Données personnelles : la tentation grandit

Le marché gris des données personnelles volées ou perdues ne cesse de prendre de l’ampleur. Face à un risque multiforme que les systèmes automatiques ne peuvent pas éliminer, seule l’anonymisation des données permet de protéger la responsabilité civile et pénale des DSI.

Malgré les efforts pour renforcer la sécurité des systèmes d'information d'entreprise, les détournements de données personnelles et de coordonnées bancaires n'ont cessé de se multiplier ces dernières années. En 2007, le quotidien américain USA Today[1] tirait déjà la sonnette d'alarme. En deux ans, le volume de données personnelles volées ou perdues sur le seul continent américain avait triplé, passant de 49,7 à 162 millions de dossiers de clients, utilisateurs, etc.


Les établissements financiers sont évidemment les premières cibles. En décembre 2008, ce sont les coordonnées bancaires de 21 millions d'allemands qui ont été mises en vente sur le Net pour la coquette somme de 1,2 million d'euros (soit 0,70 cts le numéro de compte)[2]. Mais toutes les entreprises sont touchées, que leurs informations soient ou non accessibles en ligne. Plut tôt dans l'année, le système central de réservation de la chaîne hôtelière Best Western a lui aussi été victime d'une intrusion : résultat, plus de 8 millions de noms, d'adresses, de renseignements sur l'activité professionnelle ont été copiés[3].

 

S'il y a offre, c'est qu'il y a demande

Les débouchés de ces vols sont à la mesure des moyens déployés pour obtenir les données. Songez qu'en ne prélevant qu'une seule fois un montant de 2 euros sur chacun des 21 millions de comptes bancaires allemands dont il aurait fait l'acquisition, le premier malfaiteur venu empoche 42 millions d'euros pour une mise de 1,2 millions. Et si ces informations à usage unique se revendent déjà plus de 70 ctens l'unité, imaginez le prix que peuvent avoir sur ce marché parallèle des données plus qualifiées telles que la liste complète des collaborateurs dirigeants d'un grand groupe international séjournant régulièrement dans les hôtels d'une chaine en particulier.


Enfin, et ce n'est pas le moins surprenant, posez vous la question de la somme que vous êtes prêt, en tant que dirigeant d'entreprise, à mettre sur la table pour disposer d'un fichier qualifié et légal de clients potentiels. Si il y a aujourd'hui un marché en croissance de la donnée personnelle obtenue de façon illicite ou non "traçable", c'est parce qu'il y a une demande croissante. Et cette demande n'est rien moins qu'une expression de la compétition accrue que se livrent les entreprises dans tous les secteurs de l'économie.

 

L'erreur est humaine, la tentation aussi

Devant cette accumulation de faits, plaider pour un renforcement technique de la sécurité des systèmes d'information est certes indispensable, mais peut à tout moment se révéler insuffisant. Un seul exemple, celui de cette clé USB contenant les coordonnées de plus de 12 millions de citoyens britanniques, perdue sur un parking par l'employé d'un sous-traitant et restituée par une personne honnête via la rédaction d'un grand quotidien national[4].


Dans toutes les phases de développement, de prototypage et de test des applications, des développeurs, des sociétés de services externes éventuellement concurrentes entre elles, des partenaires, des autorités de régulation.sont inévitablement amenés à détenir et manipuler des volumes importants de données privées qui concernent les clients de l'entreprise ou les usagers de l'organisation. Sans ces données réelles, il serait virtuellement impossible de faire évoluer les applications ou de les adapter aux nouveaux besoins des clients.

 

Mesurer les possibilités de recoupement des données

Dans le même temps, il convient de réaffirmer que tout citoyen, qu'il soit client, employé d'une entreprise ou usager d'une administration, a un droit inaliénable à la protection de ses données privées. En France, la loi a clairement fixé les responsabilités dans ce domaine. Qu'il s'agisse d'une simple extraction de données destinée à un centre d'appels sous-traitant, ou d'une copie intégrale de la base clients afin de développer une nouvelle application, le directeur informatique de l'entreprise ayant recueilli les données est civilement et pénalement responsable vis-à-vis des clients ou usagers.


Reste aux entreprises à prendre pleinement conscience de ce que cette responsabilité signifie. Dans la pratique, un numéro de téléphone et un prénom isolés ne servent pas à grand chose, mais si vous rapprochez le contenu de ce fichier avec un autre contenant des noms et adresses, vous obtenez un fichier immédiatement exploitable pour réaliser des campagnes d'emailing indésirables (avec ou sans intention frauduleuse). Dans l'entreprise et plus encore vis-à-vis de personnes extérieures, la DSI doit se donner les moyens d'évaluer les possibilités de recoupement des données qu'elle met à disposition, et donc le risque que fait courir le vol ou la perte pour la protection de la vie privée des clients ou usagers.

 

Anonymiser : avant tout une décision stratégique

La meilleure réponse à ce défi consiste à "anonymiser" les données, c'est-à-dire à fournir une copie qui sera inexploitable pour autre chose que ce pourquoi elle a été faite. Ainsi, un fichier de clients destiné à un centre d'appels peut fort bien contenir le numéro de carte de crédit, mais en remplaçant une partie des chiffres par des "X " comme c'est d'ailleurs le cas sur les tickets de carte bancaire. Dans les cas plus complexes, il peut être nécessaire de mettre en œuvre des mécanismes irréversibles de transformation des données comme de mélanger les noms et prénoms des clients, leurs numéros de téléphone, etc. Mais la mise en œuvre de ces solutions est avant tout une décision stratégique : s'assurer qu'aucune donnée ne sort de l'entreprise sans avoir été "anonymisée".

 

Des réponses graduées par niveau de risque

Beaucoup d'entreprises conscientes du problème hésitent à prendre la décision qui s'impose parce qu'elles craignent une augmentation exponentielle des coûts, notamment en ce qui concerne le développement ou le test d'applications. Cette crainte se fonde sur l'idée que l'"anonymisation" des données personnelles est nécessairement un processus complexe, lourd et forcément coûteux. La notion même de données à caractère personnel, tel que définie par le législateur, conforte les entreprises dans leur frilosité en la matière.

 

Sans doute faudrait-il clairement, au niveau réglementaire, distinguer plusieurs niveaux de criticité des données personnelles, en fonction non seulement de leurs caractéristiques, mais aussi des possibilités de recoupement qu'elles offrent. Dans bien des cas, les entreprises découvriraient alors que des méthodes relativement simples permettent d'adapter le niveau de complexité à l'usage tout en répondant à l'objectif : faire en sorte que, quelles que soient les circonstances et les responsabilités, la fuite de données soit sans effet sur la protection de la vie privée des clients ou usagers.

 


[1] USA Today - 9 décembre 2007

[2] Magazine Wirtschaftswoche - 6 décembre 2008.

[3] Glascow Sunday Herald - 24 août 2008

[4] Lesnouvelles.net - 7 novembre 2008

Autour du même sujet