Privacy by Design : Les bonnes pratiques

Avec l’avènement du RGPD ou GDPR (General Data Protection Regulation), la protection de la vie privée des personnes redevient un sujet central pour toutes les entreprises. Pour faire suite à son précédent article « Le GDPR, un an après ? », Sofiane Fedaoui, RSSI/CISO de Vialink, propose d’aller plus loin dans l’analyse en étudiant pour nous le concept de  « Protection de la vie privée dès la conception »  ou «  Privacy by Design » et ses applications.

Privacy by design : qu’est ce que c’est ?

La protection de la vie privée dès la conception ou « Privacy by Design » est un principe simple, introduit par l’Etat de l’Ontario au Canada et plus précisément par Mme Ann Cavoukian, préposée à la protection des données. « Privacy by Design » a pour objectif, et cela dès la conception d’un logiciel ou d’une technologie, d’assurer la protection de la vie privée des personnes.

Il s’articule autour des sept principes suivants :

1. Prendre des mesures proactives et non réactives, des mesures préventives et non correctives
2. Assurer la protection implicite de la vie privée;
3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques;
4. Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle;
5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements;
6. Assurer la visibilité et la transparence;
7. Respecter la vie privée des utilisateurs.

Les bonnes pratiques à adopter

Pour respecter cela, différentes lignes de conduite doivent être mises en place dans l’entreprise :

1. La MOA (métiers, responsables fonctionnels) doit préciser et exiger le respect total de protection des données personnelles ;
2. La MOE (chefs de projet, chefs de produit) doit traduire cette exigence en l’intégrant à ces spécifications ; la collaboration avec le CIL (Correspondant Informatique et Libertés) ou du DPO (Data Protection Officer) sont importantes. En outre, le registre des traitements doit être systématiquement mis à jour par le CIL/DPO ;
3. La R&D doit respecter les exigences et mettre en place les contrôles exigés par la MOE. Le rôle de conseil du CIL/DPO est important à ce niveau-là également, le RSSI peut être sollicité ;
4. La QA (quality assurance) doit vérifier la mise en place et le bon fonctionnement des exigences spécifiées par la MOE. Cette vérification doit être matérialisée par un triple GO : « GO PRIVACY» en plus du « GO QUALITY » et du « GO SECURITY ».

« Privacy by Design » vise à agir de manière préventive et proactive mais celle-ci ne doit pas exclure la mise en place d’audits et de contrôles. De la même manière, le  CIL/DPO doit déclencher des contrôles réguliers pour s’assurer de la bonne implémentation des exigences liées à la protection des données personnelles.

Trouver des solutions techniques adéquates

La mise en place des exigences liées à la protection de la vie privée se traduit généralement par mise en œuvre de solutions techniques.

Le contrôle d’accès 

Tous les contrôles d’accès doivent suivre le modèle suivant :

• Identification : Elle désigne l’action consistant à identifier un objet ou un individu, souvent à l’aide d’un identifiant unique tel qu’un code d’utilisateur.
• Authentification: Elle a pour but de vérifier l’identité d’une entité.
• Autorisation : Cette phase consiste à vérifier que l’utilisateur maintenant authentifié dispose des droits nécessaires, est habilité, pour accéder au système ou à des parties du système.
• Traçabilité : Cela consiste à enregistrer les traces des différents accès pour lutter contre l’usurpation de droits.
• Contrôle : C’est l’analyse des traces des différents accès pour identifier les tentatives d’intrusion ainsi que tous les problèmes liés à la gestion des accès.

Chiffrement et contrôle d’intégrité

Le chiffrement reste une solution technique puissante pour la protection des données personnelles. Il faut notamment tenir compte du chiffrement :

Des bases de données

• Déterminer la liste des données à chiffrer.
• Utiliser des librairies connues comme « bcrypt » en Java ou « Libsodium » en PHP par exemple.
• Utiliser des algorithmes de chiffrement approuvés comme l’AES avec une clé d’au moins 256 bits et stockés de préférence dans un HSM (Hardware Security Module).

Des stockages fichiers de données

Des solutions de chiffrement de disques durs existent comme LUKS (Linux Unified Key Setup) pour Linux, FileVault sous MAC et BitLocker pour Windows. L’utilisation des HSM reste également possible, des solutions matérielles de chiffrement de stockage existent sur le marché comme le « StorageSecure » de Gemalto.

Sécurité des communications

Tout échange d’information doit au minimum utiliser un protocole assurant, à minima TLS 1.2, la confidentialité et l’intégrité des échanges.

Des solutions de chiffrement de bout en bout sont également disponibles sur le marché comme Tanker qui vient de recevoir la certification CSPN de l‘Agence nationale de la sécurité des systèmes d’information (ANSSI). Le contrôle d’accès doit être un préalable à toute communication.

L’anonymisation

Les RSSI ou CIL/DPO reçoivent souvent des demandes d’autorisation pour copier les données de production sur d’autres serveurs. L’objectif étant de ne pas bloquer la Direction technique, les RSSI ou CIL/DPO conseillent l’usage de l’anonymisation. Pourtant, une solution d’anonymisation n’est pas toujours simple à mettre en place et elle doit être construite au cas par cas et adaptée aux usages prévus.

Le G29, groupe des CNIL européennes,  propose trois critères auxquels se référer lors de la mise en place d’une solution d’anonymisation :

1. L’individualisation : est-il toujours possible d’isoler un individu ?
2. La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
3. L’inférence : peut-on déduire de l’information sur un individu ?

Un ensemble de données pour lequel il n’est possible ni d’individualiser, ni de corréler, ni d’inférer est considéré, à priori, comme anonyme.

La conformité réglementaire

Des solutions logicielles existent sur le marché comme « EGERIE PrivacyManager » qui propose une gouvernance de la conformité au GDPR, cette solution est destinée au CIL/DPO.

Microsoft Excel est l’outil généralement utilisé pour assurer et suivre la conformité des traitements en place dans une entreprise vis-à-vis des données à caractère personnel qu’elle récolte auprès de ces clients.

Face à la multiplication des traitements des données par des objets et technologies de tous les jours, des mesures doivent être prises. «  Privacy by Design »  a pour but d’agir, dès la conception, en réponse aux stratégies de collecte et d’utilisation de données personnelles faites par certains organismes.

Toutes les entreprises doivent faire appliquer ses bonnes pratiques afin de protéger au mieux les données personnelles de ses utilisateurs.

Une analyse recueillie auprès de Sofiane Fedaoui, RSSI/CISO Vialink.