Le RGPD pourrait provoquer des fuites de données

Ce n’est pas ce qu’on attendait du nouveau Règlement européen de protection des données (RGPD) quelques jours après son entrée en vigueur. Des sociétés comme Instapaper, des médias comme le Los Angeles Times ont coupé les accès à leur site web depuis l’Europe (officiellement, pour se mettre en ordre avec le RGPD). L’Icann, l’organisme qui distribue les noms de domaine, est sous pression, car son service Whois, pourtant essentiel pour la lutte contre la criminalité sur le net, est incompatible avec le RGPD: Whois permet de savoir qui a ouvert un site. L’Icann impose aux bureaux d’enregistrement qu’elle accrédite de collecter, pour les rendre publics, les nom, adresse, téléphone, adresse mail, etc. de celui qui ouvre un nom de domaine.

Depuis le 25 mai, la collecte et la publication de ces données doivent faire l’objet d’une demande de consentement dans l’Union européenne. Or ces données – pas très justes, il est vrai – permettent aux autorités judiciaires de commencer leurs enquêtes. Certains bureaux d’enregistrement, par peur de l’amende, ne les collectent plus. L’Icann a, dans l’urgence, trouvé une solution: ne donner l’accès à Whois qu’aux autorités accréditées. Comment faire en pratique?

A lire: ce qui va changer en Suisse aussi avec le RGPD

Un autre couac se précise: la fuite en masse de données grâce aux mails d’hameçonnage (phishing) qui se cachent derrière les centaines d’e-mails reçus par les citoyens européens pour recueillir leur consentement. Tous les sites qu’on a visités une fois dans sa vie, en y laissant notre adresse e-mail ou plus, ont évidemment envie de vous garder (il y va de leur valorisation). Ils vous envoient une demande de consentement, mais bien malin l’internaute qui se souviendra de tous les sites et autres abonnements auxquels il s’est inscrit… Il va donc ouvrir l’e-mail, y découvrir un lien et cliquer dessus. Le voilà sur un site qui a tout de l’apparence d’un site officiel, qui lui demande d’introduire un login et un mot de passe pour donner son consentement. Les voilà aux mains des hackers. Airbnb en a déjà fait les frais début mai. Par une ironie de l’histoire, le RGPD risque donc être à l’origine de fuites de données, qu’il est censé protéger.

C’est une situation d’autant plus absurde que le RGPD précise qu’un consentement recueilli avant le 25 mai reste valable mais tout le monde se copie l’un l’autre pensant bien faire.

Autre abus constaté: les grandes entreprises se déchargent de leur responsabilités RGPD envers les sous-traitants qui n’osent pas refuser. Elles profitent du RPGD qui, c’est vrai, impose une mise à jour des contrats mais pas au point de se décharger de la tenue du registre des traitements à titre gracieux.

Consentement explicite

Car le consentement doit être explicite. Recevoir un e-mail sans une action de la part de l’usager ne serait pas valable pour sortir du «qui ne dit mot, consent». Le consentement doit être libre et réversible: une administration ou votre employeur, en Europe, ne peuvent vous demander un consentement du fait du rapport de force qu’ils sont censés exercer sur vous. Inclure le consentement dans un contrat commercial est interdit, car on ne peut subir de dommage suite à un refus de consentement.

A lire: Des médias américains renoncent à l’Europe

Si l’entreprise a besoin de vos données pour fournir un service amélioré, vous pouvez refuser de lui accorder votre consentement. Elle doit continuer à vous fournir le service de base pour lequel ces données ne sont pas nécessaires: pas question de le stopper. Retirer son consentement doit être possible, avec la même facilité que de le donner (inutile de rendre complexe cette étape pour dissuader l’usager de faire marche arrière). Même la recherche scientifique doit s’incliner: des données qui permettraient une avancée médicale ne pourront plus être utilisées sans le consentement des patients (le donneront-ils?). Comme le consentement doit être un prérequis avant la fourniture du service, cette avalanche d’e-mails était prévisible.

Redoutable efficacité de l’hameçonnage

Ces premiers ratés du GDPR auront le mérite de rappeler la redoutable efficacité et simplicité des campagnes d’hameçonnage. Avec elles, le clic là où il ne faut pas est inévitable avec infection à la clé. Il suffit d’un employé dans l’entreprise pour que les montants investis dans des cyberprotections dernier cri ne servent à rien. Ce sont les mails d’hameçonnage envoyés aux employés pendant leurs heures de travail qui sont les plus efficaces.

A force de recevoir des mails, les traiter, parfois à titre privé, parfois sur son mail privé qui coexiste avec le professionnel, l’attention se relâche. On a peut-être fini par savoir qu’il faut se méfier des mails pour un colis DHL bloqué à la douane mais qui oserait avouer qu’il n’a jamais cliqué sur un mail de Facebook à cause d’un nouveau post, ou sur LinkedIn parce qu’une connaissance a changé de travail.

A lire: Les petits arrangements de Facebook avec le RGPD

Vérifions-nous toujours que c’est LinkedIn qui l’a envoyé? Un mail qui nous prévient d’un exercice incendie, de punaises dans la moquette envoyé par le service sécurité et hygiène, de l’IT qui demande d’exécuter une mise à jour, d’un verre offert le vendredi soir pour le départ d’un employé (qui aura eu l’imprudence de le publier au vu de tous sur Facebook), de billets gratuits pour le Mondial de 2018, on s’en méfiera moins

Il suffit de vérifier le nom de domaine qui a envoyé ce mail, direz-vous, sauf qu’on peut envoyer des mails d’ailleurs que du nom de domaine revendiqué. Airbnb a cru bon de préciser qu’il n’envoie ses mails que de @airbnb.com, @airbnbmail.com, @e.airbnb.com, @host.airbnb.com, @guest.airbnb.com, @airbnbaction.com, @express.medallia.com ou qemailserver.com. Par contre, @reservation-airbnb.com n’est pas bon. Il faut le savoir…