Le défi de la cybersécurité et de la mise en conformité

Quelle feuille de route adopter pour maîtriser votre relation client dans un contexte de cybersécurité ?

 

S’appuyant sur les recommandations du nouveau rapport de la CNIL publié en 2022, l’article apporte un regard avisé sur l’anticipation aux violations de données personnelles, le legal design et le transfert des donnée en dépit de l’invalidation du Privacy Shield[1].

 

Vous êtes une entreprise et vous détenez des données personnelles ? En toute légitimité, vous vous posez des questions sur le RGPD, la mise en conformité, sur l’ensemble des processus existants pour le traitement des données comme le transfert des données. En outre, parce que vous êtes tournés vers l’avenir, la question de la définition d’une stratégie de cybersécurité associé à l’évolution du numérique est au centre de vos préoccupations.

A cela s’ajoute, que comme beaucoup d’entreprise, vous entrevoyez des obstacles complexes : les actions à anticiper pour la cybersécurité, l’instabilité de la réglementation des transferts de données personnelles, les relations inextricables entre droit et innovation numériques, le manque d’informations claires ou le développement d’un écosystème de cybersécurité qui ne pénalise pas votre chiffre d’affaires.

Cet article, qui s’appuie pour une grande part sur la nouvelle publication du Rapport annuel 2021 de la CNIL[2],  entend dissiper toute inquiétude à ce propos. La lecture de son 42ème rapport constitue une source précieuse d’information pour les organisations qui souhaite faire de la cybersécurité un atout compétitif et un investissement productif. Nous verrons aussi que la CNIL entend nous informer du renouvellement de sa politique d’accompagnement, nous rappeler son bilan, renforcer son statut de gendarme de la donnée et nous dévoiler sa feuille de route de 2022 à 2024.

Nous vous proposerons enfin quelques chantiers pour accélérer en toute simplicité votre mise en conformité grâce au Legal Design notamment, sur les moyens de lever les obstacles de l’invalidation de Privacy Shield et sur les pistes à suivre pour anticiper les cyberattaques.

Rapport 2021 de la CNIL : conseiller, dissuader, sanctionner

La CNIL entend faire figure d’autorité de la cybersécurité. Dans le texte, cela se traduit par une volonté de renouveler la politique d’accompagnement de l’institution, par le renforcement de sa mobilisation sur la cybersécurité et de ses actions répressives

La CNIL, un acteur majeur de la cybersécurité

Comme le note sa présidente, Marie-Laure DENIS, la CNIL est un « acteur majeur de la cybersécurité[3] » en raison de la prévalence des données personnelles au sein des systèmes d’information et du statut particulier du RGPD. Il est en effet, « le seul texte à imposer des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité »[4] car il concerne la quasi-totalité des organisations et les rend susceptibles de faire l’objet de contrôles administratifs ou de plaintes des personnes dont ils traitent les données (collaborateurs, clients, etc.).

Prévention et répression du gendarme des données personnelles

Forte de cette ambition, la CNIL entend, dans le cadre de son plan stratégique 2022-2024, « faire de la conformité RGPD la meilleure prévention contre les risques cyber[5] ». Et preuve de son engagement, la CNIL a fait état, pour l’année 2021, d’une augmentation des contrôles opérés par ses services.  30 contrôles relatifs à la sécurité des données de santé ont été effectués au sein de laboratoires d’analyses médicales, d’hôpitaux, de prestataires et de data brokers[6].

Exemple Dedalus

De plus, la moitié des sanctions prises par la CNIL au cours de l’année a concerné « une mauvaise sécurité des données[7] », avec des mesures de protection jugées « souvent insuffisantes[8] ». Ainsi, l’une des sanctions les plus importantes – d’un montant de 1,5 millions d’euros – visant une entreprise de taille intermédiaire (ETI) a été infligée à Dedalus Biologie pour « des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes »[9].

La CNIL sonne l’alarme face à la forte hausse des cyberattaques en 2021

Cette mobilisation correspond à une augmentation toujours plus importante des violations de données personnelles causées par une cyberattaque. En effet, le rapport de la CNIL pointe un nombre de violations de données toujours en très forte hausse, de l’ordre de 79 % en 2021 par rapport à 2020[10].

Données Cnil

En témoigne celle qui a récemment visée l’hôpital de Corbeil-Essonnes[11] en rendant inaccessibles tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions de la patientèle et entraînant des déprogrammations d’actes et d’opérations.

Leurs notifications à la CNIL ont connu une forte croissance avec 3 000 notifications de piratage informatique (dont 48 % de rançongiciels), soit une hausse de 128 % par rapport à 2020. Cela signifie que 60 % des 5 000 notifications de violations de données personnelles concernent une attaque informatique[12]

La cybersécurité : le défi de l’anticipation

En 2022, l’importance de la cybersécurité n’est plus à démontrer. Toutefois, les processus techniques, organisationnels ou juridiques de la cybersécurité constituent le maillon faible de la plupart des organisations.

Trop peu d’audit de sécurité

Ainsi, un nombre insuffisant d’applications utilisant des données personnelles font l’objet d’audits de sécurité, notamment, de tests d’intrusion et ce, alors que les connexions entre applications et supports externes (hébergement cloud, accès via Internet, lien avec des applications de partenaires tiers, etc.) se font de plus en plus nombreuses.

AIPD : Des exercices de simulation de crise forcément nécessaires

Dans le même sens, dans le cadre des Analyses d’Impact sur la Vie Privée (AIPD)[13], il conviendrait progressivement de passer d’une logique déclarative concernant les mesures de sécurité mises en œuvre à une véritable inspection des traitements mis en place par les applications les plus sensibles.

De fait, la perte de données personnelles constitue, avec l’interruption totale ou partielle du fonctionnement de son SI, l’une des conséquences les plus graves à laquelle peut être confrontée une entreprise dans le cadre d’une attaque informatique. Or, les exercices de simulation de crise sont encore trop rares en la matière et les éléments de langage peu ou pas préparés.

Des enjeux de la cybersécurité mal ciblés par les médias

Surtout, la dimension médiatique de telles crises est encore mal appréhendée alors que – en plus de ses sujets de pure conformité (déclaration de la violation aux autorités de protection des données concernées, lien avec les DPD des sous-traitants et partenaires, etc.), le Délégué à la Protection des Données serait vu par les médias comme un interlocuteur naturel en cas de violation de données personnelle à forte visibilité.

L’invalidation du Privacy Shield rend complexe le stockage des données personnelles dans les solutions Cloud

Le transfert de données dans le cloud est un « véritable enjeu de sécurité et de conformité pour les utilisateurs français de solutions d’informatique en nuage des grands acteurs du numérique, mais aussi un enjeu de souveraineté numérique européenne »[14]. Ce dernier fut cependant dans la ligne de mire de l’Union Européenne le 16 juillet 2020.

Privacy Shield

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) invalide le Privacy Shield

L’UE invalide le Privacy Shield, l’accord qui autorisait le transfert des données vers les Etats-Unis

La Cour de justice de l’Union européenne (CJUE) a en effet rendu un arrêt majeur : le Privacy Shield[15], qui encadrait les transferts de données entre l’Union européenne et les États-Unis a été invalidé[16].

La CJUE a, en effet, considéré que le Privacy Shield n’offrait pas une protection juridique suffisante aux données des Européens face à d’éventuelles demandes d’accès aux données des services de renseignement étatsuniens.

Transfert des données : le casse-tête pour les entreprises européennes ?

Cette mise en demeure s’avère fondatrice sur le plan de la souveraineté technologique européenne. En revanche, les organisations s’interrogent : quelle réponse apporter face à l’instabilité de la réglementation des transferts de données personnelles vers les Etats-Unis ou d’autres pays tiers ?

Pour y répondre, le Rapport Annuel de CNIL se veut rassurante. Elle entend mobiliser ses forces aux côtés de l’ANSSI pour le développement d’offres de services cloud protectrices des droits des organisations.[17]  A cet égard, le plan d’action de la CNIL consistera à faciliter la sécurisation les transferts de données personnelles des Français vers des pays en dehors de l’Union européenne[18].

En outre, la CNIL propose quelques recommandations concernant les mesures supplémentaires suite l’invalidation du Privacy Shield. Aussi, afin d’accompagner les organisations à se conformer au RGPD, la CNIL propose une boîte à outils complète et adaptée en fonction de leur taille et de leurs besoins. L’occasion de rappeler que les difficultés sont réelles et complexes, des solutions opérationnelles existent afin de résoudre les problèmes soulevés.

L’activité de la CNIL fortement mobilisée par la conformité des applications mobiles et la gestion des cookies

Cookies : des mises en demeure qui font très mal au portefeuille

La CNIL reste intransigeante pour les organismes ne respectant pas la législation sur les cookies. En 2021, Le Figaro, Brico Privé, Google et Facebook en ont fait les frais sonnants et trébuchants[19].

  • Figaro : 50 000 euros d’amendes
  • Brico Privé : 500 000 euros d’amendes
  • Google : 150 millions d’euros d’amendes
  • Facebook : 60 millions d’euros d’amendes

Il faut le noter, la plupart des mises en demeure ont porté sur la thématique prioritaire des cookies.[20] Cela se concrétise par des échanges avec les acteurs économiques pour clarifier les règles applicables mais aussi de nombreux contrôles.[21]

SDK[22] : le talon d’Achille des courtiers de données

Dans le même esprit, la CNIL entend aller beaucoup plus loin. Elle se donne pour ambition de « rendre visibles les flux de données et renforcer la conformité des applications mobiles et de leurs écosystèmes, pour mieux protéger la vie privée des utilisateurs d’ordiphones (smartphones)[23] ».

conformité des applications mobiles et de leurs écosystèmes

Face à l’opacité des technologies, CNIL veut de rendre visibles les flux de données et renforcer la conformité des applications mobiles et de leurs écosystèmes, pour mieux protéger la vie privée des utilisateurs de smartphones[24].

A cet égard, la CNIL entend par ailleurs conforter sa position sur les traitements de données par les kits de développement logiciel (SDK). La CNIL avait, en effet, déjà adressé en 2018 des mises en demeure de quatre courtiers de données (data brokers) spécialisés dans les applications mobiles et ciblage publicitaire Singlespot, Teemo, Vectaury et Fidzup.[25]

Teemo et Fidzup

Teemo et Fidzup utilisait des mouchards publicitaires pour collecter des informations sur le téléphone, via des outils nommés « SDK »[26]. À la suite de ces mises en demeure, Fidzup a fait faillite[27].

Vectaury

La start-up de ciblage publicitaire Vectaury fut épinglé par le gendarme des données pour avoir exploité sans consentement les données d’internautes recueillies lors des offres d’enchères publicitaires en temps réel[28].

Singlespot

Enfin, Singlespot, grâce à des données de géolocalisation collectées via le SDK, développait une offre de publicité ciblée « drive to store sans le consentement des utilisateurs[29].

Changement de braquet : conjuguer enjeux de conformité et enjeux business

Ces précédents invitent à plus de vigilance, de sagesse et de réflexion sur les mésaventures de ces entreprises. Et le digital offre de belles opportunités pour trouver cet équilibre entre le business et la mise en conformité. Sous-estimer ce dernier point vous exposerait à des risques financiers pourtant facilement évitable.

La mise en conformité ne peut plus être associée à une réduction des opportunités de business mais à une meilleure expérience utilisateur. Et cette dernière pourra se traduire non seulement par une augmentation effective de la valeur des leads mais par une meilleure chance d’augmenter les taux de transformation.

Ce point est particulièrement complexe dans le cadre des opérations marketing, car le respect du RGPD peut réduire la taille des bases de données de prospects, en raison du respect des durées de conservation ou d’une gestion rigoureuse des consentements de ces prospects.

Le recours au legal design recommandée pour la conformité au RGPD

Pour y voir plus clair et pour permettre aux utilisateurs une meilleure maîtrise de leurs données dans le respect du RGPD, le recours au legal design est recommandée.

Le Legal Design est avant tout un état d’esprit qui prône la simplicité, la transparence et l’accessibilité à l’information. En d’autres termes, le Legal Design a pour objet de créer des services juridiques centrés sur les besoins de l’utilisateur afin de rendre son expérience plus agréable. Par ailleurs, le Legal Design a vocation d’augmenter la valeur des services qui lui sont délivrés grâce à l’innovation.

Dans le cadre de la gestion des consentements, il s’agira, par exemple, sur un site Internet, au sein d’une application ou d’un lieu de vente, d’inciter le l’utilisateur à consentir à l’utilisation de ses données personnelles. Cela nécessite de produire en amont une communication juridique éthique, transparente et accessible.

LA CNIL au plus près des enjeux technologiques de demain

Intelligence artificielle

Le Rapport annuel 2021 de la CNIL n’a pas éludé les nouveaux usages comme l’intelligence artificielle[30]. C’est un sujet sur lequel l’Union Européenne prépare un règlement, le Artificial Intelligence Act[31]. Ce dernier entend veiller à ce que les systèmes d’IA respectent les droits fondamentaux des citoyens de l’UE.

La « donnée environnementale »

Pour la CNIL, la donnée est « le nouveau carburant de nos économies[32] ». A ce titre son empreinte carbone incite à se poser des questions sur « les effets de la régulation de la protection des données personnelles sur l’environnement[33] ». En toute logique, la CNIL va donc creuser le sujet de la « donnée environnementale », nouveau statut de la donnée définie par la CNNum[34] et pourra alors prendre des décisions en conséquence.

En outre, le laboratoire d’innovation de l’autorité française de protection des données va travailler sur le lien entre la protection des données personnelles et l’environnement, sujet crucial pour faire advenir un numérique durable.

Metavers : collecte massive des données

Les risques d’augmentation associée de collecte massif de données ont motivé la CNIL a initié des travaux sur le sujet du metavers[35]. La surveillance en continu des individus, le eye tracking, la détection des émotions ou à la biométrie comportementale ont suscité la circonspection du gendarme de la donnée qui s’interroge sur la régulation à venir[36].

Il faut noter à titre préventif que les organismes qui envisagent une présence dans ces metavers seront destinateurs d’une multitude de données sensibles. Ils devront donc être particulièrement vigilants et placer la protection de la vie privée au cœur de leurs stratégies.

Jouant pleinement son rôle, la CNIL pousse les organisations et les Délégués à la Protection des Données à aller s’astreindre à des pratiques de plus en plus exigeantes, sur des sujets eux-mêmes particulièrement pointus tant d’un point de vue technologique que sur le plan de l’éthique ou des sciences sociales.

Cybersécurité et mise en conformité : votre feuille de route pour maîtriser votre relation client

Nous sommes convaincus que l’exploitation des données représente un potentiel de croissance énorme pour les entreprises. Bien entendu, nous l’avons évoqué, offrir à vos clients la maîtrise de leurs données personnelles constitue un gage notabilité pour votre marque sur les thèmes de la souveraineté, de la sécurité, de l’éthique et de la conformité. La qualité de l’expérience client se construira sur une relation durable basée sur une confiance mutuelle. Et la mise en conformité et la protection des données des clients concourent à pérenniser cette confiance.

Violations de données personnelles, anticipez les attaques

Onepoint peut vous accompagner dans :

  • La réalisation récurrente[37] d’un exercice de simulation de violation de données personnelles comportant une dimension de Pression Médiatique Simulée (PMS)[38]
  • La préparation par le DPD et la Direction de la Communication, à l’avance, d’éléments de langage, communiqués de presse et de premiers messages à transmettre aux médias, partenaires, clients et collaborateurs en cas de crise ;
  • L’entrainement du Délégué à la Protection des Données à la communication de crise, notamment, par le biais de médiatraining et de mises en situation (simulation de plateaux ou radio, etc.).

Levez les obstacles de l’invalidation de Privacy Shield

Pour répondre à la contrainte de l’invalidation du « Privacy Shield », Onepoint vous accompagne dans :

  • La réalisation d’un audit de vos transferts internationaux des données personnelles
  • La réalisation d’un audit de vos lieux de stockage des données personnelles

Nous vous engageons à être vigilant en cas de relations avec des partenaires hébergeant des données aux Etats-Unis ou dans d’autres pays soumis à des législations potentiellement intrusives. Et ce d’autant que certains de ces acteurs semblent peu désireux de faire les efforts nécessaires pour parfaire leur conformité. Quand cela est possible, une localisation des données particulièrement sensibles au sein de l’Union européenne, voir en France, peut s’avérer être un investissement d’avenir.

Auteurs : Isabelle Thomas, Cyril Aufrechter et Lionel Capel

Sources 

  • [1] Privacy Shield : Le bouclier de protection des données UE-États-Unis est un accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l’Union européenne et les États-Unis d’Amérique.
  • [2] « Rapport annuel 2021, Commission nationale de l’informatique et des libertés », 124 Page,  Document PDF, CNIL, mai 2022.
  • [3] Ibid, Avant-propos de la présidente, page 9, 124 Page, Document PDF, CNIL, 2021.
  • [4] Ibid, page 89.
  • [5] Ibid, Le plan stratégique 2022-2024, page 119.
  • [6] Ibid, Une activité répressive au service de la sécurité des données, Page 8-9.
  • [7] Ibid, Une forte hausse de l’activité répressive de la CNIL, Page 99.
  • [8] Ibid, Une forte hausse de l’activité répressive de la CNIL, Page 99.
  • [9] Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE, CNIL, 21 avril 2022.
  • [10] « Rapport annuel 2021, Commission nationale de l’informatique et des libertés », Les chiffres clés 2021, page 14, 124 Page, Document PDF, CNIL, 2021.
  • [11] Raphaële Karayan , « L’hôpital de Corbeil-Essonnes en mode dégradé après une attaque par rançongiciel », Usine Digitale, 22 août 2022.
  • [12] « Rapport annuel 2021, Commission nationale de l’informatique et des libertés », LES VIOLATIONS DE DONNÉES PERSONNELLES, Origines des violations, page 91, 124 Page, Document PDF, CNIL, 2021.
  • [13] Pour rappel, les analyses d’impact relative à la protection des données sont obligatoires lorsque le traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
  • [14] Rapport annuel 2021, Commission nationale de l’informatique et des libertés », Les transferts de données dans l’informatique en nuage (cloud), page 119, 124 pages, Document PDF, CNIL, 2021.
  • [15] Privacy Shield : accord conclu entre la Commission européenne et le gouvernement étatsuniens qui sécurisait les échanges de données à caractère personnel entre les deux blocs économiques.
  • [16] Cour de justice de l’Union européenne, « La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis », Document PDF, COMMUNIQUE DE PRESSE n° 91/20, Luxembourg, le 16 juillet 2020
  • [17] Rapport annuel 2021, Commission nationale de l’informatique et des libertés », avant-propos de la présidente, page 8, 124 Page, Document PDF, CNIL, 2021.
  • [18] Ibid, 2 – Les transferts de données dans l’informatique en nuage (cloud), page 119.
  • [19] Rapport annuel 2021, L’action de la CNIL en matière de cookies, page 102, 124 pages, Document PDF, CNIL, 2021.
  • [20] 89 des 135 mises en demeure ont porté sur les cookies pour l’année 2021. Ibid, 135 mises en demeure et de nombreuses mises en conformité, page 101.
  • [21] « La réalisation de plusieurs vagues de contrôles au périmètre limité (cookies et autres traceurs, cybersécurité des sites web) a entraîné une augmentation très significative du nombre des contrôles en ligne pendant l’année 2021 (+ 110 % par rapport à 2020) ». Ibid, Des contrôles en hausse, page 99.
  • [22] SDK, acronyme de Software Development Kit, est un ensemble d’outils de création de logiciels et d’applications pour les systèmes d’exploitation des smartphone (iOs, Android…).
  • [23] Ibid, 3 – Les collectes de données personnelles dans les applications des smartphones, page 119.
  • [24] Ibid, 3 – Les collectes de données personnelles dans les applications des smartphones, page 119.
  • 25] Rapport annuel 2018, Mises en demeure de quatre « data brokers » spécialisés dans les applications mobiles, page 71, 104 pages, Document PDF, CNIL, 2018.
  • [26] Damien Leloup, « La CNIL met en demeure deux sociétés françaises gérant des mouchards publicitaires », Le Monde, 19 juillet 2018.
  • [27] Bastien LEPINE «Fidzup : la première entreprise française mise en faillite par le RGPD » Le Bigdata.fr, 7 février 2020
  • [28] « La CNIL épingle Vectaury, une start-up de ciblage publicitaire », Le Monde, 09 novembre 2018.
  • [29]  Deborah Loye, « Données privées : la start-up Singlespot visée par la CNIL », Les Echos, 23 octobre 2018.
  • [30] Rapport annuel 2021, Commission nationale de l’informatique et des libertés », Accompagner les nouveaux usages, page 67, 124 , Document PDF, CNIL, 2021.
  • [31] La loi sur l’IA (Artificial Intellgence Act) est une proposition de loi européenne sur l’intelligence artificielle. C’est aussi la première loi sur l’IA adoptée par un grand organisme de réglementation dans le monde.  , The Artificial Intelligence Act.
  • [32] Raport annuel 2021, Commission nationale de l’informatique et des libertés », Quels sont aujourd’hui les effets de la régulation de la protection des données personnelles sur l’environnement ? Page 115, 124 Page, Document PDF, CNIL, 2021.
  • [33] Ibid.
  • [34] Ce nouveau statut de la donnée adopté par la CNIL fut stipulé dans le rapport gouvernemental de l’Avis du Conseil National du Numérique. CNNum, « Faire des données environnementales des données d’intérêt général », Document PDF, 60 pages, juillet 2020.
  • [35] Régis Chatellier, « Métavers : réalités virtuelles ou collectes augmentées ? », CNIL, 05 novembre 2021.
  • [36] Ibid, Les grands enjeux d’avenir : ces métavers nous bouleversent, page 117, 124 Page, Document PDF, CNIL, 2021.
  • [37] La récurrence étant fonction du contexte et de la taille de l’organisation
  • [38] Il s’agit de l’obligation pour les communicants et le Délégué à la Protection des Données de l’entreprise de répondre à des sollicitations médiatiques simulées de journalistes professionnels ainsi qu’à des interpellations sur des réseaux sociaux simulés internes et externes

Auteur : Isabelle Thomas

Leader Cybersécurité et Privacy