Nos usages digitaux se sont multipliés au cours des 10 à 15 dernières années à une vitesse très élevée aussi bien dans la sphère privée que professionnelle. Cette surabondance de processus liés à internet est vectrice de plusieurs points d’alerte rattachés à la gestion de nos données sensibles informatiques. Notre attention doit être portée sur ce sujet du point de vue d’une entreprise gérant ses données mais également de celui de ses partenaires. Dans un contexte post-crise, pendant lequel la sécurité de nos données est largement mise à mal, il est important de se poser la question de leur origine, leur utilisation différente selon le pays et de leur gestion en toute sécurité.
La donnée sensible informatique : c’est quoi ?
Données sensibles informatiques : pour les particuliers et les entreprises
La CNIL (Commission Nationale Informatique et Liberté) nous propose une définition des données sensibles informatiques. Ce sont les informations qui révèlent la prétendue origine raciale, ethnique ou les opinions politiques et religieuses ainsi que philosophique. Il s’agit également des données génétiques, biométriques permettant d’identifier une personne. Il est également possible d’avoir ces informations via des données sur la vie et les orientations sexuelles. Il est interdit, selon le RGPD (Règlement Général de Protection des Données) que nous aborderons plus bas, d’enregistrer ces données sauf dans des cas précis incluant notamment l’obtention du consentement des intéressés, la nécessité médical ou l’intérêt public.
Les données sensibles informatiques sont à distinguer des données à caractère personnel. Celles-ci correspondent à toutes les informations relatives à une personne en question, susceptible d’être identifiée. Il peut s’agit par exemple d’une photo, un numéro de sécurité sociale, un numéro de téléphone, une adresse IP… etc.
Quelles sont les données sensibles de votre entreprise ?
Alors que les données sont de plus en plus considérées comme une richesse informationnelle, par les entreprises et par les cyberattaquants, il est primordial pour les acteurs du web d’avoir une vision précise des données de la manière dont ils les traitent. Elles sont de plusieurs types :
- Les données concernant les salariés et les clients
- Les données financières
- Les données liées à des contraintes légales
- Les données métier
En fonction de leur criticité, il est absolument prépondérant d’élaborer une politique de sécurité visant à éviter une quelconque fuite d’information ou attaque sur ces données. Un incident de ce genre est extrêmement grave pour une organisation devant établir un plan de continuité de l’activité. C’est un aussi un énorme coup porté à la l’image de l’entreprise qui perd la confiance construite parfois de longue date avec ses clients.
Les diverses prises en compte des données sensibles informatiques à l’international
Etats-Unis et Union Européenne : 2 visions qui s’opposent ?
C’est en effet deux visions de la gestion de la donnée sensibles qui s’affrontent.
En Europe, la protection des données personnelles est un vrai sujet depuis plus de 40 ans. En France, en particulier, la Loi Informatique et Libertés de 1978 a déjà pour but de protéger la vie privée des individus. Le monde de l’informatique, comme le dit l’article 1 de la loi, doit être au service de chaque citoyen. À plus large échelle, en Europe, des commissions informatiques et libertés (notamment en France et en Irlande) ont vu le jour rapidement après les années 2000 servant de garde fous aux grandes entreprises américaines s’imposant en Europe. Si la nécessité de protéger les données personnelles s’est très vite imposée en Europe, notamment aux débuts de Facebook, les USA de leur côté s’illustraient par leur vision des données comme étant un bien pour l’entreprise. (utilisable, traité et pouvant faire l’objet d’une vente)
Alors que les grandes sociétés américaines telles que Facebook et Google, continuait leur croissance au début des années 2000. Le discours qui l’emportait s’articulait autour de la fin de la vie privée, elle était considérée comme une contrainte, une donnée négligeable. Cet historique est symptomatique du statut de la donnée sensible informatique de nos jours aux Etats-Unis et de la politique étrangère du pays aujourd’hui.
Soucieux de redonner le contrôle de ses données aux citoyens, l’Union Européenne a mis au point le Règlement Général de la Protection de données en 2018 afin de renforcer et unifier la leur protection sur le territoire. Il s’agissait de responsabiliser les entreprises face à la gestion des données de leur client tout en permettant à ces derniers de garder le contrôle sur les informations les concernant. 3 exemples forts :
- Les clients peuvent par exemple faire valoir leur droit à l’oubli, c’est-à-dire demander l’effacement de leur donnée à caractère personnel.
- Le concept du « Privacy by Design » fait aussi son apparition afin d’encourager les entreprises à concevoir des solutions conçues par défaut pour assurer la sécurité des données.
- Les entreprises victimes d’une cyberattaque sont tenues d’informer les autorités compétentes et leurs clients dans le cas où les données ont été mises en danger.
Cloud Act et Privacy Shield : la protection des données sous les projecteurs
Toujours en 2018, l’administration Trump lanca le Cloud Act. Il s’agit d’un décret permettant aux autorités judiciaires américaines d’obliger les fournisseurs de services web localisés aux Etats-Unis ou ailleurs à livrer des données sensibles informatiques appartenant à leurs clients. Cet accord sur les données s’effectue sans que le client n’en soit informé, ce qui représente une remise en question de la vie privée sur le web. Ce décret venant de l’administration américaine rentre en confrontation avec l’un des fondements du RGPD, à savoir l’interdiction de la fuite des données en dehors de l’Union Européenne. Les sociétés telles que Facebook, Google ou Amazon sont donc dans l’impossibilité de garantir la confidentialité des données sensibles informatiques de leurs utilisateurs.
Le Privacy Shield, ou bouclier de protection des données UE-Etats-Unis est un accord passé dans le domaine du transfert de données entre les deux continents. Il offrait un sauf conduit pour les entreprises américaines pour transférer des données de l’UE vers les Etats-Unis, car le niveau de protection se rapprochait de celui du RGPD. La commission de justice de l’Union Européenne vient d’invalider (ce 16 juillet 2020) cet accord estimant que la protection des données n’était pas suffisante. Un coup de tonnerre pour les entreprises américaines n’ayant plus de cadre légal pour l’importation des données vers les USA.
Gérer les données sensibles informatiques en toute sécurité
L’impact des données sur vos choix business
Le choix de partenaire dans le domaine de Tech a été largement impacté par le Cloud Act. En effet, afin d’avoir une politique de protection des données sensibles informatiques cohérente, il est important d’être conforme au RGPD. Les solutions européennes se placent donc au premier rang des prestataires à prioriser.
Les choix business en vue d’éviter la fuite des données vers l’étranger et non soumis au cloud Act :
- Choisir des prestataires localisés en Europe disposant de serveurs localisés sur le continent
- Axer ses choix vers des solutions appartenant à l’Union Européenne afin de garder le contrôle sur les données.
L’utilisation de solutions certifiées (RGPD, Secnumcloud, HDS)
L’écosystème digital européen dispose de nombreux grands acteurs du web dans tous les secteurs qu’il s’agisse d’hébergement de données sensibles informatiques, fournisseurs d’accès, de collaboration en ligne ou encore en visioconférence. Ces acteurs sont en total conformité avec le RGPD et garantissent la sécurité et la souveraineté des données. De plus, l’ANSSI, (Agence Nationale de la Sécurité des systèmes d’information), soucieux de guider les acteurs du web vers des solutions sécurisées, publia le visa de sécurité Secnumcloud. Il s’agit d’un référentiel permettant de qualifier les prestataires de services informatiques et d’instaurer la confiance numérique. Enfin il assure l’amélioration de la cybersécurité dans l’Union Européenne.
Du côté des établissements de santé, une certification appelée HDS, pour hébergement de données de santé voit le jour afin de qualifier les organismes susceptibles de gérer les données de santé. Oodrive fait d’ailleurs partie des organisations qui le peuvent depuis 2019.
Les acteurs français et européens, respectant le RGPD, qualifiés pas l’ANSSI contribuent à augmenter la cybersécurité dans l’Union Européenne, défendant ainsi le principe de souveraineté numérique.
Découvrez notre plateforme sécurisée et collaborative pour la gestion de contenu en toute sécurité