Savez-vous que 95% des fuites d’information sont accidentelles ?
De nombreux pays tels que l’Angleterre ou les Etats-Unis ont déjà depuis longtemps pris des mesures contraignantes en cas de perte ou de vol de données personnelles. C’est ainsi que l’on a pu voir différents scandales apparaître concernant des pertes de centaines de milliers d’enregistrements personnels comme par exemple : 600.000 données personnelles perdues en grande bretagne ou encore Vol de dossiers médicaux et demande de rançon aux Etats-Unis, mais pas de scandale Français.
Ces pays ont pris la mesure de l’impact potentiel de la divulgation d’information personnelles, notamment des dates de naissance qui servent encore aujourd’hui trop souvent de mot de passe, de combinaisons classiques des lettres du prénom et du nom qui servent de login, etc.
Le fait d’avoir pris conscience que l’exposition de données personnelles peut engendrer pour la personne physique ou morale concernée de gros problèmes permet aux interréssé(e)s d’agir le plus rapidement possible afin de s’assurer que leur identité est sauvegardée, et que leur sécurité n’est pas compromise. Je trouve que c’est une bonne chose que d’informer le plus rapidement possible ces personnes si cette mésaventure leur arrive.
En France, il n’existe pas à ce jour de mesure contraignante quand à la notification de personnes concernant perte ou au vol de leurs données. Nous nous souvenons tous de la clé USB perdue en Angleterre, et Des 8 millions de dossiers medicaux de Virgnie pour lesquels une rançon avait été demandée
Personne n’est dupe, et nous Français ne sommes pas exempts de défauts, avons avec nous des documents sensibles qui ne sont pas systématiquement chiffrés, ou accessibles à un trop grand nombre de personnes au sein d’une entreprise, ou encore imprimées puis pas forcément détruites, etc.
Le problème, c’est qu’en France, quand cela arrive, on ne dit rien. Pourquoi me direz-vous ? Tout simplement parce qu’aucune loi contraignante n’oblige la personne ou l’organisation ayant perdu ces enregistrements à le déclarer, donc évidemment, rien n’est dit, rien ne s’est jamais passé … évidemment …
Il semblerait heureusement que les choses soient en train de changer, avec notamment une proposition de loi du 24 février visant une modification de la loi de 1978 (Informatique et Libertés), et instaurant un caractère contraignant en cas de perte, de vol ou de compromission de données personnelles.
Voici l’extrait de l’article y faisant référence, et en mettant en gras les éléments que je trouve les plus intéressants dans ce contexte :
En cas de violation du traitement de données à caractère personnel, le
responsable de traitement avertit sans délai le correspondant « informatique
et libertés », ou, en l’absence de celui-ci, la Commission nationale de
l’informatique et des libertés. Le correspondant « informatique et libertés »
prend immédiatement les mesures nécessaires pour permettre le
rétablissement de la protection de l’intégrité et de la confidentialité des
données et informe la Commission nationale de l’informatique et des
libertés. Si la violation a affecté les données à caractère personnel d’une ou
de plusieurs personnes physiques, le responsable du traitement en informe
également ces personnes. Le contenu, la forme et les modalités de cette
information sont déterminés par décret en Conseil d’État pris après avis de
la Commission nationale de l’informatique et des libertés.
Il était temps ! A mon sens n’attendez pas l’application de cette adaptation de la loi Informatique et Libertés pour prendre les devants, et étudiez rapidement l’utilisation de solutions de DLP, de contrôle des ports de stockage amovible, d’application de partage documentaire, ainsi que de chiffrement des données stockées ou mobiles.
Je vous laisse avec des propos à méditer que je n’ai que trop entendus ces derniers temps, qui concernent malheureusement bien plus d’une entreprise et dont je ne communiquerais évidemment jamais les noms :
Je suis conscient du problème, mais nous n’avons pas d’obligation légale de le dire si nous perdons des données personnelles. Je pense par ailleurs que la plupart du temps nous ne le savons même pas. Nous savons qu’un scandale va éclater comme ça a été le cas dans d’autres pays et qui conduira à une loi, je ne peux actuellement espérer que cela ne sera pas mon entreprise qui sera sous les projecteurs, mais à ce moment là, oui, nous agirons car on nous l’imposera.
Étiquettes : chiffrement, CNIL, DLP, Données personnelles