La CNIL tape sur la souris de DHL… la belle affaire !

La Commissions Informatique et des Libertés, dont nous avons rencontré un membre vendredi 21 juin lors des RSSIA de Bordeaux ou nous avions été invité à parler de fuites de données, vient de taper sur les doigts et la souris de la société DHL.

En février 2014, la CNIL avait contrôlé le transporteur et avait mis à jour qu’un fichier de 684.778 identités de clients qui demandaient une relivraison de leurs colis fuitait. Quelques jours plus tard, DHL annonçait adopter « des mesures correctives rendant inaccessibles les données litigieuses ». La Commission Informatique et des Libertés a adressé un avertissement public à DHL « Du fait du nombre de personnes concernées et de la nature des données rendues librement accessibles ». Des données accessibles via plusieurs moteurs de recherche. Bref, je vous met du flan avec vos oeufs ?

Depuis janvier 2014, ZATAZ a alerté plus de 2.500 entreprises (+ de 50.000 depuis sa création, ndlr), associations, particuliers suite à des fuites de données. L’une d’elle dépassait les 40 millions de factures clients, avec adresses, identités, téléphones, …

La réforme communautaire prend les entreprises de court

Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises.

A l’aube de devenir un marché colossal, la collecte et la vente des données personnelles sont entrées dans les habitudes des entreprises mais certainement aussi des consommateurs. Si chacun de nous se dit conscient de son empreinte électronique croissante, nous serions surpris d’en réaliser toute la teneur : lieux de villégiature, habitudes de consommation, boissons et restaurants préférés, etc. Très enclins à exiger des publicités plus conformes à nos attentes, nous ne prenons qu’assez peu la mesure du risque en partageant, bien souvent sans notre consentement, nos renseignements personnels. Devenu un marché international, la négociation des données personnelles se fait dans un monde informatisé, hautement connecté et dans lequel le partage des responsabilités, en cas de violation des dispositifs de protection, reste éminemment nébuleux. Parce que nos données sont devenues une véritable monnaie d’échange, dans un contexte où l’usage veut que nous autorisions implicitement et parfois aveuglément leur exploitation, l’Union Européenne a choisi d’adopter un autre regard sur ces données.

Une législation européenne modernisée, des entreprises à la peine

Considérée comme une nécessité, la réforme du cadre législatif de la protection des données personnelles a connu des avancées importantes entre la fin de l’année 2013 et ce début 2014. Massivement approuvé par les eurodéputés, le projet de règlement a également été beaucoup amendé, vers plus de sévérité. S’il appartient encore au Conseil Européen de se prononcer sur le texte, les mesures phares du règlement et les orientations de la directive semblent d’ores et déjà recueillir un assentiment généralisé.

Les textes prévoient un délai de deux ans laissé aux entreprises pour se mettre en conformité avec le nouveau cadre. Cependant, il n’est pas certain que ce délai soit suffisant, notamment au regard d’une enquête réalisée en 2013 par le Cabinet Vanson Bourne, à la demande de Compuware et portant sur les mesures mises en œuvre par les entreprises pour la protection des données de leurs clients. Réalisée en France, en Espagne, au Benelux, en Italie, au Royaume-Uni, au Japon, en Australie et aux Etats-Unis, l’enquête montre que 20% des entreprises ne masquent ni ne protègent les données confidentielles en phase de de test. Tandis que 43% des entreprises partageant des données clients considèrent obscurs les lois et règlements sur la protection des données personnelles en vigueur.

En outre, 87% des entreprises transmettant des données à un tiers, encadrent la transaction uniquement au travers d’accords de non-divulgation, dont la validité et l’application territoriale pose nécessairement question. Enfin, les entreprises dans leur grande majorité, se sont montrées incapables de chiffrer avec précision le montant de leurs dépenses en faveur de la protection des données et encore moins le coût total engendré par le très prochain corpus législatif européen.

Le coût d’une mise en conformité (ou pas !)

Les entreprises doivent anticiper le coût de l’adaptation de leur système d’information aux textes européens. Si la tentation d’échapper à cette mise en conformité est grande, les amendes encourues le sont tout autant. La directive fixe des amendes pouvant aller jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires annuel mondial de l’entreprise. Nous sommes bien loin des amendes maximales jusqu’ici infligées par la CNIL française.

C’est dès aujourd’hui que les entreprises doivent étudier leur plan de mise en conformité et provisionner pour l’avenir. Disposer d’un plan réaliste et opérationnel permettra de minimiser à la fois les coûts initiaux mais également d’être en mesure de pouvoir prouver et maintenir la mise en conformité du SI, des pratiques et des applications. Retrouvez les 5 étapes d’un plan de mise en conformité sur DataSecurityBreach.fr.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.