Éditorial N°18 – Quand nos données personnelles sont toujours menacées…: Respect des lois et vol de données

A l’heure du Big Data, de la collecte d’informations de masse et du vol de données sensibles, nous ne savons plus vraiment si nous sommes protégés. Par ce « nous », on entend, les données, ce qui nous caractérise et ce qui nous définis. Nos données personnelles, à savoir nos noms, numéros de carte bancaire et adresses, transitent sur des objets connectés dans lesquels nous n’avons plus confiance. Cette méfiance affirmée à l’égard de l’Internet des Objets est grandissante voire imminente tant les attaquants rusent pour s’emparer des données en question. Un nombre incalculable d’informations transitent dans les objets connectés et les lois pour encadrer leur fabrication sont nouvelles, à peine mis au point ou encore à l’état de pourparlers. Au crépuscule des labellisations, des lois d’encadrement pour la sécurité des objets connectés et des premiers résultats du RGPD, qu’en est-il de l’état actuel de la protection de données personnelles ?

Les données personnelles sont commercialisées par les Géants du Net, à chaque clic, nous donnons à notre insu des informations personnelles. Alors qu’à l’intérieur des foyers, nos données sont collectées par nos caméras, nos sonnettes connectées ou nos assistants vocaux, EDF et ENGIE ont récemment fait l’objet d’une mise en demeure en raison du traitement des données personnelles des utilisateurs des compteurs Linky. Selon la CNIL, le recueil de données de ces compteurs n’est pas en règle et ne respecte pas certaines exigences du RGPD notamment sur le mode de consentement et la durée de conservation de ces informations.

Dans le domaine de la santé, la relation patients/médecins a littéralement évolué. Il ne s’agit plus de soins et de traitement médical, mais de traitement des données. Les hôpitaux et centres de santé ne sont pas à l’abri de cyberattaques et d’un vol de données. En novembre 2016, le CHU de Rouen a fait l’objet d’un ransomware, paralysant les ordinateurs et les services internes. Avec une numérisation certaine des données sur les patients, le personnel de santé manipule des informations sensibles et les véhicule sur des objets connectés, ordinateurs et tablettes. L’augmentation de cyberattaques à l’égard des données de patients nous montre que ce secteur n’est pas en reste.

Les données ne transitent pas uniquement par des objets connectés, elles sont également stockées dans des Cloud. Le dernier rapport de McAfee (janvier 2020) a mis en exergue que les entreprises sont confrontées à un réel défi, celui de la protection des données dans le Cloud. D’après une analyse d’usage associée à sa gamme de solutions MVISION : « 91 % ne chiffrent pas les données inactives » et « 52 % des organisations utilisent au moins un service déjà victime d’une fuite de données rendues publiques ». Où que nos données soient, elles sont sujettes aux cyberattaques.

Qu’en est-il des lois mises en place pour la protection des données ? De nouvelles lois sont-elles mises en place ? Après le RGPD et le Cyber Act, c’est au tour des législateurs de Washington de présenter le « Washington Privacy Act » présenté en janvier 2020. Cette loi vise principalement la sécurité du consommateur à l’image de la « California Consumer Privacy Act » (CCPA). Le Washington Privacy Act reprend des concepts du RGPD et exige notamment un contrôle sur le consentement du consommateur notamment en matière de reconnaissance faciale.

Bien que des législations voient le jour au fil des mois, la sécurité de nos données personnelles restent menacée. Il aujourd’hui question de sensibiliser le personnel de santé, les utilisateurs et les fabricants d’objets connectés.