Cette année, la Journée de la protection des données a une saveur particulière

Au milieu de toutes les fuites… bonne journée de la vie privée !

Comme le rappelle le Conseil de l’Europe, le 28 janvier est la Journée de la protection des données. Elle a été mise en place en 2006 (la première édition date néanmoins de 2007) par le Comité des Ministres du Conseil de l’Europe : « Cette journée est aujourd’hui célébrée dans le monde entier, sous le nom de "Journée internationale de la protection des données" ou "Journée de la vie privée" ». Elle n’est toutefois pas au calendrier des journées mondiales des Nations Unies.

La date n’est pas choisie au hasard : « elle marque l’anniversaire de l’ouverture à la signature de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel [du 28 janvier 1981, ndlr], sensibilisant ainsi à la nécessité de respecter et de protéger la vie privée des individus et soulignant le rôle de la Convention 108 pour les flux transfrontières de données dans le monde », explique le Conseil de l’Europe.

Cette année, cette journée « invite à réfléchir et à discuter de l’évolution du mandat de la protection des données, en particulier de son rôle essentiel en tant que garantie de notre société démocratique contre les intrusions excessives dans la vie privée des individus par des acteurs publics ou privés et leur impact sur les droits humains, l’État de droit et la démocratie ».

Protéger vos données !

Chacun y va de sa petite annonce à cette occasion, notamment Cybermalveillance.gouv. Le site rappelle les bonnes pratiques pour protéger vos informations personnelles, professionnelles et bancaires.

Premier point, les mots de passe : ils doivent être complexes et uniques pour chaque service. Le but étant d’éviter qu’une fuite, et elles sont nombreuses, ne puisse avoir des incidences sur d’autres comptes. La CNIL et l’ANSSI ont mis à jour leurs recommandations en 2021 et rappellent qu’en changer régulièrement est « contre-productif ».

• Phrases de passe : la CNIL passe elle aussi en mode 2.0

On ne le répétera jamais assez, mais faites des sauvegardes régulières ! Une sauvegarde ce n’est pas seulement copier des documents sur une clé USB. Et, surtout, une sauvegarde ça se teste pour vérifier que tout fonctionne bien et que l’on pourra récupérer ses données en cas de besoin.

• Qu’est-ce que la stratégie de sauvegarde 3-2-1 ?

Cybermalveillance ajoute aussi de ne pas oublier que les « mises à jour sont essentielles pour garantir votre cybersécurité, car elles corrigent les failles de sécurité ». Un exemple pas plus tard qu’aujourd’hui avec une faille 0-day chez Apple. On pourrait multiplier les exemples quasiment à l’infini.

Soyez vigilants !

Vous avez beau prendre un maximum de précaution, une fuite peut arriver via un service tiers. Les exemples sont nombreux ces derniers mois. L’année 2024 a été marqué par la fuite chez France Travail sur 43 millions de personnes, le point d’orgue des fuites précédentes.

• [Édito] Internet, un annuaire des Français à ciel ouvert

Les risques sont toujours les mêmes avec les fuites de données : du phishing grâce aux informations récoltées afin de tenter d’en récupérer d’autres ou de vous soutirer de l’argent. Surtout que l’on peut facilement combiner ces informations avec d’autres fuites/trouvailles sur Internet. Tout le monde est concerné et la prudence doit être de mise face à des messages, appels et toutes formes de sollicitations.

Face à la recrudescence des actes de cybermalveillance, le Service d’Information du Gouvernement (SIG) rappelle « un réflexe à adopter : se rendre sur 17Cyber.gouv.fr pour obtenir des conseils pratiques et recevoir gratuitement une assistance ». Cette plateforme a été lancée mi-décembre 2024.

• 17cyber, la plateforme de lutte contre les cybermalveillances, est en ligne

Hausse des fuites en 2024 et nouvelles escroqueries

Le SIG confirme s’il en était besoin que, en 2024, « les violations de données ont connu une hausse importante ». La CNIL a ainsi enregistré 5 629 notifications de violations de données (+ 20 % en un an). « Beaucoup sont liés à des fuites de données personnelles massives, exploitant des vulnérabilités dans les systèmes de sécurité des organisations ». Selon l’ANSSI cette fois-ci, « 115 incidents ont été traités en 2024, ayant conduit à des exfiltrations de données ».

Le SIG revient sur une escroquerie qui a le vent en poupe ces derniers temps : « un message prétendant être celui d’un "livreur" vous informe que votre colis ne peut être livré et vous invite à fournir des informations personnelles sous forme de lien, vous exposant ainsi à un vol de données bancaires ». Il y a également les faux messages pour une urgence familiale dans lesquels « l’intelligence artificielle est souvent utilisée pour créer des profils et des vidéos de proches ».

La fuite d’un IBAN n’est pas sans risque

En plus des données personnelles, on retrouve parfois des données bancaires avec l’IBAN. L’association Aides.org, Free et Red by SFR en ont fait les frais. La fuite d’IBAN n’est pas anodine et mérite qu’on surveille son compte de près.

• Fuite d’IBAN : quels sont les risques, comment se protéger

Qu'est-ce qu'une donnée personnelle ? Comment ça marche ?

L’Institut national de la consommation (INC) rappelle ce qu’est une donnée personnelle et quels sont vos principaux droits. Il s’agit « de toute information se rapportant à une personne physique (vous) clairement identifiée ou qu’il est possible d’identifier ». Cela comprend évidemment vos nom, numéro de téléphone fixe, adresse postale, email, description physique, etc.

Autre point important : l’utilisation de vos données et le consentement : « Les professionnels peuvent utiliser vos données à condition notamment de vous avoir informé de la finalité de la collecte, des destinataires de vos données, de la durée de la collecte et de vos droits ».

Vous avez également plusieurs droits : à l’information, à la rectification, à l’oubli et à l’opposition. La CNIL dispose d’un dossier sur le sujet. Comme nous l’avons récemment expliqué avec les bandeaux RGPD, donner son accord avec le bouton « tout accepter » peut envoyer vos données vers des centaines de « partenaires ».

• [T@LC] On a regardé derrière les bandeaux RGPD… et on a eu très peur