs données personnelles, mais une fois encore, cette proportion est nettement inférieure à celle de leurs voisins : 47 % des Allemands, 45 % des Britanniques, 39 % des Espagnols. De surcroit, près de la moitié (42 %) des Français ne se sont jamais posé la question, contre 34 % des Allemands et des Britanniques, et 33 % des Espagnols.

Maîtriser la protection de la confidentialité des données

La majorité (86 %) des consommateurs français n’ont « aucune idée » du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles, telles que leur adresse e-mail, leur numéro de téléphone ou leurs coordonnées bancaires. Un chiffre qui se démarque toujours de celui de leurs voisins : 73 % des Allemands, 80 % des Britanniques, 79 % des Espagnols, qui semblent plus alertes sur le sujet.

Cette proportion coïncide avec le fait que plus d’un tiers (38 %) des Français affirment n’avoir aucune connaissance de la législation destinée à protéger ces données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols. En outre, 32 % des Français ont une bonne connaissance de ces lois, et 30 % en ont une vague idée.

De fait, seuls 23 % des consommateurs français déclarent qu’ils seraient prêts à entrer, de leur propre initiative, en contact avec une entreprise afin de vérifier l’utilisation faite de leurs données personnelles ou la conformité de leur conservation. Leurs voisins Allemands (25 %), Britanniques (32 %) et Espagnols (38 %) sont plus proactifs en la matière. Moins d’un Français sur dix (9 %) a déjà effectué cette démarche au moins une fois, contre 12 % des Allemands, 13 % des Britanniques et 17 % des Espagnols.

« La crise de la Covid-19 a accéléré le rythme de la transformation numérique, les entreprises étant passées au télétravail et au commerce en ligne », commente Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Le numérique est désormais au centre de pratiquement toute interaction commerciale, produisant une plus grande quantité de données que les entreprises doivent gérer et protéger. Bien qu’il existe un plus grand degré de complaisance parmi les Français quant à la nécessité de protéger leurs données personnelles par rapport aux consommateurs d’autres pays, la tendance mondiale liée aux attentes accrues des consommateurs en matière de confidentialité de leurs données est claire. Elle met aujourd’hui les entreprises sous pression pour veiller à ce que leurs solutions destinées à préserver cette confidentialité s’adaptent correctement à cette ère qui privilégie le numérique. »

Qui est responsable de protéger la confidentialité des données ?

Une majorité (60 %) des consommateurs français (contre 73 % des Britanniques) estiment savoir comment protéger la confidentialité et la sécurité de leurs propres données dans les applications, les comptes e-mail et sur les réseaux sociaux, qu’il s’agisse de configurer les paramètres relatifs à la vie privée ou de désactiver la géolocalisation. Cependant un sur dix (11 %) pense que la préservation de la confidentialité et la sécurité de leurs données relève de la responsabilité de l’application ou de l’entreprise en question.

Paradoxalement, les Français sont parmi les plus pessimistes quant à l’avenir de la protection de leurs données. En effet, à peine plus d’un Français sur dix (11 %) juge que nous sommes arrivés au stade où chaque entreprise satisfait à ses obligations légales d’assurer la confidentialité des données de ses clients, soit moins qu’en Espagne (17 %) et en Allemagne (13 %). Du reste, près d’un cinquième (19 %) des Français interrogés considèrent que cela ne sera vrai que dans un avenir lointain, voire jamais, contre 26 % des Allemands, 24 % des Britanniques et 18 % des Espagnols.

« Au-delà des amendes encourues, toute entreprise qui ne respecte pas la législation sur la confidentialité des données s’expose au risque de perdre la confiance de ses clients », souligne Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Les dirigeants doivent mettre à profit une technologie qui, non seulement offre une visibilité sur leurs pratiques de collecte et de protection des données, mais leur permet aussi de répondre rapidement aux demandes des clients sur la manière dont leurs données personnelles sont traitées, collectées et utilisées. En investissant dans des solutions complètes de gestion de la confidentialité, qui automatisent et intègrent les règles de protection de la vie privée dans une entreprise avec les principes en vigueur dans ce domaine, les entreprises peuvent satisfaire à leurs obligations réglementaires, réduire le risque d’atteinte à leur réputation et conserver la confiance de leurs clients. »

*Méthodologie
Étude réalisée via Google Surveys en avril-mai 2020. À la demande d’OpenText, 12 000 consommateurs ont été interrogés anonymement en Allemagne, en Australie, au Canada, en Espagne, en France, au Royaume-Uni et à Singapour. Le panel français comprenait 2000 participants afin de donner un aperçu du point de vue des consommateurs sur la protection de la confidentialité des données pendant la crise du coronavirus.

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Fuite de données, Securite informatique

Élaborer une stratégie de sécurité des données – pourquoi les acteurs du marché doivent collaborer

D’ici 2025, près de 90 % des données créées dans le monde nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées.

L’augmentation de l’influence des données sur nos données personnelles, nos vies personnelles et professionnelles au cours des dernières années a été plus rapide que ce que l’on pouvait imaginer. Le rythme du changement devrait se poursuivre : selon le rapport Data Age 2025 d’IDC et de Seagate, d’ici 2025, le volume de données mondial pourrait atteindre 163 zettaoctets et 90 % de ces données nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées. Face aux cas de violation de données et de cybercriminalité qui font beaucoup parler d’eux dans les médias, les entreprises de différents secteurs, tels que la finance, le transport, la santé et la distribution, reconnaissent le besoin urgent d’investir dans la sécurité des données.

Comme on pouvait s’y attendre, ce regain d’intérêt pour les produits de sécurité des données n’a pas échappé au marché de la sécurité. Celui-ci est à présent sous de nouvelles offres de produits et solutions qui prétendent répondre aux préoccupations des entreprises et aux nouvelles réglementations gouvernementales, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne. Selon un récent rapport de MarketsandMarkets, le marché mondial de la cybersécurité pourrait atteindre 231 milliards de dollars d’ici 2022.

Manque de vision d’ensemble

Bien que l’augmentation des dépenses puisse être une bonne chose pour la sécurité des données, il est à craindre que, dans la course visant à être le premier à commercialiser de nouveaux produits et services, les fournisseurs du secteur de la sécurité n’aient pas de vision d’ensemble. La sécurité est un cercle et non une ligne : il incombe à chaque acteur impliqué dans la gestion et le traitement des données de garantir leur sécurité. Concrètement, cela implique de recentrer l’attention sur les domaines de la protection matérielle et logicielle qui n’ont jamais été au centre des préoccupations ou fait l’objet d’importants investissements de la part des entreprises, la sécurité au niveau des disques étant à cet égard un parfait exemple.

Un problème de silos

Comme pour bon nombre d’autres questions liées aux technologies de l’information, le problème commence par les silos. Aujourd’hui, les données se déplacent fréquemment, ce qui augmente les problèmes de sécurité. Pour le moment, tous ceux impliqués dans la gestion et le traitement des données – des opérateurs de réseaux aux fabricants de matériel en passant par les éditeurs de logiciels Cloud – ont chacun leurs propres techniques pour sécuriser leur petite partie de la chaîne de valeur des informations et vont rarement plus loin.

Cela devient un réel problème à l’heure où l’environnement mondial des données gagne en complexité. Nous assistons à l’essor de l’IdO, des systèmes embarqués, de l’apprentissage automatique et de l’analyse en temps réel, qui peuvent tous être en fonction dans des systèmes complexes tels que les véhicules autonomes et les drones. Plus il y a d’étapes dans le transfert de données, plus il y a de risques d’infiltration de malfaiteurs dans le système.

Pour fournir à leurs clients les environnements les plus fiables, les fournisseurs du secteur de la sécurité devront garder une longueur d’avance sur plusieurs aspects : la manière dont les entreprises mettent en œuvre leurs technologies, quels sont les autres produits utilisés dans la même pile et comment ces différents produits peuvent fonctionner ensemble pour créer une boucle de protection des données des clients.

Données personnelles : sécurité au niveau des disques

Dans un monde où les propriétaires d’informations sont constamment sous les attaques de type WannaCry, il est important de s’assurer que chaque maillon de la chaîne de sécurité est en place et que tous les éléments matériels et logiciels qui gèrent des contenus sensibles disposent de fonctions de sécurité adéquates. Selon un récent rapport Thales Data Threat, les outils de protection des données inactives sont systématiquement considérés comme le meilleur moyen de protéger les données après l’infiltration d’attaquants. Le chiffrement des données inactives fonctionne comme une dernière ligne de défense : si un malfaiteur parvient à violer des couches de sécurité externes en utilisant des informations d’identification piratées ou frauduleuses, le chiffrement au niveau du matériel peut protéger l’entreprise contre le vol de données.

Cependant, malgré les avantages évidents, ce type de chiffrement est en retard sur d’autres domaines, tels que la sécurité des réseaux et des terminaux, en termes d’investissement. Selon le rapport Thales Data Threat mentionné précédemment, en 2016, la sécurité des données inactives figurait au bas de l’échelle de l’augmentation des dépenses : +44 %, contre +62 % pour la sécurité des réseaux et +56 % pour la sécurité des terminaux.

Données personnelles : boucler la boucle

Selon l’étude Cost of Cybercrime d’Accenture, le nombre de violations de données a augmenté de 27,4 % en 2017 par rapport à 2016. Il devient de plus en plus difficile de se protéger contre ce type d’attaques.

Pensons, par exemple, à la multitude d’entreprises qui utilisent des services hébergés dans un Cloud. Compte tenu de l’augmentation des données stockées dans le Cloud, les entreprises doivent se préparer à faire face à des problèmes de sécurité majeurs en cas de défaillance de la technologie du Cloud. Et il y en a de nombreux exemples. De même, le développement rapide de la technologie de la chaîne de blocs (blockchain) et les attaques de logiciels malveillants tels que WannaCry présentent des menaces beaucoup plus graves que celles auxquelles les entreprises s’habituent.

Il n’y a pas de réponse unique à ces différentes menaces, et c’est vraiment le point le plus important. À l’époque où nous vivons, la sécurité dans cette nouvelle ère exige que plusieurs systèmes de défense complexes fonctionnent harmonieusement les uns avec les autres. Ces systèmes, y compris le chiffrement au niveau des disques, doivent communiquer entre eux et former une boucle de sécurité autour des données sensibles. Les acteurs du marché de la sécurité doivent collaborer et être compétitifs pour pouvoir servir efficacement leurs clients. (Par Raghavan Srinivasan, directeur de l’entité Enterprise Data Solutions chez Seagate Technology pour DataSecurityBreach)