Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 331 à 340.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/05/2010 16:28:45)
L'Europe hausse le ton sur la rétention des données personnelles
Les trois sociétés auraient fait de la rétention d'informations issues des moteurs de recherche sur une durée trop longue et en ne garantissant pas suffisamment l'anonymat, en violation des règles communautaires, explique le groupe de travail Article 29 (organe regroupant les autorités nationales pour coordonner la protection des données privées en Europe).
Depuis 2008, ce groupe demande aux moteurs de recherche de ne pas conserver les informations plus de 6 mois. Les trois acteurs visés ont tous acceptés de modifier leur délai de stockage qui pouvait atteindre 18 mois. Les données collectées par les moteurs de recherche peuvent comprendre plusieurs détails, les termes recherchés, la date et l'heure de la recherche, l'adresse IP et le type de navigateur, le système d'exploitation et la langue utilisée. Le problème de l'organe communautaire est que la directive européenne sur la protection des données ne donne pas une durée précise sur la conservation des données. Par contre, les autorités étatiques peuvent fixer et contraindre les acteurs à respecter un certain délai de rétention.
Ainsi, Google conserve les données complètes pendant neuf mois en effaçant la dernière partie de l'adresse IP. Le groupe de travail a écrit à l'éditeur pour souligner que cette politique n'empêche pas l'identification des personnes concernées. Car Google conserve les cookies - fichiers de données utilisés pour suivre le comportement de l'Internaute sur un site web - pendant 18 mois, ce qui permettrait une identification par corrélation des requêtes de recherche.
[[page]]
Le groupe Article 29 rappelle également qu'avec 95% de part de marché dans certains pays, Google avait une influence significative dans la vie quotidienne des gens. La firme de Mountain View a répondu « nous développons nos politiques fondées sur la meilleure expérience pour les utilisateurs à la fois en termes de respect de leur vie privée, de qualité et de sécurité de nos services ».
Des efforts à poursuivre
Prochainement, Yahoo prévoit un programme de « désidentification » des fichiers log des utilisateurs au bout de 3 mois. Certaines données « identifiables » étaient néanmoins conservées pendant 6 mois pour des raisons de détection de fraudes ou d'obligations légales. Cependant, Yahoo n'a pas fourni d'informations suffisamment claires sur l'identification des utilisateurs et sur les cookies, souligne le groupe de travail.
Fin 2008, Microsoft militait auprès de ses concurrents pour le délai de 6 mois. Aujourd'hui, il propose la suppression de l'adresse IP de l'ensemble des requêtes de recherche datant de 6 mois. Mais le groupe de travail a mis en faute la façon dont Microsoft gère les cookies pour les utilisateurs enregistrés et non enregistrés de son moteur de recherche.
Pour être complet, les trois sociétés ont été appelées à contrôler leurs actions sur la protection des données personnelles par des auditeurs externes. Enfin, le groupe issu de l'article 29, a envoyé un courrier à la Federal Trade Commission pour savoir si les pratiques des entreprises concernées n'étaient pas contraires au Federal Trade Commission Act.
Facebook simplifie ses paramètres de confidentialité
Sans s'étendre sur les détails, Andrew Noyes, le porte-parole de Facebook, a déclaré que les nouveaux outils de contrôle de la vie privée ont été conçus pour permettre aux utilisateurs de déterminer plus facilement qui peut voir leurs informations, et pour vérifier si ils autorisent ou non la société à partager ces éléments avec d'autres sites Internet. Dans un article publié lundi dans le Washington Post, Mark Zuckerberg a déclaré que l'entreprise avait commis des erreurs dans sa propension à étendre toujours plus les liens sociaux entre les utilisateurs, et que Facebook espérait introduire bientôt de nouveaux paramètres de confidentialité plus facile à configurer, assurant aux utilisateurs de ne pas voir leurs données personnelles partagées avec d'autres sites Web. «Notre intention était d'offrir de nombreuses options de contrôle, mais ce n'est peut-être pas ce que la plupart des utilisateurs attendaient, » a écrit le dirigeant. «Nous avons simplement raté le coche. Dans les prochaines semaines, nous allons ajouter des contrôles de confidentialité beaucoup plus simples à utiliser. Nous allons aussi donner un moyen facile de désactiver tous les services tiers. Nous travaillons d'arrache-pied pour faire en sorte que ces modifications soient opérationnelles aussi vite que possible. »
Le mois dernier, le nombre d'utilisateurs en colère se plaignant que Facebook veut aller trop vite et manque de rigueur en laissant échapper des informations privées, n'a cessé d'augmenté. Ils ont également fait part de leur mécontentement quant aux contrôles d'accès, qu'ils jugent compliqués et confus, et dont la maîtrise est nécessaire pour accéder aux paramètres activant la protection des données personnelles.
En avril, l'entreprise avait dévoilé une foule d'outils visant à étendre les partenariats externes, et permettant le partage d'informations avec d'autres sites Web. Ce changement avait provoqué une levée de boucliers chez les utilisateurs, incitant même le sénateur américain Charles Schumer (Démocrate-N.Y.) à écrire une lettre ouverte demandant à la US Federal Trade Commission de mettre en place des normes de confidentialité pour tous les sites de réseautage social, Facebook et ses rivaux Twitter et MySpace. Cette intervention avait conduit à une rencontre entre les dirigeants de la société et les collaborateurs de Charles Schumer.
(...)(19/05/2010 14:57:27)Google Street View sous surveillance européenne
La CNIL a annoncé qu'elle mettait en place un contrôle sur Google. Cette mesure fait suite à la déclaration de la firme de Mountain View, concernant les données récoltées depuis les voitures "Streetview", chargées de prendre des photos pour son service de cartographie. Hors, des données concernant les échanges entre ordinateurs et les points Wi-Fi ont été enregistrées « par erreur ». Suite à ce contrôle le régulateur se réserve le droit de donner des suites ou non à cette collecte de données « par erreur », qui « n'était pas mentionnée dans la déclaration de Google à la CNIL ».
Tâche d'huile dans d'autres Etats membres
L'origine de l'affaire est allemande. Google a en effet reconnu avoir collecté depuis 2006 près de 600 Go de données personnelles, lors de la récupération d'informations, via WiFi, pour son service Street View. L'éditeur a exprimé ses regrets, tout en assurant ne jamais avoir utilisé ces données et en souhaitant les détruire devant témoin pour démontrer sa bonne foi. La justice a été saisie et une enquête est en cours.
De son côté, la République Tchèque s'est aussi emparée de l'affaire, via son autorité en charge de la protection des données personnelles. Cette dernière va également contrôler Google sur cette pratique. Enfin, la Commission européenne s'intéresse à ce sujet. Viviane Redding, en charge des questions de justice, a estimé « il n'est pas acceptable qu'une compagnie qui opère dans l'Union européenne ne respecte pas les lois de cette dernière »
Du côté de Google, la société tente de temporiser « nous sommes en train de consulter les autorités de régulation de divers pays sur la manière rapide de nous débarrasser des données collectées » a précisé Alan Eustace, vice-président de Google auprès de l'AFP.
Les réseaux sociaux, source potentielle d'insécurité en entreprise
Selon une enquête menée par le fournisseur de solutions de sécurité, nCircle auprès de 257 professionnels de la sécurité, 59% d'entre eux souhaitent maintenir l'utilisation des réseaux sociaux (les plus populaires comme Facebook, Viadeo, etc.) dans l'entreprise. Toutefois, ils sont près de 40 % à en interdire l'usage, et 46% à ne pas savoir comment se comportent leurs employés face à ces solutions communautaires. « Cette attitude peut être assimilée à une réaction instinctive face à des risques graves pour la sécurité, liés aux réseaux sociaux et n'est pas nécessairement efficace », a déclaré Andrew Storms, responsable des opérations de sécurité chez nCircle.
Reste que le réel problème réside dans la divulgation, par les employés, d'informations via ce type d'outils et c'est en cela que cela peut affecter la sécurité de l'entreprise. Pour preuve, l'étude de Webroot, fournisseur de solutions de sécurité Internet, menée auprès de 1 000 utilisateurs de réseaux sociaux, est loin d'être réconfortante. Elle montre ainsi que 61% des sondés mentionnent leur date de naissance, 62%, leur ville natale, 17%, leur numéro de téléphone portable. L'enquête montre également que les trois quart des personnes interrogées ne restreignent pas l'accès à leurs albums photos, et que 81% n'ont placé aucune limitation sur la visualisation de leur activité récente.
Certes, ces informations ne peuvent conduire directement à des violations de données ou compromettre la sécurité, mais ajoutées, ensemble, elles peuvent contribuer aux prémices de l'élaboration d'une attaque. En effet, des données sensibles, telles que la date de naissance, la ville natale et le numéro de téléphone cellulaire, combinées avec le nom, peuvent permettre à un pirate de mettre un pied dans l'entreprise afin de recueillir d'autres éléments.
La Mairie de Chelles protège son SI des attaques mobiles
Chelles est la première ville du département de Seine-et-Marne avec une superficie de 15,9 km² et plus de 51 000 habitants. 960 postes de travail répartis entre les sites de la Mairie de Chelles et de la Communauté d'Agglomération Marne et Chantereine, qui sont gérés également par la direction des systèmes d'information, se connectent sur le réseau de la collectivité.
Celle-ci souhaitait renforcer la sécurité de son SI face à des attaques menées à partir de périphériques mobiles soit infectés (virus sur clés USB par exemple) soit utilisés sciemment à cette fin (y compris des smartphones comme l'iPhone).
La mairie a choisi la solution de l'éditeur DeviceLock pour atteindre cet objectif. Cette solution permet une surveillance complète de l'accès aux ports locaux. Grâce à DeviceLock, la direction des systèmes d'information de la Mairie de Chelles peut rationnaliser l'utilisation des périphériques de stockage amovibles, tels que les clés USB et les disques durs externes mais aussi la connexion de smartphones.
Une liste des périphériques de stockage autorisés à se connecter au système d'information et opérer des transferts de données a été définie afin que la direction des systèmes d'information puisse suivre de façon fiable l'accès aux ports locaux des ordinateurs. DeviceLock permet ainsi de lutter contre l'intrusion de nouvelles menaces. En parallèle, les nouvelles restrictions ont été clairement définies dans la nouvelle Charte « Internet, Informatique et Téléphonie » présentée aux agents, une étape clé dans l'acceptation de la solution et la responsabilisation des utilisateurs. Une console centrale d'administration permet de gérer l'ensemble du parc de postes de travail et les droits affectés groupe par groupe d'utilisateurs.v (...)
Conférence F8 : Une API pour mailler Facebook aux autres sites
Facebook a modifié sa plateforme de développement d'applications pour que le réseau social puisse mailler les informations de ses utilisateurs avec les données d'autres sites web afin accroître encore ses capacités de personnalisation et de valorisation. Ainsi, un internaute se rendant sur un site d'actualités ou de partage de titres musicaux pourra se voir proposer un contenu tenant compte des préférences qu'il aura indiqué sur Facebook ou sur d'autres sites inclus dans la boucle.
Ou encore, il pourra accéder à la liste de ses amis Facebook déjà enregistrés sur le site et, pourquoi pas, consulter les commentaires qu'ils y ont postés. De cette façon, un accueil personnalisé sera mis en place, au hasard des sites que l'on visite, a expliqué Mark Zuckerberg, PDG de Facebook, à l'occasion de sa conférence développeurs F8 qui s'est tenue le 21 avril à San Francisco
C'est la nouvelle interface de programmation (API) Open Graph, remplaçant Facebook Connect, qui va permettre aux développeurs d'interfacer le réseau social et les activités des utilisateurs avec les autres sites web.
Illustration : Mark Zuckerberg, fondateur de Facebook lors de la conférence F8 (Crédit photo : DR)
Quid des protections des données dans le cloud ?
Le CIL (Correspondant Informatique et Libertés) devient une fonction clé de l'entreprise lorsque celle-ci décide de passer au cloud. C'est un des enseignements majeurs d'une conférence organisée par EuroCloud, le mardi 20 avril à la CCI de Paris. Elle aura vu l'intervention de Bruno Rasle, directeur général de l'AFCDP (Association Française des Correspondants aux Données Personnelles), et de Sylvain Lebarbier, CIL à la mutuelle AG2R. L'évènement aura également été l'occasion de rappeler les missions du ce métier particulier dans l'entreprise, un poste qui n'est manifestement pas de tout repos.
Le développement du cloud externe implique effectivement que les entreprises ne stockent plus l'ensemble de leurs données sur leurs propres serveurs mais s'en remettent à un prestataire. Les données peuvent être délocalisées dans un autre pays hors UE. Les utilisateurs sont réticents lorsqu'il s'agit de transférer leurs données à un prestataire, mais la CNIL (Commission Nationale de l'Informatique et des Libertés) dispose de sérieux garde-fous juridiques sur ce sujet.
Afin que le cloud ne soit pas synonyme de mauvaise utilisation des données, le CIL a pour mission de vérifier la conformité réglementaire des usages et d'en limiter le risque juridique. Ce responsable doit s'assurer du respect de la réglementation établie par la loi informatique et libertés réformée en 2004, dont la CNIL vérifie l'application. Car en cas de violation, l'entreprise est passible de sanctions financières ou peut voir son système de traitement de données suspendu. Comme le précise Bruno Rasle « la CNIL a gagné en pouvoir de contrôle et l'on ne peut s'y opposer ».
[[page]]
Selon l'autorité administrative indépendante, il revient au CIL de déployer des mesures de protection appropriées, même si le risque pénal est porté par le responsable de traitement (PDG ou, par délégation, DSI, DAF...). Elle ajoute qu' « il doit se concentrer sur deux dimensions différentes de la protection des données, à savoir la sécurité des données personnelles et les flux de données transfrontaliers ». Ainsi, lors de la nomination d'un CIL, tous les projets informatiques, qu'ils soient anciens ou en cours de déploiement sont soumis au contrôle de conformité. Sylvain Lebarbier, CIL d'AG2R insiste pour sa part : « aucun projet n'est mis en oeuvre sans notre accord ».
Des compétences bien précises
Au quotidien, le responsable analyse quatre problématiques majeures : les formalités et les déclarations à remplir auprès de la CNIL, le consentement des différents métiers pour l'utilisation des données, la sécurité notamment concernant les données transmises à un tiers avant la signature d'un contrat, ainsi que la finalité d'un projet. Il relève malgré tout quelques problèmes relatifs à l'exercice des fonctions de CIL. Il déplore que l'on dise que le CIL « fait perdre du temps ». Cette profession est encore trop méconnue, est souvent mal comprise. « Généralement les entreprises pensent qu'elles ont un CIL or souvent elles n'ont qu'un juriste » complète-t-il. Il ajoute que pour veiller au mieux au respect des règles de conformité, il doit s'en remettre régulièrement aux différents métiers et plus particulièrement aux services informatiques pour leur poser des questions précises.
Malheureusement, dans la plupart des cas, la réponse est « je ne sais pas ». A ces problèmes, se mêle en plus une dimension managériale. En effet, lorsque le projet ne semble pas satisfaire à la réglementation, le CIL peut en bloquer la mise en place. Sylvain Lebarbier insiste, « le CIL est l'allié de l'entreprise mais il n'hésitera pas à remettre un projet en question s'il y a un problème de conformité ». Il justifie cette démarche par le fait que « pour être un facteur de confiance, le CIL doit faire figure d'autorité ». Aujourd'hui, la France compte 1 800 correspondants informatique et libertés. Et même si ce nombre tend à s'accroître, la profession peine à recruter car elle nécessite d'avoir des connaissances à la fois juridiques, techniques et sectorielles, et de comprendre le fonctionnement ainsi que les enjeux des différents métiers qui composent l'entreprise. Pour y remédier, des formations spécialisées commencent à se déployer en France et à l'étranger. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |