• ENJEUX
    • Optimisez vos parcours clients
    • Gagnez en productivité
    • Réduisez vos risques
    • Assurez votre conformité
  • SOLUTIONS
    • ID Verification
    • VIALINK KYC
    • VIALINK SIGN
      • Tarifs
    • E-Cautions
  • QUI SOMMES-NOUS ?
    • L’entreprise
    • Chiffres clés
    • L’équipe dirigeante
    • On recrute !
  • BLOG
  • RESSOURCES
  • CONTACT
    • English

Privacy by Design : Les bonnes pratiques

12 septembre 2017
Temps de lecture : 4 min
Réglementations & Sécurité
Vialink
VALEURS
VIALINK : Nos valeurs au quotidien
28 août 2017
CNIL
CNIL – Autorisation unique AU-054
28 septembre 2017
    Partager

    Avec l’avènement du RGPD ou GDPR (General Data Protection Regulation), la protection de la vie privée des personnes redevient un sujet central pour toutes les entreprises. Pour faire suite à son précédent article « Le GDPR, un an après ? », Sofiane Fedaoui, RSSI/CISO de Vialink, propose d’aller plus loin dans l’analyse en étudiant pour nous le concept de  « Protection de la vie privée dès la conception »  ou «  Privacy by Design » et ses applications.

    Privacy by design : qu’est ce que c’est ?

    La protection de la vie privée dès la conception ou « Privacy by Design » est un principe simple, introduit par l’Etat de l’Ontario au Canada et plus précisément par Mme Ann Cavoukian, préposée à la protection des données. « Privacy by Design » a pour objectif, et cela dès la conception d’un logiciel ou d’une technologie, d’assurer la protection de la vie privée des personnes.

    Il s’articule autour des sept principes suivants :

    1. Prendre des mesures proactives et non réactives, des mesures préventives et non correctives
    2. Assurer la protection implicite de la vie privée;
    3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques;
    4. Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle;
    5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements;
    6. Assurer la visibilité et la transparence;
    7. Respecter la vie privée des utilisateurs.

    Les bonnes pratiques à adopter

    Pour respecter cela, différentes lignes de conduite doivent être mises en place dans l’entreprise :

    1. La MOA (métiers, responsables fonctionnels) doit préciser et exiger le respect total de protection des données personnelles ;
    2. La MOE (chefs de projet, chefs de produit) doit traduire cette exigence en l’intégrant à ces spécifications ; la collaboration avec le CIL (Correspondant Informatique et Libertés) ou du DPO (Data Protection Officer) sont importantes. En outre, le registre des traitements doit être systématiquement mis à jour par le CIL/DPO ;
    3. La R&D doit respecter les exigences et mettre en place les contrôles exigés par la MOE. Le rôle de conseil du CIL/DPO est important à ce niveau-là également, le RSSI peut être sollicité ;
    4. La QA (quality assurance) doit vérifier la mise en place et le bon fonctionnement des exigences spécifiées par la MOE. Cette vérification doit être matérialisée par un triple GO : « GO PRIVACY» en plus du « GO QUALITY » et du « GO SECURITY ».

    « Privacy by Design » vise à agir de manière préventive et proactive mais celle-ci ne doit pas exclure la mise en place d’audits et de contrôles. De la même manière, le  CIL/DPO doit déclencher des contrôles réguliers pour s’assurer de la bonne implémentation des exigences liées à la protection des données personnelles.

    Trouver des solutions techniques adéquates

    La mise en place des exigences liées à la protection de la vie privée se traduit généralement par mise en œuvre de solutions techniques.

    Le contrôle d’accès 

    Tous les contrôles d’accès doivent suivre le modèle suivant :

    • Identification : Elle désigne l’action consistant à identifier un objet ou un individu, souvent à l’aide d’un identifiant unique tel qu’un code d’utilisateur.
    • Authentification: Elle a pour but de vérifier l’identité d’une entité.
    • Autorisation : Cette phase consiste à vérifier que l’utilisateur maintenant authentifié dispose des droits nécessaires, est habilité, pour accéder au système ou à des parties du système.
    • Traçabilité : Cela consiste à enregistrer les traces des différents accès pour lutter contre l’usurpation de droits.
    • Contrôle : C’est l’analyse des traces des différents accès pour identifier les tentatives d’intrusion ainsi que tous les problèmes liés à la gestion des accès.

    Chiffrement et contrôle d’intégrité

    Le chiffrement reste une solution technique puissante pour la protection des données personnelles. Il faut notamment tenir compte du chiffrement :

    Des bases de données

    • Déterminer la liste des données à chiffrer.
    • Utiliser des librairies connues comme « bcrypt » en Java ou « Libsodium » en PHP par exemple.
    • Utiliser des algorithmes de chiffrement approuvés comme l’AES avec une clé d’au moins 256 bits et stockés de préférence dans un HSM (Hardware Security Module).

    Des stockages fichiers de données

    Des solutions de chiffrement de disques durs existent comme LUKS (Linux Unified Key Setup) pour Linux, FileVault sous MAC et BitLocker pour Windows. L’utilisation des HSM reste également possible, des solutions matérielles de chiffrement de stockage existent sur le marché comme le « StorageSecure » de Gemalto.

    Sécurité des communications

    Tout échange d’information doit au minimum utiliser un protocole assurant, à minima TLS 1.2, la confidentialité et l’intégrité des échanges.

    Des solutions de chiffrement de bout en bout sont également disponibles sur le marché comme Tanker qui vient de recevoir la certification CSPN de l‘Agence nationale de la sécurité des systèmes d’information (ANSSI). Le contrôle d’accès doit être un préalable à toute communication.

    L’anonymisation

    Les RSSI ou CIL/DPO reçoivent souvent des demandes d’autorisation pour copier les données de production sur d’autres serveurs. L’objectif étant de ne pas bloquer la Direction technique, les RSSI ou CIL/DPO conseillent l’usage de l’anonymisation. Pourtant, une solution d’anonymisation n’est pas toujours simple à mettre en place et elle doit être construite au cas par cas et adaptée aux usages prévus.

    Le G29, groupe des CNIL européennes,  propose trois critères auxquels se référer lors de la mise en place d’une solution d’anonymisation :

    1. L’individualisation : est-il toujours possible d’isoler un individu ?
    2. La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
    3. L’inférence : peut-on déduire de l’information sur un individu ?

    Un ensemble de données pour lequel il n’est possible ni d’individualiser, ni de corréler, ni d’inférer est considéré, à priori, comme anonyme.

    La conformité réglementaire

    Des solutions logicielles existent sur le marché comme « EGERIE PrivacyManager » qui propose une gouvernance de la conformité au GDPR, cette solution est destinée au CIL/DPO.

    Microsoft Excel est l’outil généralement utilisé pour assurer et suivre la conformité des traitements en place dans une entreprise vis-à-vis des données à caractère personnel qu’elle récolte auprès de ces clients.

    Face à la multiplication des traitements des données par des objets et technologies de tous les jours, des mesures doivent être prises. «  Privacy by Design »  a pour but d’agir, dès la conception, en réponse aux stratégies de collecte et d’utilisation de données personnelles faites par certains organismes.

    Toutes les entreprises doivent faire appliquer ses bonnes pratiques afin de protéger au mieux les données personnelles de ses utilisateurs.

    Une analyse recueillie auprès de Sofiane Fedaoui, RSSI/CISO Vialink.

    Vialink

    Articles similaires

    Finance | Fintech | ID Verification | KYC | Parcours client | Réglementations & Sécurité

    Assureurs : comment adapter vos processus en prenant en compte la loi Lemoine ?

    Immobilier | KYC | Parcours client | Réglementations & Sécurité

    Réglementation dans le domaine immobilier : focus sur TRACFIN

    ID Verification | KYC | Réglementations & Sécurité

    Carte nationale d’identité française 2021 : quelles nouveautés technologiques ?

    18 Quai de la Râpée, 75012 Paris – 01.40.02.91.12

    QUI SOMMES-NOUS?    BLOG     RECRUTEMENT    CONTACT

    Mentions légales   Chaînes de Confiance   Politique de confidentialité Politique de Cookies
    Copyright 2021 VIALINK
    Nous utilisons les cookies afin de fournir les services et fonctionnalités proposés sur notre site Web et d’améliorer l’expérience de nos utilisateurs.
    Nous vous invitons à nous faire part dès à présent de vos choix concernant le dépôt de cookies sur votre terminal, soit en les acceptant tous, soit en les refusant tous, soit en personnalisant vos choix par finalité. A défaut, vous ne pourrez pas poursuivre votre navigation sur notre site Web.
    Votre choix est libre et peut être modifié à tout moment, en cliquant sur le lien "Notre Gestion des Cookies", en bas de page de notre site Web.
    Pour en savoir plus, veuillez consulter notrePolitique de cookies


    Tout accepterTout refuserChoisir les cookies
    Notre gestion des cookies

    Notre gestion des cookies

    Vous pouvez accepter ou refuser le dépôt des cookies pour chaque finalité décrites ci-dessous.

    Pour obtenir toutes les informations concernant les cookies liés à notre site Web, consultez notre politique de cookies.
    Cookies Nécessaires
    Toujours activé

    Ces cookies sont strictement nécessaires au bon fonctionnement, à la sécurité du site VIALINK, à détecter la langue de votre navigateur ainsi qu’à la conservation de votre consentement au dépôt des autres catégories de cookies. Ces cookies sont nécessaires et ne peuvent être désactivés.

    Cookies déposés par : Cloud Flare, Polylang, Wordpress, Atlassian

    Cookies de mesure d'audience

    Ces cookies de mesure d’audience nécessitent votre consentement pour nous permettre d’établir des statistiques et d’améliorer le fonctionnement des services que nous proposons comme les pages consultées, l’ergonomie de nouvelles versions des pages, tout en améliorant la qualité de nos services.

    Cookies déposés par : Google, Pardot, Matomo, Vimeo

    Cookies de Publicités

    Ces cookies de Publicité nécessitent votre consentement pour nous permettre de présenter à nos utilisateurs des publicités en fonction de leurs profils.

    Cookies déposés par : Youtube

    Enregistrer et accepter