Des hackers se faisant passer pour des forces de l’ordre auraient réussi à dérober des données utilisateurs (adresse postale, numéro de téléphone, adresse IP) à Meta et Apple, mais aussi Snapchat et Discord. Ils auraient piraté les adresses e-mails d’entités en charge de l’application des lois de plusieurs pays pour envoyer des demandes légales falsifiées.

Pourquoi cette actu :
En se faisant passer pour des services gouvernementaux durant l’année 2021, le groupe cybercriminel « Recursion team » à l’origine de ce vol de données a réussi à extorquer à Meta, Apple, Discord et Snapchat, des informations relatives à l’identité de leurs utilisateurs en s’appuyant sur de fausses « emergency data requests » (requête de données d’urgence). Celles-ci ne nécessitant pas d’ordonnance signée par un juge, les hackers ont pu ainsi aisément leurrer le système de vérification des demandes étatiques adressées à ces géants du numérique. Ce piratage est en fait relativement simple puisque certains identifiants de connexion des agents gouvernementaux utilisés sont disponibles sur le dark web. Cette actualité met ainsi en lumière les lacunes sécuritaires auxquelles peuvent aussi faire face les grandes entreprises de la Tech qu’on penserait beaucoup mieux armées, vu les moyens financiers dont elles disposent. Cette attaque est en lien direct avec d’autres cyberattaques récentes subies par Ubisoft, Microsoft, Samsung, Okta et Nvidia, menée par le groupe Lapsus, qui a sa tête le même leader que le groupe « Recursion team ».
Si à l’origine les cyberattaques ciblaient plutôt les entreprises pour leur demander des rançons, les institutions publiques et les gouvernements ne sont plus à l’abri. De nombreux hôpitaux, ministères, universités et écoles ont subi des attaques similaires.
Consciente de ces nouveaux risques, particulièrement augmentés avec la guerre en Ukraine la Commission européenne a décidé récemment d’organiser avec le Conseil de l’Europe un stress test (ou « cyber exercice ») dans l’objectif d’éprouver la résistance de 11 pays de l’Est de l’Europe et du Sud-Est, sauf l’Ukraine et la Biélorussie et d’adapter les cadres législatifs en matière de cybercriminalité.
Les risques engendrés par le manque de sécurité des entreprises comme les Big Tech qui drainent des milliers de données personnelles de leurs clients ne devraient-ils conduire à une coopération soutenue avec les gouvernements afin d’augmenter la protection de ces données ? Fin février, l’Union européenne a, dans ce sens, réaffirmé et relancé une dynamique en termes de cloud souverain, avec l’intégration à ce projet de la société Atos (leader international de la transformation digitale) pour lancer Structura-X. Ce projet, en complément du projet Gaia-X, a pour vocation de faire collaborer acteurs gouvernementaux et entreprises privées afin d’élaborer un système de stockage de plus en plus sécurisé et indépendant. Cela aura donc pour effet de protéger de façon optimale les données personnelles des utilisateurs européens en leur proposant une alternative aux Big Tech pour stocker leurs données en dehors des États-Unis. Les États-Unis devraient eux aussi, à terme, tendre vers ce type de projet afin de s’assurer d’une parfaite sécurité des données personnelles de leurs citoyens.

Le 31 mars 2022, Google a annoncé le lancement de trois tests à grande échelle de son programme « Privacy Sandbox ». Topics vise à associer des utilisateurs à des thèmes, Feldge cible la mise aux enchères publicitaires et enfin l’Attribution reporting mesure le taux de « conversion », en d’autres termes le fait qu’un « clic » sur un site internet par exemple, entraîne un achat sur ce même site.

Pourquoi cette actu :
Après la mise en place par Apple de l’App tracking transparency, nécessitant le respect par les applications transitant par un device Apple du consentement des internautes, le lancement de la Privacy Sandbox est décisif. Il sera observé à la fois par les autorités de régulation, les autorités de la concurrence mais aussi par les entreprises, dont la vente d’espaces publicitaires représente une source importante de revenus. Par conséquent, chaque innovation, chaque lancement, chaque nouvel outil est analysé par tous les acteurs du numérique, ce qui force ces géants à faire preuve de minutie et de transparence. Avec la Privacy Sandbox, l’enjeu est double pour Google. Tout d’abord la Big Tech est à la recherche de propositions innovantes afin de remplacer les cookies tiers. En effet, les condamnations récurrentes en Europe pour non-respect du RGPD, mais également le fait que les lignes directrices de la CNIL exigent désormais la récolte explicite du consentement des internautes et leur possibilité de ne pas accepter les cookies ont conduit à leur moindre efficacité comme instrument de récolte des données personnelles. En outre, Google doit aussi renouveler le marché de la publicité numérique sans abuser de sa position de monopole et en assurant à ses clients des résultats tout aussi efficaces. C’est pourquoi cette Privacy Sandbox est tant scrutée : tous les acteurs du numérique sont concernés et personne ne veut laisser la liberté à Google de transgresser une nouvelle fois les règles ou d’abuser de sa position dominante sur le marché. La CNIL a d’ores et déjà précisé qu’elle surveillait les alternatives aux cookies tiers et que ces dernières devraient nécessairement respecter les règles du RGPD et de la vie privée des utilisateurs. Avec les nombreuses condamnations des GAFAM et les mises en demeure régulières sur le fondement du respect de la vie privée et du RGPD, observe-t-on une inversion du rapport de force entre les géants du numérique et les autorités ? Ou n’est-ce qu’un effort passager permettant à Google de faire retomber la pression tout en continuant à assurer sa mainmise sur les données récoltées ? L’avenir nous le dira, surtout après l’adoption du train de dispositions européennes attendues en vue de réguler les Big Tech.

Fondée en 2009, la société américaine NationBuilder est une plateforme développée pour organiser des campagnes électorales. Elle permet de gérer un fichier de contacts militants, une campagne de dons et d’animer un site web. Utilisée par de nombreux candidats à l’élection présidentielle française et elle est aujourd’hui sous le feu des critiques. Questionnée sur le lieu de stockage des données de ses utilisateurs, elle n’a toutefois pas souhaité l’indiquer mais son site internet précise qu’un hébergement hors d’Europe est possible grâce à un dispositif juridique spécifique.

Pourquoi cette actu :
À plus d’une semaine du premier tour des élections présidentielles en France, l’utilisation des données personnelles des électeurs refait surface, à l’aune des scandales qui ont eu lieu lors d’élections par le passé. On peut notamment penser au scandale de Cambridge Analytica. En effet, cette entreprise britannique a permis aux pourfendeurs du Brexit ainsi qu’à Donald Trump de récolter un nombre incommensurable de données d’électeurs afin d’influencer leur choix lors des élections de 2016. L’algorithme de l’entreprise ciblait précisément les électeurs indécis. Force est de constater que l’entreprise qui incarne ce risque aujourd’hui est NationBuilder, déjà utilisée par des candidats comme Emmanuel Macron en 2017, et actuellement par Éric Zemmour, Yannick Jadot ou encore Fabien Roussel. Par conséquent, le fait que l’entreprise américaine n’ait pas voulu révéler où elle hébergeait les données qui peuvent être considérées comme sensibles au regard du RGPD car politiques, laisse à penser qu’elle pourrait rentrer en contradiction avec le droit européen. En effet à la suite de l’arrêt dit « Schrems II » de juillet 2020, la Cour de justice de l’Union européenne a invalidé comme non conforme aux exigences du RGPD, le Privacy Shield, accord de transfert de données entre l’Europe et les États-Unis. Dans le même esprit, la CNIL a dernièrement procédé de même à propos du logiciel Google Analytics et a enjoint à un gestionnaire de site web soit de cesser de l’utiliser soit de ne pas transférer les données aux États-Unis. Si NationBuilder persistait à ne pas révéler le lieu de l’hébergement de ces données à ses utilisateurs et aux propriétaires des données stockées, d’autant qu’il s’agit de données sensibles, alors les sanctions pourraient être sévères à son égard. À l’heure où les autorités de protection des données personnelles européennes sanctionnent avec véhémence les entreprises qui ne respectent pas le RGPD, notamment sur saisine de l’association NOYB créé par Max Schrems, devenu avocat, NationBuilder ne sera sans doute pas épargnée. Ainsi, cette actualité met-elle en exergue le risque qu’une telle entreprise pourrait faire peser sur le traitement et l’utilisation des données personnelles à des fins électorales, mais il souligne également la force de la norme européenne pour y remédier.

Du 29 mars au 21 juin 2022, l’Union Européenne vient d’ouvrir une consultation publique sur « l’accès aux données, aux fonctions et aux ressources des véhicules ». L’objectif est de réfléchir est de réfléchir à une proposition de règlement, afin de fixer plus précisément les conditions d’accès et d’utilisation des données générées à bord des véhicules. Cette consultation publique pourrait fortement diviser les constructeurs et les assureurs, qui poursuivent des intérêts antagonistes.

Pourquoi cette actu :

A l’heure où la récolte et le traitement des données personnelles est plus que jamais au cœur de l’actualité, réfléchir à une législation européenne sur celles récoltées par le biais des véhicules automobiles, intégrant de plus en plus de logiciels guidés par l’intelligence artificielle, n’est pas anodin. La consultation publique organisée devrait voir certainement s’affronter les constructeurs, souhaitant conserver les données des utilisateurs finaux, et les assureurs, voulant accéder à ces données pour mieux adapter leurs services à la population cible. Sachant qu’en 2018 plus de 85% des véhicules neufs étaient déjà connectés à un réseau sans fil et que d’ici à 2025, plus de 470 millions de véhicules connectés devraient circuler sur les routes d’Europe, des États-Unis et de Chine, s’interroger sur le sort des données personnelles récoltées par leur biais et permettre d’encadrer précisément leur récolte et leur traitement est plus que nécessaire. Car de ces données peuvent découler divers services allant de l’assurance kilométrique à la mobilité partagée en passant par la revente d’un véhicule, mais aussi des informations pouvant être utiles aux pouvoirs publics souhaitant contrôler les émissions de CO2 et lutter contre le réchauffement climatique ou de tout autre polluant.
Si l’UE réglemente déjà depuis 2007 l’accès aux données issues des véhicules concernant leur réparation et les systèmes de diagnostic embarqués « afin de garantir une concurrence loyale sur le marché des pièces et des équipements de rechange », il n’existe pas encore de législation générale dédiée aux systèmes de récolte des données des véhicules. Certes, les textes en préparation, dans le cadre du pack numérique en discussion actuellement à Bruxelles, envisage de redonner la main aux utilisateurs sur leurs données, mais il serait peut-être nécessaire de les compléter par des mesures précises concernant les véhicules. Par exemple pour normaliser les ensembles de données concernés et garantir l’accès non seulement aux données, mais aussi aux fonctions et aux ressources des véhicules. A l’heure où les technologies de l’IA et de la blockchain viennent diversifier mais aussi complexifier l’usage des véhicules, une consultation publique mêlant toutes les parties prenantes est donc bienvenue.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a décidé d’attribuer, de nouveau pour trois ans, le label « SecNumCloud » à la société Oodrive, un des leaders du cloud computing français et de la gestion des données sensibles. Grâce à ce label, l’entreprise spécialisée dans le partage et la sauvegarde des fichiers garantit aux différentes organisations un environnement cloud respectueux des données personnelles mais aussi hautement sécurisé. 

Pourquoi cette actu : 

On le sait, la souveraineté numérique française et européenne est une des questions clés actuelles qui préoccupe les pouvoirs publics, afin de s’affranchir de la tutelle et du quasi-monopole des Big Tech. Le Cloud permet un stockage des données mais aussi un transit plus simple et plus performant. Toutefois, les données ainsi conservées peuvent être vulnérables et être exposées à des cyberattaques. L’attribution d’un label comme le Sec Num Cloud garantit non seulement un usage conforme au RGPD, mais aussi un haut niveau de sécurité fondé sur la qualité, la robustesse de la prestation, la compétence du prestataire ainsi que la confiance pouvant lui être accordée.  Les nombreux clients de la société Oodrive peuvent donc être rassurés. Rappelons que Oodrive compte en en effet plus de 15 000 entreprises clientes, dont plus de 80 % du CAC 40. La société est un acteur français d’importance dans le domaine cloud. Elle est ainsi engagée dans plusieurs projets d’envergure autour de la promotion d’un cloud souverain et soutient le projet de Campus Cyber ayant pour ambition de faire de la France un leader européen de la cybersécurité, en rassemblant les expertises des industriels, chercheurs français et organismes publics en un seul et même lieu.

Le référentiel de ce label est très exigeant et contrôlé par l’ANSSI. Seuls quatre fournisseurs de services cloud ont été pour l’instant certifiés par elle dont d’Oodrive, 3DS Outscale (filiale de Dassault Systèmes), OVHcloud et Worldline (ancienne filiale d’Atos et son actionnaire majoritaire). 

Ce label a cependant vocation à être remplacé par un équivalent européen, dans le cadre du Cyber Security Act adopté en 2019. Les choses sont très claires sur ce point pour l’Anssi : « Le cloud sécurisé à haut niveau doit être techniquement de très bon niveau mais aussi protégé face aux lois extraterritoriales ». A cet égard, le label a été récemment actualisé pour prendre en compte les conséquences de l’invalidation du Privacy Shield. « Sans cela, précise l’ANSSI, la souveraineté européenne dans le cyberespace est vaine ». L’enjeu au niveau français est donc très important : pouvoir à terme faire disparaître le label SecNumCloud au profit d’une certification européenne au moins équivalente. Espérons que l’accord de principe récemment trouvé entre les États-Unis et la Commission européenne sur le transfert extraterritorial des données hors UE ne mette pas à mal cette stratégie protectrice.