CECURITY NEWS N°130 – 4 octobre 2017
L’actualité de la confiance et de la conformité numérique
Préparée par Arnaud Belleil

Si vous estimez que cette lettre est utile, n’hésitez pas à la faire découvrir à vos amis, collègues ou relations – https://www.cecurity.com/fr

————————————————————————–

SOMMAIRE :

L’article : La copie fiable va permettre la destruction de plus de documents papier

Economie des données personnelles

Les déplacements, nouvelle source de valeur

Mais où est passé la personnalisation ?

Chiffrement et blockchain

La blockchain est-elle compatible avec le RGDP ?

On a enfin trouvé un article hostile à la blockchain

Juridique

« Tout le monde est devenu experts de GDPR … »

RGPD : le guide CNIL pour les sous-traitants

Archivage et dématérialisation

Bulletins de paie électronique et coffre-fort numérique

Véracité ou falsification des photos numériques

Identité Numérique

Identité en ligne, faille de sécurité et numéro de sécurité social

Authentification cardiaque

Célébrité anonyme

A découvrir

La banque privée : une industrie de la confiance

Livre Blanc la blockchain pour les entreprises

Evènement

RGPD, Archivage et conformité

Microsoft experiences 17 : le cloud au service des éditeurs

—————————————————————————

ANNONCE : Blockchain, ePaie et certifications auTech Vill@ge Cecurity 2017

Mutation de la confiance numérique avec la blockchain, Dématérialisation des bulletins de paie et des documents RH, Les nouvelles normes et certifications de la confiance numérique : les experts, partenaires ou clients de Cecurity.com, ont été à l’honneur lors des tables-rondes de l’évènement Tech Vill@ge du 14 septembre 2017.

—————————————————————————

L’ARTICLE : La copie fiable va permettre la destruction de plus de documents papier

Dans une interview réalisée en marge du salon Banque & Innovation du 19 septembre 2017, Alain Borghesi, en tant que vice-président de la Fédération des Tiers de Confiance du numérique (FNTC), expose sa vision sur les avancées de la dématérialisation dans le secteur bancaire.

« L’évolution récentes des textes favorise le développement de mécanismes de dématérialisation plus simples avec la possibilité d’utiliser des copies fiables qui peuvent être présentées au juge en cas de besoin, à la place de l’original papier », explique-t-il dans cet article où il est aussi question du rôle de tiers de confiance que pourraient jouer les banques et du regain d’intérêt pour les services de coffres-forts numériques bancaires.

ECONOMIE DES DONNÉES PERSONNELLES

Les déplacements, nouvelle source de valeur

La très copieuse enquête que Numerama a consacré à la start-up parisienne Teemo permet de découvrir l’ampleur de la collecte des données de géolocalisation via des éditeurs d’applications de renom. Il est tout simplement question du « pistage de 10 millions de français »

Conformité à la réglementation sur les données personnelles, responsabilité du sous-traitant, consentement de l’utilisateur : le lecteur ne sera pas forcément convaincu de l’argumentation avancée par Teemo qui repose en partie sur le fait que les données sont anonymes.

D’un point de vue économique, il est évident que les déplacements des utilisateurs de téléphone mobile sont désormais une nouvelle source de valeur, susceptible d’alimenter le drive to store.

Source : Numerama – Date : 23 août 2017 – Auteur : Corentin Durand

Mais où est passé la personnalisation ?

L’article d’Hubert Guillaud dans Internet Actu consacré à la personnalisation peut se résumer à deux idées fortes : 1) la personnalisation ne marche pas 2) la collecte des données personnelles est donc inutile. Il faut tout de même lire l’intégralité du papier pour apprécier la finesse de l’argumentation et pour savourer quelques punchlines bien senties (« Les algorithmes ne cherchent pas à nous distinguer, mais à nous catégoriser », « Notre personne n’intéresse personne », …)

Source : Internet Actu – Date : 27 septembre 2017 – Auteur : Hubert Guillaud

CHIFFREMENT ET BLOCKCHAIN

La blockchain est-elle compatible avec le RGDP ?

Les données d’une blockchain étant pseudonymisées plutôt qu’anonymisées, la réglementation en matière de protection des données personnelles – et notamment le RGPD – a vocation à s’appliquer. La note de veille parue sur le Laboratoire d’ Innovation Numérique de la CNIL (LINC) montre que le sujet est loin d’être trivial quand il s’agit d’une blockchain publique. On distingue principalement trois grandes questions auxquelles il semble difficile de répondre : qui est responsable du traitement ? Comment appliquer les règles en matière de flux transfrontières ? Comment respecter le droit de rectification ainsi que la limitation de la durée de conservation ?

Ce sujet particulièrement sensible a été également abordé par Bruno Rasle, délégué général de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) lors de l’assemblée générale de l’association le 21 juin 2017.

Source : LINC / CNIL – Date : 24 août 2017

On a enfin trouvé un article hostile à la blockchain

« Adoration purement idéologique », « prodigieux gâchis de ressources, en stockage, en bande passante et en calcul » : l’édito de Bertrand Lemaire détonne par rapport aux habituels écrits consacrés à la blockchain qui associent le plus souvent lyrisme échevelé et prédictions dithyrambiques. Raison de plus pour en prendre connaissance même si on ne partage pas forcément au départ le pessimisme de l’auteur. Il reconnaît tout de même certaines applications professionnelles peuvent être pertinentes.

Source : CIO – Date : 1er septembre 2017 – Auteur : Bertrand Lemaire

JURIDIQUE

« Tout le monde est devenu experts de GDPR … »

« Des organisations qui ne savent même pas comment définir la protection de la vie privée proposent déjà de l’expertise GDPR sur leurs sites. Tout à coup, tout le monde est devenu experts de GDPR… et honnêtement, la plupart n’y connaissent rien » Le coup de gueule poussé par Sheila FitzPatrick, responsable de la protection de la vie privée chez NetApp, lors d’une conférence qui s’est tenue le 21 septembre 2017 à Dublin, est salutaire.

Elle rappelle utilement que les outils technologiques, le Cloud ou encore le chiffrement des données ne peuvent être considérés comme des recettes miracles qui garantissent à elles seules la conformité aux exigences du règlement européen.

Dès lors, comment reconnaître une entreprise qui s’y connaît en protection des données personnelles ? Chez Cecurity.com, on vous donne des indices : une production éditoriale associative et universitaire depuis plus de 10 ans sur les questions de privacy ou encore la capacité à arborer le label CNIL.

Source : LeMagIT – Date : 25 septembre 2017 – Auteur : Caroline Donnelly

RGPD : le guide CNIL pour les sous-traitants

Le 29 septembre 2017, la CNIL a rendu public sur son site son guide RGPD pour accompagner les sous-traitants. Le règlement européen sur la protection des données personnelles (ou RGPD), applicable à partir du 25 mai 2018, impose des obligations spécifiques aux sous-traitants tels que les hébergeurs, les intégrateurs de logiciels ou encore les entreprises de service du numérique (ESN).

« Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut mettre en place des mesures permettant de garantir une protection optimale des données. Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données » explique la CNIL.

ARCHIVAGE ET DÉMATÉRIALISATION

Bulletins de paie électronique et coffre-fort numérique

Quelles garanties exiger des coffres-forts numériques ? La table-ronde organisée sur ce sujet dans le cadre du salon Solutions 2017 a mis en évidence le rôle clé de la certification en la matière. Un rappel nécessaire au moment où la dématérialisation du bulletin de paie favorise la généralisation des coffres-forts numériques.

Pour Alain Borghesi, Président & directeur général de Cecurity.com, intervenant lors de cette table-ronde, c’est aussi  un enjeu de citoyenneté : le particulier « doit pouvoir disposer d’une vraie boîte aux lettres probante et traçante.

Source : Archimag – Date : 28 septembre 2017 – Auteur : Michel Remize

Véracité ou falsification des photos numériques

Un canard qui se promène avec un couteau planté dans la tête. S’agit-il d’une photo réelle ou d’un trucage, un fake,  dont la production est désormais à la portée du premier venu ? Au nombre de 460 par image les métadonnées s’avèrent précieuses pour déterminer si une photo a été retouchée, falsifiée ou si à l’inverse elle peut être considérée comme une preuve digne de confiance.

Pour en savoir plus, et accessoirement pour avoir des nouvelles du canard, il vous faudra lire en anglais l’article de The Conversation.

Sources : The Conversation – Date : 22 juin 2017 – Auteur : Richard Matthews

RSLN – Date : 7 juillet 2017

IDENTITÉ NUMÉRIQUE

Identité en ligne, faille de sécurité et numéro de sécurité social

La faille de sécurité qui a touché la société Equifax aux Etats-Unis a suscité un véritable traumatisme dans un monde numérique pourtant habitué aux vols de données à répétition. Pour comprendre l’ampleur de l’affaire il faut d’abord savoir qu’Equifax exerce une activité de credit reporting agency. C’est l’équivalent approximatif pour les particuliers aux Etats-Unis de ce qu’est Infogreffe pour les entreprises en France. Ensuite, le vol de données concerne 143 millions de personnes et il existe de fortes suspicions sur le fait que les numéros de sécurité de sécurité sociale (SSN ou Social Security number) aient été également dérobés. On s’attend donc à une épidémie d’usurpation identités en ligne dans les mois qui viennent.

L’affaire Equifax conduit les spécialistes à s’interroger sur les dérives de l’usage du numéro de sécurité sociale aux Etats-Unis. Introduit dans les années 30, il avait vocation à être utilisé uniquement dans la sphère santé et à demeurer relativement secret. Au fil du temps, c’est devenu un identifiant universel. L’article de Wired en vient à préconiser le recours à un identifiant différent pour chaque sphère (santé, éducation, banque, énergie, télécom, …). Cela correspond à la doctrine historique de la CNIL qui fait parfois, dans notre pays, l’objet de critiques.

Source : Wired – Date : 8 septembre 2017 – Auteur : Lily Hay Newman

Authentification cardiaque

Encore un nouveau candidat dans la liste déjà bien fournie des dispositifs biométriques susceptibles à terme de remplacer le mot de passe pour l’authentification en ligne. Des chercheurs de l’université de Buffalo aux Etats-Unis ont mis au point une méthode pour reconnaître une personne à partir de ses battements de cœur. « Ils l’ont testé sur 78 personnes et obtenu un taux de réussite de 98 % pour une durée de scan de l’ordre de 4 secondes et une distance d’environ un mètre. » précise l’article de 01net.

Cette authentification présente l’avantage de ne requérir aucune action de la part de l’utilisateur. Elle reste pour le moment encore largement expérimentale.

Source : 01net – Date : 26 septembre 2017 – Auteur : Gilbert Kallenborn

Célébrité anonyme

Le street-artist Invader est un nouvel exemple d’anonyme célèbre ou de célébrité anonyme.

Source : Libération – Date : 28 septembre 2017 – Auteur : Stéphanie Aubert

A DÉCOUVRIR

La banque privée : une industrie de la confiance

« La Banque Privée peut capitaliser sur un atout fondamental qui est sa fonction de coffre-fort (safe guarding). Il ne s’agit pas seulement de coffre-fort physique mais surtout de sa capacité à conserver l’information dans la durée et à garantir la confidentialité. »

Dans une tribune parue dans Les Echos, Youcef Dammane de Fairman Consulting identifie deux types de services numériques qui permettraient à la banque privée de valoriser ses fonctions historiques : la conservation des documents de valeurs dématérialisés et la protection des données personnelles.

Source : Les Echos – Date : 15 septembre 2017 – Auteur : Youcef Dammane

Livre Blanc la blockchain pour les entreprises

Co-signé par le MEDEF et The Boston Consulting Group (BCG), le Livre blanc intitulé « La blockchain pour les entreprises » a été rendu public au début de l’été 2017. Structuré en deux parties, il permet non seulement de comprendre le phénomène mais aussi de disposer d’un mode d’emploi pour se lancer dans l’expérimentation.

Même si le retour sur investissement apparaît encore lointain, il faut expérimenter encore et encore martèlent les auteurs de l’ouvrage.

ÉVÉNEMENT

RGPD, Archivage et conformité

Le CR2PA organise le 11 octobre à Paris une table ronde pour débattre des liens entre l’archivage managérial (record management) et le processus de mise en conformité RGDP.

Dans le billet de présentation de l’évènement, le CR2PA écrit notamment : « L’expression de durée de conservation est largement présente dans le texte du règlement (« garantir que la durée de conservation des données soit limitée au strict minimum ») et, bien que le mot archivage n’apparaisse pas dans le règlement, c’est pourtant bien de cela qu’il s’agit : mettre en sécurité dans le temps les données dont la conservation est justifiée et détruire les autres. »

Isabelle Cantero, avocate au cabinet Caprioli et administrateur de l’AFCDP sera l’une des intervenantes du débat animé par Marie-Anne Chabin, CR2PA.

Source : Le blog du CR2PA – Date : 6 juillet 2017

Microsoft experiences 17 : le cloud au service des éditeurs

L’évènement Microsoft experiences’17 s’est déroulé les 3 et 4 octobre 2017 au Palais des Congrès à Paris autour de trois thématiques majeurs : l’intelligence artificielle, la collaboration innovante (New way of work) et la confiance numérique.

Partenaire de l’évènement, Cecurity.com est intervenue lors de la table-ronde intitulée « Le Cloud Microsoft au Service des éditeurs français ».

———————————————————————-
Pour nous contacter, nous faire parvenir vos critiques ou suggestions, envoyez un message à :
mailto:news@cecurity.com

Reproduction autorisée sous réserve de mention de la source : « Cecurity.com »

Pour vous désinscrire, envoyez un message à mailto:news@cecurity.com en
indiquant « DESABONNEMENT » dans l’objet du message.

————————————————————————

______________________________________________________
Newsletter Cecurity.com –
L’actualité de la confiance et de la conformité numérique
Email news@cecurity.com
Web  http://www.cecurity.com – Tel   01 56 43 37 36
_____________________________________________________

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *