Une étude menée par le cabinet Forrester Consulting pour Tenable révèle que le télétravail est désormais une source de cyberattaques. Les projets informatiques lancés en urgence pendant la crise sanitaire ont donc accru le risque. Du point de vue du RGPD, le niveau de sécurité de l’entreprise et la gestion des violations de données sont l’enjeu majeur. On vous en parle sur ce blog.

Le télétravail, un nouveau vecteur de cyberattaques

En avril 2021, le cabinet Forrester Consulting conduit une enquête pour le compte de Tenable intitulée « Au-delà des frontières : l’avenir de la cybersécurité dans le nouveau monde du travail ». A ce titre, plus de 1300 responsables sécurité, dirigeants et employés en télétravail ont été interrogés dans le monde, dont 153 en France.

Le constat est simple. Pendant la crise sanitaire, beaucoup d’entreprises ont pris des décisions en urgence pour rendre possible le télétravail des équipes. Force est de constater que la cybersécurité a été mise de côté. Et ce bien que le confinement aura aussi été une période propice pour faire avancer ce sujet.

La conséquence ? Un élargissement de la surface d’attaque… et une hausse des cybermenaces. 70 % des responsables sécurité et des dirigeants ont attribué les récentes cyberattaques, dont leurs compagnies ont fait l’objet, aux projets lancés pendant la pandémie.

Ce défi s’ajoute à d’autres liés à la transition digitale des entreprises. Car la tendance est à basculer sur le cloud certaines fonctions stratégiques comme les ressources humaines, la comptabilité ou la finance. Ce mouvement aussi apporte son lot de risques.

Les télétravailleurs, une cible facile pour les pirates informatiques

Selon l’étude du cabinet Forrester, 65 % des entreprises sondées déclarent avoir connu une cyberattaque ciblant les télétravailleurs. Avec pour conséquence :

• le vol de propriété intellectuelle (42 %) ;
• des rançongiciels (39 %) ;
• des violations de données (37 %).

Ce n’est pas une surprise. Nous vous avons précédemment expliqué pourquoi il est crucial de vous pencher sur votre niveau de cybersécurité. Les années 2019-20 ont montré une expansion de la menace des cyberattaques.

• Les cyberattaquants ont diversifié leurs cibles. Ils recherchent notamment les infrastructures stockant des données sensibles. Les hôpitaux publics sont donc des cibles de premier choix mais aussi les PME exerçant une activité impliquant la manipulation de données de santé, par exemple.
• L’ingénierie sociale, vecteur de vulnérabilités. L’humain reste le maillon faible de la cybersécurité et les hackers l’ont bien compris. Ils utilisent notamment des techniques pour exploiter nos peurs et nos faiblesses. Le ransomware est donc sans surprise devenu une méthode courante.

Tout ceci explique que la cybersécurité associée au télétravail soit devenu un enjeu phare en 2021.

Former les télétravailleurs, un impératif pour préserver votre cybersécurité

L’étude menée par le cabinet Forrester montre un certain manque de connaissance des règles élémentaires de sécurité à respecter.

Or la priorité jusqu’ici a surtout été de prévoir les ressources de support nécessaires pour répondre aux questions qui ne manqueront pas d’arriver au jour le jour. Bien sûr, ces questions ont concerné les difficultés du quotidien pour utiliser les outils de l’entreprise, pas les mesures de sécurité à appliquer.

Et si votre entreprise réfléchit actuellement à un basculement complet en télé-travail, ces questions de ressources restent très présentes.

Assurer la sensibilisation et la formation du personnel constitue pourtant une des 10 pratiques à mettre en place pour sécuriser ses données.

Il s’agit d’informer les équipes pour qu’elles puissent assurer une bonne hygiène de sécurité. Et ainsi savoir par exemple :

• Comment envoyer des fichiers de données à des tiers autrement que par une pièce non sécurisée par e-mail ;
• Comment se connecter aux bases de données de l’entreprise autrement que par son ordinateur ou son téléphone personnel ;
• Comment réagir en cas de mail étrange invitant à télécharger une pièce-jointe ;

Gérer les violations de données, une priorité

Si votre entreprise détecte une violation de données personnelles, elle sera dans la plupart des cas tenue de la notifier à la CNIL. Ce qu’il s’agisse :

• d’une intrusion non autorisée par un hacker ;
• de l’envoi par erreur d’un fichier de données aux mauvais destinataires ;
• de la mise en ligne des données associées aux comptes utilisateurs des clients…

Le régulateur n’est néanmoins pas dans une approche répressive mais plutôt d’accompagnement des entreprises. La priorité est de s’assurer, en cas de survenance d’une attaque, comment l’entité contient ses effets et fait évoluer sa politique de sécurité.

A ce sujet, l’ANSSI et le Ministère de la Justice ont publié en 2020 un guide sur les rançongiciels. Et face à la multiplication des attaques de ce type, la CNIL a également publié un article.

Pour autant, dans certains cas, la CNIL a prononcé des amendes publiques pour réprimer des manques élémentaires :

• une violation des mesures de sécurité de base (l’absence de chiffrement https, une politique de mots de passe insuffisante…) ;
• l’absence de notification à la CNIL d’une violation pourtant documentée en interne.

L’accompagnement des entreprises n’est donc pas un quitus donné au laxisme.

Conclusion : Élevez le télétravail et la cybersécurité au même niveau de priorité

La mise en conformité RGPD des entreprises inclue l’installation d’une politique de sécurité respectant les standards actuels.

De ce point de vue, la digitalisation en cours des entreprises génère de nouveaux risques parce qu’elle élève la surface d’attaque potentielle. Installé dans l’urgence, le télétravail massif prolonge cette tendance dans un contexte où la sensibilisation à l’hygiène numérique reste insuffisante.

Il est donc essentiel de revoir le plan de sécurité en place. Et ce plan devra aussi traiter le risque de survenance d’une violation de données personnelles. En pareil cas, il sera attendu de savoir enquêter rapidement, notifier la violation au régulateur et prendre les mesures nécessaires pour contenir l’attaque.

Le Data Protection Officer est une ressource intéressante. C’est un des acteurs-clé pour la mise en place d’une politique de sécurité efficace.

Besoin d’aide ? Data Vigi Protection peut vous aider à passer ce cap délicat et à maîtriser le niveau de sécurité de vos traitements de données personnelles.

Article rédigé par Maxime Jaillet

En septembre dernier, la DPC irlandaise inflige une amende de 225 millions d’euros à Whatsapp. C’est le nouvel épisode d’une saga initiée en 2018 et il fait suite à une décision rendue par le régulateur européen. Le principal des griefs se concentre sur le manque de transparence tant à l’égard des utilisateurs que des non-utilisateurs de ce service. On vous en parle sur ce blog.

3 ans de procédures, de la DPC à l’EDPB

En décembre 2018, la Data Protection Commission a lancé des investigations à l’encontre de Whatsapp. L’autorité de protection des données irlandaises s’inquiétait particulièrement :

• des transmissions de données vers d’autres sociétés appartenant à Facebook :
• de manquements de Whatsapp à ses obligations d’information.

Elle a conduit ses enquêtes en tant qu’autorité chef de file. Au terme de cette démarche, elle a présenté en décembre 2020 un projet de décision aux autorités de contrôles des autres Etats Membres de l’Union européenne. Elle a alors proposé de prononcer une amende pouvant atteindre 50 millions d’euros.

Plusieurs Etats membres, dont la France, ont contesté cette décision. En l’absence de consensus, le régulateur européen, le CEPD, a été saisi.

Son verdict tombe le 28 juillet 2021 quand il a rendu sa décision. Le Comité s’est penché sur les griefs relevés par la DPC pour en écarter certains, en ajouter d’autres. Au final, il a demandé à l’autorité irlandaise de modifier sa décision et de réhausser l’amende pour la porter à 225 millions d’euros.

Tenant compte des remarques du régulateur, la DPC a publié sa nouvelle décision le 20 août.

Un manque de transparence à l’égard des non-utilisateurs

La fonctionnalité de contact permet à l’application mobile Whatsapp d’accéder au carnet de contacts d’un utilisateur inscrit et de déterminer qui, parmi ses connaissances, dispose d’un compte Whatsapp.

Ce faisant, la société collecte et traite les données d’un certain nombre d’individus, qu’ils soient ou non utilisateurs du service.

Certes elle a mis en place un processus de hachage des numéros de téléphone des non-utilisateurs. Pour autant, l’EDPB a considéré que les mesures en place ne rendent pas impossible la ré-identification de ces personnes.

En conséquence, les données ainsi collectées n’étant pas anonymisées mais simplement pseudonymisées, le RGPD s’applique.

C’est surtout le manque de transparence qui est reproché à Whatsapp. En partie parce que ces personnes n’ont pas conscience de faire l’objet de ce traitement de données même  le régulateur européen a admis qu’il avait une portée limitée.

Il souhaite par contre qu’elles soient correctement informées des conséquences si elles venaient à créer un compte Whatsapp : ce statut d’utilisateur serait alors partagé avec les autres contacts disposant de son numéro de téléphone.

De nombreux autres manquements constatés en matière de transparence

La DPC irlandaise et l’EDPB ont examiné dans le détail la politique de confidentialité de Whatsapp. Leurs griefs sont l’occasion d’en savoir plus sur les attentes des régulateurs, en termes de transparence, s’agissant de traitements de données massifs. De la décision rendue par l’EDPB, on retiendra notamment les points suivants :

• Lorsqu’un traitement de données est réalisé sur la base de l’intérêt légitime, la politique de confidentialité doit détailler les divers intérêts poursuivis mais également les opérations de traitement correspondant et les catégories de données ainsi traitées.
• Cette information est essentielle car elle permet aux individus de prendre connaissance des traitements dont elles font l’objet et auxquels elles peuvent s’opposer du fait qu’ils reposent sur le fondement de l’intérêt légitime.
• La description des finalités et des opérations de traitement de données doit être claire. L’EDPB confirme une tendance à écarter les rédactions trop larges qui ne permettent pas de mesurer l’étendue du traitement concerné et qui en est destinataire : « fournir d’autres services business » ; « créer […] des services innovants et des fonctionnalités »
• L’accessibilité de l’information est un critère essentiel du niveau de transparence fourni. Si le régulateur européen ne condamne pas le renvoi de la politique de confidentialité à d’autres rubriques du site web, il reste attentif à ce que les utilisateurs finaux aient toute l’information requise en un minimum d’efforts.
• Le RGPD impose une obligation générale, un principe, de transparence et des obligations spécifiques. Compte tenu des manquements ainsi observés, le régulateur européen a estimé que Whatsapp n’a pas respecté le principe de transparence. C’est donc un grief qui vient s’ajouter aux autres.

La décision rendue en septembre dernier par la DPC relève d’autres insuffisances concernant :

• l’identification des traitements soumis au consentement ;
• les catégories de données traitées ;
• les critères utilisés pour déterminer certaines durées de conservation

Conclusion : Whatsapp case, affaire à suivre

Les autorités de régulation attendent de Whatsapp une réécriture de la politique de confidentialité dans une optique de transparence à l’égard :

• des utilisateurs du service Whatsapp ;
• des non-utilisateurs dont les données sont également collectées par la société.

Cette société disposera d’un délai de 3 mois pour ce faire, la DPC prévoyait quant à elle un délai de 6 mois.

La décision de l’EDPB témoigne de l’importance particulière accordée à la transparence. Le régulateur européen s’est montré notamment plus sévère que l’autorité irlandaise concernant les informations à apporter lorsqu’une société se base sur l’intérêt légitime.

Prenant en compte les contestations des autorités de régulation des autres Etats Membres, le régulateur a réhaussé le plafond de l’amende imposé à Whatsapp pour les divers manquements constatés.

L’amende sera désormais de 225 millions d’euros, ce qui constitue l’un des plus hauts montants prononcés en Europe. Cette décision s’ajoute à d’autres, telle celle rendue par la CNIL contre Amazon. Cela montre que les régulateurs s’intéressent de plus en plus aux GAFAM.

L’affaire n’en restera pas là puisque Whatsapp a annoncé faire appel de sa décision.

Elle montre en tout cas la nécessité pour les responsables de traitement :

• de soigner leurs politiques de transparence, s’agissant tant du contenu que de la manière de rendre accessible et de présenter cette information ;
• de cartographier les flux de données, notamment vers les autres sociétés de son groupe d’appartenance, puisque la politique de confidentialité devra les refléter.

Article rédigé par Maxime Jaillet

En août dernier, l’association eWatchers a porté plainte contre Bouygues Telecom en raison de l’utilisation de pixels invisibles. Cette technologie est courante et bien utile mais l’utiliser n’est pas sans risque. Elle soulève des enjeux pour votre conformité RGPD, votre image de marque et la confiance de vos clients… Cette plainte est en tout cas l’occasion pour la CNIL de préciser les règles à respecter en la matière. On vous en parle sur ce blog.

Qu’est-ce qu’un pixel invisible et pourquoi Bouygues Telecom en utilise ?

Les pixels invisibles sont une technologie de tracking au même titre que le sont les cookies ou le device fingerprinting.

Il s’agit d’images de 1 pixel que l’on insère dans le code source d’un site web ou d’un e-mail. Ces technologies sont généralement fournies par des sociétés tierces. Lorsque l’image est chargée par le navigateur de l’internaute ou le logiciel de messagerie, une requête est envoyée au serveur de la société fournisseur.

Cet acteur joue alors le rôle d’un sous-traitant, il manipule des données pour votre compte :

• Date et heure de chargement de l’image ;
• Adresse IP ;
• données techniques identifiant le terminal de l’utilisateur.

S’il s’agit de données techniques, elles permettent d’identifier individuellement les internautes.

En l’occurrence, il est reproché à la société Bouygues Telecom d’avoir inséré des pixels dans ses e-mails. C’est une pratique courante. Pour quel usage ?

• Suivre les comportements de l’audience, notamment les taux d’ouverture d’e-mail et de clics et ainsi évaluer la performance des campagnes ;
• Adresser des messages de sollicitation commerciale personnalisées.

Bouygues Telecom devant la CNIL en raison des pixels invisibles

Le 11 août dernier, l’association eWatchers a annoncé avoir porté plainte auprès de la CNIL contre cette société.

Après investigations, cette association considère en effet que les e-mails de Bouygues Telecom contiennent :

• un pixel déposé par Google Analytics ;
• un pixel déposé par la société de marketing Weborama.

Qu’est-ce qui est reproché ?

• Le recours à certains traceurs sans recueil préalable d’un consentement de l’utilisateur. Il faut dire que les lignes directrices de la CNIL l’imposent en cas d’utilisation de traceurs à des fins publicitaires.
• Une absence d’information des utilisateurs quant à l’utilisation de tels « pixels espions » ;
• une collecte de données non minimisée. En particulier, la marque n’a pas activé l’option d’anonymisation des adresses IP collectées par la solution Google Analytics ;
• l’impossibilité de s’opposer effectivement au dépôt de ces pixels.

Quand les pixels invisibles menacent votre e-réputation

L’utilisation de pixels espions est en réalité un détournement de la fonction d’affichage d’images dans les e-mails. Cette pratique a également une mauvaise réputation parce ces pixels sont plus opaques que les cookies.

Cette pratique expose par conséquent votre image de marque et voici pourquoi.

Le RGPD est une réponse apportée au sentiment d’opacité et de perte de maîtrise des données par les utilisateurs finaux. Savoir avec qui les données collectées par une marque sont partagées, dans quel but elles sont utilisées, cristallise de réelles tensons.

Et ces tensions connaissent un vrai retentissement médiatique. Régulièrement, des scandales éclatent dans la presse qui mettent en avant :

• le partage de données non anonymisées avec des partenaires publicitaires, les GAFAM par exemple;
• l’utilisation de cookies marketing…

Les sociétés concernées se trouvent ainsi réellement exposées.

• La découverte de pratiques de ce type peut générer de vrais incompréhensions des clients, voire un malaise. Quitte à entraîner une multiplication des demandes d’exercices de droits RGPD. Et de nos jours, les plaintes arrivent par courrier, par e-mail mais aussi via les réseaux sociaux.
• Les associations de protection de la vie privée n’hésitent pas à porter plainte auprès de la CNIL, sommant ces entreprises de s’expliquer sur leurs pratiques.
• Le retentissement médiatique des scandales en accroît grandement la visibilité, au risque que la CNIL ne décide d’examiner ce qui se passe.

La conformité RGPD impacte votre activité marketing

Trois ans après son entrée en vigueur, le RGPD reste un sujet majeur. L’exemple de Bouygues Telecom est intéressant. La plainte montre que si les règles ne sont pas respectées dès le départ, c’est la chaîne de collecte de données qui est menacée.

L’association eWatchers demande en effet à cette société :

• de retirer les pixels insérés dans les e-mails marketing. Ceci implique un changement de méthode d’évaluation de la performance des campagnes marketing. Une autre option, pour préserver le recours à ces pixels, consisterait aussi à soumettre leur utilisation à un consentement préalable.
• D’informer les utilisateurs des traitements de données effectués.
• De supprimer les données collectées alors qu’un consentement préalable était nécessaire. Si la méthode de collecte ne respecte pas les obligations légales, la base ainsi constituée devrait en effet être supprimée.
• De mettre en place une mécanique permettant aux abonnés de se désabonner efficacement des mailing ;
• De dédommager les abonnés concernés.

Un traitement de données personnelles mal encadré peut nécessiter une mise en conformité en cours de route. Au risque de perturber le planning de vos opérations promotionnelles ou publicitaires et d’alourdir sensiblement votre budget.

Conclusion : Bouygues Telecom, affaire des pixels invisibles à suivre

La plainte déposée par l’association eWatchers devra être examinée par la CNIL.

Elle pourra éventuellement déboucher sur des sanctions publiques telles qu’une mise en demeure ou une amende. Cette affaire sera surtout une bonne occasion pour le régulateur de préciser les règles applicables en la matière.

Les pixels invisibles sont une technologie couramment utilisée. Leur utilité est réelle pour réaliser des opérations courantes. Mais ils peuvent aussi avoir une fonction publicitaire, ce qui touche un domaine plus sensible.

Ne vous y aventurez pas à la légère, les impacts sont réels :

• des enjeux importants de conformité RGPD afin de sécuriser vos activités marketing et analytics ;
• un risque pour l’image de marque. Le marketing en ligne fait l’objet d’une vigilance de la part d’acteurs spécialisés (journaux informatiques, associations de protection des droits). Au risque d’entraîner un scandale médiatique repris par la presse généraliste.
• Une dégradation de la confiance donnée par vos clients. Ces insatisfactions peuvent impacter votre chiffre d’affaires et entraîner une multiplication des réclamations.
• Une visibilité accrue auprès de la CNIL.

Article rédigé par Maxime Jaillet

La réouverture des restaurants s’accompagne de mesures sanitaires impliquant de manipuler des données personnelles. Il faudra notamment tenir un cahier de rappel et pour cela respecter toutes les composantes de la conformité RGPD. Bien sûr, pas question de détourner ces fichiers de leur but initial. N’espérez pas alimenter vos bases marketing de cette manière. On vous en parle sur ce blog.

Pourquoi et comment les restaurants collectent des données personnelles ?

La réouverture des restaurants va de pair avec l’adoption d’un protocole sanitaire strict. Ce protocole comprend diverses mesures dont l’enregistrement des visites des clients.

Pourquoi ? L’objectif est de pouvoir retracer la composition d’une salle en cas de détection d’un cas de Covid. En pareille situation, les clients enregistrés seront informés, incités à se faire tester et à s’isoler.

De quelle manière les restaurants enregistreront-ils leurs clients ? Deux méthodes sont possibles :

• Grâce à un cahier de rappel papier géré par le restaurateur. En pratique, les clients renseignent leurs coordonnées dans ce cahier qui sera tenu à disposition des autorités sanitaires.
• grâce à l’application Tousanticovid, via un QR Code et l’utilisation de la fonctionnalité Signal. La personne testée positive se signale dans l’application. Les personnes susceptibles d’avoir été en contact avec une personne infectée reçoivent alors une notification. La CNIL a naturellement rendu un avis sur les évolutions de cette application.

Minimisation, information… Comment les restaurants protègent-ils les données personnelles ?

La CNIL a régulièrement accompagné l’application de protocoles sanitaires par les professionnels. Le régulateur s’assure en particulier du bon encadrement des traitements de données personnelles susceptibles d’en découler.

Il faut dire qu’en tant que restaurateur, vous assumez la responsabilité de ces traitements de données personnelles, quand bien même ils découlent d’une obligation légale. A ce titre, vous devrez veiller à la conformité RGPD de vos pratiques et bien encadrer le recours éventuel à des cahiers de rappel papier.

La CNIL a donc publié des recommandations détaillant les mesures que les restaurateurs doivent respecter :

• Limiter la collecte de données au strict nécessaire. Identité, date et heure d’arrivée du client dans le restaurant, un moyen de contact sont les seules données que le professionnel pourra collecter.
• Pas de contrôle d’identité du client par le professionnel. Le restaurateur n’a pas à demander de justificatif.
• Les personnes doivent être informées du traitement des données ainsi opérées. En pratique, cela se fera par une mention au bas du formulaire et par un panneau d’information à disposition dans le restaurant.
• Les cahiers de rappel contiennent sans surprise des données personnelles qui ne devront pas être conservées indéfiniment. Selon la CNIL, les cahiers de rappel devront être détruits au bout de 15 jours.
• Les données d’un client ne doivent pas être disponibles des autres clients. Hors de question de pouvoir jeter un œil sur toute une page pendant que l’on s’inscrit soi-même sur le document. Par conséquent : soit un formulaire distinct est fourni à chaque tablée, soit un membre du personnel devra alimenter le cahier lui-même.
• La sécurité des données est fondamentale. Cela concerne vos applications informatiques, votre site web, votre application mobile mais aussi vos dossiers papiers. Les cahiers de rappel devront être stockés dans un espace sécurisé avec un accès restreint. Laisser un cahier toute la journée à un bureau d’accueil non surveillé ne serait pas quelque chose d’acceptable.
• L’accès aux cahiers de rappel ne doit pas être ouvert à tout le personnel du restaurant mais uniquement à des personnes spécialement habilitées à cet effet.

Mesures sanitaires – un objectif de protection, pas de sollicitation

Certes, on a l’habitude de dire que le RGPD est en pratique moins contraignant pour les TPE PME à l’égard desquelles on attend moins. Mais les cahiers de rappel présentent un certain niveau de sensibilité qui justifiera une vigilance particulièrement importante de la part de votre restaurant.

Les cahiers de rappel n’auront pour seul but que d’être transmis aux autorités sanitaires sur demande. Les traitements de données personnelles mis en œuvre poursuivent donc exclusivement des objectifs de santé publique.

Et pourtant, comment oublier que le contexte des confinements a eu des conséquences catastrophiques pour bien des restaurateurs ? La tentation est par conséquent forte de détourner cette mesure sanitaire :

• en présentant comme un cahier de rappel ce qui serait en réalité une liste de prospection ;
• en récupérant les coordonnées inscrites dans le cahier de rappel pour les injecter dans votre outil de marketing automation ;
• en revendant le contenu des cahiers à vos partenaires commerciaux ou à vos autres établissements ;
• ..

Naturellement, rien de tout cela n’est possible. Ce serait un détournement de la finalité initiale du traitement et un manquement à vos obligations de conformité RGPD.

Un restaurant se livrant à ce type de pratique sous-estimerait certainement le risque réel de voir les réclamations et les plaintes se multiplier.

L’efficacité des cahiers de rappel papier dépend par ailleurs de la bonne collaboration des clients. Encore faut-il qu’ils aient suffisamment confiance pour confier au restaurateur leurs vraies coordonnées. Une confiance qui se perdra facilement si l’on a le sentiment que les données pourraient en réalité servir à des objectifs marketing.

Conclusion : Restaurants, êtes-vous prêt à gérer un cahier de rappel ?

La réouverture des restaurants a été rendue possible en impliquant cette profession dans la lutte contre l’épidémie. Les restaurateurs jouent naturellement le jeu en respectant un protocole strict.

Si l’objectif de protection de la santé publique est parfaitement louable, pas question pour autant de faire n’importe quoi avec les données. Les restaurateurs assument la responsabilité du traitement des données et doivent ainsi veiller à leur conformité RGPD.

Au final, le cahier de rappel papier ne doit pas être vécu sous l’angle d’une opportunité marketing. Ou pour le dire autrement, il ne servira pas à alimenter des bases de sollicitation.

Détourner ce cahier et vous en servir pour prospecter vos clients pourrait au final vous coûter cher, qu’il s’agisse de votre réputation comme de l’état de votre conformité. Au contraire, jouer le jeu sera un bon moyen de montrer votre professionnalisme et le soin que vous apportez à la protection des données de vos clients.

Article rédigé par Maxime Jaillet

3 ans après, quel est le bilan du RGPD ? Les rapports annuels de la CNIL le montrent : plus de DPO, plus de plaintes, des sanctions peu nombreuses mais importante. La CNIL se révèle dans un rôle d’accompagnement et d’analyse prospective, reléguant la sanction au dernier recours de sa panoplie d’outils sans pour autant la négliger. Enfin, la cybersécurité demeure un enjeu clé. On vous en parle sur ce blog.

Plus de DPO, une gouvernance des données améliorées

Cette année encore, selon le rapport annuel de la CNIL pour l’année 2020, le nombre d’organismes s’étant dotés d’un délégué à la protection des données a augmenté pour atteindre les 73 331.

25 494 Data Protection Officers ont ainsi été désignés, la plus grande part étant mutualisés.

Derrière la désignation d’un DPO, une prise de conscience croissante de la nécessité de protéger les données personnelles. A tous les niveaux puisque le rôle de ce personnage-clé est aussi de contribuer à faire émerger une culture informatique et libertés dans son organisme.

Les confinements se sont en outre sans doute révélés propices pour accélérer sur la mise en conformité RGPD de ses activités.

Malgré tout, le chemin à parcourir demeure encore bien long, comme en témoigne par exemple la mise en demeure par la CNIL d’une vingtaine d’organismes n’ayant pas encore respecté les lignes directrices entrées en vigueur au mois de mars.

Un nombre de plaintes stable mais élevé

Après deux ans d’augmentation, les choses tendent à se stabiliser. En 2020, la CNIL a tout de même reçu 13 585 plaintes, soit une augmentation de 62,5 % par rapport à l’entrée en vigueur du RGPD.

Quelles sont les situations poussant les individus à exercer leurs droits concernant leurs données personnelles ? D’après le laboratoire Linc, qui a analysé les e-mails et plaintes reçues par la CNIL entre mai 2016 et mai 2019, il y en a 4 :

• Quand leur réputation est menacée par des informations disponibles en ligne,
• Lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale (la prospection commerciale représente 11 % des plaintes reçues en 2020) ;
• En cas de surveillance sur leur lieu de travail ;
• et enfin en cas d’inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires.

Une politique favorisant l’accompagnement à la répression

La CNIL s’est rapidement positionnée dans un rôle d’accompagnement des organismes souhaitant mettre en conformité cette activité. Ce rôle s’est concrétisé par la production de nombreux livrables :

• Référentiels sectoriels (ressources humaines, relation clients…) ;
• recommandations sur des points spécifiques (cloud computing, gestion des cookies, …) ;
• Guides de bonnes pratiques (sur les sous-traitants ou la sécurité informatique).

En parallèle, l’activité répressive est plutôt vue comme une solution de dernier recours. En 2020, la CNIL n’a ainsi prononcé « que » 14 sanctions pour 247 contrôles. 11 amendes ont été prononcées pour un montant total de plus de 138 millions d’euros. Un chiffre impressionnant et parmi les plus élevés en Europe.

Quels enseignements tirer de cette politique répressive ?

• Une prise en compte de plus en plus significative des plaintes. En 2020, 40 % des contrôles découlent de plaintes ou de réclamations. A noter que dans certains cas, une plainte unique peut donner lieu à un contrôle.
• Désormais, le travail mené par l’association Signal Spam peut aussi influer la politique de la CNIL. Une société de prospection commerciale en a ainsi fait les frais.
• Les contrôles de la CNIL découlent également d’une veille sur l’actualité technologique ou d’un programme de thématiques prioritaires annuel.
• La coopération européenne est également une source de contrôles. En 2020, la CNIL a été concernée dans 400 cas et a été autorité chef de file dans une centaine de cas.

La cybersécurité, un enjeu toujours plus important

Le nombre de notifications des violations de données personnelles auprès de la CNIL est en augmentation constante. On en recense 2825 en 2020.

Cette croissance montre que les organismes s’approprient de plus en plus cette obligation légale désormais généralisée à tous les secteurs d’activité. Le respect d’une telle obligation suppose forcément d’instaurer des processus internes de détection des incidents de sécurité affectant des données personnelles.

Ces processus entraînent en interne une mise en lumière sans pareil des vulnérabilités d’un organisme et donc de son niveau de sécurité. S’il en est encore besoin, cela montre à quel point la sécurité informatique est devenu un enjeu critique ces dernières années.

Une sensibilité encore accrue :

• par les efforts des entreprises de se digitaliser… et de complexifier leurs parcs informatiques en se dotant de nouveaux outils indispensables ;
• par la multiplication des attaques informatiques ces dernières années. En particulier, les attaques par ransomwares.

Une autorité vigilante concernant les évolutions technologiques et sociétales

Comme certains de ses homologues, la CNIL témoigne d’une sensibilité autour de sujets technologiques, fussent-ils prospectifs. Elle s’est ainsi impliquée dans l’organisation d’une réflexion devant servir à anticiper sur les enjeux de demain et à formuler des recommandations adaptées.

• Le laboratoire Linc s’illustre ainsi régulièrement par ses articles de blog et la production de cahiers d’analyse prospectives.
• La CNIL s’attellent à la production de livres blancs pour démêler les enjeux associés à une thématique donnée et formuler ses premières recommandations. En 2020, la CNIL a ainsi publié un livre blanc sur les assistants vocaux. Elle s’attellera ensuite aux données de paiement.
• Le sujet des cookies et autres traceurs a fait l’objet de nombreuses discussions entre le régulateur et les parties prenantes. Entre révision des recommandations et périodes de moratoires, ces échanges ont conduit la CNIL à intervenir toujours plus profondément à ce sujet. Ses lignes directrices ne se content pas de poser les grands principes à respecter. La CNIL s’est faite prescriptrice y compris sur l’UX design des outils devant prendre en charge ce sujet.

Conclusion : 3 ans après, plus de maturité au regard du RGPD

Le bilan annuel de la CNIL témoigne d’une activité intense d’accompagnement des acteurs mais aussi de contrôles et de sanctions.

Tout ceci montre l’importance toujours plus grande de la protection des données personnelles. Un sujet que le grand public s’approprie de plus en plus, au gré également de prises de consciences médiatiques.

Pour les organismes, qu’ils soient responsables de traitement ou sous-traitants, il est donc temps d’implémenter une démarche de mise en conformité RGPD dans l’optique de pérenniser la confiance des clients et de sécuriser les activités

Article rédigé par Maxime Jaillet

Le mot de passe est mort, vive l’authentification sans mot de passe. Peut-être pas tout de suite mais pour améliorer votre cybersécurité, il vous faudra trouver des modalités d’authentification alternatives. Et il en existe diverses, avec leurs avantages et leurs inconvénients. Au fur et à mesure que ces technologies gagnent en maturité, il s’agit pour vous de les déployer progressivement dans vos applications. On vous en parle sur ce blog.

L’authentification sans mot de passe, la solution à tous vos problèmes ?

Il existe de nombreuses méthodes pour sécuriser l’accès à une application informatique interne ou à un compte utilisateur en ligne. Le mot de passe reste à ce jour la référence, ce qui est le plus communément utilisé.

Et pourtant, depuis les années 2010 notamment, cette approche ne cesse d’être critiquée :

• pour son impact négatif sur l’expérience utilisateur. Bien des internautes abandonnent en cours de route la création d’un compte utilisateur, découragés par la complexité de la politique de sécurité appliquée aux mots de passe.
• Pour les contraintes de gestion et de stockage qu’elle fait peser sur les équipes techniques. Sans parler des efforts nécessaires pour former les équipes en interne et les faire adhérer aux protocoles de sécurité à respecter.

Le gros des critiques se concentre sur la cybersécurité.

• Un mot de passe est considéré comme sécurisé s’il respecte des caractéristiques que la CNIL a identifié dans une recommandation. Elle en contrôle d’ailleurs régulièrement le respect, notamment sur les sites web. Or, paradoxalement, trop de complexité nuit à la sécurité. Elle amène les utilisateurs à multiplier les comportements dangereux. Laisser un post-it sur son bureau avec une liste de mots de passe, par exemple.
• Globalement, personne ne comprend l’utilité d’un mot de passe complexe. Pas étonnant qu’une fois de plus, les pires mots de passe (123456, password…) soient aussi les plus utilisés, selon le rapport publié par Nordpass  ;
• Ces dernières années, de très nombreuses attaques informatiques ont entraîné le vol de mots de passe. D’autant plus profitable que nous sommes nombreux à utiliser le même mot de passe pour sécuriser plusieurs comptes en ligne…

L’heure est donc à rechercher des alternatives valables, tant pour améliorer l’ergonomie et l’expérience utilisateur que la sécurité informatique.

En 2020, un rapport du World Economic Forum, rédigé avec l’Alliance FIDO, pointe à ce sujet l’authentification sans mot de passe comme « la prochaine avancée majeure en matière de transformation numérique ».

Qu’est-ce que l’authentification sans mot de passe ?

On demande à l’utilisateur (un client, un salarié) de s’authentifier pour accéder à son compte utilisateur ou à tel outil informatique interne. Jusqu’ici, concrètement, il devait saisir un identifiant et un mot de passe.

Il existe de nombreuses méthodes alternatives qui vont s’appuyer sur l’utilisation de clés de sécurité ou sur une reconnaissance biométrique du terminal. Par exemple, l’utilisateur peut :

• renseigner son adresse e-mail ou son SMS, recevoir un lien d’accès via lequel il sera authentifié sans fournir d’informations complémentaires ;
• recevoir un code à usage unique qu’il saisira sur un champ dédié à cet effet lors de son parcours d’authentification ;
• utiliser une carte d’accès. Il s’authentifie en insérant cette carte dans un lecteur dédié et moyennant la saisie d’un code Pin ;
• recourir à un dispositif biométrique. Il sera alors reconnu par son empreinte digitale, celle de son réseau de veines ou la reconnaissance faciale.

Toutes ces méthodes présentent de réels avantages mais aussi des inconvénients non négligeables. Les méthodes d’envoi d’éléments par e-mail ou SMS sont vulnérables face aux attaques de phishing. L’utilisation d’une carte d’accès est complexe et coûteuse, elle est difficile à généraliser.

Comment mettre en place un mécanisme d’authentification sans mot de passe ?

Il serait illusoire de penser que vous allez pouvoir basculer votre entreprise ou votre collectivité territoriale dans une démarche d’authentification sans mot de passe.

• Parce que les technologies utilisées doivent encore pour certaines d’entre elles faire leurs preuves, tant en matière de sécurité informatique que pour l’amélioration du parcours utilisateur ;
• Parce que le mot de passe est profondément ancré dans les habitudes de votre entreprise. Déshabituer tout le monde nécessitera un processus long et patient.

Votre objectif cible sera par conséquent plutôt de commencer à mettre en place de manière ponctuelle des méthodes d’authentification sans mot de passe. Et donc de l’imposer pour certaines solutions tierces, fournies par des sous-traitants.

En ce qui concerne l’existant, l’important est de s’assurer du niveau de sécurité des pratiques en place et de les améliorer, dans la mesure du possible :

• En vous assurant que la politique de mots de passe respecte les exigences de la CNIL ;
• En installant des solutions de type SSO (Single Sign-On) afin que les collaborateurs de l’entreprise utilisent les mêmes identifiants et mots de passe pour s’authentifier aux diverses applications qu’ils utilisent.
• En prévoyant lorsque possible une authentification à deux facteurs. La saisie d’un mot de passe s’accompagnera d’une action à partir d’un autre terminal (recevoir un code par SMS et le saisir par exemple).

L’authentification sans mot de passe est une tendance lourde portée par les grandes entreprises américaines. Après le rachat de Duo Security en 2018 pour intégrer l’authentification multi-facteurs à ses outils de sécurité, Cisco a ainsi annoncé intégrer une fonctionnalité d’authentification sans mot de passe dans Duo. Microsoft également a annoncé travailler à abandonner le mot de passe en 2021. Et il y a bien d’autres exemples.

Conclusion : Et si vous vous intéressiez à l’authentification sans mot de passe ?

Si abandonner les mots de passe est vite apparu comme une nécessité, c’est souvent resté un vœu pieux dans les entreprises.

Cela pourrait progressivement changer, notamment grâce à l’émergence de standards ouverts et grâce aux investissements des grands acteurs.

Pour votre entreprise, c’est une manière d’améliorer la sécurité informatique et notamment l’accès aux applications internes, l’authentification des clients et des utilisateurs en ligne. L’abandon du mot de passe a aussi un vrai intérêt pour améliorer les parcours utilisateurs. En interne, cela facilitera le quotidien des salariés utilisant les applications métiers.

Alors ? Etes-vous prêt à vous lancer ?

Article rédigé par Maxime Jaillet

C’est une immense fuite qui porte sur les données publiques de 533 millions de comptes Facebook. Près de 20 millions de français sont concernés. A l’origine, une vulnérabilité affectant la fonctionnalité d’imports de contacts que le réseau social propose aux utilisateurs. Désormais, les autorités de régulation ont ouvert des investigations. On vous dit tout dans cet article.

Fuite de données sur Facebook – Que s’est-il passé ?

L’affaire a été révélée par un tweet d’Alon Gal, cofondateur d’une société spécialisée dans la cybercriminalité, et largement médiatisée.

Un internaute a mis en ligne, sur un forum de discussion, une base de données portant sur pas moins de 533 millions de comptes Facebook, dont 20 millions de français. Au total, 106 pays seraient concernés.

Quelles données trouve-t-on dans la base ? Par exemple :

• Les Nom, prénom et date de naissance ;
• Le numéro de téléphone, l’adresse e-mail ;
• Le statut marital ;
• L’activité professionnelle.

En revanche, il n’y aurait pas d’informations financières, de données de santé ou de mots se passe.

Cette affaire montre à quel point la cybersécurité est désormais un enjeu crucial.

Cette fuite de données est une histoire ancienne. Elle avait en effet déjà été rapportée en 2019 par les médias.

Par la suite, les données ont circulé sur le Dark Net, dans un cadre confidentiel et restreint aux pirates. L’affaire ressurgit parce qu’elles connaissent une diffusion beaucoup plus étendue : la base de données a été intégralement et gratuitement mise en ligne sur des forums de discussion.

Qu’est-ce que le scraping et comment cela a-t-il rendu la fuite possible ?

Selon un post de Facebook, ces données ont été obtenues non pas en hackant le site mais par du scraping. Cette technique bien connue consiste à utiliser un logiciel pour aspirer automatiquement et piller des bases de données publiques. En l’occurrence les données rendues publiques sur des profils Facebook.

C’est l’import de contacts qui serait ici en cause. Tout utilisateur peut importer son carnet d’adresses et rechercher les profils Facebook de ses contacts.

Sauf que des individus malveillants auraient détourné cette fonctionnalité. Ils s’en seraient servis pour identifier des profils Facebook et collecter les données que les utilisateurs eux-mêmes ont rendu publiques, en fonction de leurs paramétrages de confidentialité.

Une vulnérabilité informatique a donc rendu possible ce détournement. Aujourd’hui, le réseau social considère cette affaire comme de l’histoire ancienne. Il déclare avoir corrigé la vulnérabilité en question en 2019. Et donc fait le nécessaire pour rendre impossible ce type d’agissements à l’avenir.

Les utilisateurs sont en outre invités à prendre des mesures pour améliorer la sécurité de leurs profils :

• changement des mots de passe ;
• actualisation des paramétrages de confidentialité pour modifier ce qui est rendu public ;
• basculement sur de la double authentification.

Quelles sont les conséquences de cette fuite de données sur Facebook ?

Quelques jours après la découverte de cette fuite, Facebook a publiquement déclaré qu’elle n’informera pas la base des personnes concernées de cette violation.

Ce car l’incident n’est pas dû à du hacking et qu’il concerne des données publiques. Le réseau social minimise aussi l’affaire en estimant qu’il s’agit de données anciennes.

L’impact est pourtant plus important qu’il n’y paraît :

• la base de données opère un rapprochement entre des numéros de téléphone et des profils Facebook, souvent nominatifs et donc bien réels. Elle offre par conséquent un véritable potentiel pour des attaquants informatiques qui pourront autant cibler directement ces personnes qu’usurper leurs identités.
• Quoique les faits soient relativement anciens, la base de données n’est pas périmée pour autant. Elle porte sur des données relativement stables, que l’on ne change pas souvent. Elle reste donc très intéressante aujourd’hui encore pour des hackers.

Les victimes de cette faille pourraient dès lors faire l’objet de cyberattaques en tous genres : Tentatives d’arnaques, piratage, usurpation d’identité…

Est-ce une violation de données ou non ?

Cette fuite de données peut-elle être considérée comme une violation de données au sens où l’entend le Règlement Européen RGPD ? Une violation de données désigne des accès non autorisés aux données à caractère personnel.

Pour le réseau social, il ne fait pas de doute que ce n’en est pas une. En tout cas, Facebook ne s’est pas sentie tenue de la notifier aux personnes qui en sont victimes.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a quant à elle rapidement pris une position inverse.

Quelles seront les suites de cette affaire ?

La Data Protection Commission (DPC) irlandaise a annoncé ne pas avoir été saisie spontanément par Facebook. Elle compte néanmoins mener des investigations en tant qu’autorité chef de file, une démarche à laquelle la CNIL compte participer. De son côté, l’Autorité de la protection des données (APD) belge a même recommandé aux citoyens belges de porter plainte.

La question se posera naturellement de savoir si Facebook aurait ou non dû notifier cette violation de données au régulateur.

Se pose aussi la question du respect par le réseau social de ses obligations de sécurité.

Quoique Facebook déclare avoir corrigé la faille en 2019, le site Datanews rapporte qu’en 2017 déjà, un hacker l’avait alerté à propos de sa fonctionnalité. Une telle alerte signifierait que le réseau social était au courant de la vulnérabilité et a attendu les « premières » fuites de données pour la corriger.

Conclusion : Affaire à suivre

Cette affaire montre qu’une fois découverte, une fuite de données peut avoir un important impact médiatique. Et donc un impact non négligeable sur votre e-réputation.

D’où la nécessité de travailler votre niveau de cybersécurité et de vous assurer que vos activités sont conformes à vos obligations en la matière. Cela inclut bien sûr le cadrage de vos sous-traitants.

Il reste à présent à attendre que cette affaire soit examinée par les autorités de régulation.

Et puisque l’on parle de fuite, dernièrement, le réseau social Linkedin en a également fait l’objet d’une, celle-ci portant sur les données de 500 millions de profils

Article rédigé par Maxime Jaillet

C’est une affaire incroyable qui occupe la presse en ce moment. Les données médicales de 500 000 personnes ont été dérobées, vendues puis mises en ligne sur Internet. La fuite proviendrait de laboratoires médicaux. Suite au retentissement médiatique de cette affaire, les autorités publiques multiplient les initiatives. Contrôles de la CNIL, plaintes, actions judiciaires… On vous dit tout dans cet article.

Les données médicales de 500 000 patients sur le dark web

Mi-février, le site Zataz repère une fuite de données médicales. Les données de 500 000 personnes ont été rendues disponibles en ligne, dans un fichier.

Ce fichier contient au total plus de 70 champs, incluant les données suivantes :

• Nom, prénom, adresse e-mail, adresse postale ;
• groupe sanguin, numéro de sécurité sociale ;
• les pathologies de certains patients (VIH, tumeur au cerveau…) ;
• les laboratoires ayant traité les données de ces patients.

Une base de données particulièrement sensibles par conséquent, et qui pourrait provenir de laboratoires. Elles concernent des analyses effectuées entre 2015 et 2020. La société Dedalus France a ainsi relevé que 28 laboratoires utilisant ses logiciels sont concernés par la violation de données.

Comment la fuite a-t-elle pu se produire ? Elle découlerait d’un transfert de fichiers de l’outil de cette société vers les serveurs internes aux laboratoires. Ces transferts auraient été interceptés par des hackers.

Initialement, les données auraient été vendues sur des forums de discussions spécialisés du dark web. A la suite d’un différend, l’internaute vendeur les aurait ensuite mises en ligne publiquement, par vengeance.

Les autorités publiques réagissent

L’Agence nationale de la sécurité ANSSI a déclaré avoir été alertée dès le mois de novembre 2020 de cette fuite et donc a débuté des investigations.

La CNIL aurait quant à elle en principe dû être prévenue par les organismes concernés. Cela n’a pas été le cas. Elle a pris connaissance des faits grâce à la presse et a donc annoncé en février 2021 mener des vérifications à son tour.

Elle a ainsi invité les entités à l’origine de la fuite de respecter les obligations légales applicables en matière de cybersécurité, à savoir :

• notifier la violation de données à la Commission Nationale de l’Informatique et des Libertés ;
• informer les personnes dont les données ont fait l’objet d’une violation.

Elle conduit en outre des contrôles qui pourront déboucher sur des sanctions en cas de manquement par les organismes concernés à leurs obligations de sécurité.

D’ores et déjà, la Présidente de la CNIL a saisi le tribunal judiciaire. Lequel a ordonné aux principaux fournisseurs d’accès à Internet de bloquer l’accès à un site mettant en ligne les données.

Sans surprise, cette affaire a conduit de nombreux particuliers à porter plainte. Une enquête judiciaire a d’ailleurs été lancée le 25 février. Elle a été confiée à l’OCLCTIC.

Affaire à suivre.

Article rédigé par Maxime Jaillet

Les attaques par ransomware se multiplient en France. Les pirates s’en prennent de plus en plus aux hôpitaux. Le centre d’Oloron-Sainte-Marie est ainsi l’une des dernières victimes en date. Rapport de l’ANSSI, contrôles de la CNIL, plan de lutte gouvernemental… Les initiatives se multiplient pour accompagner l’évolution de ce secteur sensible vers plus de cybersécurité. On vous dit tout dans cet article.

Ransomware – Après Dax, Oloron-Sainte-Marie

Les ransomwares ont fait une nouvelle victime. Cette fois, les pirates s’en sont pris au centre hospitalier d’Oloron-Sainte-Marie.

Que s’est-il passé ? Les hackers ont installé un ransomware. Ce fichier se charge de pénétrer le système d’information de la victime pour chiffrer les données, rendant leur accès impossible.

Bien souvent, il est envoyé sous forme de pièce-jointe par e-mail aux salariés travaillant dans l’entité concernée. Elles pensent par exemple télécharger une facture ou un bon de commande alors qu’elles installent un fichier malveillant.

En l’occurrence, l’accès aux données des patients ainsi qu’au stock de médicaments a été très perturbé. Et ainsi la mécanique économique de cette attaque peut se mettre en place.

Une rançon de 50 000$ a en effet été exigée en échange de la clé de déchiffrement. L’hôpital a annoncé officiellement qu’il ne paiera pas. Il a d’ailleurs porté plainte auprès de la gendarmerie.

En attendant que tout soit réparé, l’hôpital tourne au ralenti, au risque de devoir déprogrammer certaines opérations. Pour continuer ses activités, le personnel doit en effet revenir aux anciens procédés et au papier.

Les hôpitaux, cible privilégiée des hackers

Le développement des attaques reposant sur l’ingénierie sociale fait de la cybersécurité un enjeu toujours plus critique.

Si ces attaques gagnent en intensité depuis plusieurs années, les hackers convoitent des cibles particulièrement sensibles. Les hôpitaux, par exemple. Et de ce point de vue, le début de l’année 2021 a été riche en actualités. L’hôpital de Dax en a ainsi fait les frais. A Villefranche-sur-Saône, une autre attaque a entraîné le report de toutes les opérations chirurgicales.

Il faut dire que ces structures traitent une volumétrie importante de données particulièrement sensibles. L’ANSSI s’est toutefois inquiétée du niveau de sécurité de leurs systèmes d’information en publiant en février un rapport accablant.

Elle dresse ainsi des constats alarmistes :

• Les systèmes d’information peuvent être complexes, disparates et souvent obsolètes ;
• Les interconnexions sont nombreuses avec des outils tiers, en provenance de partenaires ou d’entreprises externes ;
• Le budget alloué à la cybersécurité est parfois sacrifié ;

Vaut-il mieux payer les hackers ? L’impératif de la continuité d’activité pourrait pousser certaines victimes à le faire pour obtenir la clé de déchiffrement des données. Et pourtant, cela ne garantit pas que les ennuis cesseront. Il est donc recommandé de ne pas céder aux demandes des pirates.

La cybersécurité des hôpitaux, une priorité

En février 2021, le Gouvernement a annoncé un plan visant à renforcer la sécurité informatique des hôpitaux comprenant une enveloppe de 350 millions d’euros.

L’accent sera mis sur l’audit et la formation. En revanche, le remplacement des infrastructures informatiques existantes n’est pas à l’ordre du jour.

Du côté de la régulation, les données de santé et la cybersécurité font partie des thématiques prioritaires des contrôles qui seront initiés par la CNIL pendant l’année 2021.

La Commission Nationale de l’Informatique et des Libertés en profitera pour s’intéresser aux stratégies mises en œuvre pour se prémunir des attaques par ransomware.

Article rédigé par Maxime Jaillet

Les lignes directrices de la CNIL entrent en vigueur fin mars 2021. Grâce aux cookies, vous pouvez identifier un utilisateur et collecter ses données. Sujet sensible aux yeux du régulateur, leur encadrement est aujourd’hui indispensable. Cela vous conduira à appliquer une vraie politique de gestion rigoureuse. On vous dit tout dans cet article.

Que sont les cookies et pourquoi des lignes directrices ?

Les cookies sont de petits fichiers textes qui se déposent lors du chargement de votre site web. Ils vous permettent de collecter des données sur vos utilisateurs. Néanmoins, le régulateur s’en préoccupe désormais, au point d’avoir publié des lignes directrices. Ce sujet doit donc devenir une de vos priorités.

Qu’est-ce qu’un cookie ?

Savez-vous comment fonctionne votre site internet ?

Lorsqu’un internaute s’y connecte à l’aide de son navigateur, un ou plusieurs cookies seront déposés. Ces petits fichiers textes vous permettent d’attribuer un identifiant à chacun de vos utilisateurs pour les reconnaître. Ils facilitent la collecte de leurs données.

Ils peuvent être déposés :

• par l’éditeur du site directement.
• par des tiers fournisseurs de modules intégrés au site : boutons de partage sur les réseaux sociaux, outils analytics, modules publicitaires… Ces solutions fonctionnent grâce à des « cookies tiers ».

Un petit site vitrine déposera 1 ou 2 cookies maximum. Cela peut monter à 40 à 50 pour des sites complexes. Certains sites atteignent même les 100 à 150 traceurs.

Pourquoi gérer ses cookies ?

Éditeur de votre site, vous êtes responsable des traitements de données personnelles qui peuvent en découler.

Il faut donc mettre votre site web en conformité RGPD et cela comprend le sujet des cookies.

La CNIL a en la matière publié une recommandation et des lignes directrices qui entreront en vigueur fin mars 2021. Mais d’ores et déjà, des sites de e-commerce, de rencontres et même des GAFAM ont été contrôlés voire sanctionnés pour avoir déposé des cookies publicitaires sans recueil d’un consentement.

Comment respecter les lignes directrices de la CNIL sur les cookies ?

Respecter les exigences légales nécessitera d’appliquer une vraie politique de gestion de vos cookies. Transparence sur leur fonctionnement, gestion des consentements… Vous pourrez pour cela vous appuyer sur un module de gestion des cookies. Vous devrez également revoir et mieux encadrer votre relation avec les fournisseurs de modules et plugins tiers.

Transparence et consentement, les maîtres mots pour déposer des cookies

Lors de sa première visite sur votre site web, l’utilisateur doit recevoir une information sur les cookies déposés. Cela passe par la création d’une rubrique dédiée sur votre site mais pas uniquement. L’autorisation préalable de l’utilisateur sera même indispensable pour certains de vos traceurs.

• en pratique, vous installerez donc sur votre site un module de gestion des cookies qui prendra en charge plusieurs fonctionnalités :
• l’affichage d’une bannière permettant d’informer l’utilisateur sur les principales finalités des cookies utilisés. Il pourra faire un choix global, à savoir les accepter ou non ;
• l’affichage d’un module comprenant un ou plusieurs écrans ultérieurs grâce auxquels il sera possible de faire des choix plus fins, par grande famille de cookies voire par cookies.
• la tenue d’un registre car il est nécessaire de stocker la trace numérique et horodatée de chacun des consentements recueillis.
• le module restera accessible à l’utilisateur pour qu’il puisse revenir sur ses choix à tout instant pendant sa navigation.

Concrètement, l’outil gérera donc trois règles de gestion :

• les cookies purement techniques (gestion des préférences de langue, stockage du panier d’achat…) seront déposés dès le chargement du site.
• les cookies publicitaires, sociaux, vidéo et de personnalisation ne seront déposés que si le visiteur l’accepte spécifiquement.
• le visiteur sera mis en mesure de s’opposer s’il le souhaite au dépôt de tout ou partie des cookies.

Quid des cookies de mesure d’audience ?

Moyennant respect de conditions strictes, les cookies de mesure d’audience sont exemptés de consentement. En pratique, tout dépend de l’utilisation que vous faites de votre solution de webanalytics :

• les cookies servant à de la mesure d’audience à partir de grandes masses seront effectivement déposés sans attendre un consentement de l’utilisateur. Il pourra quand même s’opposer à leur dépôt à l’avenir.
• les cookies utilisés pour de la mesure d’audience publicitaire, pour du suivi multi-sites de sa navigation ou pour les besoins propres de vos fournisseurs relèvent, eux, du régime du consentement préalable.

La CNIL a récemment annoncé que des précisions complémentaires seront publiées à leurs sujets.

Encadrez votre relation avec vos fournisseurs

Nous parlons des sociétés qui vous fournissent un lecteur vidéo, une solution de mesure d’audience… Bien encadrer votre relation avec vos sous-traitants est absolument indispensable.

Pour cela :

• assurez-vous d’avoir signé avec eux un contrat ou accepté des conditions générales comportant des clauses en matière de protection des données personnelles.
• sécurisez les transferts de données dans le cas de fournisseurs établis hors Union Européenne. Vous pouvez par exemple signer avec eux des clauses types.

Dans certains cas, le fournisseur ne sera pas que sous-traitant mais aussi responsable conjoint voire responsable d’un autre traitement. Certains fournisseurs d’outils analytics ou les réseaux sociaux collectent en effet des données pour améliorer leurs propres services et non uniquement pour vous délivrer une prestation de services.

La définition des rôles et la répartition des obligations à respecter devra donc elle aussi être précisée dans le contrat.

Conclusion : Il est temps de mettre en conformité vos cookies

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment adressé des courriers tant à des sociétés privées qu’à des acteurs publics pour leur rappeler de respecter les règles.

Pour autant, pas de panique. L’entrée en vigueur au mars 2021 ne veut pas dire que vous serez forcément contrôlé et encore moins sanctionné.

Malgré tout, c’est un signal fort qu’il est temps d’optimiser la gestion de vos cookies. Vous y gagnerez en maîtrise du risque réglementaire. D’autres bénéfices sont également attendus :

• l’amélioration de l’expérience utilisateur sur votre site ;
• l’optimisation de votre collecte de données, une plus grande pertinence de vos communications commerciales.

Alors n’attendez pas pour vous y mettre.

Article rédigé par Maxime Jaillet