dimanche 24 septembre 2017    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Nos enquêtes rebondissent sur des questions concrètes : l'utilisation des services SaaS, par exemple de Google, sera-t-elle conforme au RGPD ?

L'interrogation est partie d'un groupe de discussion auquel participe Mag-Securs. il s'en est suivi une discussion et une analyse présentée dans cet article.


Le magazine Mag-Securs réalise depuis quelques années des enquêtes sur différents sujets liés à la cybersécurité. Actuellement, une enquête est en cours sur les solutions préférées des entreprises pour se mettre en conformité avec le RGDP. Les résultats seront publiés en septembre 2017.

Le questionnaire, rédigé en français et en anglais, est diffusé sur le site web de Mag-Securs, par l’intermédiaire de la newsletter de Mag-Securs, dans les groupes de discussion spécialisés sur linkedin, sur la page Facebook de Mag-Securs, ainsi que par Twitter.

La rédaction du magazine s’engage à ne pas revendre, ni diffuser les réponses à quelque tiers que ce soit. Le questionnaire prévoit la possibilité d’organiser des interviews avec les personnes le souhaitant pour approfondir certaines questions, avec le plus strict respect du principe du « off journalistique » : la source n’est pas citée, et l’information n’est pas publiée. Cela permet à la rédaction de mieux comprendre son sujet.

A des fins d’efficacité, le questionnaire est réalisé en utilisant le service SaaS de Google. Ce service offre une très grande disponibilité, fiabilité et fournit des statistiques de qualité. Les adresses URL des questionnaires permettent d’identifier le service utilisé. Les services SaaS de Google sont utilisés dans de très nombreuses entreprises, administrations, ainsi que dans l’armée française, que ce soit pour réaliser des enquêtes ou pour gérer des inscriptions à une conférence.

L’utilisation du service Google forms est-il conforme au RGPD ?

 L’un des lecteurs de « Mag-Securs », Christophe Champoussin, expert en protection des données personnelles et dirigeant de la société Anaxia Conseil, nous interroge, dans un groupe de discussion linkedin, sur l’usage de ce service SaaS et nous propose son analyse juridique du sujet. Nous poursuivons ici ce dialogue initié sur un réseau social.

Christophe Champoussin rappelle que le RGPD ne s’appliquera qu’au 25 mai 2018. D’ici là, c’est la Loi 78-17 modifiée, dite Informatique et Libertés, qui s’applique à ce questionnaire, dans sa version actuelle. L’exercice peut cependant être fait dès à présent sur la base du texte du RGPD. Il nous propose son analyse.

La première question à se poser est celle du responsable de traitement. Il n’y a ici aucune ambiguïté possible. C’est bien Mag-Securs qui définit les finalités (le quoi, donc la réalisation de l’enquête) et les moyens (le comment, à savoir l’utilisation du service Google Forms). C’est donc bien à Mag-Securs de s’assurer du respect de la réglementation.

Le respect des principes de base édictés par l’article 5 du RGPD

Il faut respecter les principes suivants :

  • Licéité,
  • Loyauté,
  • Transparence
  • Données collectées pour des finalités déterminées, explicites et légitimes et sans utilisation ultérieure d'une manière incompatible avec ces finalités
  • Minimisation des données
  • Données exactes et, si nécessaire, tenues à jour
  • Durée de conservation limitée
  • Données traitées de façon à garantir une sécurité appropriée

Christophe Champoussin nous propose une première analyse de chacun de ces principes :

Licéité

Parmi les conditions listées dans l’article 6, la première est évidente : consentement de la personne concernée.

En effet, la participation de chacun à cette étude est totalement libre et volontaire et de fait donc sur la base du consentement.

Ce consentement sera ici « de fait » via le renseignement du questionnaire. On pourrait également analyser la validité du consentement au regard des considérants 42 et 43 mais ici cela ne pose pas de problème.

Transparence

Cela implique entre autres une information claire, telle qu’imposée par l’article 13.
Ce qui amène à un premier point pouvant potentiellement poser problème : peut-on ajouter aux questionnaires réalisés via le service Google Forms une telle mention d’information ? Si non, alors l’usage de service ne permet pas de respecter le RGPD … sauf à avoir effectué cette même information de manière complète en amont, c’est à dire par exemple sur le site de Mag-Securs qui annonce l’enquête et contient le lien permettant d’y accéder (et sur tout autre site menant à l’enquête).

Le 1.f de cet article impose d’informer de tout transfert de données hors UE et des garanties appropriées.

Là aussi on peut le faire en amont mais cela nécessite de savoir où sont stockées les données (UE, USA, …).  Si c’est aux USA alors la garantie est le fait que Google Inc. adhère au Privacy Shield.

N.B : Cela donne une base légale au transfert, à chaque utilisateur d’avoir confiance ou pas, ce qui est une autre problématique.

Données collectées pour des finalités déterminées, explicites et légitimes et sans utilisation ultérieure d'une manière incompatible avec ces finalités

En ce qui concerne le questionnaire lui-même, il appartient l’organisme qui l’établit de s’assurer du respect de ce point.

Mais on peut de demander si les données ne sont pas utilisées de manière ultérieure par Google, typiquement l’adresse mail ou bien encore cette même adresse associée à tout le questionnaire ! Ce qui peut avoir de la valeur.

Le questionnaire contient des données que l’entreprise à laquelle appartient la personne qui répond ne souhaite peut-être pas voir sorties de l’entreprise.

Certes le nom de l’entreprise est facultatif mais pas l’adresse mail. Or une adresse de type nom@masociete.com donne le nom de la société. Ou alors chacun devrait répondre avec une adresse « anonyme ». La rédaction de Mag-Securs précise toutefois que de nombreuses personnes utilisent des pseudonymes ou des adresses anonymisées et que les réponses sont acceptées dans la mesure où elles expriment une opinion vraisemblable d’un professionnel. La rédaction n’a pas à ce jour à déplorer d’inondation de réponses incroyables. 

Si l’on regarde les conditions d’utilisation via le lien ajouté par Google en bas de formulaire on y voir des choses intéressantes telles que :

« Nos Services affichent des contenus n’appartenant pas à Google. Ces contenus relèvent de l’entière responsabilité de l’entité qui les a rendus disponibles. Nous pouvons être amenés à vérifier les contenus pour s’assurer de leur conformité à la loi ou à nos conditions d’utilisation. Nous nous réservons le droit de supprimer ou de refuser d’afficher tout contenu que nous estimons raisonnablement être en violation de la loi ou de notre règlement. Le fait que nous nous réservions ce droit ne signifie pas nécessairement que nous vérifions les contenus. Dès lors, veuillez ne pas présumer que nous vérifions les contenus. »

Ou encore :

« Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d'utilisation, d'hébergement, de stockage, de reproduction, de modification, de création d'œuvres dérivées (des traductions, des adaptations ou d'autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d'affichage public ou de distribution publique desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l'exploitation, la promotion ou à l'amélioration de nos Services, ou au développement de nouveaux Services. Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d'utiliser nos Services (par exemple, pour une fiche d'entreprise que vous avez ajoutée à Google Maps). Certains Services vous proposent le moyen d'accéder aux contenus que vous avez soumis à ce Service et de les supprimer. Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d'utilisation des contenus que vous avez soumis aux Services en question. Assurez-vous que vous disposez de tous les droits vous permettant de nous accorder cette licence concernant les contenus que vous soumettez à nos Services. » 

Est-ce que cela comprend les données saisies par les personnes qui répondent à l’enquête ?

Il faudrait une analyse longue et complexe des conditions d’utilisations et autre document liés, tels que les clauses additionnelles qui sont particulièrement instructives sur les données recueillies et leur usage.

Minimisation des données

Il appartient ici à l’organisme qui établit le questionnaire de définir les données. 

Mais Google recueille-t-il d’autres données telles que l’adresse IP ? Associe-t-elle ces données à d’autres éléments ?Là encore une analyse plus détaillée s’impose. 

Données exactes

Cela se fera simplement en informant (cf. analyse ci-avant) les personnes de leurs droits, donc celui de rectification, et des moyens de les exercer. 

Durée de conservation limitée

Une fois que le questionnaire n’est plus accessible et que les analyses nécessaires ont été effectuées, les données à caractère personnel devraient logiquement être supprimées (on pourrait digresser sur le « quand », mais là n’est pas notre propos). Mais est-on sûr que Google supprime bien les données lorsque l’on demande la suppression du questionnaire ? La lecture de l’aide en ligne n’est pas claire et ce point mérite donc également une analyse plus approfondie. 

Sécurité

Ne pas confondre avec confidentialité. Si on peut penser que Google ne lésine pas sur la sécurité, on peut (doit ?) s’interroger (cf. analyse ci-avant) sur la confidentialité (comme on le ferait pour tout autre prestataire).

Au-delà de ces principes de base listés par l’article 5 du RGPD et qui existent déjà dans la réglementation actuelle, il faudra aussi respecter les principes dit de responsabilité (Accountability, article 24) et de Protection des données dès la conception et Protection des données par défaut (Privacy by design et Privacy by default, article 25).Avec les points soulevés ci-dessus, nous sommes au cœur de ces 2 articles :

  • A-t-on fait une analyse assez poussée afin de s’assurer du respect des principes du RGPD ?
  • Est-on en mesure de le démontrer ?
  • Est-on sûr de qui va avoir accès aux données ?Nous pourrions également effectuer une analyse de l’article 28 qui liste des conditions d’une « bonne » sous-traitance.

En effet, si Google n’est ici clairement pas le responsable de traitement comme nous l’avons vu plus haut, il est tout aussi clairement un sous-traitant (la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement).Le responsable de traitement (celui qui met en œuvre un questionnaire via Google Forms) doit donc s’interroger (en analyse préalable = Accountabiliy et Privacy by design) sur cet article 28 :

  • Google met-t-il en œuvre en œuvre des « mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » ?
  • Les conditions d’utilisation et autres politiques de Google sont-elles conformes à l’article 28.3 (Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement) ?

Les conditions de notification d’une violation de donnée en 72 heures sont-elles possibles ?

Christophe Champoussin termine son analyse en analysant le risque d’une possible violation de données personnelle : si cela devait arriver, le responsable de traitement aurait 72h pour notifier une faille à la CNIL.Mais est-il assuré que Google l’informe à temps (et de manière suffisamment complète) afin qu’il puisse remplir ses obligations ?

Une analyse à poursuivre d’ici au 25 mai 2018

La réponse à la question « L’usage de Google Forms est-il conforme ou non aux principes du RGPD ? » nécessiterait une analyse bien plus longue et complexe que celle effectuée ci-dessus.
Mais si la question est posée est sans réponse affirmative (et démontrable). Chaque utilisateur se doit de s’interroger avant toute utilisation du service pour être parfaitement conforme au RGPD.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (3)

Le rêve d’un « service premium gratuit » et de contrats de maintenance à vie sans payer (n°3 d’une longue série à venir.)

la rédaction 0 207

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.
Il est usuel d’exiger une qualité de service parfaite. Les produits doivent fonctionner et n’avoir aucun défaut. Le fournisseur doit apporter une réponse immédiate à tout, y compris pour fournir des services qu’il n’a jamais envisagés, et le tout gratuitement.
Des telles attentes reposent sur un malentendu dans lequel l’utilisateur est aussi fautif que le fournisseur. Que l’on soit avec un service de grande consommation, ou avec un service professionnel.



Événements SSI

APS

Salon professionnel de la sûreté et de la sécurité

la rédaction 0 160

APS, salon professionnel de la sûreté et de la sécurité, se tient du 26 au 28 septembre 2017 à Paris, porte de Versailles (pav. 5.2/5.3). Organisé par Reed Expositions.

LES ASSISES

...de la sécurité des systèmes d'information

la rédaction 0 387

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

TRUSTECH

Technologies de la confiance

la rédaction 0 206

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 28 novembre au 30 novembre 2017. Organisé par Comexposium.

FIC

Forum International de la Cybersécurité à Lille

la rédaction 0 223

Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2017 le Grand Palais de Lille. Organisé par la Région Nord-Pas de Calais et Euratechnologies, la Gendarmerie Nationale et CEIS.

IT MEETINGS

Salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité

la rédaction 0 214

Le salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Couplé avec le Data Intelligence Forum

la rédaction 0 206

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

RSA CONFERENCE

Édition USA

la rédaction 0 200

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

RSS