L’Indonésie adopte son RGPD

Le texte était à l’étude depuis 2016(soupçon de hacking).

Par Benjamin Terrasson - @BenTerrasson
Publié le 26 septembre 2022 à 11h36 

Le quatrième pays le plus peuplé du monde a décidé de protéger les données personnelles de ses citoyens. Le 20 septembre l’Indonésie a adopté sa propre version du règlement général sur la protection des données (RGPD), après plusieurs fuites importantes dans le pays.

Le parcours législatif du combattant

Le texte avait été soumis au Parlement indonésien en 2020, les travaux sur le sujet ont débuté en 2016, mais il a fallu attendre cette année pour le voir adopté. Entre-temps plusieurs grandes fuites de données ont émaillé l’actualité du pays et le dossier de vaccination du président du pays, Joko Widodo, s’est retrouvé en accès libre sur Internet.

Finalement voté à une écrasante majorité, le texte a été ralenti par de nombreux débats autour de la sévérité des sanctions et le contrôle de l’organe chargé de les infliger. La présidence doit créer cette agence dans les deux ans.

Les amendes prévues peuvent grimper jusqu’à 2 % du chiffre d’affaires annuel d’une entreprise convaincue d’avoir mal géré les données dont elle dispose. Ses actifs pourront être saisis et vendus. Les personnes reconnues coupables d’avoir falsifié des informations pour s’enrichir risquent 6 ans de prison, c’est 5 ans pour collecte illégale.

Les données des Indonésiens sont désormais protégées

Les utilisateurs pourront réclamer une indemnisation si leurs données se retrouvent dans la nature et auront la possibilité de retirer leur consentement à leur exploitation. Le projet de loi prévoit de faciliter les échanges de données indonésiennes avec les pays disposant de mesure de protection similaire, à commencer par l’Union européenne, qui a directement inspiré les législateurs.

Reuters rapporte que le ministre des communications indonésien, Johnny Plate, a salué une loi qui « marque une nouvelle ère dans la gestion des données personnelles en Indonésie ». Il a assuré que « L'une des obligations des détenteurs de données électroniques, qu'ils soient publics ou privés, est d'assurer la protection des données personnelles dans leur système ».

 

REF.:   https://siecledigital.fr/2022/09/26/lindonesie-adopte-son-rgpd/

 

 

La Chine adopte la loi PIPL, l’équivalent du RGPD pour protéger les données personnelles

Thomas Coëffé / Publié le 20 août 2021 à 10h39

L’équivalent chinois du RGPD entre en vigueur le 1er novembre 2021.

Les données des internautes sont bien gardées.

PIPL, l’équivalent du RGPD en Chine, dès le 1er novembre 2021

L’agence d’État Xinhua annonce l’adoption d’une nouvelle loi, par l’Assemblée nationale populaire de Chine, pour protéger la confidentialité des données des internautes. Cette loi s’appelle Personal Information Protection Law (PIPL). Il s’agit de la première série de mesures visant à réguler la collecte, le traitement et la protection des données, au sein d’une seule et même loi.

Dans l’Union européenne, le Règlement général sur la protection des données avait été voté en avril 2016. Deux ans plus tard, le RGPD entrait en vigueur – et les sanctions n’ont pas été immédiates. La Chine adopte un calendrier bien plus serré : le vote a eu lieu aujourd’hui, la loi PIPL entrera en vigueur le 1er novembre 2021. Les sociétés ont donc environ deux mois pour se mettre en conformité.

Sécurité et minimisation des données, consentement licite, DPO…

L’un des objectifs de la loi PIPL est d’obliger les entreprises à mieux sécuriser le stockage des données personnelles. Elle consacre également le principe de minimisation des données, déjà au cœur du RGPD : « le traitement des informations personnelles doit avoir un objectif clair et raisonnable et doit être limité à la portée minimale permettant d’atteindre les objectifs du traitement des données », indique l’agence Reuters.

Les règles à respecter pour obtenir licitement le consentement des internautes pour le traitement de leurs données sont précisées. La loi PIPL évoque également le transfert de données vers des pays tiers. Les entreprises doivent désigner une personne responsable du traitement des données, comme le DPO en Europe, et réaliser des audits réguliers pour vérifier la solidité des systèmes conçus pour assurer la confidentialité.

La Chine resserre l’étau autour des sociétés technologiques

Le vote et la promulgation de cette loi intervient dans un contexte de régulation des sociétés technologiques chinoises. Contrairement au RGPD, qui s’applique à toute entreprise traitant des données de citoyens européens, le PIPL semble concerner en premier lieu les sociétés domiciliées en Chine. Le pouvoir a adopté d’autres textes récemment, dont une loi sur la sécurité des données qui entrera en vigueur dès le 1er septembre. Elle impose aux entreprises un cadre bien défini pour gérer les données en fonction de leur valeur économique et « leur pertinence pour la sécurité nationale ».

Pékin n’a pas hésité à s’attaquer à ses géants depuis le début de l’année. Alibaba, symbole de la tech chinoise, s’est vu infliger une amende importante – 2,3 milliards d’euros – pour abus de position dominante. L’agence gouvernementale CAC (Cyberspace Administration of China) a annoncé le mois dernier qu’une enquête était lancée contre Didi Global Inc. Le géant du transport routier est soupçonné de violation de la vie privée d’utilisateurs. Mardi, un autre organisme officiel, le SAMR, a introduit de nouvelles règles pour renforcer la loyauté de la concurrence et interdit les faux avis en ligne. Mercredi, un ministère a accusé 43 applications de transfert illégal de données d’utilisateurs vers l’étranger ; ces entreprises ont jusqu’à mardi prochain pour se mettre en conformité.

 

REF.:

Les outils des géants du cloud pour se conformer au RGPD

Amazon Web Services, IBM, Microsoft, Orange... Le point sur les applications proposées par les principaux fournisseurs de cloud dans la gouvernance des données personnelles.
L'entrée en vigueur du Règlement général européen sur la protection des données (RGPD) le 25 mai 2018 remet sur le devant de la scène l'enjeu de la data gouvernance. Gérer le consentement des clients quant à l'usage de leurs informations personnelles, sécuriser et tracer ces dernières, respecter le droit à l'oubli... L'ensemble des obligations qu'il introduit impliquent la mise en place de nouveaux process de pilotage des contenus au sein des systèmes informatiques. Et les applications mises en œuvre sur des cloud publics n'y échappent pas. Au-delà de la conformité des fournisseurs de cloud au RGPD (ces derniers devant notamment être capables d'indiquer aux entreprises où se trouvent précisément les données qu'ils hébergent), se pose également la délicate question de l'outillage qu'ils proposent sur le front du data management.

Les services de data management proposés par les principaux providers de cloud

	Amazon Web Services	Orange Flexible Engine	Google Cloud Platform	IBM Cloud	Microsoft Azure
Catalogue de données	AWS Glue Data Catalog	Non (mais déploiement de Data Insight de Veritas à la demande)	Non	IBM Watson Catalog	Azure Data Catalog
Identification des données personnelles via l'IA	Amazon Macie	Non (mais déploiement de Data Insight de Veritas à la demande)	Non (pas de service SaaS, mais une API disponible)	IBM Watson Knowledge Catalog	Non
Services cloud ad hoc de management de la conformité RGPD	Non	Non	Non	Non	Oui

Note : A notre connaissance, OVH et Scaleway (groupe Iliad) ne proposent pas, pour l'heure, de services cloud managés dans la data gouvernance. Sollicités, ils n'ont pas répondu à nos questions.
Sur le front des applications cloud de data management, Amazon Web Services (AWS) et IBM affichent pour l'heure une longueur d'avance. Le premier commercialise un service cloud baptisé Macie taillé pour adresser la problématique. Il fait appel au machine learning pour classer automatiquement les contenus stockés sur AWS et identifier ceux qui contiennent des données de propriété intellectuelle ou à caractère personnel (état civil, adresses, coordonnées bancaires…). Cette brique serait même capable de surveiller en temps réel l'activité liée aux data, détecter les anomalies, connexions non-autorisées et fuites d'informations. En aval, un autre outil (AWS Glue Data Catalog) pourra, lui, cataloguer les données privées en fonction de leur niveau de criticité.
De son côté, IBM met en avant Watson Knowledge Catalog. Reposant sur la plateforme cloud d'IA du même nom, ce composant fait lui-aussi appel à l'apprentissage machine pour détecter les données critiques, qu'elles soient hébergées sur le cloud de Big Blue ou sur un système informatique interne. Grâce à la couche de NLU (pour Natural Language Understanding) de Watson, "il est capable de détecter à l'intérieur des documents et espaces de stockage les informations personnelles identifiables ou sensibles, ou encore les données confidentielles", précise-t-on chez IBM. A la manière de Glue Data Catalog, Watson Knowledge Catalog gère également le catalogage des data et l'application à ces dernières, de manière manuelle ou automatique, des politiques de restriction adaptées.
"Aujourd'hui, les clouds de Google et de Microsoft n'ont pas de dispositifs aussi poussés", pointe Bachar Wehbi, computer science manager au sein de l'équipe solution et innovation du cabinet français Keyrus. S'il n'offre pas de service dans la data discovery, le premier a néanmoins bâti une API pour détecter et classer les données personnelles. En parallèle d'un guide d'accompagnement, Google renvoie en outre à un ensemble de briques cloud de sa plateforme "pouvant aider à établir un plan de conformité RGPD". Quant à Microsoft, il dispose comme Amazon d'une application cloud de data catalog, mais sans mécanisme d'IA. Un service auquel il a adjoint récemment un portail spécial RGPD, baptisé Azure Data Subject Request, permettant à ses clients de gérer les demandes qui leur sont faites en matière de données personnelles hébergées chez lui : demandes d'accès, de rectification, de suppression…. En parallèle, l'éditeur américain a doté son outil SaaS de gestion des projets de mise en conformité (Azure Compliance Manager) d'un tableau de bord spécifique pour piloter les chantiers liés au RGPD.

Orange : entre outillage et accompagnement

"Il faut avant tout considérer les services cloud de data management comme une aide en vue de s'aligner sur le RGPD et pas des services out of the box", prévient Bachar Wehbi. Une vision à laquelle Orange Business Services adhère pleinement. Certes, l'ESN française filiale d'Orange ne propose pas, du moins pour l'heure, d'applications de data management packagées sur son cloud phare Flexible Engine. "Mais nous avons monté une offre d'accompagnement dans l'optique de l'entrée en vigueur du RGPD. Et dans le cadre de cette prestation, nous déployons à la demande des solutions de data gouvernance sur Flexible Engine", précise Cédric Prévost. Le directeur de la sécurité d'Orange Cloud for Business (l'entité cloud de l'ESN) évoque notamment le logiciel Data Insight de Veritas. Faisant là encore appel au machine learning, il est taillé pour cartographier les contenus stockés, notamment les données à caractère personnel, et analyser les fréquences et éventuelles anomalies d'accès.
"Nos équipes interviennent notamment pour décrypter ces rapports, et dans la définition ensuite des plans d'actions à mettre en place pour aboutir à la compliance", ajoute Cédric Prévost. En aval, dans l'optique de superviser en temps réel la conformité des accès aux règles de sécurité établies, c'est la technologie Varonis qui est déployée par l'ESN sur Flexible Engine.

A lire aussi

Le RGPD est là, mais êtes-vous (vraiment) au point ?

Le règlement européen sur la protection des données personnelles est entré en vigueur ce 25 mai 2018. Voici tout ce que vous devez savoir.

REF.:

Le RGPD est une porte ouverte aux Hackers Français ;-)

Si l'utilisateur veut avoir ses donnés,vous devez envoyer une requête a vos fournisseurs des logiciels utilisés et vous avez la responsabilité d'identifier votre demandeur et de lui envoyer,........la est le mal plusieurs hackers se feront passer pour d'autres et les vols de donnés confidentiel commenceront !

Voici un exemple des recommandations de logiciel WIX :

 Vous recevrez un fichier comprenant les données de votre client sous 48 heures après avoir soumis cette requête.

Après avoir reçu le fichier de données de votre client, assurez-vous de faire ce qui suit :

• Confirmez l'identité du client et les détails du contact.(leure d'identité)
• Téléchargez le fichier de données de votre client en utilisant le lien dans l'e-mail.(attaque man in the middle)
• Envoyez le fichier à votre client par e-mail.(le mal est fait,surtout si toute les failles logiciels ne sont pas mise a jour)

Remarque :

• Pour les fichiers plus volumineux, vous pouvez utiliser un service de partage de fichiers convenu avec le client.(souvant les fichiers ne sont pas cryptés)
• Aucun e-mail n'est envoyé à votre client. En tant que propriétaire du site, il est de votre responsabilité d'envoyer le fichier de données.(Les Hackers Français en sont ravis ,vive l'Europe et le vol de donné)
• A suivre !;-)

Nota: Ça fait longtemps que Google/Alphabet ,conforme ses Blogues en appliquant l'avertissement 18 ans et plus !!!



REF.:

La RGPD signe-t-elle la fin de la base de données Whois ?

REF.: Alistair Servet,

le vendredi 01 juin 2018

Selon deux avocats spécialisés dans la cybersécurité, la mise en place de la RGPD rendrait l'accès à la base de données Whois beaucoup plus compliqué, et entraverait sérieusement les possibilités offertes aux forces de l'ordre pour avoir accès à ces informations et traquer les cybercriminels.

Jusqu'à présent, lorsqu'un internaute souhaitait enregistrer un nom de domaine, il se devait de communiquer certaines informations personnelles concernant sa personne, informations qui étaient alors stockées au sein d'une base de données appelée Whois. Cette base de données était notamment exploitée par l'ICAAN (Internet Corporation for Assigned Names and Numbers) qui pouvait alors, en cas de besoin, y accéder.

Mais dans certains pays, les propriétaires de domaine ont également la possibilité de payer pour des services privés d'enregistrement de domaine. Ne restait alors sur la base Whois que des informations basiques telles que le nom du bureau d'enregistrement.

Un accès aux données désormais compliqué

Le nouveau règlement européen interdit désormais les bureaux d'enregistrement de fournir les données personnelles des propriétaires de nom de domaine sans leur consentement explicite, ce qui rend la base de données Whois tout simplement inutile.

Malgré le fait que l'ICAAN était au courant depuis des années de la future mise en place de la RGPD et des effets qu'elle aurait sur son accès à sa base de données, l'organisme n'a semble-t-il pas souhaité s'intéresser au problème jusqu'à maintenant, et semble ne se rendre compte qu'aujourd'hui des complications que la réglementation entraîne.

Malgré l'infraction à la réglementation que cela représente désormais, l'ICAAN a choisi de demander aux bureaux d'enregistrement de continuer la collecte des données personnelles des propriétaires de noms de domaines.

Lire aussi :
RGPD : 5 choses qui changent pour vous

Un service devenu trop complexe pour les forces de l'ordre

Depuis ce 25 mai, date d'application du RGPD, l'accès aux données est devenu plus compliqué. Les forces de l'ordre doivent désormais contacter le bureau d'enregistrement du nom de domaine et demander l'accès aux données Whois non publiques. Une tâche qui complique sérieusement le travail des enquêteurs.

Andy Kays, directeur technique de Redscan s'est exprimé sur le sujet auprès de Help Net Security : « Le retrait public des informations personnelles du Whois, le système utilisé pour stocker les données des utilisateurs enregistrant un domaine de sites Web, rend sans aucun doute la vie des agences de sécurité et d'application de la loi beaucoup plus difficile (...) Un système d'accréditation qui vérifierait l'accès aux données personnelles dans les dossiers Whois pour des groupes d'intérêts spéciaux tels que la police, les chercheurs en sécurité et les journalistes serait certainement le bienvenu et aiderait à répondre à ce problème. »

RGPD : appliquera, appliquera pas ?

La principale question à l'heure actuelle étant de savoir si les bureaux d'enregistrement de domaine tiendront compte des spécifications demandées par l'ICAAN, ou s'ils décideront de les ignorer. L'EPAG, par exemple, bureau d'enregistrement en Allemagne, a déjà fait savoir qu'il ne collecterait plus les données personnelles de ses utilisateurs puisque la nouvelle réglementation européenne l'interdit.

En réponse, l'ICAAN a déposé une procédure d'injonction contre le bureau d'enregistrement en question afin qu'un tribunal puisse statuer sur la manière d'appliquer la RGPD dans cette affaire.

RGPD : 5 choses qui vont changer pour vous

REF.: Par Matthieu Gagnot,

le jeudi 24 mai 2018

Si ces jours-ci, vous avez reçu des salves d'emails vous demandant d'accepter les nouvelles politiques de confidentialité de la part de sites en tous genres, c'est normal... C'est la première conséquence du RGPD, ou Règlement Général sur la Protection des Données. Cette nouvelle loi européenne, bien accueillie par les pourfendeurs de Big Brother, renforce les obligations des entreprises qui traitent vos données privées. On vous explique ce qui va changer du côté des utilisateurs.

Le RGPD entre en vigueur le 25 mai 2018. Cette loi européenne renforce le droit des internautes à la protection de leurs données privées. Les entreprises qui collectent vos informations personnelles devront désormais être totalement transparentes sur les traitements et leurs objectifs.

Un barème de sanctions revu à la hausse

Le RGPD ne suppose pas un bouleversement pour les internautes français, le droit hexagonal étant déjà relativement poussé sur le sujet. Cependant, il entraîne un certain nombre de changements que vous avez peut-être déjà remarqués, quelle que soit la taille de l'entreprise : des PME aux GAFAM, tous les acteurs du web sont concernés par le RGPD.

Alors que la CNIL était parfois démunie face aux poids lourds du web, le RGPD va la doter d'un arsenal de sanctions bien plus dissuasif. Les amendes restent au coeur du système, mais elles passent de 300 000 € (le maximum auparavant) à 20 millions d'euros, ou 4% du chiffre d'affaire mondial de l'entreprise fautive - c'est le montant le plus élevé qui sera choisi entre ces deux options.

De quoi faire remonter la problématique des données privées très haut dans les priorités des entreprises !

Ce que le RGPD va changer pour vous

1. Votre consentement prend du galon

Globalement, le RGPD accentue la responsabilité des entreprises. Selon l'article 5, « les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». C'est au responsable du traitement de prouver qu'il dispose de procédures adéquates et d'un registre des traitements en interne, sous peine de s'exposer à des sanctions.

Le traitement doit aussi être réalisé après réception du consentement. Conséquence directe pour les internautes : ils vont être sollicités par e-mail et sur les sites pour réaffirmer ce consentement, dès la mise en oeuvre du RGPD et au-delà.

2. Vous aurez le droit de disposer de vos données

Avec le RGPD, les internautes sont plus que jamais maîtres de leurs données, du moins dans les textes. Le droit de restitution confirme la possibilité de recevoir l'intégralité de ses données personnelles pour les consulter et les utiliser comme bon nous semble.

Il est assorti d'un droit à la portabilité, favorisant l'ouverture à la concurrence : il implique que l'internaute peut faire passer toutes ses données vers un site concurrent. A priori, il sera donc possible de transférer tous ses emails ou ses données Facebook vers un opérateur rival, directement de site à site.

Enfin, le RGPD détermine un statut spécial pour certaines données sensibles, comme la religion ou l'orientation sexuelle : elle ne pourront plus être traitées sans un consentement spécifique de l'internaute.

3. La majorité numérique est fixée à 16 ans maximum en Europe

Le règlement européen fixe un âge limite, en dessous duquel un internaute ne peut consentir au traitement de ses données sans la présence de ses parents. Cette majorité numérique ne peut pas dépasser 16 ans.

Cela dit, chaque pays reste libre de l'ajuster jusqu'à un minimum de 13 ans. En France, où elle est fixée à 15 ans, et ne devrait donc pas bouger.

4. Vous serez informé en cas de faille de sécurité ou de piratage

En cas de piratage des données privées, les entreprises devront en aviser les internautes à travers l'autorité compétente (en France, la CNIL). Ce garde-fou ne s'applique que si le piratage entraîne un risque élevé pour les droits et les libertés, une notion volontairement floue qui pourrait bien nécessiter un arbitrage devant les tribunaux.

5. Vous pourrez faire un recours en justice par actions collectives

Justement, le RGPD ouvre la porte aux actions collectives : les associations de défense des libertés pourront recevoir mandat des internautes pour attaquer en justice les entreprises ne respectant pas les nouvelles dispositions. Cette voie légale vient pallier les capacités limitées de la CNIL qui peine à faire appliquer les règlements à grande échelle.

Cette mesure est un formidable levier d'action pour les associations, qui ne se sont pas fait attendre : la Quadrature du Net a déjà prévu une procédure collective contre les GAFAM, lancée dès l'entrée en vigueur du RGPD.

Une mise en oeuvre attendue au tournant

Pour le reste, le RGPD ne fait que confirmer des mesures déjà présentes en droit français, comme l'obligation du consentement pour les cookies et les traceurs ou le droit à l'effacement (qui entérine le droit à l'oubli, en vigueur depuis 2014).

Si elle ne suppose pas de bouleversement pour les internautes, la nouvelle règlementation européenne est néanmoins crainte par les entreprises qui doivent désormais intégrer la protection des données à leurs problématiques. Cependant, la CNIL assure qu'il n'y a pas matière à s'affoler : entré en vigueur fin mai 2018, le RGPD est assorti d'une période de tolérance d'environ un an, pendant laquelle le dialogue sera préféré aux sanctions.

Une fois l'état de grâce passé, difficile d'imaginer à quoi ressemblera son application, les textes ressemblant plus à une liste de grands principes qu'à des directives claires et précises. La possibilité d'actions collectives (couplée au barème ambitieux des sanctions) devra attendre la jurisprudence pour revêtir un pouvoir dissuasif face aux poids lourds du web. Cette base légale est plus que jamais nécessaire pour lutter contre les abus qui se multiplient, dans le sillage du scandale Cambridge Analytica.

Quant à la CNIL, organe d'application du Règlement Général de Protection des Données pour la France, elle devra probablement (encore) changer d'envergure pour se montrer à la hauteur de ces nouveaux pouvoirs. Avec 200 agents (chiffres de 2017), ses capacités opérationnelles semblent trop limitées pour peser sur les débats et garantir un droit à la protection des données que réclament encore trop peu les citoyens.

Google, Facebook : que leur est-il rapproché ?

Quelques heures seulement après la mise en oeuvre du RGPD, l’activiste a déposé une plainte contre Google et Facebook (incluant Instagram et WhatsApp) devant la CNIL (Commission nationale de l’informatique et des libertés) en France mais aussi dans d’autres pays européens comme l’Allemagne, l’Autriche et la Belgique.
Dans un communiqué, Max Schrems explique que ces entités ne respectent pas  règles du RGPD quant au processus de collecte des données et le consentement de l'utilisateur. Au lieu de demander en amont et de façon claire l’autorisation de l’internaute, les groupes en question utilisent ce que Schrems appelle le consentement forcé. Sous la menace de ne plus donner accès au service, les utilisateurs doivent tout accepter. Le consentement obtenu n’en est pas véritablement un.

« Facebook a même bloqué les comptes des utilisateurs qui n'ont pas donné leur consentement. En fin de compte, ils ont seulement eu le choix de supprimer le compte ou d'appuyer sur le bouton «accepter» - ce n'est pas un choix libre, cela rappelle plutôt un processus électoral nord-coréen. »

Si jamais ils sont reconnus coupables, ces entreprises encourent une amende à hauteur de 4% de leur chiffre d’affaires. Facebook, Instagram et WhatsApp devraient ainsi verser 1,3 milliard d’euros chacun et Google 3,7 milliards d’euros. Une bien belle somme mais même si le dossier semble solide, la bataille sera longue. Facebook et Google ont déjà riposté et il y a fort à parier qu’il ne lâcheront pas si facilement.



Source : Help Net Security.