Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Redactie TechPulse

De la vie privée à la technologie

 

Il y a peu, la Commission européenne a lancé une nouvelle campagne de sensibilisation sur le thème du développement et de l’utilisation des PETs (Privacy Enhancing Technologies) ou technologies de protection de la vie privée, visant à protéger l’environnement personnel du consommateur et plus particulièrement sa vie privée lors du traitement de données à caractère personnel. Voici donc en trois étapes les principes de base.

Etape 1: vie privée
En Belgique, c’est la loi du 8 décembre 1992 qui règlemente la protection de la vie privée à l’égard des traitements de données à caractère personnel. Bien que la loi existe depuis relativement longtemps, elle s’avère pourtant souvent méconnue et plus fréquemment encore, elle est foulée aux pieds, consciemment ou non.

1.1 Le contenu

Les données personnelles

“Par ‘données à caractère personnel’, on entend toute information concernant une personne physique identifiée ou identifiable. Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.”

Concrètement, ceci veut dire que le nom, l’adresse, le sexe, la race, etc. peuvent tous conduire à une identification. Pour la plupart d’entre nous, ça semble évident. “Beaucoup de gens ignorent qu’une adresse IP ou un numéro de plaque, par exemple, appartiennent à cette catégorie”, nous apprend l’avocat Peter Van de Velde de Bird & Bird. “Au premier coup d’œil, vous ne savez pas qui se trouve derrière l’adresse ou le numéro de plaque, mais la loi classe également ces données dans les données personnelles parce qu’il est théoriquement possible de rechercher l’identité de leur propriétaire.”

Le traitement

“Par ’traitement’, on entend toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification.” Mais aussi l’extraction, la consultation, l’utilisation, la transmission, la diffusion, l’effacement ou la destruction de données à caractère personnel.

1.2 Les obligations

Une entreprise qui traite des données personnelles doit tenir compte de toute une série d’obligations. Voici pour mémoire les trois obligations principales.

Le devoir d’information
La personne ou l’entreprise qui traite des données à caractère personnel est tenue d’en avertir à temps la personne concernée, qui doit savoir clairement que les données qu’elle fournit vont être traitées. L’avocat P. Van de Velde signale que ce point pose souvent problème. Pas mal d’entreprises n’informent pas les gens concernés à temps, ne le font pas correctement, voire ne le font pas du tout. “Quand quelqu’un saisit des données sur l’Internet pour s’enregistrer sur un site, ce dernier doit mentionner par qui et dans quel but les données vont être utilisées. Dans le cas contraire, il y a infraction au devoir d’information et le contrevenant est susceptible de sanctions.”

L’obligation de protéger les données
“Dans la législation sur la vie privée prévaut une obligation de sécurisation active”, nous explique P. Van de Velde. La loi stipule explicitement que les entreprises sont obligées de protéger suffisamment les données collectées. La loi ne précise pas quels moyens technologiques doivent ou peuvent être mis en oeuvre. “Sur le plan technologique, la loi reste neutre”, poursuit P. Van de Velde. “Les entreprises doivent prendre les mesures adéquates, mais la loi ne les précise pas plus avant.”

Le principe de finalité
Ce principe est étroitement lié au devoir d’information. Il faut informer l’intéressé du traitement de ses données, mais également du but poursuivi. “Si le but n’est pas défini explicitement, les données à caractère personnel ne peuvent en principe pas être traitées”, insiste P. Van de Velde. Et lors du traitement des données, on ne pourra utiliser que celles qui sont nécessaires à cette fin. Dans un dossier médical, par exemple, le médecin traitant ne peut utiliser que les données relatives à sa thérapie.

1.3 Les sanctions

La loi sur la vie privée contient des sanctions pénales. Quiconque enfreint cette loi est passible de poursuites. Une entreprise peut ainsi se voir infliger une amende pénale allant de 550 à 550 000 euros. Souvent, il arrive qu’une plainte soit introduite auprès de la Commission de la protection de la vie privée, qui examine ensuite si cette plainte est fondée. La commission ne peut pas elle-même prendre des sanctions; par contre, elle pourra transmettre le dossier au juge qui infligera ou non une peine. En pratique, la commission a avant tout un rôle de médiateur.

Etape 2: Les problèmes

Les entreprises qui sont au courant de la loi sur la vie privée et se rendent compte qu’elles manipulent des données personnelles très sensibles ne sont pas toujours conscientes des risques et des dangers que ceci génère. Même si la loi stipule que les données doivent être sécurisées, cette sécurité laisse souvent à désirer. La principale raison est un manque de sensibilisation.

2.1. Les médias portables

Dans la presse, il est de plus en plus souvent question de vol ou de perte d’informations sensibles. Des scandales comme ceux qui ont secoué naguère les Etats-Unis épargnent provisoirement notre pays, mais aux Pays-Bas, des données militaires se sont déjà retrouvées sur une clé USB sur la banquette arrière d’un taxi, et des informations confidentielles, consignées par écrit, sur la famille royale ont été retrouvées dans une benne à ordures. La plupart du temps, il s’agit de supports portables.

“Il est exact que les risques à l’extérieur de l’entreprise se situent essentiellement au niveau des supports portables”, nous confirme Gauthier van Daele, managing director Benelux chez Utimaco. “La perte ou le vol d’un PC portable, d’un ordinateur de poche ou d’une clé USB arrivent de plus en plus fréquemment et il ne faut pas être un génie de l’informatique pour accéder très vite à des données sensibles.” Viennent ensuite les fraudes internes. C’est pour contrer ces dernières que les sociétés essaient de sécuriser leurs ordinateurs de bureau et leurs serveurs, même si ce n’est pas toujours tâche aisée.

2.2 La faillibilité humaine
“Les solutions que nous proposons sont extrêmement performantes, mais le maillon faible dans tout le processus reste l’homme lui-même”, explique G. van Daele. “C’est pour cette raison que nous essayons que le personnel ait le moins possible à s’occuper de sécurisation des données.” Il est tout à fait possible de sécuriser un PC portable à l’aide d’un mot de passe et d’une smart card, mais si le propriétaire du mot de passe le divulgue sans réfléchir à n’importe qui, cela n’a pas de sens de protéger les données. Autrement dit, à quoi bon équiper votre porte d’entrée par deux serrures, si c’est pour laisser les clés sous le paillasson!

Etape 3: PETs

Le terme générique PETs ou Privacy Enhancing Technologies qui figure dans les textes officiels de la Commission européenne semble être bien peu utilisé en pratique. “Les technologies utilisées pour le moment à cet escient appartiennent parfaitement à ce groupe,” nous dit G. van Daele, “mais honnêtement, je n’avais jamais entendu ce terme auparavant.”

Utimaco est une des entreprises spécialisées en cryptage, une PET s’il en est. “Le cryptage de données est la forme la plus commune de sécurisation des données et également la plus sûre”, poursuit G. van Dael
e. “Pour le cryptage, on travaille aussi avec une clé qui est, somme toute, la clé du coffre. On rend invisibles toutes les données qui sont mises dans le coffre. Les entreprises essaient autant que possible de cadenasser sur deux niveaux, étant donné qu’un mot de passe se craque relativement vite.

C’est pour cela qu’on le combine souvent à une carte à puce intelligente, à un Digipass ou à une authentification par empreinte digitale. Ce principe s’applique aussi aux cartes bancaires pour lesquelles vous devez être en possession de la carte et du mot de passe pour pouvoir retirer de l’argent à un distributeur.

businessnieuwssmartbusiness
TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business