Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Le nouvel environnement de la confidentialité : l’Union européenne en pointe sur la protection des données personnelles

d’Andy Green Nous comprenons tous les risques associés à la divulgation accidentelle d’un numéro de sécurité sociale. Mais existe-t-il d’autres éléments d’informations moins personnels ou même anonymes qui, utilisés conjointement,...
David Gibson
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Contenu

    d’Andy Green

    Le nouvel environnement de la confidentialité : l’Union européenne en pointe sur la protection des données personnellesNous comprenons tous les risques associés à la divulgation accidentelle d’un numéro de sécurité sociale. Mais existe-t-il d’autres éléments d’informations moins personnels ou même anonymes qui, utilisés conjointement, fonctionnent comme un numéro de sécurité sociale ? L’Union européenne innove en matière de confidentialité des consommateurs en réformant sa propre réglementation. Les nouvelles perspectives de l’UE sur l’identité personnelle ont traversé l’Atlantique et ont inspiré de nouvelles réglementations aux États-Unis.

    L’histoire de la réglementation en matière de confidentialité des consommateurs et de sécurité des données, dans l’Union européenne, commence avec la Directive sur la protection des données de 1995 ou EU 96/46EC pour les spécialistes de la sécurité. Les directives de l’UE fournissent une orientation pour la législation de ses pays membres, qui sont libres de créer ensuite leurs propres lois. La DPD a grandement contribué à forger le vocabulaire ou, selon le point de vue, le jargon de la discussion sur la confidentialité des consommateurs des deux côtés de l’Atlantique.

    Aux États-Unis, le point de départ de la discussion sur la sécurité des données est le texte Sarbanes-Oxley, qui est devenu une loi en 2002. Si l’on compare les deux, on peut dire que la DPD s’est davantage concentrée sur la préservation des informations personnelles des consommateurs, et que, contrairement à SOX, elle a étendu cette préoccupation aux organisations publiques et privées. À ce jour il n’existe pas aux États-Unis de loi unique et complète sur le respect de la vie privée des consommateurs.

    La directive originale de l’UE est significative parce qu’elle a défini les données personnelles comme « les informations relatives à une personne naturelle identifiée ou identifiable ». Par exemple, selon les lois de l’UE, l’adresse de rue, le nom et le numéro de téléphone sont des données personnelles ; la taille, la couleur des yeux et le modèle de voiture que vous conduisez n’en sont pas. Cette notion de données personnelles en tant que clé fait partie de la définition utilisée dans les lois sur le respect de la vie privée en dehors de l’UE, y compris aux États-Unis. En Amérique du Nord, cependant, nous utilisons notre propre concept de données personnelles, définies comme « informations personnellement identifiables » ou PII.

    Au passage, le législateur européen a délibérément créé une définition moins explicite des données personnelles de façon qu’elle couvre les nouvelles technologies. En 2012, les données liées à une personne identifiable pouvaient être une adresse email, une adresse IP et même, pour certains pays de l’UE, une photographie.

    Pour compléter ce résumé, les spécialistes de la sécurité ont commencé à réaliser qu’à côté des données personnelles se trouvaient d’autres données – appelons-les quasi-personnelles – qui, si elles étaient divulguées, pouvait également être utilisées pour retrouver un individu. L’opération à réaliser sur les données pour accomplir cette identification consiste en général à rassembler des éléments de données anonymes, tels que dates de naissance (ou âge), code postal, nationalité, et peut-être modèle de voiture conduite, et à les combiner à des données publiquement disponibles.

    Il existe par exemple des cas bien documentés dans lesquels des enregistrements de sortie d’hôpital rendus anonymes ont été utilisés par la suite pour ré-identifier les patients concernés !

    Avec Facebook et son quasi milliard d’utilisateurs actifs, il est juste de dire que le web déborde de données personnelles à tous les niveaux de détail. Au final, les réseaux sociaux ont fourni aux pirates – les nouveaux acteurs menaçants de cette scène – un immense répertoire public utilisable pour l’identification (voir Matt Honan).

    Pour mieux comprendre comment il est possible de ré-identifier un individu, examinons une variante du cas à peine mentionné. Si cette technique ne permet pas d’identifier à tous les coups de manière unique une personne (cela dépend des informations relatives disponibles), elle peut souvent produire une liste restreinte de candidats hautement probables.

    Supposons, pour la démonstration, qu’une entreprise de crédits hypothécaires européenne analyse un rapport médical d’un grand hôpital public. Le rapport montre que cinq individus ont reçus des soins pour une maladie rare. Leur âge est également publié. En supposant que les patients vivent près de l’hôpital, le prêteur filtre simplement sa base de données en utilisant le code postal et l’année de naissance. À partir d’un ensemble réduit de résultats, il examine ensuite les réseaux sociaux et autres forums en ligne en utilisant les noms trouvés et d’autres données, tout en recherchant, par exemple, des souhaits de bonne convalescence. Si les résultats obtenus à l’étape précédente étaient peu nombreux, en les combinant aux nouveaux éléments provenant des réseaux sociaux… Je pense que vous voyez où cela conduit.

    La bonne nouvelle est que les pays de l’UE ont depuis longtemps reconnu que leurs lois n’étaient plus adaptées à l’évolution des choses. Et l’organe de gouvernement de l’UE est actuellement en train de reformuler la directive de 1995 en prenant en compte la nouvelle réalité des données publiques sur le web et l’effacement progressif de la limite entre données personnelles et données anonymes. Pour vous faire une idée des nouvelles réflexions de l’UE sur les données personnelles, vous pouvez lire cet article en cours d’élaboration.

    Et il existe également des rumeurs de modifications aux États-Unis, qui suivent la même inspiration que les réformes européennes.

    Je parlerai plus en détail de la législation américaine et de ce que cela signifie pour les politiques de protection des données de votre entreprise dans des articles à venir.

    Photographie : http://en.wikipedia.org/wiki/File:Institutions_europeennes_IMG_4300.jpg

     

    The post Le nouvel environnement de la confidentialité : l’Union européenne en pointe sur la protection des données personnelles appeared first on Varonis Français.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Gibson
    David Gibson

    David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).