RGPD : la Boîte de Pandore 2.0 ?

Dans le cadre du RGPD, le contrôle de vos données auprès d’une entreprise qui les détient est un droit. Et c’est bien. Toutefois, adresser une demande est-elle sans risques ? Et surtout, l’entreprise sollicitée n’ouvre-t-elle pas une Boîte de Pandore 2.0 sans le vouloir ? 

Contrôle de vos données : quels sont vos droits

Si le RGPD impose aux entreprises de sécuriser les données qu’elles détiennent, chacune doit être en mesure d’indiquer, aux particuliers, celles qui les concernent.

Vous pouvez ainsi, et sur simple demande écrite ou verbale, inviter une entité à vous communiquer :

• les données qu’elle conserve,
• pour exercer votre droit de modification ou de retrait.

Toutefois, et même si les entreprises sont au clair avec le RGPD en lui-même, combien ont pris conscience du risque d’ouvrir une Boîte de Pandore 2.0 en « vous » dévoilant les données demandées ?

Quelles informations peut-on vous communiquer ?

L’entité auprès de laquelle vous demandez le contrôle de vos données doit, en principe*, vous répondre sous délai d’un mois.  Après étude de votre requête, elle vous adresse une copie des données qu’elle détient sur vous. Ces dernières se rapportent à (aux) :

• catégories de données collectées et à leurs finalités d’utilisation,
• destinataires ou catégories de destinataires qui ont pu accéder à ces données,
• la durée de conservation des données ou les critères qui déterminent cette durée,
• l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
• la possibilité de saisir la CNIL,
• toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de vous,
• l’existence d’une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
• l’éventuel transfert de vos données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.

*Pour tout savoir sur ce sujet, consultez la fiche « Le droit d’accès », publiée sur le site de la CNIL.

Contrôle des données : l’envers de la médaille !?

Selon une recherche menée par James  Pavur, étudiant PhD à l’Université d’Oxford, les entreprises oublient cependant de s’assurer que les demandes d’accès sont légitimes.

>>>150 demandes, 83 réponses et peu ou pas de contrôle d’identité

En effet, « et comme il est mentionné dans la présentation qu’il a donnée à la récente conférence Black Hat à Las Vegas, James Pavur a envoyé 150 demandes d’accès RGPD à des entreprises non pas en son nom mais en celui de sa fiancée. Près des trois quarts des entreprises ont répondu à ces demandes, et 83 d’entre elles ont confirmé qu’elles détenaient des données liées à sa fiancée. Parmi celles-ci, près d’un quart lui ont fourni ces données après réception d’une simple adresse email et/ou d’un numéro de téléphone à fin de vérification d’identité. 16% d’entre elles ont accepté des documents d’identité qui auraient pu être facilement falsifiées » explique Arnaud Gallut, Directeur des Ventes Europe du Sud Ping Identity.

>>>Informations sensibles : attention aux acteurs malveillants

Plus inquiétant, ajoute-il : « James Pavur a même pu obtenir des informations sensibles sur sa fiancée sans aucune vérification d’identité. Dans un cas, il a reçu le numéro de sécurité sociale US de sa fiancée sans fournir aucun document d’identité. Globalement, dans 60% des cas dans lesquels James Pavur a reçu des données de la part d’une entreprise. Pire, ces données auraient pu avoir une utilité plausible pour un acteur malveillant, et dans 15% des cas, elles auraient pu avoir une utilité évidente pour ces mêmes acteurs ».

>>>Le RGPD et droit d’accès : une Boite de Pandore 2.0 ?

Enfin, « James Pavur a également pu montrer comment des données transmises par des entreprises différentes auraient pu être combinées par des pirates. Par exemple, sur la base de multiples demandes d’accès, il a été capable d’obtenir dix chiffres du numéro de carte de crédit de sa fiancée, la date d’expiration de la carte, et le nom et code postal de la banque d’émission. Autre élément intéressant, sur la base d’une demande RGPD adressée à un spécialiste du renseignement sur les menaces, il a été capable d’obtenir des noms d’utilisateurs et mots de passe piratés associés à sa fiancée, certains d’entre eux étant toujours utilisés par elle pour d’autres services en ligne, dont une application bancaire ».

Ce problème pourrait-il se produire en France ?

Dans l’absolu, il pourrait être intéressant de procéder au même contrôle que James Pavus en France.

En pratique, l’entreprise sollicitée doit vous demander de justifier de votre identité et d’apporter des indications que vous seul.e pouvez connaître (numéro de client, éléments permettant de vous identifier si vous êtes abonné.e à un service…).

Au moindre doute « raisonnable », une photocopie d’une pièce d’identité peut être exigée. Mais, bien sûr, le niveau des vérifications à effectuer peut varier en fonction de la nature de la demande, de la sensibilité des informations communiquées et du contexte dans lequel la demande est faite.

Pour aller plus loin sur ce sujet, découvrez sur le site de la CNIL les conseils qu’elle donne aux entreprises pour, justement, sécuriser le contrôle des accès à vos données.

La rédaction vous recommande…

• Six mesures pour protéger vos données
• RGPD zappé : faut-il s’inquiéter ?

---

À propos de Ping Identity

Ping Identity aident les entreprises à mettre en place une sécurité zéro confiance fondée sur les identités, et à offrir des expériences utilisateurs plus personnalisées et rationalisées. La plateforme Ping Intelligent Identity permet aux clients, employés et partenaires d’accéder aux API et applications cloud, mobiles, SaaS et locales, tout en assurant une gestion adaptée des données d’identité et de profil.