Données personnelles : "avec la croissance des données, il y aura mécaniquement de plus en plus de fuites" (Interview)

22 juillet 2021 à 11h00
3
Internet Cookies Trackers Données Data © TheDigitalArtiste via Pixabay.com
© TheDigitalArtiste / Pixabay

Pour Clubic, Paul-Olivier Gibert, le président de l'AFCDP, fait le tour de l'actualité concernant les données personnelles. Si le constat n'est pas si morose, l'inquiétude est de mise au regard de la circulation de données, de plus en plus massive.

Fuite de données, régulation, géants du Web, souveraineté européenne… L'actualité sur les données personnelles n'a jamais été aussi riche, et pour cause : les utilisateurs sont de plus en plus nombreux, les données de plus en plus foisonnantes, et les risques de plus en plus grands. De Google, ses cookies et son FLoC , aux enjeux européens, en passant par les multiples fuites de données de ces derniers mois, Paul-Olivier Gibert n'a écarté aucun sujet. Le président de l'AFCDP , l'Association française des correspondants à la protection des données à caractère personnel, a répondu à nos questions à l'occasion du salon Ready For IT 2021, à Monaco.

L'interview « données personnelles », de Paul-Olivier Gibert

Paul-Olivier Gibert © Alexandre Boero pour Clubic
Paul-Olivier Gibert (© Alexandre Boero pour Clubic)

Clubic : Google a annoncé, il y a quelques semaines, le recul du blocage des cookies tiers à la fin de l'année 2023. La firme de Mountain View dit vouloir prendre le temps de discuter avec tout l'écosystème, les éditeurs, les annonceurs, les régulateurs. Est-ce pour vous une bonne chose ? Ou est-ce un aveu qu'il n'existe pas encore d'alternative fiable aux cookies tiers ?

Paul-Olivier Gibert : Ce n'est pas forcément comme ça que j'interpréterais les choses. Je pense qu'en fait, il y a une prise de conscience du fait que la problématique des cookies tiers et de la publicité ciblée sur les outils Internet et sur les médias numériques est quelque chose d'essentiel dans le business model de l'entreprise. Il y a des enjeux et des transferts financiers absolument énormes, qui sont de nature à déstabiliser un certain nombre d'acteurs et de secteurs. Je pense que c'est plutôt de ce côté-là qu'il faut rechercher une explication à la position de Google. Ils se sont peut-être aperçus qu'ils étaient en position de provoquer un tsunami, et qu'ils n'étaient pas certains d'en maîtriser toutes les conséquences.

« Google, sur les cookies tiers : ils se sont peut-être aperçus qu'ils étaient en position de provoquer un tsunami »

...d'autant plus que l'alternative aux cookies tiers, FLoC, basée sur un système de cohortes , est loin de faire l'unanimité, et une majorité de moteurs de recherche qui s'est rangée contre Google.

En général, les concurrents ne sont pas favorables à voir un autre se placer en position de monopole.

Autre dossier sensible : le 10 juin dernier, il y a le couac Pôle Emploi avec la fuite des données de 1,2 million de personnes, qui se sont retrouvées sur Raidforums. Par empathie, le hacker n'a pas publié la base de données. Finalement, Pôle Emploi, qui a reconnu la fuite, a évoqué le chiffre de 120 000 personnes, qui ont toutes été contactées. On évoque ici des « agissements humains ». Faut-il s'inquiéter ? Ou est-ce le lot de la cybersécurité ou est-ce le lot de l'empreinte humaine sur celle-ci ?

Ce sont les deux, j'ai envie de dire. Service public ou pas service public, les traitements de données sont des traitements de données. Les risques sont les mêmes et il faut prendre les mesures nécessaires pour y faire face. De ce point de vue-là, c'est une annonce qui concerne Pôle Emploi. D'autres concernaient des entreprises du numérique, et nous connaitrons d'autres problèmes de ce type-là. C'est pour cela qu'il faut continuer à être vigilant, et d'autant plus vigilant que ce sont des choses qui se produisent.

Doctolib a été épinglée, dans les médias, pour avoir transféré des données à Facebook et à la société de e-marketing Outbrain, en Allemagne. Que doit-on en penser ? Est-ce un risque que de tels services, assimilés à la santé en ligne, deviennent aussi présents et puissants dans notre société ?

Il faut nuancer. Doctolib, c'est une très belle réussite, une belle entreprise qui a pris une vraie dimension et qui a créé un produit, un réflexe. Maintenant, les médecins mettent, sur leur plaque, un numéro de téléphone et Doctolib, ce qui montre l'ampleur de la chose. Les transferts, cela montre bien qu'il y a toute une économie, des logiques d'échange et de circulation de données. C'est problématique, puisque c'est quelque chose sur lequel la transparence n'est pas très bonne. Cela fait penser à ce qu'on a vu avec une société d'études médicales (IQVIA, société américaine), qui récupérait des statistiques sur la consommation en pharmacie des Français, avec des remontées à partir de leur carte vitale. Les pharmaciens ne savaient même pas que ces données étaient réutilisées.

« Dans les années qui viennent, il y aura de plus en plus de données. Donc proportionnellement, il y aura plus d'incidents et fuites de données »

C'est un petit peu le même problème avec Doctolib. Mais sur Doctolib, on a essentiellement des données de rendez-vous et des données démographiques (nom, prénom etc.), ainsi qu'un historique de consultation, qui n'est pas neutre, certes, mais qui n'est pas comparable à un résultat d'analyse, à un compte-rendu clinique ou à un diagnostic. Ce ne sont pas des données extrêmement percutantes et impactantes sur les individus. Le fait est que dans le RGPD, il y a une obligation de transparence sur l'utilisation des données, pas toujours respectée et en même temps pas évidente à mettre en place.

Un baromètre Data Breach publié récemment nous indique que nous sommes passés, en un an et demi, de 4,5 à 7 violations de données par jour. Plus qu'une tendance, le travail hybride ne risque-t-il pas de renforcer l'augmentation de ces fuites ?

Dans les années qui viennent il y aura beaucoup plus de données, et ce de façon croissante. Donc proportionnellement, il y aura plus d'incidents et de fuites de données. Le chiffre passé de 4,5 à 7, avec + 50 % sur 18 mois est difficile à interpréter. Ce qui est certain, c'est que de nombreuses réunions physiques ont été remplacées par des vidéoconférences, dont certaines avec enregistrement, donc productrices de données à caractère personnel. On détecte plus aujourd'hui qu'avant également, il y a l'augmentation des volumes. C'est vraiment difficile à analyser.

Quelles sont les principaux dossiers et enjeux sur lesquels travaille l'AFCDP ces temps-ci ?

Nous avons beaucoup travaillé, sur les 18 derniers mois et depuis l'année dernière, sur les problématiques liées au recours au télétravail. Il y a toujours des enjeux autour de la numérisation de l'économie. Nous sommes passés au télétravail, mais aussi aux commandes sur Internet et livraison, pour un certain nombre d'achats.

L'autre thème sur lequel nous écrivons, c'est le problème des transferts de données transatlantiques. Depuis que je m'intéresse un peu aux relations internationales, cela a toujours été compliqué. Si l'on prend l'exemple de Facebook, il y a un pôle technique et économique qui est aux États-Unis, qu'on le veuille ou non. Il faut qu'il y ait une circulation de données, et que celle-ci permette de sécuriser les individus, les entreprises et les organisations. Avec l'arrêt Schrems II de la Cour de justice de l'Union européenne (qui a invalidé le Privacy Shields et considéré comme valides les clauses contractuelles types de l'UE, ndlr.), on a dégradé la sécurité juridique pour les opérateurs sur ces transferts de données. C'est un point sur lequel nous sommes amenés à prendre position, en relativisant le discours positif qu'il peut exister sur les clauses contractuelles types (qui permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union, ndlr.), qui sont intéressantes mais qui ne sont pas à la portée de toutes les structures. Elles font, en plus, porter sur l'opérateur (donc le responsable de traitement) la responsabilité finale de domaines qui relèvent de la relation inter-étatique. L'AFCDP considère que ce n'est pas une solution très « fair », comme disent les anglo-saxons.

Peut-on véritablement croire, que dans les années qui arrivent, on arrive à une véritable souveraineté de la donnée, puisque nous parlons des réseaux sociaux. Peut-on imaginer que les données de citoyens européens soient véritablement protégées en Europe, même pour des entreprises basées à l'étranger ?

C'est déjà un peu le cas. Le règlement européen s'impose dès que des données concernant un citoyen européen sont traitées. Il est possible de sanctionner un certain nombre d'entreprises, y compris les GAFAM. Facebook a envisagé quitter l'Europe, à un moment. Mais désormais, l'entreprise n'en parle plus. Elle a peut-être un intérêt à rester.

Sur la souveraineté numérique, je pense que le sujet est plus complexe que cela. On a pris du retard, mais en revanche, il y a des choses qui sont intéressantes. Je pense par exemple à la duplication des outils d'AWS, qui serait finalement fournisseur de logiciels, toucherait des royalties pour la licence et ne serait pas exploitant des données. Il y a, ici, des pistes intéressantes.

Des alternatives européennes se mettent en place, je pense notamment à Gaia-X , qui est un outil très intéressant pour justement avoir une ingénierie locale. C'est un sujet complexe, parce que nous avons des entreprises nées en France et en Europe, qui se sont américanisées. Et en sens inverse, nous avons des entreprises, certes américaines, qui se sont développées en Europe et ont pris une consistance et coloration européennes.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Fodger
Évidemment et c’est déjà le cas depuis longtemps.<br /> Le fait que toutes ces entreprises cherchent à s’interconnecter à tout prix avec n’importe quel service à la mode au lieu de se poser la question de l’intégrité, l’indépendance et la fiabilité est une vraie bêtise.
Matrix-7000
Bonjour,<br /> Tout à fait d’accord avec vous. Tous les jours nous pouvons lire des articles concernant des données piratées sur les grandes plateformes à la mode.<br /> Le marketing à pris la pas sur le bon sens.<br /> Croire que ses données seront en «&nbsp;meilleur sécurités&nbsp;» parce qu’elles sont stockée chez un des grand acteurs du secteur est une illusion. L’argument que l’on entends le plus souvent: si c’est chez G…M…A… eux ils s’y connaissent alors çà doit-être sûr!<br /> Un vieil adage dit que: c’est le cordonnier qui est le plus mal chaussé…
sirifa
Le plus gros effort c’est la sécurité par défaut des données.<br /> Je vois que par mon travail je peux (en tant que simple dev) avoir accès à des données très sensible (je programme pour une assurance en ce moment).<br /> Donc je peux avoir accès à des noms, des addresses, des revenus, des numéros de téléphone, des emails, des antécédents médicaux… Et il y a une somme de personnes assez folle.<br /> Les données ne sont pas chiffrées sur les serveurs, les accès ne sont pas particulièrement contrôlés. La seule barrière c’est que le serveur doit être difficile à atteindre.<br /> Par design c’est de la merde. Une seule petite faille et pouf toutes les données libres.<br /> Quand on dit à notre cher client, c’est pas ouf (pour de vrai c’est dangereux), en plus niveau RGPD c’est juste complètement éclaté le client/roi répond → trop chère (prend trop de temps aussi) donc OSEF.<br /> On parle pas d’une petite boîte ici.<br /> Dénoncer le client == plus de contrat pour nous (parce que la fuite viendrait forcement de mon entreprise), donc le temps que je trouve un nouveau job et je regarderais pour pouvoir prévenir une autorité pour quelle puisse mettre son nez dedans.
Voir tous les messages sur le forum

Lectures liées

Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Une nouvelle arnaque bancaire par téléphone signalée par la DGCCRF
Ransomware : ce groupe de hackers russes est considéré comme le plus dangereux
Ce VPN à prix délirant vous fera gagner en cyberconfidentialité
Attention aux malwares cachés dans des fichiers PDF disponibles via Google
Voici les meilleurs antivirus pour un usage professionnel
LinkedIn est devenue une cible de choix pour les hackers
Haut de page