Un article résumé de la doxa présente. Malheureusement personne de
repioche encore dans les "capabilities" de Nomran Hardy, KEYOS,
Shapiro, etc. J'aimerais bien que des informaticiens chevronnés
viennent donner un coup de main pour reconstruire la multimatique
sous machine beam/erlang.
------------
Les mots de passe ne garantissent plus notre sécurité et voilà ce qui
devrait les remplacer
La vulnérabilité de la sécurité des données personnelles sur internet
a souvent touché les mots de passe avec des cas d'usurpation
d'identité et des failles sur le stockage des données. Les mots de
passe sont-ils voués à disparaître ? Quelles outils pourraient les remplacer ?
Atlantico.fr : Les multiples cas d'usurpation d'identité et de
failles de sécurité dans le stockage des mots de passe ont montré la
vulnérabilité de cette protection, pourtant la plus utilisée dans le monde.
La sécurité sur internet tend-elle à se renforcer ou au contraire
sommes-nous plus menacés qu'auparavant ?
Gilles Dounès : Il est difficile de répondre autrement que « les deux
», et ce d'autant plus que les deux volets de la question ne font pas
référence à la même échelle de la réalité. D'un point de vue global,
les protocoles utilisés sur Internet n'ont jamais été aussi sûrs, ni
aussi avancés. Les méthodes de chiffrement sont de plus en plus
complexes, et les méthodes d'authentificationdu côté de
l'utilisateursont de plus en plus rigoureuses avec la généralisation
de l'identification en deux étapes.
Mais, dans le même temps, la « surface d'utilisation » d'Internet a
considérablement augmenté par rapport aux seuls usages du courrier
électronique, de connexion à quelques sites Web et, éventuellement,
de logiciels de messagerie des débuts de la toile : le smartphone est
en effet devenu, à travers les applications, un formidable levier
d'utilisation d'Internet qui ne dit pas son nom. Et chaque nouvel
usage, chaque nouvelle application, parce qu'ils nécessitent une
identification et le plus souvent un nouveau mot de passe, ouvre une
vulnérabilité potentielle supplémentaire dans l'environnement
numérique de l'utilisateur.
D'une part parce que la multiplication des mots de passe demandés est
telle que l'utilisateur lambda va avoir tendance à utiliser toujours
les mêmes, peu ou prou. Et d'autre part, parce que la multiplication
des points de recueil que sont les sites et les applications que nous
utilisons quotidiennement en nombre sans cesse croissant multiplie
également le risque statistique de voir fuiter potentiellement non
seulement le mot de passe proprement dit, mais également les
informations personnelles d'identification qui lui sont associées. Un
autre grand classique repose sur l'hameçonnage, avec l'envoi de mail
contre faisant l'identité de tel ou tel organisme, bancaire
notamment, qui re-dirige l'internaute vers un site factice destiné à
lui faire livrer son identifiant et son mot de passe de son plein gré.
Une vieille blague court les salles informatiques de
support-utilisateur, selon laquelle 80 à 90 % des problèmes
trouvaient leur origine entre le clavier et le dossier de la chaise
mais c'est également vrai en ce qui concerne les développeurs ou les
administrateurs systèmes : il n'est pas rare que des géants du
secteur comme Facebook ou Yahoo ! ne soient obligés de manger leur
chapeau, et d'avouer que les données personnelles (adresse mail, mot
de passe, question confidentielle) de millions d'utilisateurs dans le
cas d'Instagram, et même de milliards pour Yahoo, avaient été
stockées en clair sur des serveurs ouverts aux quatre vents. Et donc
potentiellement vendus à l'encan sur le Dark Web.
Pour parer à la cybercriminalité, les banques et autres entreprises
remplacent de plus en plus le système classique de mots de passe
utilisés pour identifier les utilisateurs de leurs services.
¨Pourquoi les mots de passe classiques sont-ils considérés par autant
d'acteurs comme des vulnérabilités numériques?
Jean-Paul Pinte : On parle de plus en plus souvent ces dernières
années d'avoir une bonne gestion de ses mots de passe, de
gestionnaire de mots de passe, voire d'une disparition totale de leur
emploi pour s'identifier sur les services du Net et pourtant ils sont
encore là dans la plupart des identifications.
Il y a même deux ou trois ans on évoquait en ironisant que les
internautes avaient évolué dans la créativité de leurs mots de passe
en passant de 12345 à 123456 (quand il ne s'agissait pas de 000000
).
Les mots de passe sont pénibles nous diront certains mais on n'a pas
trouvé mieux et les autres méthodes d'identification comme la
reconnaissance faciale ou encore la biométrie ont leurs propres
problèmes qui sont dans certains cas pires que les mots de passe traditionnels.
On constate cependant que l'usage de malwares conçus pour voler les
mots de passe a connu une augmentation significative en 2019. Selon
les données de Kaspersky, le nombre d'utilisateurs ciblés par ces
programmes malveillants a connu un bond entre les 1ers semestres 2018
et 2019, passant de 600 000 à 940 000.
La société allemande de sécurité informatique Avira a publié un
communiqué de presse sur les mots de passe les moins sécurisés. Selon
elle, les problèmes de sécurité des mots de passe sont principalement
liés aux fabricants des appareils et non aux utilisateurs qui
habituellement ne pensent pas à la menace d'attaques de pirates informatiques.
Selon les experts d'Avira, les problèmes de mots de passe non
sécurisés sont principalement liés aux fabricants des appareils et
non aux utilisateurs trop paresseux pour modifier les combinaisons
standards. Ainsi, les gens ordinaires ne pensent habituellement pas à
la menace d'attaques de pirates informatiques.
Les banques et les entreprises ont pris conscience cependant de la
fébrilité des systèmes actuels de traitement des mots de passe car
les modes opératoires pour hacker les mots de passe ne manquent pas
aujourd'hui !
Ainsi, pas plus tard qu'en janvier 2019, le gestionnaire du site Have
I Been Pwned
<https://cyberguerre.numerama.com/700-collection-1-le-dossier-qui-contient-700-millions-dadresses-mail-est-loin-detre-une-exception.html>découvrait
l'existence de Collection #1, un fichier agglomérant pas moins de 700
millions d'adresses email compromises dans des fuites précédentes.
Comment des mots de passe se retrouvent-ils ainsi dans la nature ?
L' hameçonnage (ou phishing) reste encore le moyen le plus utilisé
pour obtenir les mots de passe des utilisateurs. Il consiste à créer
un faux site Internet prenant l'apparence d'un service légitime, et à
inciter l'utilisateur à s'y connecter. Son mot de passe en clair peut
alors être volé en toute tranquillité.
D'autres procédés touchant à l'ingénierie sociale permettent, dans le
cas de services peu regardants sur leur sécurité, de parvenir au mot
de passe de manière encore plus simple. Certaines plateformes posent
des questions de sécurité à l'utilisateur comme « Quel était le nom
de votre premier animal de compagnie ? » ou « Dans quelle ville
avez-vous décroché votre premier emploi ? » lors de la procédure de
recouvrement de compte (account recovery). Les réponses à ces
questions peuvent souvent être dénichées sur les comptes Facebook ou
Twitter, et les utilisateurs y ayant répondu sincèrement peuvent se
trouver exposés.
L'attaque par force brute ou bruteforce consiste pour un hackeur à
demander à un ordinateur de prendre un compte et potentiellement
tester des milliers de mots de passe par seconde. Les mots de passe
courts et dépourvus de caractères spéciaux sont ainsi
particulièrement vulnérables.
La technique de la force brute inversée consiste aussi à prendre un
mot de passe répandu et à l'essayer au hasard jusqu'à ce que cela marche.
L'attaque par « l'homme du milieu » est une famille d'attaques très
utilisée pour espionner les communications d'un utilisateur à son
insu. Le hackeur peut par exemple compromettre un point Wifi public
(qui n'est pas protégé par un mot de passe ou qui ne chiffre pas ses
communications) de façon à observer tout le trafic Internet qui passe
par celui-ci, y compris les mots de passe saisis sur des sites Web.
Des logiciels de frappologie qui enregistrent tout ce que vous
frappez sur le clavier ou encore appelés keyloggers constituent aussi
de véritables chevaux de Troie pour s'emparer de vos mots de passe !
<https://hashcat.net/hashcat/>Le logiciel libre Hashcat dédié au
cassage de mots de passe est un véritable « serrurier numérique », en
quelque sorte. Les procédés employés par le logiciel incluent des
variantes plus sophistiquées de la méthode de force brute expliquée
plus haut. Vaincre un hachage moderne nécessite cependant d'immenses
capacités de calcul et des ordinateurs conçus spécifiquement à cette fin.
30 000 MOTS DE PASSE CRACKÉS EN 5 MINUTES !
La variante de l'attaque par dictionnaire, l'ordinateur essaye en
premier une série de mots courants, par exemple des mots du
dictionnaire, ainsi que certains des mots de passe les plus
fréquemment usités. D'autres procédés, comme la
<https://fr.wikipedia.org/wiki/Rainbow_table>table arc-en-ciel,
reposent sur des raisonnements mathématiques plus complexes.
Rappelons-nous aussi en août
2013
<https://www.numerama.com/tech/294856-piratage-de-yahoo-les-3-milliards-de-comptes-ont-tous-ete-touches.html>les
3 milliards de comptes touchés sur Yahoo !
C'est pourquoi l'on s'oriente, pour les banques et les entreprises
vers des systèmes où, sur les smartphones Android, vous pourrez vous
connecter à certains sites de Google, sans saisir de mots de passe,
grâce à vos empreintes digitales. Pour rappel, Android supporte déjà
les capteurs biométriques depuis des années et il est possible de se
connecter aux applications de Google en utilisant ces capteurs.
Firefox 70 vous avertit aussi désormais quand vos identifiants et
mots de passe enregistrés sont compromis. Mozilla intègre peu à peu
son service indépendant Firefox Monitor et le nouveau gestionnaire de
mots de passe Firefox Lockwise directement dans Firefox. La fondation
envisage également l'ajout de services premium basés sur ces
fonctionnalités dans le futur.
La directive Européenne PSD2, datant de 2018, a cherché à imposer des
nouveaux minima de sécurité aux entreprises proposant des services de
paiement. Elles doivent demander aux utilisateurs de ses services de
fournir au moins deux moyen d'identification de type différent. Cette
démarche de sécurisation entamée par l'UE est-elle suffisante?
Jean-Paul Pinte : L'authentification forte du payeur consiste selon
le<https://www.avocats-mathias.com/e-commerce/dsp2-authentification-forte>
Cabinet Mathias Avocats à instituer deux niveaux d'identification du
payeur lors d'une transaction en ligne. En effet, il convient de
s'assurer que la personne utilisant le moyen de paiement est son
titulaire effectif. L'authentification forte apporte un niveau de
garantie élevé quant à la personne du payeur. Il s'agit notamment de
réduire les risques d'usurpation d'identité ou de fraude.
Cette notion pose le principe selon lequel l'identité d'un internaute
effectuant une transaction est vérifiée par l'utilisation de deux
éléments ou plus appartenant aux catégories suivantes :
* La catégorie « connaissance » : il est fait recours à un
élément que seul l'utilisateur connaît, comme un mot de passe, un
code PIN ou la réponse à une question secrète ;
* La catégorie « possession » : il est fait recours à un élément
que seul l'utilisateur possède, comme un téléphone mobile, une carte
bleue ou un jeton d'authentification aussi appelé token ;
* La catégorie « inhérence » : il est fait recours à quelque
chose que l'utilisateur « est », comme une empreinte digitale ou
rétinienne ou tout autre élément biométrique.
En pratique, à titre d'exemple, un achat en ligne peut être réalisé
au moyen d'un numéro de carte bancaire et de sa confirmation par un
code reçu par sms via le dispositif 3D Secure. Ce système constitue
un moyen de sécurisation courant utilisé dans le e-commerce. Selon le
<https://www.banque-france.fr/sites/default/files/medias/documents/818207_osmp2017_web_vf_v5.pdf>rapport
annuel de l'Observatoire de la sécurité des moyens de paiement pour
l'année 2017, 73% des commerçants en avril 2018 en étaient équipés.
Par ailleurs,
<https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32018R0389>la
norme technique de réglementation relative à l'authentification forte
du client et à des normes ouvertes communes et sécurisées de
communication adoptée le 27 novembre 2017 précise que les
prestataires de services de paiement doivent s'assurer de
l'indépendance de ces éléments « afin que la compromission de l'un ne
remette pas en question la fiabilité des autres ». En effet, cette
disposition vise le cas où le payeur se servirait d'un même appareil
électronique pour effectuer la transaction et authentifier le
paiement, comme un téléphone mobile ou une tablette.
Les apports de la directive DSP2 sont également bien détaillés dans
ce site de <https://fr.wavestone.com/app/uploads/2019/06/DSP2.pdf>Wavestone.
<https://www.riskinsight-wavestone.com/2019/01/securite-des-operations-financieres-en-ligne-en-2020-quelles-limitations-a-lefficacite-de-la-dsp2-22/>Bertrand
Carlier dans cet article nous met cependant en avant les limitations
de la directive DSP2.
Dans les faits, les acteurs, et en particulier les agrégateurs,
réalisent aujourd'hui des opérations sur l'ensemble des comptes des
utilisateurs, notamment leurs comptes d'épargne. Un des enjeux de ces
agrégateurs étant de fournir des services à valeur ajoutée touchant à
l'ensemble de l'activité de l'utilisateur sur ses comptes : comptes
courants, comptes d'épargnes, chèque, cartes, crédits, plan en actions,
En réglementant uniquement sur l'accès aux comptes de paiement, nous
dit-il, la commission européenne et l'ABE mettent en lumière le
fonctionnement des agrégateurs (rejeu des secrets de connexion
utilisateurs) sans fournir une solution à l'ensemble des
problématiques des échanges entre ces acteurs non bancaires
(agrégateurs) et les banques.
Dans l'intérêt du développement des agrégateurs, des solutions
devront donc être actées pour élargir cette législation. Par
ailleurs, les travaux engagés par les banques dans le cadre de la
DSP2 les ayant amenées à construire l'architecture nécessaire à
l'exposition de services sur internet, une évolution de ces services
à plus des comptes et à plus de services utilisateurs est probablement à venir.
Contrairement à l'initiative OpenBanking UK, basé sur le standard
reconnu du groupe de travail Financial API, au sein de la fondation
OpenID, les nouveaux services offerts par les banques dans le cadre
de la DSP2 se fondent sur des exigences réglementaires plutôt que sur
des standards de sécurité établis. Il y a donc selon Bertrand Carlier
une incompatibilité avec les standards existants.
La DSP2 va enfin obliger les banques à partager ces informations via
des interfaces de programmation applicative (API) qui devront être
sécurisées, ce qui n'est pas toujours une évidence, permettant à ces
entreprises tierces d'accéder aux données bancaires, et ce de manière
sécurisée.
Dans un article des
<https://www.lesechos.fr/idees-debats/cercle/du-rgpd-a-la-dsp2-les-banques-nen-finissent-plus-de-relever-le-defi-de-la-confidentialite-134093>ECHOS
on nous rappelle également que, plus les API sont nombreuses, plus
les initiateurs et agrégateurs ont accès à des informations riches,
mieux ils seront à même de développer des services à forte valeur
ajoutée pour les utilisateurs. Cependant, les textes qui encadrent
les nouvelles obligations des établissements bancaires ne stipulent
pas toujours avec précision quels jeux de données doivent être
partagés, laissant place à une certaine marge d'interprétation.
Évidemment, les banques, qui développent également de nouveaux
services pour faire face à la concurrence, ne sont pas encore tout à
fait prêtes à ouvrir grand les portes de leurs immenses bases de données.
Alors que le tout-numérique tend à se généraliser, que faire pour se
protéger plus efficacement ?
Gilles Dounès : Les utilisateurs dits « sensibles », dans des
entreprises ou des administrations susceptibles de faire l'objet de
curiosité malsaine ont des procédures de sécurité qui leur sont
propres mais, pour l'ensemble de la population, il est très important
de ne pas faire confiance aveuglément aux acteurs du secteur, aussi
puissants soient-ils. Cela vaut particulièrement pour les réseaux
sociaux. Au niveau des mots de passe, en utilisant des mots de passe
« forts » suggérés par les navigateurs, et accessibles grâce à un
unique mot de places de « trousseau ». Encore faut-il que le système
d'exploitation soit lui-même suffisamment sécurisé, mais des
solutions de développeur tiers existent également comme Dashlane ou
Keepass pour Windows, mais les utilisateurs d'Apple ont tout avantage
à utiliser le gestionnaire iCloud sur l'ensemble de leurs appareils.
Mais c'est surtout au niveau de l'utilisation-même qui est faite des
réseaux sociaux que se situe le plus souvent la faille, dite «
d'ingénierie sociale » : le ou les petits malins collectent
patiemment les indices personnels semés sur la toile par sa « cible
», qu'il s'agisse d'une célébrité, d'un membre du personnel d'une
société dont on cherche à infiltrer le système ou d'une personne de
l'entourage. Le point névralgique est bien souvent la prise de
contrôle de l'adresse mail, grâce aux « questions personnelles » dont
les réponses ont été naïvement répandues ici et là par l'utilisateur lui-même.
Il faut donc non seulement éviter de se répandre sur les réseaux
sociaux, Facebook, Instagram, Twitter, etc. mais également clairement
différencier compte personnel et professionnel si l'on en a
absolument besoin, et même limiter au maximum leur utilisation. Ceci
est bien entendu également valable pour les plates-formes mobiles,
les applications gratuites notamment.
Autre précaution, la souplesse dans l'utilisation de ces fameuses «
questions de sécurité », en évitant d'utiliser toujours les mêmes et
leurs réponses trop évidentes, quitte à mentir un peu lorsqu'il
s'agit seulement de vérifier que l'on a atteint l'âge légal pour
consommer de l'alcool : quelle différence cela fait-il que l'on soit
né le 14 juillet 1968 ou le 8 mai 1971 pour s'offrir une caisse de
Jurançon AOC ? Au vu de tout ce qui précède, est-il nécessaire de
préciser qu'il ne faut jamais utiliser son mot de passe de messagerie
électronique pour un site Web ou une application ?
Les mots de passe sont-ils voués à disparaître ? Quelles techniques
de protection pourraient les remplacer ?
Gilles Dounès : L'initiative Alicem que préparerait le gouvernement
français pour l'authentification sur les sites officiels a porté tout
récemment l'attention sur l'utilisation de la biométrie, mais
celle-ci a fait son chemin plus ou moins discrètement depuis des
années puisque le fabricant français de disques durs LaCie a proposé
des disques sécurisés déverrouillés par empreintes digitales dès le
milieu des années 2000. Apple a proposé sa propre solution baptisée
Touch ID, d'abord sur l'iPhone 5S puis sur l'ensemble de sa gamme, à
partir de l'automne 2013, avant d'être suivi par l'ensemble de ses
concurrents avec il faut bien le dire des bonheurs divers et variés,
comme encore tout récemment.
À présent, on semble vouloir s'orienter vers la reconnaissance
faciale : Apple embarque depuis deux ans sur sa nouvelle génération
de smartphone (iPhone X et suivants) une solution de reconnaissance
faciale baptisée Face ID, développée « à la demande » pour la marque
par une start-up normande, il faut le souligner. La tendance semble
d'ailleurs vouloir aller encore plus loin avec une double
identification, à la fois biométrique (ce que vous êtes) empreintes
digitales, reconnaissance faciale, demain lecture de l'iris, et
cryptogrammique (ce que vous savez ou que vous avez en votre
possession) mot de passe, cryptogramme éventuellement aléatoire sur
une carte bancaire, suite de chiffres éphémères envoyés par SMS,
etc., un peu à la manière du dédoublement de l'identification en
ligne réclamée à présent par la plupart des grands acteurs du secteur.
Beaucoup d'organisations se tournent désormais vers les données
biométriques comme nouvelles clés numériques d'identification. On
imagine souvent que la prise d'empreinte digitale, par exemple, est
un processus très sécurisé. Mais ces solutions sont-elles entièrement
efficaces pour parer à l'usurpation d'identité en ligne?
Jean-Paul Pinte : La biométrie simplifie toutes ces procédures en ne
réclamant qu'un seul identifiant : votre corps... aime à nous
rappeler le site Futura Sciences. Sa généralisation est lente mais
touche peu à peu tous les domaines de la société et concerne chaque
jour notre société de conso-divertissement à l'heure d'une hyper-connexion.
La biométrie est « l'analyse des caractéristiques physiques
strictement propres à une personne » . Ces caractéristiques sont les
données biométriques. Il peut s'agir par exemple des empreintes
digitales, de l'iris, du visage, de la voix
<https://www.lebigdata.fr/tests-adn-60-pourcent-americains>ou même de
l'ADN d'une personne.
La biométrie digitale a été la première à se développer et depuis
2009 nos passeports sont biométriques. Elle touche maintenant les
codes de la carte de crédit, les accès aux portes d'entrée
d'immeuble, les mots de passe de messagerie, l'identifiant d'un
réseau informatique, les mots de passe réclamés par certains sites Web,
Sa généralisation grâce à la recherche passent maintenant par l'iris,
la reconnaissance faciale, la reconnaissance vocale, les systèmes de
reconnaissance de veines,
La biométrie a pourtant de beaux jours devant elle dans le secteur
des paiements. Les solutions d'identification des consommateurs
basées sur leur empreinte digitale, leur voix, ou leur image, ont de
fortes chances de se
répandre
<https://www.lesechos.fr/2017/11/les-banques-face-au-defi-dune-authentification-renforcee-de-leurs-clients-186854>à
l'heure où l'Union européenne a décidé de renforcer ses exigences en
matière de sécurité des paiements en ligne.
Pourtant rien ne peut entièrement être sécurisé dans ce monde digital
et les modes opératoires ne manquent plus pour usurper l'identité
d'une personne. Selon une étude menée par Spiceworks, 48% des
entreprises considèrent que le vol ou la fuite de données
biométriques est le plus grand risque de sécurité lié à cette technologie.
On se rappelle la
<https://www.01net.com/actualites/le-touch-id-de-l-iphone-6-aussi-facile-a-pirater-que-celui-de-l-iphone-5s-627282.html>possibilité
de copier l'empreinte de quelqu'un pour usurper l'accès à un Iphone
par un simple moule d'empreintes qu'il suffira d'apposer sur la
partie dédiée au positionnement du doigt. Il en ira de même pour la
reconnaissance faciale qui ne manquera pas d'être usurpée sur ces
mêmes matériels.
Un autre problème des données biométriques est justement que
certaines d'entre elles peuvent être facilement dupliquées.
De plus, une fuite de données biométriques est bien plus
compromettante qu'une fuite de données » classiques « . En effet,
s'il est possible de changer un mot de passe après s'être fait
pirater, il est impossible de modifier ses empreintes digitales ou
son iris. Une fois ces données dérobées, votre sécurité est mise en
péril pour toujours comme l'indique le site Lebigdata.fr.
Ce que les chercheurs en disent :
"L'utilisation de sécurité biométrique comme les empreintes digitales
est récente. Ainsi, la véritable portée du risque de vol d'empreintes
digitales est encore inconnue.
Toutefois, il est important de se rappeler qu'une fois volées, vos
empreintes digitales ne peuvent pas être changées, contrairement aux
mots de passe.
Cela rend le vol des données d'empreintes digitales encore plus
préoccupant. Elles ont remplacé les mots de passe alphanumériques
dans de nombreux objets de consommation, tels que les téléphones. La
plupart de leurs lecteurs d'empreintes digitales ne sont pas
chiffrés, ainsi lorsqu'un hacker développera une technologie pour
reproduire vos empreintes, il obtiendra l'accès à toutes vos
informations personnelles telles que les messages, photos et moyens
de paiement stockés sur votre appareil".
On peut enfin citer ici quelques exemples parmi tant d'autres :
<https://iphoneaddict.fr/post/news-270242-iphone-pu-hackes-pendant-annees-laide-sites-malveillants>les
iPhones,
<https://www.usine-digitale.fr/article/plus-de-400-millions-de-numeros-de-telephone-d-utilisateurs-facebook-en-libre-acces-sur-internet.N880980>Facebook,
<https://www.20minutes.fr/high-tech/2594891-20190902-yves-rocher-donnees-25-millions-clients-exposes-pendant-heures-cause-faille-informatique>Yves
Rocher,
<https://slice42.com/breves/2019/09/selon-option-way-la-faille-na-pas-debouche-sur-une-fuite-de-donnees-82374/>Option
Way,
<http://www.opex360.com/2019/09/04/une-faille-de-securite-informatique-a-laisse-un-acces-aux-donnees-personnelles-de-130-000-gendarmes/>la
Gendarmerie
Quelles sont les questions pertinentes que devraient se poser les
utilisateurs dont les données biométriques sont utilisées pour les
identifier en terme de droit à la vie privée, en ce qui concerne les
acteurs qui ont accès à ces données, et en terme de sécurité de ces
données collectées ?
Jean-Paul Pinte : La biométrie est un sujet "sensible" et encore peu
débattu que nous devons pourtant regarder en face. Il concerne la
nature sensible des données et plus particulièrement de nos données
biométriques.
Entré en vigueur le 25 mai 2018 dans toute l'Union européenne, le
Règlement général sur la protection des données (RGPD) a instauré un
nouveau cadre juridique pour la protection des données personnelles.
Dans ce cadre les acteurs de l'économie se doivent de se préoccuper
des questions suivantes afin d'être en phase avec leur mise en place
de collecte et de traitement de données personnelles.
Quels sont vos droits sur vos données personnelles ?
Vous avez le droit :
* de demander des informations sur le traitement de vos données à
caractère personnel ;
* d'obtenir l'accès aux données à caractère personnel détenues à
votre sujet ;
* de demander que les données à caractère personnel incorrectes,
inexactes ou incomplètes soient corrigées ;
* de demander que les données à caractère personnel soient
effacées lorsqu'elles ne sont plus nécessaires ou si leur traitement
est illicite ;
* de vous opposer au traitement de vos données à caractère
personnel à des fins de prospection ou pour des raisons liées à votre
situation particulière ;
* de demander la limitation du traitement de vos données à
caractère personnel dans des cas précis ;
* de récupérer vos données personnelles, dans un format utilisé
et lisible par machine, pour un usage personnel ou pour les
transférer à un autre organisme ;
* de demander que les décisions fondées sur un traitement
automatisé qui vous concernent ou vous affectent de manière
significative et fondées sur vos données à caractère personnel soient
prises par des personnes physiques et non uniquement par des
ordinateurs. Dans ce cas, vous avez également le droit d'exprimer
votre avis et de contester lesdites décisions ;
* en cas de dommage matériel ou moral lié à la violation du RGPD,
vous disposez d'un droit de recours. Vous pouvez déposer une
réclamation auprès de <https://www.cnil.fr/>la Commission nationale
Informatique et libertés (CNIL) ou introduire une action collective
en faisant notamment appel aux
<https://www.economie.gouv.fr/dgccrf/Les-associations-de-consommateurs>associations
nationales agréées de défense des consommateurs.
Quelles sont les obligations des entreprises ?
Les entreprises ont l'obligation :
* de respecter le principe de protection des données personnelles
et de la vie privée imposées par le règlement, dès la conception de
tout projet ;
* de recenser les traitements qu'elles mettent en uvre dans un
registre des traitements ;
* d'être en capacité de prouver que les traitements de données à
caractère personnel mis en uvre respectent les règles applicables,
notamment via l'adhésion à des codes de conduite et l'obtention d'une
certification ;
* de notifier toute violation de données à caractère personnel
par le responsable de traitement et le sous-traitant aux autorités et
aux personnes concernées ;
* de réaliser une étude d'impact sur la vie privée pour les
traitements à risque ;
* de désigner un délégué à la protection des données pour les
organismes publics et les entreprises dont l'activité principale les
amène à réaliser un suivi régulier et systématique des personnes à
grande échelle ou encore des organismes qui traitent des données
dites « sensibles » ou relatives à des condamnations pénales et infractions ;
* de s'assurer que les personnes sont informées, de manière
claire et concise, de la durée de conservation des données, de
l'existence de profilage, de leurs droits et des voies de recours
disponibles ;
* de permettre aux personnes dont les données sont traitées
d'exercer leurs droits (à l'oubli, à la portabilité des données, de
limitation
etc.).
En ce qui touche au monde de la biométrie,
<http://www.assemblee-nationale.fr/12/pdf/rap-oecst/i0938-2.pdf>le
rapport de l'Assemblée Nationale d'avril 2019 « Sortir des
atermoiements actuels : la nécessité de définir rapidement un cadre
juridique adapté » est utile et nous invite à comprendre que si
actuellement les règles juridiques qui encadrent l'utilisation des
techniques biométriques apportent de nombreuses garanties, de
multiples incertitudes, plus d'ailleurs que les garanties offertes
par le cadre juridique en vigueur, constituent un obstacle à leur déploiement.
Ainsi, pour aborder correctement la question des conditions
juridiques d'une utilisation des systèmes biométriques : protection
des données personnelles et de la vie privée, il convient de
distinguer trois domaines, même s'ils entretiennent entre eux, sur le
plan juridique mais aussi pratique, des rapports plus ou moins
étroits. Le premier recoupe peu ou prou celui de l'identification
judiciaire : il s'agit du domaine touchant à la sécurité publique, la
défense et la sûreté de l'Etat, selon les termes habituellement
employés par les lois régissant la protection des données
personnelles qui comportent des dispositions spécifiques applicables
à ce domaine particulier. Le second se définit naturellement par
rapport au premier et porte sur les traitements qui ne sont pas mis
en uvre à des fins de sécurité publique, de défense ou de sûreté de
l'Etat et le troisième se rapporte aux échanges transfrontières de données.
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
