Une identité numérique souveraine

Devant le manque de confiance croissant des utilisateurs auprès des fournisseurs d’identité en ligne (Google et Facebook jouent par exemple ce rôle en permettant à leurs utilisateurs de s’authentifier auprès d’autres plateformes), la vision d’une identité donnant à son propriétaire le contrôle souverain sur ses informations personnelles est en train de faire son chemin.

Cette self-sovereign identity ou SSI s’inspire du monde réel dans lequel chacun dispose d’une identité qui est représentée envers les autres par le biais d’une série de documents, certains communs à tous (carte d’identité), d’autres distribués à des personnes spécifiques (autorisation d’exercer la médecine) et attestés par des acteurs externes (Etat, employeur, établissement de formation, etc.). Stockés par le titulaire de l’identité (par exemple dans un porte-monnaie), ils peuvent être présentés à différentes personnes ou autorités selon les besoins. L’identité fondamentale de la personne persiste même si les références changent avec le temps.

Source : Le Temps

La course aux câbles sous-marins, un enjeu pour la protection des données

Orange a annoncé vendredi s’être associé à Google pour le projet Dunant, un nouveau câble sous-marin à travers l’océan Atlantique. Le contrôle de ces câbles représente un enjeu majeur pour la protection des données.

Les acteurs traditionnels veulent, en effet, investir ce secteur des câbles sous-marins occupés actuellement par leurs grands concurrents, les GAFA, soit Google, Amazon, Facebook, Apple et même Microsoft.

Les GAFA détiennent aujourd’hui déjà presque la moitié de ces câbles sous-marins et leur contrôle représente un enjeu majeur pour la protection des données. Car c’est par eux que transitent actuellement l’essentiel de nos données internet.

Source : RTS

Entrée en vigueur du RGPD : quelles conséquences en Suisse ?

Les Suisses sont tous concernés par l’entrée en vigueur, le 25 mai, du Règlement général sur la protection des données. Ils seront mieux protégés sur internet et pourront faire valoir davantage de droits auprès de centaines de milliers de fournisseurs de services, tant américains, européens que suisses.

Les Suisses sont d’autant plus visés par le RGPD que des entreprises helvétiques comme Logitech, le service de mesures sportives Datasport ou encore l’IMD de Lausanne ont envoyé des courriels similaires à leurs contacts. Une preuve supplémentaire que ce règlement touche tous les Suisses. En parallèle, Google, Facebook ou WhatsApp ont modifié leurs conditions générales, qui s’appliquent de la même façon pour les Européens et, encore, les Suisses.

1. Une récolte minimale de données

Dès le 25 mai, les entreprises ne doivent récolter qu’un minimum de données utiles sur leurs clients. Une société qui vend par exemple des parfums via internet n’a besoin de connaître ni le numéro de téléphone de ses clients, ni leur nombre d’enfants. L’expéditeur d’une newsletter n’a pas non plus, a priori, à savoir votre âge ou votre sexe. Mais voilà, le RGPD ne précise pas quelles sont ces données minimales à récolter. «Le responsable de traitement doit déterminer si et quelles données personnelles sont nécessaires pour atteindre le but qu’il poursuit et il doit être en mesure de démontrer que ces données sont vraiment nécessaires», explique Jean-Philippe Walter.

2. Un droit à l’oubli… tout relatif

Le RGPD stipule noir sur blanc qu’un prestataire de services doit, si un client le demande, effacer toutes les données qu’il possède sur lui. Là encore, peut-on lui faire confiance? «Il devra le faire s’il n’a pas de motif légitime prépondérant justifiant la conservation des données», estime Jean-Philippe Walter, qui précise que «la loi sur la protection suisse actuelle permet déjà à un internaute de demander à un responsable de traitement d’effacer les données le concernant».

3. Un consentement mieux demandé

En théorie, le RGPD impose aux entreprises de demander clairement à l’internaute le droit d’utiliser son adresse e-mail, comme le font actuellement le FC Barcelone ou Logitech. «Selon une lecture stricte du règlement, l’approche opt-out, en matière de consentement, devrait disparaître», estime Michel Jaccard. Ainsi, il n’y aura plus de consentement passif (opt-out) de l’internaute, mais celui-ci devra lui-même, volontairement (opt-in) s’inscrire à un service ou donner son adresse email.

4. Une portabilité des données à tester

Avec le nouveau règlement, il sera possible de prendre toutes ses données personnelles chez un prestataire pour les utiliser chez un autre. «Par exemple, un consommateur qui veut changer d’opérateur téléphonique pourra recevoir les données qu’il a transmises lors de la conclusion de son abonnement pour les transmettre aux nouveaux opérateurs», indique Jean-Philippe Walter. Attention, au vu du projet de nouvelle loi suisse sur les données, la portabilité ne sera pas imposée aux entreprises helvétiques.

5. Des actions collectives pour la Suisse

Autre nouveauté: la possibilité d’intenter, en justice, des actions de groupe (class actions) contre une société qui aurait trahi la confiance d’internautes. Et ce sera aussi possible pour les internautes suisses. «La loi suisse ne prévoit pas de class actions,une action collective d’internautes suisses ne pourrait s’effectuer qu’à l’égard d’entreprises européennes», précise Jean-Philippe Walter.

6. Des entreprises suisses concernées

Si une société suisse ne compte que des clients en Suisse, elle n’a pas besoin de se conformer au RGPD. Mais cela ne concernerait que 20% des entreprises suisses. «Les sociétés se sentent d’abord un peu déboussolées face à ce règlement, mais elles prennent en général au sérieux la conformité avec le RGPD et la future loi suisse sur les données personnelles», affirme Michel Jaccard. La loi helvétique actuelle, qui date de 1992, est en cours de révision: elle devrait fortement s’inspirer du RGPD mais n’entrera pas en vigueur avant un ou deux ans.

Source : Le Temps

La protection des données, un levier de confiance et de croissance

Le respect de la sphère privée est un puissant facteur d’innovation, écrit Pierre Maudet, conseiller d’Etat responsable de la Sécurité et de l’économie du canton de Genève. Alors qu’entre en vigueur le nouveau règlement européen, la Suisse se doit de saisir cette évolution pour renforcer sa compétitivité

Le RGPD est une formidable opportunité. Il ne s’agit pas uniquement pour les entreprises de mettre en conformité leurs pratiques de gestion des données personnelles, mais d’en profiter pour s’adapter au monde numérique. Ce règlement offre ainsi l’occasion de s’interroger sur ce qu’il est possible de faire de ces paramètres individuels – stockés, analysés et obtenus notamment via la Toile –, tout en s’attaquant aux enjeux de la sécurité informatique. J’en appelle donc à une accélération du processus de révision de la législation suisse sur la protection des données (LPD). Il en va de la compétitivité économique du pays.

Le véritable défi d’après le 25 mai 2018 n’est pas tant de satisfaire au RGPD. Mais plutôt de faire durer l’engagement et poursuivre dans le temps les efforts. Il s’agit surtout de maintenir à l’état de l’art l’ensemble des procédures et les environnements techniques mis en place pour honorer la nouvelle réglementation européenne. Les données sont le carburant qui alimente la nouvelle économie. La confiance est quant à elle le lubrifiant qui graisse les rouages du système numérique. Faisons donc en sorte de permettre au moteur suisse de l’innovation de tourner à plein régime.

Source : Le Temps