Lettre d'information - Décembre 2018

DE L’IMPORTANCE DE LA DOCUMENTATION DES TRAITEMENTS

Il y a environ deux semaines, une grande chaîne hôtelière a admis avoir été attaquée et les données de plus de 320 millions de clients ont été volées : le nom, l’adresse postale, le numéro de téléphone, l’adresse email, le numéro de passeport, des informations du compte de fidélité client, la date de naissance, des informations sur les dates de réservation et les séjours et enfin le numéro de carte de crédit, heureusement sous forme chiffrée. En bref, de quoi voler l’identité de plusieurs millions de personnes !

Ceci pose la question de l’utilisation des données, de leur durée de conservation, de leur chiffrement et de leur sauvegarde pour chacun des traitements nécessaires au bon fonctionnement de l’entreprise. Nous avons développé des outils permettant de capturer pour chaque traitement les données nécessaires et leur criticité, ainsi que les personnes habilitées à les modifier ou les consulter, afin de définir comment ces données doivent être protégées.

En reprenant l’exemple malheureux de cette chaîne hôtelière, il est possible de définir quatre grands groupes de traitements :

  • Les traitements liés à la réservation. Dans ce cas, seuls les nom, numéro de téléphone, adresse postale ou email, dates de réservation sont nécessaires. De plus, un numéro de carte de crédit sera demandé mais non conservé pour valider la réservation et c’est la banque qui garantira la transaction. Les agents des centres de réservation peuvent entrer et modifier les données et les réceptions des hôtels pourront les consulter seulement.

  • Les traitements liés au séjour. En plus des données précédentes, il faut sans doute ajouter un numéro de passeport (éventuellement une photocopie en fonction des obligations légales du pays) mais cette donnée n’a sans doute pas besoin d’être stockée centralement et sa durée de conservation doit être strictement limitée aux obligations légales. Cette fois, ce sont les réceptions qui pourront créer ou modifier les données.

  • Les traitements statistiques. Tout ce qui concerne les taux de remplissage, les prévisions de chiffre d’affaire, etc. devrait se faire à partir des données anonymisées provenant des deux groupes de traitement précédents. Bien sûr, les analystes voudront triturer les données par groupe d’âge, pays d’origine et cela doit être pris en compte dans les agrégats de données qui seront mis à leur disposition. Mais en aucun cas ils ne devraient exiger de travailler avec des données personnelles de clients.

  • Les traitements marketing. Afin de faire de la publicité ciblée, il faut bien avoir à disposition le nom, l’adresse email ainsi que des données démographiques pour personnaliser les messages. Dans ce cas, le chiffrement et l’accès aux données doivent être particulièrement bien documentés et de fréquentes revues doivent permettre de garantir qu’aucun droit d’accès ne peut permettre des extractions de masse. Cela bloquera bien sûr la créativité des marketers qui crieront au scandale !

En conclusion, une étude sérieuse des traitements permet de mettre à jour des manquements qu’il faudra ensuite résoudre en fonction de la priorité de chacun. Cela aurait couté sans doute quelques millions d’Euros à mettre en place. Mais cette somme doit être mise en regard du coût du vol des données : si 1% des clients lésés génèrent des coûts de 100 Euros par client (écouter les plaintes, s’excuser, rembourser des frais, etc.), cela représente une perte de 300 millions d’Euros. Et ceci sans compter l’impact sur l’image de marque de l’entreprise et les éventuelles amendes.

LES DANGERS DES SYSTÈMES WIFI PUBLICS

Si vous avez regardé l’émission « A Bon Entendeur » sur TSR1 du mardi 11 décembre dernier, vous avez peut-être vu le segment consacré aux réseaux wifi ouverts gratuits en Suisse. En particulier, l’équipe de l’émission est allée chez « Starbucks » et a très facilement piraté le wifi du groupe qui n’est pas du tout protégé (du moins il ne l’était pas lors de l’expérience), ce qui leur a permis d’accéder à certaines données personnelles de tous les utilisateurs qui s’étaient enregistrés sur le système et qui étaient à ce moment-là dans le café. Ces données personnelles incluaient les nom, prénom, adresse email et numéro de portable de l’utilisateur. Bien entendu, un tel accès aussi facile constituera une violation flagrante des obligations de Starbucks vis-à-vis de la législation RGPD dès que celle-ci sera intégrée dans la loi suisse…

Ce qui est grave, c’est qu’en fait de nombreux réseaux wifi ouverts et gratuits sont aussi mal protégés contre le piratage de données personnelles des utilisateurs, ce qui met en danger constant les personnes qui utilisent ces services. Les sociétés ou commerces qui offrent ce genre de wifi non sécurisés risquent bientôt de s’apercevoir qu’au lieu d’augmenter leur popularité auprès des clients, cela risque fort de détruire leur réputation dès qu’il y aura un incident, que l’autorité de contrôle ne manquera pas de publier, ou quand l’utilisateur lui-même victime d’un hacker malveillant ayant volé ses données personnelles sur ce réseau wifi portera plainte auprès de l’autorité. Comme on s’en est aperçu en France, ou en Angleterre, depuis le mois de mai 2018 les internautes sont plus sensibles aux problèmes de données personnelles et n’hésitent pas à saisir les autorités de contrôle compétentes…

Si donc vous mettez un réseau wifi à la disposition de visiteurs de quelque genre que ce soit, rappelez-vous bien que l’obligation de sécurité des données vous incombe automatiquement, et que vous devez donc pouvoir démontrer que vous avez mis des moyens adéquats pour protéger le caractère strictement privé des données personnelles des utilisateurs.

QUI SOMMES-NOUS ?

LegIT-Team est une société spécialisée dans les services aux entreprises pour la mise en conformité avec le Règlement. Elle est formée d’experts à la fois dans le domaine des technologies de l’information et dans le domaine juridique. LegIT-Team maîtrise donc toutes les compétences dont votre entreprise a besoin pour vous expliquer plus en détail ce que le Règlement Général sur la Protection des Données signifie pour votre entreprise. De plus, LegIT-Team peut vous aider à mener à bien le projet : revue de votre structure, identification des processus et procédures à améliorer ou créer, définition des priorités et des moyens à mettre en œuvre à court et long terme. LegIT-Team peut aussi prendre en charge la réalisation des différentes composantes.

Prenez les choses en main dès maintenant, parlez avec nous et nous vous aiderons à mieux comprendre ce que vous devez accomplir pour être en règle avec la nouvelle règlementation européenne.