De nombreuses sociétés sont aujourd’hui sanctionnées ou exposées à des sanctions au regard des conditions dans lesquelles les données personnelles sont conservées.
Les nouvelles règles en matière de protection des données imposent une responsabilisation des collecteurs et exploitants de données personnelles dont de mauvaises procédures de sécurité peuvent conduire à une divulgation ou perte de documents comprenant des données personnelles.
Quand bien mème les professionnels n’auraient pas les compétences techniques pour apprécier la fiabilité de leurs solutions, il leur incombe malgré tout le devoir de s’en ètre assuré.
Les mots de passe trop faibles et les systèmes sans double vérification
Rappelé fréquemment par les professionnels, les mots de passe trop faible, largement tolérés par les plateformes en ligne sans complément d’identification – par confirmation via mail, téléphone ou autre facilitent les capacités d’un hacker de pénétrer un système en testant de nombreux mots de passe usuels.
L’interview d’Edward Snowden par John Oliver dans l’émission Last Week Tonight illustrait la facilité déconcertante aujourd’hui avec laquelle des personnes peuvent pirater et hacker des serveurs dont les mots de passes de sécurité sont trop courts ou faibles, encourageant sur ce point à utiliser non plus des mots mais des « phrases de passe ».
Retrouvez ici l’ensemble de l’interview.
La faiblesse des URL en matière d’accès à des comptes clients
De très nombreuses sociétés ont ainsi été sanctionnée sur la base de la capacité, en changeant un élément d’URL, d’accéder à l’ensemble de la base de données du service. Une telle défaillance est analysée par la CNIL comme un manquement à l’article 32 du RGPD en ce qui concerne l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel.
Retrouvez ci-dessous nos analyses des sanctions associées :
L’absence de chiffrement des données
Le chiffrement – cryptage – correspond à la conversion des données d’un format lisible à un format codé qui peut uniquement ètre lu ou traité après déchiffrement. En cas de perte ou de faille au sein d’un système informatique, un tel mécanisme permet de garantir la confidentialité des informations interceptées. Cela constitue à ce titre un moyen efficace de garantir également leur authenticité et origine.
Plusieurs méthodes ont été développées ces dernières décennies – cryptographie asymétrique, clé de chiffrement symétrique, etc. afin de perfectionner la confidentialité et la protection des systèmes informatiques, notamment les connexions https, les vpn, accès SSH, etc.
Fréquemment rappelées par la CNIL lors de ses contrôles, de nombreuses failles et négligences facilement évitables, sont souvent à l’origine des manquements aux règles en matière de protection des données.