AVIS D’EXPERT – Alexandre Pierrin-Neron, VP Europe du Sud de Lacework, spécialisé dans la sécurité du Cloud, revient pour les lecteurs de Solutions NUmériques, sur les notions de protection de la vie privée, de “Privacy by design” et de “Privacy by default” et sur ce qu’elles impliquent pour les entreprises et les fournisseurs de solutions de sécurité.
Dans le contexte de la protection des renseignements personnels, notamment de l’utilisation des données relatives aux individus (appelés « personnes concernées » dans le règlement général sur la protection des données [RGPD]) et plus précisément à la « personne vivante identifiée ou identifiable à laquelle ces données à caractère personnel se rapportent », cette notion renvoie généralement au droit des individus à « déterminer eux-mêmes quand, comment et dans quelles mesures les informations les concernant sont communiquées à des tiers ». Les entreprises sont souvent confrontées à un problème similaire : elles souhaitent garder le contrôle sur le traitement et l’utilisation de leurs informations confidentielles, et ces questions sont souvent examinées dans le cadre de l’élaboration de produits respectueux de la vie privée.
Le concept de protection des données personnelles est plus que jamais d’actualité pour les personnes concernées évoluant dans un monde hautement connecté, où une multitude d’individus emportent sur leurs smartphones toute leur vie numérique, soit une mine d’informations personnelles accessibles depuis n’importe quel endroit par le biais de réseaux cloud.
En quoi la protection de la vie privée relève-t-elle de la sécurité ?
Dans la plupart des cas, la protection de la vie privée et la sécurité vont de pair et sont étroitement liées dans l’esprit des gens. L’IAPP (International Association of Privacy Professionals) propose une analyse intéressante de la différence entre ces deux concepts : la protection de la vie privée concernant les contrôles, les procédures et les garde-fous mis en place pour encadrer l’utilisation des données personnelles, et la sécurité se rapportant aux actions de prévention permettant de lutter contre les accès non autorisés à ces informations. Cette approche de la sécurité suit les principes de la triade CIA (Confidentiality, Integrity, Availability), qui inclut l’utilisation de pare-feu, de systèmes de sécurité cloud et d’autres technologies pour la protection des données en ligne, ou les armoires métalliques verrouillées pour les supports d’information physiques. La sécurité implique également d’empêcher l’utilisation malveillante des informations à caractère personnel en cas d’accès non autorisé, à l’aide de technologies de chiffrement ou de compartimentation, par exemple. En d’autres termes, la protection de la vie privée concerne généralement « ce que quelqu’un est autorisé à faire avec mes données », alors que la sécurité se rapporte aux « données auxquelles des attaquants peuvent accéder et comment ils peuvent s’en servir ».
Des données peuvent être en sécurité, sans pour autant être utilisées dans le respect de la vie privée. Par exemple, certains régimes politiques peuvent conserver en toute sécurité des dossiers secrets qu’ils exploitent sans le consentement des personnes concernées, et ce dans le but de porter atteinte à leurs droits humains, de diffamer des opposants ou de discréditer des dissidents. De la même manière, des données peuvent être confidentielles, tout en étant mal protégées. A titre d’exemple, les données de près de 500 000 personnes avaient fuité suite à une cyberattaque visant l’Assurance Maladie en 2022.
Peut-on parler de sécurité dans ce cas ?
Évidemment non. Mais l’utilisation des données personnelles est encadrée, même si les règles ne sont pas correctement appliquées. Bien souvent, les mesures de sécurité relatives à la protection de la vie privée se révèlent insuffisantes malgré des obligations légales strictes.
Qu’est-ce que le concept de Privacy by Design ?
La notion de Privacy by Design, ou protection de la vie privée dès la conception, est étroitement liée à celle de protection des données dès la conception. Plus précisément, les fournisseurs de produits ou prestataires de services appelés à traiter des informations personnelles sont encouragés à « prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits ». Concrètement, cela signifie que les concepteurs et développeurs doivent non seulement intégrer des mécanismes de protection de la vie privée au sein même de leurs produits, mais aussi en faire l’option par défaut afin de garantir la sécurité des données à caractère personnel.
D’où vient le concept de Privacy by Design ?
Le concept de Privacy by Design est né des travaux d’Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario, au Canada, menés en partenariat avec d’autres collaborateurs depuis 1995. Il a ensuite été développé dans le cadre d’un atelier organisé en 2009 intitulé « Respect de la vie privée dès la conception (Privacy by Design) : le séminaire définitif ».
Quelles réglementations prévoient une obligation de Privacy by Design ?
Le RGPD impose la protection de la vie privée dès la conception et par défaut. Plus précisément, l’Article 25 intitulé « Protection des données dès la conception et protection des données par défaut » et le Considérant 78 qui stipulent clairement que « le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut ».
En quoi les clients des fournisseurs de solutions de sécurité sont-ils concernés ?
Les entreprises et les organisations implantées dans l’Union européenne ou ciblant les résidents de l’UE sont soumises au RGPD en vertu de ce que l’on nomme « l’extraterritorialité ». L’Article 3 du RGPD définit cette extraterritorialité en fonction du critère d’Établissement (Article 3.1) et du critère de Ciblage (Article 3.2). Cela signifie qu’un fournisseur de produits ou de services utilisés par des résidents de l’UE, ou traitant des informations personnelles de résidents de l’UE, est soumis au RGPD. Cette règle s’applique également aux résidents du Royaume-Uni en vertu du Data Protection Act
Pourquoi le concept de Privacy by Design est-il si important dans le domaine de la sécurité ?
La sécurité vise à empêcher des personnes non autorisées (c’est-à-dire des attaquants) d’accéder à des informations ou à des biens matériels. Toutefois, si un attaquant parvient à contourner les contrôles de sécurité et à accéder aux données sous-jacentes, une bonne application du principe de Privacy by Design permettra de réduire considérablement les conséquences en termes de violation de la sécurité et de la vie privée. C’est ce que l’on appelle parfois limiter « l’onde de choc ». La sécurité est liée à ce qu’il est possible de faire avec des données, alors que la protection de la vie privée définit les règles de bon usage de ces données. Et vous devez tenir compte de ces deux aspects lorsque vous concevez des produits ou des services. Plus particulièrement, un concepteur de produits ou de services qui traite des informations à caractère personnel devrait s’efforcer de suivre les principes suivants, initialement définis par le Commissariat à l’information et à la protection de la vie privée (IPC) de l’Ontario, au Canada. La conception devrait être proactive, et non réactive, et prendre en compte les questions relatives à la protection de la vie privée dès la conception des produits et services.
De la même manière, les mesures adoptées devraient être préventives, et non simplement réactives, afin d’éviter toute infraction à la vie privée. Les outils réactifs peuvent sans aucun doute se révéler utiles et constituer un filet de sécurité en cas de violation. Toutefois, dans l’idéal, la protection de la vie privée devrait être prise en compte dès la conception initiale. La protection de la vie privée devrait être le paramètre par défaut. Cela signifie que les réglages initiaux devraient être les options les plus respectueuses de la vie privée (le cas échéant). Libre à l’utilisateur de les modifier par la suite. Les mesures visant la protection de la vie privée devraient être intégrées au modèle conceptuel dès le départ, et non « greffées » après coup. La protection de la vie privée devrait s’inscrire comme le prolongement naturel des aspects fonctionnalités et sécurité, et non comme une distraction qui vous en détourne. Bien que des arbitrages puissent être nécessaires dans la pratique, l’objectif est de faire en sorte que la sécurité et la protection de la vie privée restent au cœur de toutes les décisions. La protection de la vie privée devrait accompagner l’ensemble du cycle de vie des données, de la collecte à la destruction.
Les mesures de protection de la vie privée mises en œuvre devraient être transparentes et visibles, et faire l’objet d’une vérification indépendante. Le principe de Privacy by Design implique de maintenir l’intérêt de l’utilisateur au premier plan et de protéger sa vie privée par défaut. En suivant ces principes, les concepteurs de produits et de services traitant des informations personnelles peuvent démontrer leurs intentions et leur engagement à respecter les principes de Privacy by Design et Privacy by Default.
Quelques recommandations
Nous encourageons les clients, les fournisseurs ainsi que les utilisateurs d’outils et de services de sécurité à considérer la protection de la vie privée comme une composante essentielle de leurs solutions. Cette approche est fondamentale, non seulement pour gagner la confiance des utilisateurs et leur prouver que leurs données personnelles sont traitées dans le respect de leur vie privée, mais également pour se conformer aux réglementations internationales dans ce domaine
Alexandre Pierrin-Neron