Cybersécurité : comment garantir la protection des données personnelles ?

Dans le contexte de la mise en application du RGDP, garantir la protection des données personnelles est un enjeu majeur pour les entreprises. Voici les règles de cybersécurité essentielles appliquer pour une bonne protection !
Cybersécurité : comment garantir la protection des données personnelles ?

Pour atteindre leurs objectifs commerciaux et optimiser leurs offres, les entreprises ont toujours eu besoin d’acquérir et de stocker des données sur leurs clients. Cependant, ce montant de données récoltées n’a jamais cessé de croître avec l’apparition de la digitalisation, qui a permis aux entreprises d’y accéder et de les collecter plus facilement, dans le but de fournir des services plus personnalisés et d’améliorer leurs performances. Mais comment faire en sorte que les données des clients soient bien traitées et sécurisées ?

Qu’est-ce qu’une donnée personnelle ?

Toute information sur une personne physique qui est identifiée ou identifiable, directement ou indirectement, par un identifiant ou un ou plusieurs éléments propres à son identité est considérée comme étant une donnée personnelle.

Un nom, un prénom, une adresse électronique, une localisation, un numéro de carte d’identité, une adresse IP, une photo, un profil social ou culturel en sont des exemples.

Lorsque ces informations sont utilisées, stockées ou recueillies sous forme numérique ou sur papier, les restrictions du RGPD s’appliquent. Mais qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données, ou RGPD

Depuis le 25 mai 2018, les entreprises doivent se conformer à la nouvelle législation européenne, souvent connue sous le nom de Règlement général sur la protection des données (GDPR en anglais). Pour bien comprendre de quoi il s’agit, regardez la vidéo ci-dessous.

Le RGPD exige des organisations une plus grande maturité, ainsi que la mise en place d’un système global de gestion de la conformité. L’idée de responsabilité exige que les entreprises soient en mesure de démontrer leur conformité à la législation, ainsi que les mesures qu’elles ont prises et qu’elles prévoient de prendre, à tout moment. Il ne suffit pas de mettre un site web en conformité et de garder une trace des activités de traitement ; une maintenance à long terme est nécessaire.

Malgré le fait que ce règlement puisse apparaître comme un obstacle pour la grande majorité des entreprises, en raison de la charge administrative et de la sévérité des amendes, il a permis de prendre conscience de l’importance d’une bonne gestion de la collecte, de la génération et de l’utilisation des données.

Qui est concerné par ce règlement ?

À quelques exceptions près, le règlement s’applique à tous les traitements de données à caractère personnel (par exemple, les fichiers de sécurité restent régis par les États et les traitements en matière pénale).

Peu importe le lieu de traitement des données, les garants du traitement (entreprises, administrations, associations ou autres organismes) et les sous-traitants (hébergeurs, intégrateurs de logiciels et agences de communication, entre autres) doivent être basés au sein de l’Union européenne (UE).

L’exfiltration de données par les cyberattaques

On observe depuis novembre 2019 une propension grandissante à harceler des victimes en procédant à l’exfiltration de leurs données personnelles et en menaçant de les exposer sur un site internet. L’exfiltration des données précédant le chiffrement, on parle alors de double extorsion.

Les atteintes délibérées à la sécurité des systèmes d’informations n’ont par ailleurs jamais été aussi nombreuses. Selon une analyse de Moody’s, les cyberattaques contre les institutions financières ont grimpé de 238% au niveau mondial entre février et avril 2020. Les tentatives d’extorsion ont été multipliées par neuf au cours de l’année dernière.

cyberattaque

De surcroît, selon une enquête titrée « Enduring from Home : Covid-19’s Impact on Business Security », 24% des organisations sondées ont encouru des coûts imprévus pour faire face à des incidents de cybersécurité depuis le début de la pandémie.

VOIR AUSSI : Comment identifier et supprimer un cheval de troie de mon ordinateur ?

Les logiciels espions : une menace pour la vie privée et les données personnelles

Un logiciel espion est un programme qui s’infiltre dans un système informatique afin de capturer le profil de navigation d’un utilisateur ou ses informations personnelles pour un usage commercial ou à des fins de surveillance. On peut par exemple espionner whatsapp, un ordinateur ou toute l’activité d’un smartphone : messages, géolocalisation…

Généralement, un logiciel espion installé au sein de votre machine n’endommagera pas les données ni ne modifiera les applications. Au contraire, il s’assurera que tout votre système reste conforme à ce qu’il était avant que ne survienne l’attaque, ce qui lui permettra de lire et capter des données personnelles qui seront ensuite redirigées vers le lanceur d’attaque.

logiciel espion

Ces logiciels sont problématiques dans la mesure où ils ne sont que très difficilement détectables et lorsqu’ils sont effectivement détectés, le mal est déjà fait. Encore aujourd’hui, ce sujet de cybercriminalité reste au cœur de l’actualité, par exemple avec l’affaire Pegasus ces dernières années.

Les infractions restent encore communes

Malgré des amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent de la société, on observe encore des dérives. Certaines petites et moyennes entreprises, se croyant invisibles par rapport aux géants du secteur et donc à l’abri des sanctions, se livrent à des actions illicites telles que le « jeu concours ». Sur ses plateformes de médias sociaux, la société organise un tirage au sort. Elle capture ensuite les informations personnelles des participants et les ajoute à sa base de données clients afin de pouvoir leur envoyer des publicités ou des newsletters ciblées par la suite.

On voit aussi des entreprises bien plus importantes et populaires soupçonnées de transferts de données utilisateurs. C’est en effet l’entreprise TikTok qui s’est vu être la cible de deux procédures lancées par la Commission de la protection des données (Data Protection Commission, DPC), le 14 septembre 2021.

La première concerne les transferts potentiels d’informations personnelles d’utilisateurs de l’application vers la Chine (TikTok est détenu par Bytedance, une entreprise chinoise), et la seconde concerne le traitement des données des mineurs par le réseau social.

On note aussi près de 10 millions de visiteurs enregistrés sur l’ensemble des sites internet de la CNIL, soit une hausse de 21 % par rapport à l’année précédente, avec plus d’un million de consultations de la rubrique Besoin d’aide. La CNIL a également reçu 13 585 plaintes l’année dernière, soit une augmentation de 62,5 % depuis la mise en œuvre du RGPD. Ce chiffre, qui reste élevé mais stable par rapport à 2019, démontre que les Français prennent davantage conscience de leurs droits.

Les plaintes adressées à la CNIL en 2020
Les plaintes adressées à la CNIL en 2020 – Source rapport d’activité CNIL 2020

Trois ans après sa mise en service, quel est le bilan du RGPD ?

Bien que la mise en œuvre du règlement européen par les entreprises ait été progressive, il est évident qu’au cours des trois dernières années, un bon nombre d’organisations ont entamé un processus de mise en conformité pour renforcer et accroître la protection des données de leurs clients ou utilisateurs.

Plus de 76 000 délégués à la protection des données désignés sont répertoriés sur le site d’Open Cnil en 2021 (ou DPO). Ce dernier s’est imposé comme un atout stratégique précieux pour les organisations. En revanche, les amendes prononcées par la Commission ont fortement augmenté avec la nouvelle législation comme l’a illustré la CNIL en 2020 en infligeant à GOOGLE LLC et GOOGLE IRELAND LIMITED un montant total d’amende de 100 millions d’euros.

Conclusion

En raison de l’utilisation croissante des médias et des réseaux sociaux, ainsi que de la prolifération des objets connectés et de la vitesse de transmission des données, la quantité de données personnelles échangées augmente toujours plus.

Sur les réseaux, il semble que l’anonymat et la vie privée des utilisateurs soient de plus en plus difficiles à protéger. De même, l’attrait financier des données personnelles, voire sensibles, alimente une recrudescence des vols de données. Les entreprises ont plus de mal à établir leur résilience en raison de la fréquence et de la complexité croissantes des cyberattaques.

Entre 2019 et 2021, l’Anssi fait état d’une augmentation de 255 % des cyberattaques, dont une hausse substantielle des occurrences de ransomware (blocage des activités d’une entreprise via un logiciel malveillant contre une rançon). Multinationales, petites et moyennes entreprises, industrie médicale…. Ces derniers mois, il ne s’est pas passé une semaine sans qu’une cyberattaque ne fasse la une des journaux. Les entreprises ne peuvent plus se contenter de protéger leur savoir-faire ou leurs systèmes informatiques pour rester des acteurs de confiance. Elles doivent être capables de faire preuve de résistance face aux cybermenaces croissantes et mettre en place des réelles solutions de cybersécurité.

Cependant, même trois ans plus tard, avec la recrudescence des menaces informatiques, le RGPD est plus que jamais d’actualité, nécessitant une gestion technique et juridique de la conformité sur le long terme.

Noter cet article