Actu
La confidentialité est-elle en bout de course ?
octobre 2013 par Emmanuelle Lamandé
Politique, diplomatie, militaire, industrie, commercial, personnels, tous ces volets ont leurs petits secrets. Pour les préserver, la confidentialité, indispensable dans les affaires, a couvert le sort des peuples, des armées et quelquefois des amants. Cependant, petits ou grands secrets ne le restent pas longtemps. L’art consistant à percer les mystères utilise tous les moyens disponibles : de la backdoor humaine à la plus technique avec en objectif le contournement des mesures de sécurité prises pour assurer la confidentialité des informations toujours pour contrôler l’information. A l’heure où tout le monde expose sa vie sur Internet, la confidentialité est-elle en bout de course ? Et si la solution se cachait ailleurs ? Philippe Loudenot, FSSI, Premier Ministre SGDG, Matthieu Grall, Expert à la CNIL, et Garance Mathias, Avocate, ouvrent le débat à l’occasion des Assises de la Sécurité.
La confidentialité, c’est le fait de s’assurer que l’accès à l’information n’est accessible uniquement aux personnes autorisées, souligne Philippe Loudenot. Toutefois, force est de constater que tout ce qui est confidentiel finit un jour par sortir, que ce soit sur Internet ou ailleurs. D’ailleurs, quasiment plus personne, dans les études aujourd’hui, ne croit à la confidentialité des données à caractère personnel.
Sans compter que la confidentialité est souvent mise à mal pour de multiples "bonnes" raisons. C’est souvent le cas pour répondre à des obligations réglementaires. Ce peut, par exemple, également être le cas pour des raisons médicales, avec la nécessaire divulgation de données de santé auprès des personnels soignants... Ajoutez à cela la fuite d’informations volontaire, la
divulgation de données par vengeance personnelle, par intérêt, par volonté de transparence, ou encore par curiosité... Près de 38% gens avouent même être prêts à sortir avec des données de l’entreprise.
L’expérience écossaise est intéressante, car atypique. En effet, toutes les données des citoyens écossais se trouvent sur un même réseau non cloisonné. En revanche, tous les accès à ces données sont tracés et passibles de sanctions lourdes, ce qui fait que les gens n’y accèdent pas. Depuis la mise en place de ce système, seuls trois cas d’atteinte aux données ont été recensés, ce qui apparaît plutôt prometteur.
Pour Matthieu Grall, il est vrai, en outre, que nous n’avons pas tous culturellement la même notion de la vie privée et de la protection de nos données à caractère personnel. D’importantes différences existent selon les pays. Ainsi la divulgation du montant des impôts, du salaire... peut se faire naturellement et en toute transparence sans aucunes incidences dans certains pays, alors qu’en France ce n’est pas le cas.
Pour la CNIL, ce qui compte est de savoir quel sera l’impact sur la vie privée en cas de divulgation de données à caractère personnel et de réduire ce dernier au minimum, explique-t-il.
Un ensemble de mesures cohérentes va permettre de réduire ce risque sur la vie des personnes. Pour protéger la confidentialité, on va pouvoir jouer sur le fait de minimiser les données au maximum, les anonymiser... L’objectif est d’avoir une bonne vision des risques liés aux dispositifs mis en place sur les personnes. On peut arriver à avoir une vision saine.
Que dit le droit ? Ce dernier n’appréhende pas le risque, explique Garance Mathias. Aucun code, aucun texte ne contient, en effet, le mot "risque", alors que nous traitons de risques à longueur de journée. En droit, on parle de l’intimité de la vie privée et cela s’inscrit dans quelque chose d’extrêmement protégé. La notion de donnée personnelle n’existe pas en tant que telle.
On observe également plusieurs niveaux de confidentialité. Et l’analyse de risques va se positionner de manière différente à chaque fois. Cette réflexion doit se faire en amont de tout projet, notamment quand il s’agit de traçabilité.
Le problème aujourd’hui est que nous sommes obligés de donner nos données à caractère personnel à un certain nombre de sites, comme Google, Yahoo !, Facebook... pour des raisons d’usage, de confort, d’efficience... Et il est de plus en plus difficile d’y échapper. Que peut faire la CNIL face à ce phénomène ? L’action de la CNIL se joue principalement lors de la création de fichiers contenant des données a caractère personnel, explique Matthieu Grall. Après, elle consiste à essayer de minimiser l’action des acteurs comme Google en faisant pression...
Parmi les mesures a mettre en oeuvre, il conseille entre autres : le développement de la Privacy by Design, mais aussi de la sensibilisation, l’analyse de l’impact sur la vie privée.
La CNIL souhaite, de son côté, mettre l’accent sur la création de labels CNIL.
L’objectif à terme est de pouvoir apposer des labels de confiance sur les produits, même si pour l’instant, elle n’a pas encore les moyens de le faire.
Sinon, le traitement pourra se faire directement à la racine, au sein de l’Union Européenne. Le projet de règlement européen sur la protection des données à caractère personnel est actuellement très ralenti. On sait d’ores et déjà ce que contient ce projet de règlement et quelles seront les obligations futures. Mais ce retard s’explique pour laisser le temps aux entreprises de se mettre à niveau. Car contrairement aux directives, un règlement suppose qu’il n’y aura pas de temps, ni de délais pour les entreprises.
Force est d’admettre qu’un secret partagé à deux n’est plus un secret, donc la confidentialité partagée n’existe pas. Enfin, il apparaît essentiel de penser à un équilibre entre traçabilité et confidentialité, toujours autour de la notion de proportionnalité.
