Cette situation paradoxale révèle un conflit croissant entre deux visions opposées de l’avenir numérique. D’un côté, les autorités publiques européennes, soutenues par des organismes comme Europol, militent pour un affaiblissement du chiffrement et une extension des capacités de surveillance, au nom de la lutte contre la criminalité. De l’autre, les experts en cryptographie développent des technologies toujours plus sophistiquées pour préserver la confidentialité des données, notamment face à l’émergence de nouvelles menaces comme l’informatique quantique.

Cette dualité soulève des questions fondamentales sur l’équilibre entre sécurité collective et libertés individuelles, mais aussi sur la cohérence des politiques européennes en matière de protection des données. Comment concilier les principes du RGPD avec les nouvelles exigences sécuritaires ? Quelles sont les implications de ces évolutions pour les entreprises technologiques et les citoyens européens ?

Cet article examine ces enjeux cruciaux à travers trois axes principaux : l’analyse des propositions européennes visant à affaiblir le chiffrement et modifier le RGPD, l’impact de ces mesures sur l’écosystème technologique européen, et enfin les innovations cryptographiques qui pourraient redéfinir l’avenir de la protection des données personnelles.

I. Les propositions européennes : un recul des garanties RGPD

Les recommandations controversées du High Level Group

Le High Level Group (HLG) mandaté par le Conseil européen a publié un rapport qui pourrait marquer un tournant décisif dans l’approche européenne de la confidentialité numérique. Ces recommandations, si elles étaient adoptées, constitueraient un recul significatif par rapport aux principes fondateurs du RGPD et aux garanties qu’il offre aux citoyens européens.

La proposition la plus controversée concerne l’affaiblissement volontaire du chiffrement des communications. Le HLG considère que le chiffrement robuste constitue un obstacle majeur aux enquêtes criminelles, le déchiffrement étant jugé “trop coûteux et trop long” pour les autorités. Cette position traduit une incompréhension fondamentale des principes de sécurité informatique, où la force du chiffrement constitue précisément sa valeur ajoutée pour la protection des données.

Le concept d’“accès légitime” proposé par le HLG révèle l’ampleur des ambitions de surveillance. Il s’agirait d’intégrer des mécanismes permettant aux autorités d’accéder aux données chiffrées, y compris aux enregistrements de vidéosurveillance chiffrés, tout en prétendant maintenir “des mesures de cybersécurité solides”. Cette approche contradictoire ignore le principe fondamental de la cryptographie selon lequel toute porte dérobée, même conçue pour un usage légitime, constitue une vulnérabilité exploitable par des acteurs malveillants.

L’exigence de “clés maîtresses” que devraient fournir les éditeurs de messagerie illustre parfaitement cette incompréhension technique. Comme le reconnaît le rapport lui-même, une telle demande est “parfois tout bonnement impossible à faire”, notamment pour les services utilisant un chiffrement de bout en bout où même l’opérateur ne possède pas les clés de déchiffrement.

Des États membres divisés

La position d’Europol en faveur de ces mesures révèle une approche sécuritaire qui privilégie l’efficacité des enquêtes sur la protection des libertés numériques. L’organisation estime que “les messageries sécurisées compliquent beaucoup trop les enquêtes” et souhaite contraindre les géants technologiques à coopérer, quitte à “bousculer les libertés numériques”.

Cette position divise les États membres de l’Union européenne. La France et les Pays-Bas soutiennent activement ces propositions, considérant que les impératifs sécuritaires justifient un affaiblissement du chiffrement. À l’inverse, l’Allemagne et la Finlande s’opposent fermement à ces mesures, défendant une approche plus protectrice des droits fondamentaux et de la sécurité informatique.

Cette division révèle l’absence de consensus européen sur l’équilibre entre sécurité et vie privée, fragilisant la cohérence de la politique européenne en matière de protection des données.

La remise en cause des principes du RGPD

Les propositions concernant la rétention des données constituent peut-être l’aspect le plus préoccupant de ces recommandations. Le HLG propose explicitement de “faire marche arrière” sur les acquis du RGPD en instaurant “des exigences minimales pour la conservation de certains types bien spécifiques de données” qui s’appliqueraient à “tout opérateur économique fournissant des services de communication électronique”.

Cette approche contredit directement le principe de minimisation des données inscrit dans le RGPD, selon lequel les données personnelles doivent être “limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. L’instauration de périodes de rétention minimales, définies en fonction des catégories de métadonnées et du type de crime présumé, transformerait tous les opérateurs de communication en auxiliaires de surveillance.
L’obligation de création de comptes utilisateur pour les services qui n’en nécessitent pas actuellement illustre cette logique de surveillance généralisée. Des services comme la messagerie française Olvid, qui garantissent l’anonymat de leurs utilisateurs, seraient contraints de mettre en place des systèmes d’identification, réduisant drastiquement leur capacité à protéger la vie privée de leurs utilisateurs.

Le HLG présente ces obligations comme “positives dans le contexte des discussions sur la nécessité d’augmenter la transparence et la responsabilité des fournisseurs”, détournant ainsi le vocabulaire de la protection des données pour justifier des mesures de surveillance renforcée.

II. Impact sur l’écosystème technologique européen : le cas emblématique de Proton

La fin de la confidentialité promise par Proton ?

L’histoire de Proton illustre parfaitement l’évolution des enjeux de confidentialité numérique. Fondée en 2014 par des chercheurs du CERN, l’entreprise s’est établie en Suisse précisément pour bénéficier de lois favorables à la protection des données et d’un cadre juridique stable. Cette décision stratégique avait permis à Proton de se développer en proposant des services de messagerie et de stockage cloud chiffrés, attirant des millions d’utilisateurs soucieux de leur vie privée.

Jusqu’à présent, Proton avait réussi à naviguer dans les eaux troubles de la coopération judiciaire internationale. L’entreprise avait déjà dû partager des adresses IP sur demande des autorités suisses, conformément à la législation locale, mais les e-mails et les fichiers étaient restés chiffrés et illisibles pour les enquêteurs. Cette situation illustrait un équilibre acceptable entre les exigences légales et la protection de la vie privée des utilisateurs.

La révision proposée de la loi suisse sur la surveillance changerait radicalement cette donne. Les nouvelles dispositions viseraient à obliger les entreprises à “mettre en place des dispositifs de surveillance et supprimer leur mécanisme de chiffrement afin de pouvoir récupérer, à minima, les métadonnées”. Une telle exigence rendrait impossible le maintien du modèle de sécurité de Proton, basé sur l’impossibilité technique pour l’entreprise d’accéder aux données de ses utilisateurs.

La menace d’exode des entreprises technologiques

L’évolution du cadre réglementaire européen provoque déjà des réactions dramatiques de la part des entreprises technologiques spécialisées dans la protection de la vie privée. Le cas de Proton, entreprise suisse fondée en 2014 et devenue une référence mondiale en matière de messagerie sécurisée, illustre parfaitement les risques que font peser ces nouvelles orientations sur l’écosystème technologique européen.

Andy Yen, PDG et co-fondateur de Proton, a clairement exprimé son opposition aux révisions envisagées : “Nous nous sentirons obligés de quitter la Suisse si la révision partielle de la loi sur la surveillance que le Conseil fédéral envisage entre en vigueur”. Cette déclaration, loin d’être un simple effet d’annonce, révèle l’incompatibilité fondamentale entre les nouvelles exigences de surveillance et le modèle économique des entreprises axées sur la confidentialité.

L’ironie de la situation réside dans le fait que ces mesures feraient de l’Europe un territoire moins favorable à la protection des données que les États-Unis, pourtant souvent critiqués pour leurs pratiques de surveillance. Comme le souligne Andy Yen, “la surveillance suisse serait donc nettement plus stricte qu’aux États-Unis et que dans l’UE”, créant un paradoxe où l’Europe, pionnière de la protection des données avec le RGPD, deviendrait moins attractive que d’autres juridictions.

Un risque de perte de compétences

Le cas de Proton n’est pas isolé. Meredith Whittaker, dirigeante de Signal, autre référence mondiale en matière de messagerie sécurisée, a également exprimé sa détermination à ne plus fournir aux français sa messagerie sécurisée, si le chiffrement sans accès aux autorités devenait illégal en France. Cette convergence de réactions illustre un phénomène plus large : les entreprises technologiques axées sur la confidentialité sont prêtes à délocaliser leurs activités plutôt que de compromettre la sécurité de leurs utilisateurs.

Cette situation crée un paradoxe majeur pour l’Europe. Alors que l’Union européenne cherche à développer sa souveraineté numérique et à réduire sa dépendance vis-à-vis des géants technologiques américains et chinois, ses propres politiques risquent de pousser vers l’exil les entreprises européennes les plus innovantes en matière de protection de la vie privée.

L’impact économique de tels départs ne se limiterait pas à la perte directe d’emplois et de revenus fiscaux. Il s’agirait également d’une perte de savoir-faire technologique et d’influence géopolitique.

III. Vers un nouveau paradigme de protection des données avec les innovations cryptographiques

La révolution post-quantique

Face aux pressions exercées par les autorités pour affaiblir le chiffrement traditionnel, la communauté cryptographique développe des solutions toujours plus sophistiquées pour préserver la confidentialité des données. L’émergence de l’informatique quantique constitue à la fois une menace existentielle pour la cryptographie actuelle et un catalyseur pour le développement de nouvelles approches révolutionnaires.

L’algorithme de Shor, exécutable sur un ordinateur quantique suffisamment puissant, menace directement les systèmes de cryptographie à clé publique les plus utilisés aujourd’hui, notamment RSA et les courbes elliptiques. Cette menace n’est pas purement théorique : les services de renseignement stockent déjà des communications chiffrées dans l’espoir de pouvoir les déchiffrer ultérieurement grâce aux futurs ordinateurs quantiques. Cette stratégie d’“attaques rétroactives” impose un calendrier serré pour la migration vers la cryptographie post-quantique

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a identifié cette menace comme prioritaire et recommande une approche de migration progressive. La stratégie hybride préconisée consiste à combiner les nouveaux algorithmes post-quantiques avec les algorithmes classiques reconnus, garantissant une sécurité au moins équivalente tout en évitant toute régression. Cette approche prudente reflète la complexité technique de la transition et l’importance cruciale de maintenir la sécurité pendant la période de migration.

Le National Institute of Standards and Technology (NIST) américain a lancé une campagne de standardisation d’algorithmes post-quantiques dont les premiers résultats ont été publiés en 2022. Cette standardisation internationale facilite l’adoption de ces nouvelles technologies et garantit l’interopérabilité des systèmes de différents fournisseurs.

Les technologies de préservation de la vie privée (PET)

Parallèlement à la cryptographie post-quantique, une nouvelle génération de technologies de préservation de la vie privée (Privacy Enhancing Technologies - PETs) émerge pour répondre aux besoins croissants de confidentialité dans un monde numérique interconnecté. Ces technologies offrent des solutions innovantes qui permettent de traiter des données sensibles tout en préservant leur confidentialité.

Le chiffrement homomorphe représente l’une des avancées les plus prometteuses dans ce domaine. Cette technologie permet d’effectuer des opérations mathématiques directement sur des données chiffrées, sans jamais les déchiffrer. Le résultat, une fois déchiffré, correspond exactement au calcul qui aurait été effectué sur les données en clair. Bien que limité initialement par sa complexité computationnelle, le chiffrement homomorphe a considérablement gagné en praticité et constitue désormais un domaine de recherche particulièrement actif.

Le calcul multipartite sécurisé (Secure Multi-Party Computation - MPC) offre une approche complémentaire en permettant à plusieurs parties de calculer conjointement une fonction sur leurs données respectives sans révéler ces données, à l’exception du résultat final. Cette technologie trouve déjà des applications concrètes dans des domaines variés, des ventes aux enchères sécurisées aux études statistiques sur les inégalités salariales. Le Private Set Intersection (PSI), une forme spécialisée de MPC, est notamment utilisé par Apple et Google dans leurs outils de surveillance des mots de passe compromis.

Les preuves de connaissance à divulgation nulle (Zero-Knowledge Proofs - ZKP) constituent peut-être la technologie la plus mature de cette nouvelle génération. Elles permettent de prouver la véracité d’une assertion sans révéler l’information sous-jacente qui permet cette preuve. Les applications sont nombreuses : vérification d’âge respectueuse de la vie privée, authentification sans révélation d’identifiants, ou encore validation de conformité réglementaire sans exposer les données sensibles.

Applications pratiques pour le RGPD

Ces technologies avancées ne constituent pas seulement des innovations académiques ; elles offrent des solutions concrètes pour renforcer la conformité au RGPD tout en permettant l’innovation numérique. Leur potentiel de contribution aux principes fondamentaux du règlement européen est considérable.

Le principe de minimisation des données, central dans le RGPD, trouve dans les ZKP un outil particulièrement adapté. Ces technologies permettent de vérifier des informations sans collecter ni stocker les données personnelles sous-jacentes, réduisant drastiquement les risques de violation de données et simplifiant la conformité réglementaire.

Le chiffrement fonctionnel (Functional Encryption - FE) apporte une réponse élégante au principe de limitation des finalités. Cette technologie permet un déchiffrement sélectif des données en fonction des opérations autorisées à l’utilisateur, garantissant que les données ne peuvent être utilisées que pour les finalités prévues lors de leur collecte.

Dans le domaine de l’intelligence artificielle et de l’apprentissage automatique, ces technologies ouvrent de nouvelles perspectives pour l’entraînement de modèles sur des données sensibles. Le MPC permet l’entraînement collaboratif de modèles sans partage de données brutes, tandis que le chiffrement homomorphe permet l’inférence sur des données chiffrées, préservant ainsi la confidentialité tout au long du processus.

L’informatique confidentielle dans le cloud bénéficie également de ces avancées. Les entreprises peuvent désormais externaliser le traitement de leurs données sensibles tout en garantissant qu’elles restent illisibles pour le fournisseur de services cloud et les tiers malveillants. Cette capacité répond directement aux préoccupations de souveraineté numérique et de protection des données dans un contexte de cloud computing généralisé.

Conclusion

L’analyse de ces évolutions révèle un paysage numérique européen à la croisée des chemins, où s’affrontent deux visions diamétralement opposées de l’avenir de la protection des données. D’un côté, les autorités publiques, soutenues par des organismes comme Europol, militent pour un affaiblissement du chiffrement et une extension des capacités de surveillance, remettant en question les acquis fondamentaux du RGPD. De l’autre, la communauté technologique et cryptographique développe des solutions toujours plus sophistiquées pour préserver la confidentialité des données, anticipant même les menaces futures comme l’informatique quantique.

Cette tension révèle un paradoxe européen majeur : alors que l’Union européenne s’est positionnée comme pionnière mondiale de la protection des données avec le RGPD, les nouvelles orientations sécuritaires risquent de faire de l’Europe un territoire moins favorable à la vie privée numérique que d’autres juridictions. L’exode annoncé d’entreprises comme Proton et Signal illustre parfaitement cette contradiction et ses conséquences économiques potentielles.

Les innovations cryptographiques offrent pourtant des voies prometteuses pour concilier les impératifs sécuritaires et la protection de la vie privée. Les technologies de préservation de la vie privée, du chiffrement homomorphe aux preuves à divulgation nulle, démontrent qu’il est techniquement possible de préserver la confidentialité tout en permettant les traitements nécessaires aux enquêtes légitimes et à l’innovation numérique.

L’enjeu dépasse la seule question technique pour toucher aux fondements de la société numérique européenne. Le choix entre surveillance généralisée et protection renforcée de la vie privée déterminera non seulement l’avenir de la confidentialité numérique, mais aussi la position géopolitique de l’Europe dans l’économie numérique mondiale. La capacité de l’Union européenne à maintenir sa cohérence réglementaire tout en préservant son attractivité pour l’innovation technologique constitue l’un des défis majeurs des années à venir.

Sources:

• Des experts nous donnent les clés pour décrypter la cryptographie d’aujourd’hui et de demain (LINC/CNIL)
• Surveillance, fin du chiffrement : Proton pourrait quitter la Suisse
• Fin du chiffrement, rétention de données, compte obligatoire : les recommandations des experts de l’UE

Article réalisé avec l’assistance de l’IA Claude 4 Sonnet d’Anthropic

Ce modèle, qui a été adopté notamment par des géants comme Meta pour Facebook et Instagram, soulève des questions fondamentales sur l’équilibre entre les droits des utilisateurs et les modèles économiques numériques. Bien que présenté comme une solution permettant aux utilisateurs de choisir librement leur niveau de protection des données, le “Pay-or-Okay” cache des réalités économiques et juridiques bien plus complexes.

L’analyse approfondie de ce modèle révèle des motivations qui dépassent largement la simple recherche d’un équilibre économique. Entre les coûts prohibitifs imposés aux consommateurs, les revenus marginaux générés pour les entreprises, et les questions de conformité au RGPD, le “Pay-or-Okay” apparaît davantage comme une stratégie de contournement réglementaire que comme une innovation respectueuse des droits fondamentaux. Cette problématique soulève des enjeux cruciaux pour l’avenir de la protection des données en Europe et la viabilité des modèles économiques numériques.

I. Les véritables motivations derrière le modèle “Pay-or-Okay”

Une stratégie de promotion déguisée

Contrairement aux justifications économiques avancées par ses promoteurs, le modèle “Pay-or-Okay” révèle des motivations bien différentes de celles officiellement proclamées. L’analyse des pratiques réelles montre que ce système fonctionne principalement comme un outil promotionnel sophistiqué pour les services d’abonnement. En effet, tous les modèles connus de “Pay-or-Okay” se présentent sous forme d’abonnements récurrents, facturant automatiquement les utilisateurs qu’ils utilisent ou non le service de manière intensive.

Cette approche transforme les bannières de consentement, initialement conçues pour respecter les droits des utilisateurs, en véritables outils marketing pour promouvoir des abonnements payants. Les entreprises détournent ainsi un mécanisme de protection des données pour en faire un levier commercial, créant une confusion délibérée entre consentement réglementaire et stratégie commerciale.

L’efficacité redoutable des “Dark Patterns”

Le “Pay-or-Okay” s’avère être l’une des manipulations les plus efficaces jamais conçues pour maximiser les taux de consentement. Alors que les techniques classiques de “Dark Patterns” manipulation (boutons de refus cachés, cases pré-cochées, interfaces trompeuses…) permettent d’atteindre des taux de consentement entre 65 et 85%, le modèle “Pay-or-Okay” propulse ces taux à 99% ou plus!

Cette efficacité redoutable s’explique par la pression économique exercée sur les utilisateurs. Face au choix entre payer des sommes souvent considérables ou accepter le traitement de leurs données, la quasi-totalité des utilisateurs optent pour la seconde option. Cette contrainte économique transforme le consentement en une décision par défaut plutôt qu’en un choix libre et éclairé.

Les dirigeants d’entreprises proposant ces services reconnaissent d’ailleurs ouvertement que l’intérêt principal réside dans cette augmentation majeure des taux de consentement, bien plus que dans les revenus directs générés par les paiements des utilisateurs. Cette approche révèle la véritable nature du modèle : un mécanisme de coercition économique déguisé en respect du choix de l’utilisateur.

Une opposition politique au RGPD

Au-delà des considérations commerciales, certains acteurs utilisent le “Pay-or-Okay” comme une forme de résistance politique au RGPD et à la Directive ePrivacy, qui n’a toujours pas été mise à jour du RGPD. Cette approche constitue une tentative de “hack juridique” visant à contourner des réglementations perçues comme contraignantes pour les modèles économiques traditionnels du numérique.

Cette dimension politique explique en partie l’adoption rapide du modèle par des secteurs entiers, malgré ses limites économiques évidentes. Il s’agit moins de trouver une solution viable à long terme que de créer une pression sur les régulateurs européens pour qu’ils assouplissent leurs exigences en matière de protection des données.

L’abandon définitif de la mise à jour de l’ePrivacy au RGPD par la Commission Européenne en février 2025 va aussi malheureusement dans ce sens.

II. L’impact économique disproportionné sur les consommateurs et les entreprises

Des coûts prohibitifs pour les utilisateurs

L’analyse économique du modèle “Pay-or-Okay” révèle une réalité choquante : les coûts imposés aux consommateurs pour refuser le consentement atteignent des niveaux totalement disproportionnés. Pour refuser le consentement sur les 100 sites web les plus visités dans les pays européens utilisant ce modèle, un utilisateur devrait débourser en moyenne 1 264 euros par an. En Allemagne, ce montant peut même atteindre 1 529 euros annuels, représentant environ 5% du revenu net moyen.

Ces coûts varient considérablement selon les pays et les sites. En France, refuser le consentement sur un seul site d’information coûte en moyenne 119,54 euros par an, tandis qu’en Italie, ce coût descend à 12,25 euros. Cependant, même ces montants “réduits” restent largement supérieurs aux revenus publicitaires réels générés par utilisateur.

La disproportion devient encore plus flagrante lorsqu’on compare ces coûts aux revenus publicitaires effectifs. En France, les utilisateurs paient environ 800% du revenu total de la publicité numérique par utilisateur pour refuser le consentement sur un seul site web. Cette différence astronomique démontre que les prix pratiqués n’ont aucun rapport avec les pertes économiques réelles subies par les éditeurs.

Une exclusion sociale sans états d’âmes

L’impact social du modèle “Pay-or-Okay” s’avère particulièrement préoccupant. Avec 21,6% des résidents de l’Union européenne menacés de pauvreté ou d’exclusion sociale, ces prix élevés créent de facto une discrimination économique dans l’accès à la protection des données. Le concept de “choix libre et éclairé” devient une fiction juridique pour une partie significative de la population européenne.

Cette situation crée un système à deux vitesses où seuls les utilisateurs aisés peuvent véritablement choisir de protéger leurs données personnelles. Pour les autres, le consentement devient une contrainte économique plutôt qu’un droit fondamental, transformant la protection des données en un privilège de classe.

Des revenus marginaux pour les entreprises

Paradoxalement, malgré les coûts élevés imposés aux utilisateurs, les revenus supplémentaires générés par le modèle “Pay-or-Okay” pour les éditeurs restent dérisoires. Les études montrent qu’un utilisateur génère environ 0,24 euro de revenus publicitaires par mois lorsque le suivi est activé. L’option payante, bien qu’elle génère un revenu plus élevé par utilisateur (3,24 euros par mois dans certaines études), n’est choisie que par 0,1% des utilisateurs.

Cette faible adoption de l’option payante conduit à une augmentation globale des revenus des éditeurs de presse de seulement 0,24% à 0,48% selon les estimations les plus optimistes. Ces chiffres démontrent que le “Pay-or-Okay” ne constitue pas une solution viable pour financer l’industrie médiatique, mais plutôt un revenu d’appoint marginal ou, plus probablement, une étape déguisée vers la conversion en abonnements premium.

La réalité des sources de financement médiatique

L’argument selon lequel les médias dépendent essentiellement de la publicité ciblée pour leur survie économique ne résiste pas à l’analyse factuelle. La publicité numérique ne représente qu’environ 10% des revenus de la presse européenne, et seule la moitié de cette publicité display est “programmatique” et nécessite des données personnelles. En réalité, seulement 5% ou moins des revenus des journaux et magazines proviennent du traitement des données personnelles à des fins publicitaires.

Les sources de revenus des médias sont en fait diversifiées : abonnements, ventes individuelles, publicité imprimée et numérique, événements, financement par les plateformes technologiques, subventions publiques, et commerce électronique. Cette diversification relativise considérablement l’importance de la publicité programmatique basée sur les données personnelles dans l’équilibre économique global du secteur.

De plus, près de la moitié de la publicité display en Europe fonctionne sans traitement de données personnelles (publicité contextuelle), et seulement 30% des internautes sont réellement exposés au ciblage en raison des bloqueurs de publicité et des paramètres par défaut des navigateurs modernes qui bloquent les cookies tiers.

III. L’incompatibilité juridique avec le RGPD et ses implications

La violation du principe de consentement libre et éclairé

L’analyse juridique du modèle “Pay-or-Okay” révèle une incompatibilité fondamentale avec les exigences du RGPD concernant le caractère “librement donné” du consentement. Le règlement européen exige explicitement que les personnes concernées disposent d’un “choix réel et libre” lorsqu’elles décident d’autoriser ou non le traitement de leurs données personnelles.

Or, les statistiques démontrent une distorsion massive entre les préférences réelles des utilisateurs et les taux de consentement obtenus par le “Pay-or-Okay”. Alors que les études indépendantes montrent que la volonté réelle de consentir au suivi publicitaire se situe entre 0,16% et 7% de la population, le modèle économique contraint génère des taux de consentement artificiels de 99% à 99,9%.

Cette différence de plus de 90% entre les souhaits authentiques des utilisateurs et les taux de consentement effectifs constitue une violation flagrante du principe de consentement libre. La pression économique exercée par les coûts prohibitifs de refus transforme le consentement en une décision subie plutôt qu’en une expression libre de la volonté individuelle.

L’incohérence avec la jurisprudence établie

La position des autorités de protection des données face au “Pay-or-Okay” révèle des incohérences troublantes dans l’application du RGPD. Ces mêmes autorités ont condamné de nombreux “dark patterns” bien moins coercitifs : cases pré-cochées, boutons de refus cachés ou grisés, interfaces trompeuses nécessitant quelques clics supplémentaires pour refuser le consentement.

Il apparaît logiquement incohérent d’interdire ces pratiques relativement mineures tout en tolérant un système qui exige des frais substantiels, un processus de paiement complet, et la souscription à un abonnement récurrent pour exercer le même droit de refus. Cette différence de traitement soulève des questions fondamentales sur l’égalité d’application du droit européen et la cohérence des décisions réglementaires.

Le problème du retrait du consentement

L’article 7, paragraphe 3, du RGPD établit un principe fondamental : le retrait du consentement doit être aussi facile que son octroi initial. Cette exigence vise à garantir que les utilisateurs conservent un contrôle effectif et permanent sur leurs données personnelles.

Le modèle “Pay-or-Okay” viole systématiquement ce principe. Un utilisateur qui aurait initialement consenti peut difficilement retirer ce consentement sans engager des frais d’abonnement souvent considérables. Cette asymétrie dans la facilité d’octroi et de retrait du consentement constitue une violation directe du RGPD et prive les utilisateurs d’un droit fondamental.

L’incohérence réglementaire entre secteurs

L’une des critiques les plus pertinentes du régime actuel concerne l’incohérence dans l’application des règles selon les secteurs d’activité. L’European Data Protection Board (EDPB, l’autorité de contrôle européenne qui chapeaute les autorités nationales comme la CNIL en France) a explicitement jugé illégal le modèle “Pay-or-Okay” pour les grandes plateformes en ligne, notamment dans le cas de Meta, tout en tolérant implicitement son utilisation par d’autres secteurs.

Cette différenciation manque de justification juridique solide. Les principes du RGPD, notamment l’exigence de consentement libre, s’appliquent de manière uniforme à tous les responsables de traitement, quelle que soit leur taille ou leur secteur d’activité. Un consentement obtenu sous contrainte économique ne devient pas plus libre selon que l’entreprise concernée opère dans les médias, les télécommunications, la banque, ou l’aviation.

Cette incohérence réglementaire crée une insécurité juridique préjudiciable à tous les acteurs économiques et sape la crédibilité du système européen de protection des données. Si le principe de consentement libre est fondamental, il doit s’appliquer universellement, sans distinction sectorielle arbitraire. Sinon, le risque est grand que des groupes comme Meta ne puissent être finalement condamnés, en arguant simplement que d’autres peuvent pratiquer librement le “Pay-or-Okay” en Europe…

Conclusion

L’analyse approfondie du modèle “Pay-or-Okay” révèle un système qui, sous l’apparence d’un respect du choix de l’utilisateur, constitue en réalité une manipulation sophistiquée des mécanismes de protection des données personnelles. Loin d’être une innovation équilibrée conciliant les intérêts économiques et les droits fondamentaux, ce modèle représente une tentative de contournement du RGPD par la coercition économique.

Les chiffres parlent d’eux-mêmes : des coûts prohibitifs pour les consommateurs qui peuvent atteindre plus de 1 500 euros par an, des revenus marginaux pour les entreprises ne dépassant pas 0,5% d’augmentation globale, et des taux de consentement artificiellement gonflés à 99% alors que les préférences réelles des utilisateurs se situent sous les 7%. Cette distorsion massive entre la réalité économique et les justifications avancées démontre la nature fallacieuse des arguments en faveur du “Pay-or-Okay”.

Sur le plan juridique, l’incompatibilité avec le RGPD apparaît évidente. Le principe de consentement libre, pierre angulaire de la réglementation européenne, ne peut être respecté lorsque l’alternative au consentement implique des coûts financiers substantiels et récurrents. Cette violation est d’autant plus flagrante que les autorités de protection des données condamnent simultanément des pratiques bien moins coercitives, créant une incohérence réglementaire préjudiciable à la sécurité juridique.

L’avenir du modèle “Pay-or-Okay” dépendra largement de la capacité des régulateurs européens à appliquer de manière cohérente et uniforme les principes du RGPD. Une approche fragmentée, distinguant artificiellement les grandes plateformes des autres acteurs économiques, risque de vider de sa substance la protection des données personnelles en Europe. La crédibilité du système européen de protection des données exige une application uniforme des principes fondamentaux, sans distinction sectorielle injustifiée.

Au-delà des considérations juridiques, le débat autour du “Pay-or-Okay” soulève des questions sociétales fondamentales sur l’accès équitable aux droits numériques. Dans une société où l’exclusion numérique recoupe souvent l’exclusion sociale, la création d’un système à deux vitesses pour la protection des données personnelles risque d’aggraver les inégalités existantes. La protection des données ne peut devenir un privilège économique sans remettre en cause les fondements démocratiques de l’Union européenne.

L’enjeu dépasse donc la simple conformité réglementaire pour toucher aux valeurs fondamentales de la société numérique européenne. Face à ces défis, seule une approche cohérente, équitable et véritablement respectueuse des droits fondamentaux permettra de préserver l’équilibre délicat entre innovation économique et protection des citoyens dans l’écosystème numérique européen.

Source: noyb’s Pay or Okay report: how companies make you pay for privacy

Article réalisé avec l’assistance de l’IA Claude 4 Sonnet d’Anthropic

Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, établit un cadre juridique strict pour le traitement des données personnelles au sein de l’Union Européenne (UE) et de l’Espace Economique Européen (EEE). En dehors de l’UE/EEE, d’autres pays européens appliquent aussi des règlementations équivalentes: RGPD UK au Royaume-Uni ou nLPD en Suisse. Cependant, l’émergence de groupes criminels sophistiqués tels qu’Akira soulève des problématiques sur l’articulation entre les exigences de conformité de ces réglementations et la gestion de crise cybersécuritaire.

Les attaques par ransomware ne se contentent plus de chiffrer les données pour paralyser les systèmes informatiques. Elles intègrent désormais une dimension d’extorsion par le vol massif de données personnelles, créant une double menace : la paralysie opérationnelle et la violation potentielle du RGPD. Cette évolution transforme chaque incident de ransomware en une crise de conformité réglementaire, où les entreprises doivent naviguer entre les impératifs de continuité d’activité et le respect de leurs obligations légales envers les personnes concernées.

L’analyse des récentes attaques, notamment celles perpétrées par le groupe Akira, révèle l’ampleur des défis auxquels sont confrontées les organisations. Entre la pression exercée par les cybercriminels, les recommandations des autorités de ne pas céder au chantage, et les exigences strictes du RGPD en matière de notification et de protection des données, les entreprises victimes se trouvent dans une situation juridique et opérationnelle particulièrement complexe.

I. L’impact des ransomwares sur la conformité RGPD : entre violation de données et obligations légales

La double dimension des attaques modernes

Les attaques par ransomware d’aujourd’hui, illustrées par les opérations du groupe Akira, représentent une évolution majeure dans le paysage des cybermenaces. Contrairement aux premières générations de ransomwares qui se contentaient de chiffrer les données, les techniques actuelles combinent le chiffrement avec l’exfiltration massive d’informations. Cette approche dite de “double extorsion” place les entreprises victimes dans une situation particulièrement délicate au regard du RGPD.

Lorsqu’une PME romande (soumise au nLPD) s’est retrouvée paralysée un lundi matin après une attaque survenue le week-end, l’entreprise a découvert que l’ensemble de ses données, y compris les coordonnées personnelles de ses employés, avaient été compromises. Cette situation illustre parfaitement la complexité juridique générée par ces nouvelles formes d’attaques : au-delà de la paralysie opérationnelle, l’entreprise doit faire face à une violation de données personnelles.

Les obligations de notification face aux enjeux de survie de l’entreprise

Le RGPD impose des délais stricts pour la notification des violations de données : 72 heures pour informer l’autorité de contrôle compétente et, dans certains cas, un délai “dans les meilleurs délais” pour notifier les personnes concernées. Ces obligations deviennent particulièrement problématiques lors d’attaques par ransomware, où l’entreprise peut se retrouver dans l’incapacité technique d’évaluer précisément l’étendue de la violation.

L’exemple de KNP Logistics, une entreprise britannique de 158 ans paralysée par Akira, démontre la rapidité avec laquelle une violation peut conduire à l’effondrement d’une organisation. L’impossibilité de payer la rançon de 5 millions de livres sterling a conduit à la faillite et au licenciement de 700 employés. Dans ce contexte, les obligations RGPD UK passent au second plan face à la survie même de l’entreprise, créant un dilemme éthique et juridique majeur.

L’évaluation des dommages et la responsabilité

Le RGPD exige des entreprises qu’elles évaluent les risques pour les droits et libertés des personnes concernées suite à une violation de données. Cette évaluation devient extrêmement complexe dans le contexte d’une attaque par ransomware, où l’entreprise ne contrôle plus ses systèmes et ne peut déterminer avec certitude quelles données ont été compromises.

Les témoignages recueillis révèlent l’ampleur du traumatisme psychologique vécu par les dirigeants, décrit comme un “viol” ou une “prise d’otages”. Cette dimension humaine, souvent négligée dans l’approche purement technique du RGPD, souligne la nécessité d’une approche plus holistique de la gestion des violations de données. Les dirigeants de la PME romande ont vécu des “blessures psychologiques qu’ils n’avaient jamais imaginé vivre”, illustrant que l’impact d’une cyberattaque dépasse largement le cadre des données pour toucher l’intégrité même des personnes.

II. Le dilemme du paiement de rançon face aux exigences du RGPD

Le conflit entre recommandations officielles et réalité opérationnelle

Le RGPD ne prend pas explicitement position sur la question du paiement des rançons, mais il impose aux entreprises de mettre en œuvre “les mesures techniques et organisationnelles appropriées” (cf. Article 25) pour assurer la sécurité des données. Cette formulation générale laisse place à l’interprétation lorsqu’une entreprise doit choisir entre payer une rançon pour récupérer l’accès à ses données ou risquer la faillite.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande fermement de ne pas céder au chantage, arguant que “payer une rançon, ce n’est pas la garantie de retrouver ses données” et que cela “incite plutôt les criminels à revenir”. Cependant, cette position de principe entre en collision avec la réalité du terrain, où près de la moitié des entreprises accompagnées par des experts choisissent de payer lorsqu’elles n’ont plus d’alternative viable.

Les implications juridiques du paiement

Le paiement d’une rançon soulève des questions juridiques complexes au regard du RGPD. D’une part, l’article 32 du règlement impose aux responsables de traitement de prendre des mesures pour “empêcher” les violations de données. Le paiement d’une rançon peut-il être considéré comme une mesure de protection, ou constitue-t-il au contraire un aveu d’échec des mesures de sécurité?

La PME romande, qui s’estimait “parmi les entreprises les mieux protégées” après des audits poussés, a découvert que ses mesures de sécurité étaient insuffisantes. Le paiement d’une rançon représentant initialement 5% de son chiffre d’affaires annuel a permis de récupérer les données, mais a également soulevé des questions sur la proportionnalité des mesures de sécurité exigées par le nLPD.

Qui est responsable?

Dans le contexte de l’attaque d’un entreprise par ransomware, le premier réflexe est de poser la question de la responsabilité des salariés ou des sous-traiants Si l’attaque provient de la violation d’un compte de l’entreprise, comme ce fut le cas pour KNP Logistics où les pirates ont “simplement deviné le mot de passe d’un salarié” trop faible, qui est responsable: est-ce que le chef d’entreprise a donné les bonnes consignes de sécurisation au salarié mis en cause? Si tel est le cas, ont-elles été respectées par le salarié? Dans le cas de KNP Logistics, l’identité de cet employé n’a pas été révélée: à quoi bon, aller chercher des responsabilités, puisque l’entreprise a fait faillite…

Face à cela, l’organisation sophistiquée des groupes comme Akira, décrite comme une véritable “franchise” avec des services techniques et un support après-vente, transforme le paysage de la cybercriminalité en une industrie structurée. Cette professionnalisation pose des défis inédits pour l’application du RGPD, qui n’avait pas anticipé de tels niveaux d’organisation criminelle.

III. Vers une adaptation du cadre réglementaire : défis et perspectives d’évolution

L’insuffisance du soutien institutionnel

L’analyse des cas d’attaques révèle un décalage important entre les exigences théoriques du RGPD et la réalité du soutien apporté aux entreprises victimes. La PME romande a attendu “dix jours pour que la police nous dise que finalement, elle ne pouvait rien faire” et a constaté l’absence de “structure vers laquelle on pourrait se tourner et qui proposerait une sorte de guide de premiers secours ou un soutien psychologique”.

Cette situation met en lumière une faiblesse structurelle dans l’écosystème de la protection des données : si le RGPD impose des obligations strictes aux entreprises, il ne prévoit pas de mécanisme de soutien proportionnel lorsque ces dernières deviennent victimes d’attaques sophistiquées. L’aide “providentielle” d’un client disposant d’un contrat avec une entreprise spécialisée a été cruciale pour la survie de la PME romande, soulignant l’importance des réseaux privés face aux carences institutionnelles.

L’évolution nécessaire des approches préventives

Le RGPD privilégie une approche préventive à travers les concepts de “privacy by design” et “privacy by default” (Article 25). Cependant, les attaques par ransomware démontrent que même les entreprises les mieux préparées peuvent devenir victimes. KNP Logistics “respectait les normes de cybersécurité en vigueur et disposait d’une assurance contre les cyberattaques”, mais une “simple erreur humaine” a suffi à provoquer sa chute.

Cette réalité suggère la nécessité d’une évolution du cadre réglementaire vers une approche plus résiliente, capable de gérer non seulement la prévention mais aussi la réaction et la récupération après incident. Paul Abbott de KNP milite pour une “obligation de prouver sa protection informatique, une sorte de ‘contrôle technique cyber’”.

Les enjeux de la négociation et de la gestion de crise

L’expertise développée par des professionnels comme Lilian Laugerat, expert du GIGN en négociation de crise, révèle une dimension souvent négligée du RGPD : la gestion humaine des violations de données. “Négocier ne veut pas dire payer… Cela permet de gagner du temps, de juger si la personne en face de nous est crédible, de connaître son véritable objectif”, explique-t-il.

Cette approche suggère que le RGPD pourrait bénéficier d’une intégration plus explicite des techniques de gestion de crise, reconnaissant que les violations de données ne sont pas seulement des incidents techniques mais des situations humaines complexes nécessitant des compétences spécialisées.

Vers une harmonisation internationale

Les réflexions du gouvernement britannique sur “l’interdiction du paiement des rançons et l’obligation de déclaration d’attaque” illustrent la nécessité d’une coordination internationale dans la lutte contre les ransomwares. Cette approche pourrait influencer l’évolution du RGPD UK, voire du RGPD et du nLPD, particulièrement dans ses relations avec les réglementations non-européennes.

L’expansion rapide d’Akira depuis mars 2023, avec 42 millions de dollars extorqués à 250 organisations durant sa première année selon le FBI, démontre que la menace dépasse largement les frontières européennes et nécessite une réponse coordonnée au niveau international.

Conclusion

L’évolution des cyberattaques par ransomware, illustrée par l’émergence de groupes sophistiqués comme Akira, révèle les limites actuelles du cadre réglementaire établi par le RGPD. Si ce règlement a considérablement renforcé la protection des données personnelles en Europe, il n’avait pas anticipé l’industrialisation de la cybercriminalité et ses implications pour la gestion des violations de données.

Les témoignages recueillis auprès d’entreprises victimes soulignent l’urgence d’une adaptation du cadre juridique pour mieux accompagner les organisations dans la gestion de ces crises. Le décalage entre les obligations théoriques du RGPD et la réalité du soutien apporté aux victimes constitue une faille majeure qu’il convient de combler.

Enfin, la coordination internationale apparaît comme un enjeu crucial pour lutter efficacement contre des menaces qui ignorent les frontières, que ces sociétés soient soumises au RGPD, au RGPD UK ou au nLPD. L’expérience douloureuse mais instructive des entreprises victimes doit servir de catalyseur pour une modernisation du cadre réglementaire, afin que la protection des données personnelles reste effective face aux défis de cybersécurité du XXIe siècle.

Sources:

• Royaume-Uni : A cause d’un « vulgaire » mot de passe, une entreprise séculaire de 700 salariés met la clé sous la porte
• « C’était ça ou la faillite » : face aux cyberattaques, le grand tabou du paiement des rançons dans les entreprises
• Ils racontent comment des hackers ont failli tuer leur entreprise
• Il se fait hacker son mot de passe et provoque la faillite de son entreprise vieille de 158 ans

Article réalisé avec l’assistance de l’IA Claude 4 Sonnet d’Anthropic

Cette transformation de perspective s’avère cruciale dans un contexte où la protection des données devient un enjeu stratégique majeur. Les entreprises qui parviennent à dépasser la vision purement contraignante de la conformité RGPD pour l’envisager comme un avantage concurrentiel découvrent des bénéfices économiques substantiels. L’enquête de la CNIL, réalisée auprès de 3 625 DPO en janvier 2024, complétée par des entretiens qualitatifs, dessine un portrait nuancé mais encourageant de cette fonction.

Les résultats montrent que 58% des DPO évoluent dans des organisations où la conformité est perçue positivement, et que 36% d’entre eux travaillent dans des petites entreprises qui considèrent la conformité comme un levier. Cette approche positive se traduit par des bénéfices économiques tangibles : avantages concurrentiels dans les appels d’offres, évitement des sanctions coûteuses, prévention des fuites de données et rationalisation de la gestion des données. Ces bénéfices ne sont cependant pas automatiques et dépendent largement de l’investissement consenti par l’entreprise dans cette fonction et de sa capacité à valoriser sa conformité.

I. Les leviers de création de valeur du DPO dans l’écosystème économique

Un atout différenciant dans les appels d’offres

La présence d’un DPO constitue aujourd’hui un facteur déterminant dans la réussite commerciale des entreprises, particulièrement dans le cadre des appels d’offres. Cette fonction est devenue un gage de sérieux et de fiabilité qui rassure les clients et partenaires commerciaux. L’étude révèle que 42% des DPO interrogés perçoivent ce bénéfice, un chiffre qui s’élève à 50% parmi ceux qui sont activement consultés dans leur organisation.

L’impact sur les performances commerciales peut être spectaculaire. Un témoignage particulièrement éloquent relate le cas d’une entreprise qui, après avoir mis en place une stratégie de valorisation de sa conformité RGPD, a vu ses chances de remporter des appels d’offres augmenter de moitié. Cette amélioration s’explique par plusieurs facteurs : d’une part, la présence d’un DPO témoigne de la maturité de l’organisation en matière de protection des données, un critère de plus en plus scruté par les donneurs d’ordre. D’autre part, le DPO devient un interlocuteur privilégié tout au long du processus contractuel, capable d’accompagner la rédaction des clauses de sous-traitance, de documenter les traitements de données et de fournir des conseils avisés.

Cette valorisation commerciale de la conformité s’inscrit dans une démarche plus large où certains DPO dépassent leur rôle traditionnel pour devenir de véritables ambassadeurs de la conformité. Ils intègrent les enjeux de protection des données dans la stratégie RSE (Responsabilité Sociale des Entreprises) de leur organisation, créant ainsi une cohérence entre les valeurs affichées et les pratiques opérationnelles. Cette approche holistique renforce la crédibilité de l’entreprise et peut devenir un avantage concurrentiel décisif, notamment dans les secteurs où la confiance des clients est primordiale.

La prévention des risques financiers et réputationnels

L’évitement des sanctions constitue l’un des bénéfices les plus tangibles de la fonction DPO, bien que sa perception varie selon les caractéristiques de l’entreprise. En 2024, la CNIL a prononcé 87 sanctions pour un montant total de 55 millions d’euros, illustrant la réalité financière de ce risque. Toutefois, l’analyse statistique révèle que le bénéfice perçu de l’évitement des sanctions dépend étroitement du modèle d’affaires et de la taille de l’entreprise.

Les entreprises dont le modèle économique repose sur l’exploitation des données ou la commercialisation de solutions innovantes potentiellement intrusives sont particulièrement sensibles à ce risque. Pour elles, l’enjeu dépasse largement le coût monétaire de la sanction : c’est l’impact sur l’image de marque qui constitue la principale préoccupation. Une sanction publique peut avoir des répercussions durables sur les relations clients, la notation financière et même les capacités de financement de l’entreprise.

Le DPO joue un rôle préventif crucial à travers ses missions d’information, de sensibilisation, de conseil et de contrôle. Il contribue à identifier et à corriger les non-conformités avant qu’elles ne deviennent problématiques, tout en servant d’interface avec l’autorité de contrôle et les personnes concernées par les traitements. Cette fonction de prévention active permet de réduire significativement la probabilité d’être sanctionné, transformant un risque potentiellement coûteux en avantage concurrentiel.

II. L’optimisation opérationnelle et la sécurisation des données

La protection contre les cyberattaques et les fuites de données

Dans un contexte où les cyberattaques se multiplient et s’intensifient, le rôle du DPO dans la prévention des fuites de données prend une dimension économique cruciale. Selon un rapport d’IBM de 2024, le coût moyen d’une violation de données s’élève à 5 millions de dollars, soit une hausse de 10% par rapport à 2023. Cette escalade des coûts souligne l’importance stratégique de la prévention.

Le DPO contribue à cette prévention à travers plusieurs leviers d’action. Il conseille l’entreprise sur les mesures de sécurité à mettre en place, participe aux analyses d’impact sur la protection de la vie privée et peut réaliser des contrôles et audits internes. Son rôle dans la sensibilisation et la formation des salariés s’avère particulièrement efficace : un témoignage rapporte qu’après la mise en place de formations sur l’hameçonnage, le taux de clic sur les liens suspicieux est passé de 21% à 5% dans une organisation.

Cette approche préventive présente un double avantage. D’une part, elle réduit directement les risques de cyberattaque en renforçant le maillon humain, souvent considéré comme le plus vulnérable dans la chaîne de sécurité. D’autre part, elle contribue à préserver l’image de l’entreprise, particulièrement importante pour les organisations dont le modèle d’affaires repose sur la confiance des clients. La recherche en économie de la cybersécurité a démontré que les fuites de données importantes entraînent généralement une diminution de la valeur des actions des grandes entreprises cotées.

La rationalisation et l’optimisation de la gestion des données

Les principes fondamentaux du RGPD - limitation des finalités, minimisation des données, limitation de la conservation - imposent une discipline dans la gestion des données qui se traduit par des bénéfices économiques concrets. Cette rationalisation, dont le DPO est le garant, génère des économies opérationnelles substantielles, particulièrement en termes d’espace de stockage et de coûts d’infrastructure.

Un exemple particulièrement parlant illustre cette réalité : un DPO d’une entreprise au chiffre d’affaires de 150 millions d’euros a rapporté que la mise en conformité RGPD avait permis d’économiser 400 000 euros en coûts de serveurs. Cette économie résulte directement de l’application rigoureuse du principe de minimisation des données, qui conduit à supprimer les données obsolètes, redondantes ou non nécessaires.

Au-delà des économies directes, cette rationalisation produit des effets bénéfiques en cascade. En matière de cybersécurité, moins de données collectées et conservées signifie une surface d’attaque réduite pour les cybercriminels. Sur le plan opérationnel, le DPO contribue à une meilleure connaissance du patrimoine informationnel de l’entreprise, facilitant l’exploitation des données par la centralisation de l’information et l’élimination des doublons ou des silos de données.

Cette optimisation améliore l’efficacité des processus internes et la qualité de la prise de décision. Les équipes peuvent accéder plus facilement aux données pertinentes, ce qui se traduit par des gains de productivité et une meilleure réactivité face aux enjeux business. Le DPO devient ainsi un facilitateur de l’innovation et de la performance opérationnelle.

III. Les conditions de réussite et l’investissement stratégique

L’influence du modèle d’affaires et de la vision organisationnelle

L’efficacité économique du DPO n’est pas uniforme et dépend largement du contexte organisationnel dans lequel il évolue. L’étude révèle une corrélation forte entre l’investissement consenti dans la fonction DPO et les bénéfices qui en découlent. Les structures qui accordent de réels moyens à leurs DPO sont précisément celles qui en tirent le plus de bénéfices, créant un cercle vertueux d’investissement et de retour sur investissement.

Cette relation s’observe particulièrement dans les entreprises qui perçoivent la probabilité d’être sanctionnées par la CNIL comme élevée, ainsi que dans celles dont le modèle d’affaires accorde une place importante à la donnée. Ces organisations ont tendance à investir davantage dans la fonction DPO, lui accordant plus de temps, de ressources et d’autonomie pour mener ses missions. En retour, ces DPO disposent de meilleures conditions pour assurer la mise en conformité de l’entreprise, réduisant effectivement la probabilité de sanctions.

L’approche organisationnelle de la conformité influence également profondément l’efficacité du DPO. Dans les structures où la conformité RGPD est perçue comme un levier plutôt que comme une contrainte, les DPO bénéficient d’une meilleure reconnaissance de leur rôle et de conditions d’exercice plus favorables. Ils sont davantage consultés dans les décisions stratégiques, mieux formés et, par conséquent, plus satisfaits de leur profession. Cette satisfaction se traduit par une meilleure performance et une capacité accrue à générer de la valeur pour l’organisation.

Les bonnes pratiques pour maximiser le retour sur investissement

Pour transformer le DPO d’un coût de conformité en un investissement rentable, plusieurs bonnes pratiques émergent de l’analyse. L’association des DPO aux réunions du comité exécutif constitue une première étape cruciale. Cette intégration au niveau stratégique permet aux DPO d’articuler la mise en conformité avec la stratégie globale de l’entreprise, identifiant les synergies possibles et les opportunités de création de valeur.

L’intégration de la conformité RGPD dans la stratégie RSE et la stratégie de sécurité des systèmes d’information favorise une approche cohérente et optimise les investissements. Cette convergence évite les doublons, mutualise les ressources et crée une cohérence dans la communication externe de l’entreprise. Elle permet également de présenter la conformité RGPD comme partie intégrante d’une démarche responsable globale, renforçant l’image de l’entreprise auprès de ses parties prenantes.

La quantification des bénéfices économiques liés au rôle du DPO, même de manière informelle dans un premier temps, permet d’objectiver la valeur créée par cette fonction. Cette démarche peut s’appuyer sur une concertation interne impliquant le contrôle de gestion et les autres services concernés. Elle permet d’établir des métriques de performance et de justifier les investissements consentis dans cette fonction.

Enfin, la sensibilisation des autres métiers à la valorisation des enjeux de conformité dans la stratégie de l’entreprise contribue à faire reconnaître le DPO comme créateur de valeur. Cette reconnaissance facilite l’alignement de son activité avec celle des autres départements et favorise une approche collaborative de la conformité.

Conclusion

L’étude de la CNIL démontre de manière convaincante que la fonction de DPO peut constituer un véritable actif économique pour les entreprises qui savent l’exploiter stratégiquement. Loin d’être uniquement une contrainte réglementaire, la conformité RGPD, orchestrée par un DPO bien intégré et soutenu, génère des bénéfices tangibles : avantages commerciaux, prévention des risques financiers et réputationnels, optimisation opérationnelle et amélioration de la sécurité des données.

Cette transformation de la conformité en avantage concurrentiel n’est cependant pas automatique. Elle requiert un investissement délibéré de la part de l’organisation, tant en termes de ressources que de vision stratégique. Les entreprises qui perçoivent la conformité RGPD comme un levier plutôt que comme une contrainte sont celles qui parviennent à en tirer le plus de valeur. Cette approche positive se matérialise par une meilleure intégration du DPO dans les processus décisionnels, des moyens adaptés pour mener ses missions et une reconnaissance de son rôle créateur de valeur.

L’analogie avec les enjeux environnementaux s’avère particulièrement éclairante : comme pour la transition écologique, la distinction se dessine clairement entre les entreprises qui subissent la réglementation et celles qui la transforment en opportunité. Dans ce contexte, le DPO devient non seulement un garant de la conformité mais aussi un facilitateur de l’innovation responsable et un contributeur à la performance économique de l’entreprise.

L’avenir appartient aux organisations qui sauront faire de la protection des données un élément différenciant de leur stratégie, transformant une obligation réglementaire en avantage concurrentiel durable. Pour ces entreprises visionnaires, le DPO n’est plus un coût à optimiser mais un investissement à valoriser.

Source: Quels bénéfices économiques du DPO en entreprise ? (CNIL)

Article réalisé avec l’assistance de l’IA Claude 4 Sonnet d’Anthropic

Okular et Firefox sont des outils gratuits et multiplateformes: Windows, Linux, Mac… Nous présenterons ici la démarche sous Windows, mais qui potentiellement sera très proche sur les autres plateformes. Quant à l’obtention d’un certificat PKCS12, contrairement aux idées reçues il n’est pas nécessaire de passer par un (coûteux) organisme tiers. Vous pouvez le générer par vous-même comme déjà évoqué dans le cadre de notre article à propos de la sécurisation des e-mails avec SMIME.

Nous explorerons d’abord le principe de fonctionnement de la signature électronique de PDF, avant de nous pencher sur sa mise en œuvre pratique à l’aide d’outils comme Okular et Firefox sous Windows.

Le principe de fonctionnement de la signature électronique

Comprendre la signature électronique

Vous pensiez peut-être que la signature électronique et la signature par insertion d’une simple image de signature dans un document avaient la même valeur probante? Or ce n’est pas le cas.

En effet, l’insertion d’une image de signature ne garantit pas que le reste du document ait fait l’objet d’une modification postérieurement à sa signature.

La signature électronique semble fonctionner de manière analogue à une signature manuscrite sur un document papier. Cependant, elle offre un niveau de sécurité et de vérification d’identité notablement supérieur. En effet, l’utilisation d’un certificat numérique garantit à la fois l’authenticité du signataire et l’intégrité du document postérieurement à sa signature.

Les certificats PKCS12 jouent ici un rôle crucial. PKCS12 est un standard de format qui permet de stocker et de transférer des informations sensibles telles que des clés privées et des certificats publics. Ces certificats sont comme une carte d’identité numérique pour votre signature électronique.

Pourquoi la signature électronique est-elle un must du point de vue du RGPD ?

La signature électronique s’inscrit parfaitement dans la logique du RGPD en assurant que les documents restent intègres tout au long de leur cycle de vie. Le DPO a ainsi la garantie que le document n’a pas été modifié depuis sa signature : si ce n’était pas le cas, par exemple en cas de contentieux suite à une violation de données chez le Sous-traitant, les clauses de notification et d’assistance prévues dans le DPA pourraient être remises en cause par l’une des parties.

Le processus de signature électronique implique la création d’un hachage du document, qui est ensuite chiffré à l’aide d’une clé privée. Ce hachage chiffré constitue la signature numérique et peut être comparé à une empreinte digitale unique du document. Toute modification ultérieure de ce document rendrait la signature invalide, garantissant l’intégrité de son contenu.

Rappelons toutefois que dans le cadre du RGPD, le DPO n’est pas habilité à signer directement ces DPA, car cela constituerait un conflit d’intérêt avec sa mission de contrôleur de la conformité RGPD: seul un représentant du Responsable du Traitement d’une part, et celui du Sous-traitant d’autre part, pourront utiliser cette solution de signature électronique.

Mise en œuvre pratique sous Windows avec Okular et Firefox

Pourquoi doit-on installer Firefox en plus d’Okular ?

La mise en œuvre de la signature électronique d’un fichier PDF avec Okular est aussi simple qu’efficace, notamment grâce à son interface intuitive. Okular est un visualiseur de documents numériques (PDF, ePub, Markdown…) qui offre un support natif pour la signature électronique des PDF.

De son côté, Firefox facilite la gestion des certificats PKCS12: ainsi, lorsque vous utilisez d’autres applications comme Okular, avoir ces certificats gérés dans Firefox permet leur réutilisation sécurisée sans nécessiter de configuration complexe.

Si vous avez déjà installé Firefox, vous n’aurez bien entendu pas à le réinstaller pour bénéficier de cette fonctionnalité de gestion des certificats PKCS12.

Comment installer votre certificat PKCS12 dans Okular ?

Voici comment procéder en pratique :

• Installation Préalable : assurez-vous que Firefox et Okular sont installés sur votre système Windows, et que votre certificat PKCS12 est accessible sur un répertoire de votre poste de travail.
• Importation de votre Certificat PKCS12 dans Firefox : si votre certificat PKCS12 n’est pas déjà installée dans Firefox, accédez au menu des paramètres de Firefox, puis allez à la section “Vie privée & Sécurité”. Cliquez sur le bouton “Afficher les certificats”, puis sélectionnez l’onglet “Vos certificats”. Cliquez enfin sur “Importer…”, puis sélectionnez votre certificat PKCS12 pour le rajouter dans cet onglet.
• Chargement du Certificat : lancez Okular, sélectionnez dans le menu “Configuration” le choix “Configurer les moteures de rendu…” puis cliquez sur le bouton “PDF”. Vous accédez alors aux “Certificats disponibles”, où votre certificat numérique en format PKCS12 devrait déjà figurer: c’est votre clé privée nécessaire à la signature électronique. Si rien ne s’affiche, il faudra introduire manuellement le lien vers la base de signature de Firefox dans le champ “Personnalisé”, puis fermer et réouvrir Okular afin de voir si le certificat a bien été chargé.
• Processus de Signature : ouvrez un fichier PDF, sélectionnez dans le menu “Outils” le choix “Signature numérique en cours…” puis suivez les instructions pour appliquer votre signature au document ouvert. Une fois ce process achevé, Okular vous proposera de sauvegarder le PDF signé.

La signature électronique des PDF via des certificats PKCS12 représente donc une avancée significative pour les professionnels soucieux de respecter le RGPD. En combinant les capacités de logiciel comme Okular et les fonctionnalités de Firefox, on crée un environnement où l’intégrité des contrats est placée au cœur du processus de gestion documentaire du RGPD.

Il est donc nécessaire de comprendre comment un DPO externe peut jouer un rôle déterminant dans la mise en œuvre et le maintien d’une stratégie de gestion des données personnelles conforme, tout en offrant des avantages significatifs aux PME.

Pourquoi un DPO externe est-il nécessaire à la conformité RGPD ?

Pour de nombreuses PME, la pression pour se conformer au RGPD est une réalité constante. Ce règlement complexe exige non seulement des processus rigoureux pour gérer et protéger les données personnelles, mais aussi une compréhension claire des droits des individus et des responsabilités des entreprises. Un DPO externe, grâce à son expertise spécialisée et à sa perspective objective, se positionne comme un guide avisé pour accompagner les PME dans cette démarche souvent périlleuse.

Le DPO externe a la capacité d’évaluer de manière indépendante et exhaustive les protocoles de gestion des données d’une PME. De plus, en identifiant les lacunes et en proposant des solutions pragmatiques, il facilite la mise en place de mécanismes de protection des données adaptés aux spécificités de l’entreprise. Grâce à cet accompagnement sur mesure, les PME peuvent non seulement améliorer leur conformité au RGPD, mais aussi renforcer la confiance de leurs clients et partenaires.

D’autre part, faire appel à un DPO externe permet aux PME de maîtriser leurs coûts. Étant donné que l’engagement d’un DPO interne peut être onéreux, surtout pour des entreprises de petite taille, l’option externe offre une alternative rentable. Ainsi, les PME peuvent bénéficier d’une expertise de haut niveau sans nécessiter des ressources financières substantielles.

Une connaissance théorique et pratique du RGPD au service des PME

Le DPO externe apporte avec lui une richesse de connaissances et une expérience diversifiée, acquises en travaillant avec diverses entreprises et industries. Cette polyvalence est un atout inestimable pour les PME qui composent souvent avec des ressources limitées et des besoins hétérogènes. Par essence, le DPO externe est un facilitateur qui adapte ses recommandations en tenant compte des spécificités opérationnelles et sectorielles de chaque entreprise.

De plus, le DPO externe offre une vision innovante et proactive. En restant constamment informé des évolutions législatives et technologiques, il aide les PME à anticiper les changements et à ajuster leurs pratiques en conséquence. Cette anticipation réduit les risques d’infraction, protège l’entreprise contre les amendes potentielles et promeut une culture de conformité durable.

Les compétences d’un DPO externe ne se limitent pas aux seuls aspects règlementaires. Puisqu’il interagit fréquemment avec différents départements au sein d’une PME, il joue également un rôle éducatif en sensibilisant les employés aux bonnes pratiques de traitement des données. En promouvant une compréhension transversale du RGPD, le DPO externe permet à l’ensemble de l’organisation de renforcer sa posture de protection des données, tout en créant une atmosphère de collaboration et d’innovation.

Le DPO externe est un partenaire stratégique des PME

À mesure que l’économie numérique continue de se développer, l’importance du respect des normes de protection des données ne fera qu’augmenter. Les PME qui intègrent un DPO externe dans leur stratégie de gestion de la conformité RGPD s’assurent de rester à jour et de transformer la réglementation en un avantage compétitif plutôt qu’en un obstacle administratif.

Le DPO externe n’est pas seulement un consultant, mais un partenaire stratégique qui contribue à façonner l’avenir des PME. En s’assurant que ces entreprises naviguent habilement à travers les régulations complexes, il préserve non seulement leur pérennité mais aussi leur réputation. Dans un contexte où la confiance est de plus en plus précieuse, le DPO externe apparaît comme un gardien de l’intégrité des données.

Finalement, l’évolution vers une économie toujours plus sensible à la protection des données pousse les PME à adopter une approche audacieuse et informée. Avec l’appui d’un DPO externe compétent, elles peuvent intégrer les exigences réglementaires non seulement comme une obligation, mais aussi comme un vecteur d’innovation et de différenciation stratégique.

Dans l’écosystème numérique dynamique d’aujourd’hui, l’engagement envers la protection des données est indispensable. Un DPO externe, avec son expertise indispensable et sa capacité à s’adapter aux besoins spécifiques des PME, est un atout majeur pour toute entreprise cherchant à renforcer sa conformité au RGPD. En investissant dans un strict respect des réglementations, les PME ne se contentent pas de répondre aux exigences légales ; elles adoptent une posture de confiance et de transparence qui les distingue sur le marché. En fin de compte, l’adoption d’une approche stratégique en matière de gestion des données protège non seulement l’entreprise mais aussi ses clients, solidifiant ainsi la relation de confiance qui est à la base du succès durable.

Faire le tour d’un tel sujet en un seul article sera forcément réducteur, mais notre objectif ici sera de présenter les principaux enjeux liés aux SMS frauduleux: les violations de données personnelles au sens du Règlement Européen sur la Protection des Données (RGPD/GDPR), et notamment leur impact psychologique et financier pour les personnes concernées.

Tout d’abord, nous allons présenter les différents types de SMS frauduleux et comment les cybercriminels obtiennent les numéros de téléphone cibles. Ensuite, nous examinerons les risques liés aux SMS frauduleux, notamment les conséquences pour les utilisateurs cibles, les risques pour les entreprises et organisations et comment ils peuvent compromettre la sécurité des données personnelles. Enfin, nous discuterons des mesures que les utilisateurs peuvent prendre pour se protéger des SMS frauduleux, notamment les bonnes pratiques pour protéger son téléphone, comment identifier les SMS frauduleux et les différencier des messages légitimes et que faire en cas de réception d’un SMS frauduleux.

1. Origine des SMS frauduleux

Les SMS frauduleux sont des messages texte envoyés sur les téléphones mobiles qui tentent de tromper les destinataires en leur faisant croire qu’ils ont besoin de divulguer des informations personnelles, de payer des frais ou de cliquer sur un lien.

Les SMS frauduleux peuvent sembler être des messages légitimes d’une entreprise ou d’une organisation de confiance (entreprises ou organismes publics), mais ils sont en réalité conçus pour voler des informations personnelles ou de l’argent: ils jouent souvent comme toute escroquerie sur l’urgence d’une opération à réaliser, par exemple payer une contravention routière à l’ANTAI avant sa majoration, ou profiter de ses Crédits Personnels de Formation (CPF) avant leur prochaine expiration…

Ils peuvent également être utilisés pour propager des logiciels malveillants ou des virus sur les téléphones (cheval de Troie, cryptovirus…), souvent en lien avec un “pot de miel” comme l’accès gratuit à un site phonographique ou à des bonus gratuits sur des jeux en ligne.

1.1. Les différents types de SMS frauduleux

Il en existe de différents types, notamment:

• Les SMS d’hameçonnage (phishing) : ils tentent de vous faire cliquer sur un lien qui vous redirige vers un site Web frauduleux où vous êtes invité à divulguer des informations personnelles telles que votre nom, adresse e-mail, numéro de téléphone, mot de passe…
• Les SMS d’arnaque : ces SMS tentent de vous faire payer des frais pour un produit ou un service que vous n’avez jamais acheté ou demandé. Par exemple, on vous signale qu’on a cherché à vous livrer un colis de grande valeur qui a déjà été présenté à plusieurs reprises à votre domicile sans succès, et il faudra payer quelques euros pour pouvoir le récupérer…
• Les SMS d’usurpation d’identité : ces SMS se font passer pour des messages légitimes d’une entreprise ou d’une organisation de confiance, mais ils sont en réalité conçus pour voler des informations personnelles ou de l’argent: ANTAI pour des contraventions routières, nouvelle vignette Crit’Air, abonnement Netflix, opérateurs téléphoniques, renouvellement de votre carte vitale (AMELI)…

Quelques exemple de vrais SMS frauduleux: n’essayez surtout pas de tester les liens Web!

Liste non exhaustive, la créativité des cybercriminels étant malheureusement assez remarquable, en particulier pour la qualité de la scénarisation de l’escroquerie: par exemple ils peuvent partir du renouvellement de votre carte Vitale, pour vous demander le paiement d’une dizaine d’euros par carte bancaire, qui bizarrement échoue. Ensuite vous êtes rappelé par un conseiller de votre banque (un cybercriminel…), qui bien sûr est comme vous surpris de l’échec du paiement CB, et vous demande de faire de votre côté un test avec votre compte en ligne sur le Web ou le mobile, en validant un virement de plusieurs milliers d’euros “qui ne sera pas effectué réellement”…

Ce type d’arnaque est possible parce que la banque du porteur de CB peut être identifiée à partir du numéro de sa carte bancaire, permettant ainsi de rappeler la cible au nom de sa banque. La CNIL a d’ailleurs consacré une page entière aux durées de conservation et modalités de protection des numéros de cartes bancaires en 2018, mesures confirmées depuis par la CNIL des CNIL européenne (le CEPD/EDPB) en 2021.

1.2. Comment les cybercriminels obtiennent-ils les numéros de téléphone ?

Les méthodes des cybercriminels pour obtenir des numéros de téléphones mobiles sont multiples, citons par exemples:

• Le piratage de bases de données : d’entreprises ou d’organismes publics qui stockent des informations personnelles. La collecte d’information des cybercriminels va souvent bien au delà du simple numéro de téléphone: nom, prénom, adresse, liste d’achats (site e-commerce) etc. Ce qui permet des scénarisations d’arnaques très sophistiquées, par la très bonne connaissance du profil de la cible à partir de ses données personnelles.
• L’utilisation de logiciels malveillants : pour accéder aux contacts sur le téléphone d’une personne et obtenir ainsi des numéros de téléphone. Les applications mobiles peuvent comporter intentionnellement ou non ce genre de “fonctionnalités”: attention donc aux éditeurs “exotiques” qui proposent monts et merveilles avec leurs apps gratuites…
• L’utilisation de listes de numéros de téléphone volés : les cybercriminels peuvent acheter des listes de numéros de téléphone volés par exemple sur le Dark Web, où ils bénéficient d’une certaine forme d’anonymat et donc d’impunité, avec souvent paiement en Bitcoins intraçables.
• L’utilisation d’IMSI Catcher : ce sont des dispositifs utilisés pour intercepter les communications mobiles en se faisant passer pour un relais d’opérateur mobile, par une attaque classique de type man in the middle. Ils peuvent envoyer des SMS frauduleux en usurpant l’identité de l’opérateur mobile, notamment en utilisant une faille de sécurité de la norme 2G. Une telle fraude a été observée début 2023 en région parisienne, avec une voiture qui en se déplaçant avait capté 16 000 numéros de mobiles et envoyé plus de 400 000 SMS frauduleux…

Dans tous les cas, les utilisateurs de téléphone mobile doivent être vigilants et suivre les bonnes pratiques de sécurité énumérées dans la section 3.1. de cet article.

2. Les conséquences des SMS frauduleux

2.1. Conséquences psychologiques et financières pour les personnes ciblées

Les conséquences pour les utilisateurs cibles de SMS frauduleux peuvent être graves pour les personnes concernées, citons notamment :

• L’usurpation d’identité : les cybercriminels peuvent utiliser les informations personnelles volées pour s’approprier l’identité de la personne et commettre des fraudes en son nom sans être inquiété. Par exemple, comme le rappelle la Banque de France, pour obtenir un prêt à la consommation avec un établissement financier en ligne, ou simplement ouvrir un compte bancaire et émettre des chèques qui reviendront impayés…
• Les pertes financières : l’objectif des SMS frauduleux peut aussi être d’obtenir un acte de paiement (CB, virement, Bitcoin…) de la part de la personne concernée, avec des scénarios plus ou moins sophistiqués. La “qualité” de leur ingénierie sociale est capable de recouper des informations issues de logiciels malveillants ou de virus, ou plus simplement de la consultation de vos profils sur les réseaux sociaux. Les progrès de l’IA générative permet des deepfakes inimaginables il y a quelques années, par exemple l’utilisation de la voix générée par une IA comme identification biométrique pour accéder frauduleusement à un compte bancaire.
• Les affections psychologiques : c’est la conséquence des deux précédentes, avec une culpabilité renforcée par la honte de “s’être fait avoir bêtement”… C’est pourquoi le RGPD étudie les conséquences d’une violation de données personnelles sous l’angle de l’affection psychologique de la personne concernée, notamment quand sont réalisées des Analyses d’Impact relatives à la Protection des Données (AIPD). Car les conséquence peuvent être dramatiques: un ouvrier agricole se serait suicidé suite à une usurpation d’identité qui l’a endetté à hauteur de 180 000 euros.

Le vrai danger est de sous-estimer le fait qu’on puisse devenir une cible des cybercriminels, parce qu’on croit qu’ils vont aller arnaquer plus riches ou plus crédules que soi : en pratique ils travaillent de façon quasi industrielle en ratissant le plus large possible, et se soucient peu des conséquences pour les personnes concernées.

2.2. Conséquences pour les organismes publics ou privés

La captation de données personnelles a de plus en plus pour objectif de s’attaquer aux organismes publics et privés, comme par exemple dans le domaine de la santé où des hôpitaux et cliniques sont victimes de cryptovirus qui rendent inaccessibles les données de santé, en vue d’obtenir une rançon pour les déchiffrer (ransomware).

En effet, alors qu’il y a encore une vingtaine d’années les organisations cybercriminelles ciblaient principalement les individus pour obtenir des “petits” paiements dépassant rarement quelques milliers d’euros, la tendance actuelle est plutôt de s’attaquer à des organismes publics et privés pour obtenir des rançons de plusieurs millions d’euros! Ainsi, le Centre Hospitalier Sud-Francilien s’était vu demander en août 2022 une rançon de 10 millions de dollars par des cybercriminels…

Et en cas de non-paiement, voire y compris en cas de paiement, ces données personnelles de clients, patients ou usagers seront revendues sur le Dark Web : les cybercriminels sont donc quasiment toujours gagnants…

Les conséquences pour ces organismes sont multiples:

• Perturbation de l’activité : les infrastructures informatiques deviennent inutilisables, et le recours à des processus à base de stylo et de papier permettent de pallier au plus pressé. Mais dans les hôpitaux et cliniques, les conséquences peuvent être de reporter les opérations les moins urgentes, ou d’envoyer les patients qui nécessitent des soins urgents dans d’autres établissements. Avec parfois des conséquences dramatiques, comme cette allemande qui est décédée en 2020 faute d’avoir pu être prise en charge par l’Hôpital de Düsseldorf, victime d’un ransomware. Ou de mettre en grande difficulté les entreprises et leurs salariés, comme cela a été le cas par exemple pour la société Lise Charmel qui s’est retrouvée en redressement judiciaire en février 2020, suite à une attaque de type ransomware 4 mois plus tôt: elle a dû licencier une centaine de ses collaborateurs dans les mois qui ont suivi, même si elle a pu au final sortir de ce redressement judiciaire.
• Responsabilité juridique : l’organisme peut être condamné en cas de violation de données personnelles s’il n’a pas mis en place les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Ainsi, en décembre 2021 la société SLIMPAY a été condamnée par la CNIL à hauteur de 180 000 euros pour ne pas avoir suffisamment protégé les données personnelles de ses utilisateurs.
• Perte de réputation : en s’attaquant à des organismes de plus grande taille, l’information sur la compromission de données personnelles devient généralement publique et largement diffusée dans les médias, et entache au final la confiance qu’on pouvait leur porter. Ce qui peut en plus le cas échéant être aggravé en cas de condamnation par la CNIL pour négligences dans la protection des données personnelles qu’ils hébergeaient.

Là encore, la sous-estimation du risque cyber est souvent un facilitateur pour les cybercriminels. Dans le cas des hôpitaux et cliniques, les équipements dédiés à la santé des patients sont priorisés par rapport à la sécurisation des systèmes d’informations, ce qui en font des cibles de choix.

3. Comment se protéger des cybercriminels ?

3.1. Quelques bonnes pratiques à respecter quand vous recevez un SMS

Quand vous recevez un SMS:

• Ne divulguez jamais vos données personnelles : ne répondez pas à des SMS demandant votre numéro de sécurité sociale, votre mot de passe, votre numéro de CB etc. Plus généralement, ne partagez jamais vos informations personnelles avec des personnes ou des entreprises que vous ne connaissez pas ou en qui vous n’avez pas confiance.
• Vérifiez toujours l’expéditeur : avant de cliquer sur un lien dans un SMS, assurez-vous que l’expéditeur est légitime. Toutefois, certaines méthodes frauduleuses comme celles utilisant des IMSI Catchers ou du SMS spoofing, peuvent donner l’impression de provenir d’un expéditeur légitime…
• Ne cliquez jamais sur les liens sans réfléchir : ne cliquez sur un lien dans un SMS que si vous êtes certain qu’il provient d’un expéditeur légitime.

L’ensemble de ces mesures de précaution, qui découlent en fait du simple bon sens, concernent d’ailleurs aussi bien les SMS frauduleux que les e-mail frauduleux.

3..2. Quelques bonnes pratiques pour protéger ses données personnelles

Sur votre téléphone mobile:

• Installez un antivirus : il vous protègera des logiciels malveillants et des virus, aussi bien sur les liens de SMS frauduleux que lors de la navigation sur des sites Web avec votre smartphone. Attention toutefois à ne pas se reposer uniquement sur cette protection, qui n’est malheureusement pas parfaite.
• Protégez correctement vos données personnelles : utilisez des mots de passe forts pour tous vos comptes, en évitant d’utiliser des informations personnelles évidentes comme votre date de naissance ou votre nom. Pour vous en souvenir, des applications mobiles dédiées vous permettrons de les gérer. Vous pouvez consulter à ce sujet les recommandations de la CNIL. Utilisez quand c’est possible la lecture d’empreinte digitale, pour éviter que des tiers puissent vous voir taper le code d’accès à votre téléphone mobile ou à une application. Utilisez quand c’est possible une identification à double facteur (2FA), pour ne pas faire reposer la sécurisation des accès sur la seule connaissance des mots de passe.
• Evitez de stocker des informations sensibles : par exemple, ne pas y stocker votre votre numéro de sécurité sociale, la copie de votre carte d’identité ou votre numéro de CB, sans les avoir préalablement chiffrés.

3.3. Signaler les SMS frauduleux au 33700

Pour travailler à la sécurisation de votre téléphone mobile de façon collective, vous pouvez signaler un SMS frauduleux au 33700.

La procédure se déroule en 2 étapes (gratuit pour les grands opérateurs téléphoniques):

• Transférer le SMS frauduleux au 33700, sans y rajouter de commentaires ;
• Répondre au message envoyé dans la foulée par le 33700, avec le numéro qui est à l’origine du SMS frauduleux.

Si l’expéditeur des SMS frauduleux fait l’objet de nombreux signalements, il pourra être blacklisté par les opérateurs. Bien sûr, les organisations cybercriminelles qui utilisent des techniques de types SMS spoofing ou IMSI Catcher ne seront pas directement impactées par ces mesures…

Le RGPD a permis de prendre conscience de l’importance à protéger nos données personnelles, mais ces dernières restent malgré tout constamment sous la menace de SMS frauduleux. Au delà des personnes concernées, leur violation peuvent aussi impacter la réputation et l’activité des organismes publics et privés. La sécurisation de nos téléphones mobile est au final une responsabilité partagée de bonnes pratiques entre des individus et des organismes publics et privés: nous devons tous faire notre part pour éviter que nos données personnelles tombent aux mains des organisations cybercriminelles.

Nous n’avons pas apporté la moindre correction aux réponses de ChatGPT, nos commentaires sont en fin de chaque réponse en italique.

Qu’est-ce que le RGPD ?

Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui a pour objectif de renforcer la protection des données personnelles des citoyens de l’UE et de fixer des règles claires pour la collecte, l’utilisation et le traitement de ces données par les entreprises et les organisations. Le RGPD est entré en vigueur le 25 mai 2018 et s’applique à toutes les entreprises et organisations de l’UE, ainsi qu’à celles qui traitent les données de citoyens de l’UE, quelle que soit leur localisation géographique. Le RGPD vise à donner aux individus un contrôle accru sur leurs données personnelles et à assurer la transparence des entreprises et des organisations en matière de traitement de ces données.

La zone d’application du RGPD est l’Espace Economique Européen, qui comprend outre l’Union Européenne, l’Islande, la Norvège et le Liechtenstein. Nous ne ferons plus référence à cette réduction du RGPD à l’UE dans les réponses qui suivent.

Qu’est-ce qu’une Agence RGPD ?

Une agence RGPD est une entreprise ou une organisation qui offre des services de conformité au RGPD, c’est-à-dire qui aident les autres entreprises et organisations à se conformer aux exigences du RGPD en matière de protection des données personnelles. Les agences RGPD peuvent proposer différents types de services, tels que la mise en place de politiques et de procédures de protection des données, l’assistance à la rédaction de déclarations de confidentialité et de politiques de confidentialité, la formation des employés aux règles de protection des données, la gestion des demandes de droit d’accès et de rectification de données, et la mise en place de systèmes de gestion de la sécurité des données. Les agences RGPD sont souvent des experts en matière de protection des données et peuvent fournir une assistance précieuse aux entreprises et aux organisations qui cherchent à se conformer au RGPD et à protéger adéquatement les données de leurs clients et de leurs employés.

Pas mal présenté!

Est-ce que je suis concerné par le RGPD ?

Le RGPD s’applique à toutes les entreprises et organisations, quelles que soient leur taille et leur activité, qui traitent des données à caractère personnel de personnes résidant dans l’Union européenne. Si vous êtes une personne physique résidant dans l’Union européenne et que vous avez des données à caractère personnel qui sont traitées par une entreprise ou une organisation, alors vous êtes concerné par le RGPD. Le RGPD protège vos droits en matière de protection de la vie privée et de sécurité de vos données à caractère personnel. Il vous donne notamment le droit d’accéder à vos données, de les rectifier, de les effacer et de disposer d’un droit à la portabilité de vos données. Il vous donne également le droit de vous opposer au traitement de vos données à caractère personnel, ainsi que le droit de retirer votre consentement au traitement de vos données à tout moment.

Il est important de noter que le RGPD s’applique uniquement aux données à caractère personnel de personnes résidant dans l’Union européenne. Si vous êtes une personne résidant en dehors de l’Union européenne, le RGPD ne s’applique pas à vous, sauf si vous êtes concerné par le traitement de vos données à caractère personnel par une entreprise ou une organisation qui opère dans l’Union européenne.

Les exemples de droits des personnes concernées donnent une vision concrète du RGPD pour le grand public, alors que nous étions plus axé avec notre FAQ sur les organismes qui réalisent des traitements. Un petit correctif : le RGPD s’applique aussi aux données personnelles qui sont traitées en dehors de l’UE/EEE par un organisme situé dans l’UE/EEE.

Quand est-ce que je dois me mettre au RGPD ?

Le RGPD est entré en vigueur le 25 mai 2018. Si vous êtes une entreprise ou une organisation qui traite des données à caractère personnel de personnes résidant dans l’Union européenne, vous êtes tenu de vous conformer au RGPD depuis cette date.

Il est important de noter que le RGPD s’applique à toutes les entreprises et organisations, quelles que soient leur taille et leur activité. Si vous êtes une entreprise ou une organisation qui opère dans l’Union européenne et que vous traitez des données à caractère personnel, vous êtes tenu de vous conformer aux obligations du RGPD, qu’il s’agisse de la collecte, de l’utilisation, de la conservation, de la communication ou de la destruction de ces données.

Il est recommandé de mettre en place des mesures de protection de la vie privée et de sécurité des données dès que possible, afin de vous assurer que vous êtes en conformité avec le RGPD. Si vous avez besoin de plus d’informations sur les obligations du RGPD et sur les mesures à prendre pour vous conformer à cette réglementation, vous pouvez consulter les ressources disponibles sur le site internet de la Commission nationale de l’informatique et des libertés (CNIL) en France.

Pas d’évocation des amendes administratives qui peuvent être conséquentes en cas de non conformité au RGPD, mais le renvoi sur le site de la CNIL est bienvenu.

Quels sont les délivrables requis par le RGPD ?

Le RGPD impose aux entreprises et aux organisations qui traitent des données à caractère personnel de respecter certaines obligations en matière de protection de la vie privée et de sécurité des données. Voici quelques exemples de délivrables qui peuvent être requis par le RGPD :

1. Politique de confidentialité : vous devez informer les personnes concernées de la manière dont vous allez utiliser leurs données à caractère personnel et de leurs droits en matière de protection de la vie privée.
2. Registre des activités de traitement : vous devez tenir un registre des activités de traitement de données à caractère personnel effectuées par votre entreprise ou organisation.
3. Désignation d’un délégué à la protection des données (DPO) : vous devez désigner un délégué à la protection des données (DPO) si votre entreprise ou organisation traite de grandes quantités de données à caractère personnel ou si votre activité principale consiste à effectuer des opérations de traitement de données sensibles.
4. Mesures de sécurité : vous devez mettre en place des mesures de sécurité adaptées pour protéger les données à caractère personnel contre toute destruction, perte, altération, divulgation ou accès non autorisé.
5. Notifications de violations de données : vous devez informer les autorités de contrôle et, le cas échéant, les personnes concernées, en cas de violation de données à caractère personnel.
6. Formation des employés : vous devez assurer la formation de vos employés sur les obligations du RGPD et sur les bonnes pratiques en matière de protection de la vie privée.

Ces exemples ne sont pas exhaustifs et il est possible que d’autres délivrables soient requis en fonction de votre activité et de la nature des données que vous traitez. Il est recommandé de se renseigner sur les obligations du RGPD et de se faire conseiller par un professionnel pour s’assurer de respecter cette réglementation.

Réponse étayée d’exemples concrets facilitant la compréhension du concept pour le grand public, alors que dans notre FAQ nous sommes plus focus sur les registres et leur documentation support afin que l’organisme concerné puisse répondre à son obligation de rendre compte en cas de contrôle CNIL. Et suggérer de se faire conseiller par un expert RGPD est aussi bienvenu ! :-)

Qu’est-ce qu’un DPO ?

Un délégué à la protection des données (DPO) est une personne qui a pour mission de veiller au respect de la réglementation en matière de protection des données à caractère personnel, notamment le RGPD (Règlement général sur la protection des données). Le DPO est chargé de conseiller l’entreprise ou l’organisation sur les obligations en matière de protection de la vie privée et de sécurité des données, de veiller à la mise en œuvre de mesures adéquates pour assurer le respect de ces obligations, et de gérer les éventuelles demandes des personnes concernées ou des autorités de contrôle.

Le DPO peut être un salarié de l’entreprise ou de l’organisation, ou bien une personne extérieure qui est mandatée pour remplir cette fonction. Il doit être indépendant dans l’exercice de ses fonctions et ne doit pas être soumis à des pressions qui pourraient compromettre son impartialité.

Le DPO doit être désigné par l’entreprise ou l’organisation qui traite des données à caractère personnel si celle-ci effectue de grandes quantités de traitements de données ou si son activité principale consiste à effectuer des opérations de traitement de données sensibles. Si ces conditions ne sont pas remplies, l’entreprise ou l’organisation peut décider de désigner un DPO de manière volontaire.

Il est recommandé de se faire conseiller par un professionnel pour déterminer si votre entreprise ou organisation doit désigner un DPO et pour mettre en place les mesures nécessaires pour se conformer aux obligations du RGPD en matière de protection des données à caractère personnel.

Presque un sans faute: il manque juste quelques précisions concrètes sur les fonctions qui ne sont pas compatibles avec celles de DPO, comme nous l’avons fait dans notre FAQ.

J’ai besoin d’un DPO, je suis obligé de le recruter ?

Le RGPD (Règlement général sur la protection des données) prévoit que les entreprises et les organisations qui effectuent de grandes quantités de traitements de données à caractère personnel ou dont l’activité principale consiste à effectuer des opérations de traitement de données sensibles doivent désigner un délégué à la protection des données (DPO). Si votre entreprise ou organisation remplit ces critères, vous êtes tenu de désigner un DPO.

Il est possible de désigner un DPO de manière interne, c’est-à-dire un salarié de l’entreprise ou de l’organisation qui remplit cette fonction en plus de ses autres missions. Si vous choisissez cette option, il est recommandé de s’assurer que le DPO dispose de compétences et de connaissances spécifiques en matière de protection des données à caractère personnel et de respect des obligations du RGPD.

Il est également possible de désigner un DPO de manière externe, c’est-à-dire en faisant appel à une personne ou à une société qui remplit cette fonction pour votre entreprise ou organisation. Cette option peut être intéressante si vous n’avez pas de salarié disposant des compétences nécessaires pour remplir cette fonction ou si vous préférez externaliser cette mission.

Il est recommandé de se faire conseiller par un professionnel pour déterminer si votre entreprise ou organisation doit désigner un DPO et pour mettre en place les mesures nécessaires pour se conformer aux obligations du RGPD en matière de protection des données à caractère personnel.

N’hésitez pas à nous contacter pour en savoir plus, comme le conseille ChatGPT ! :-)

Et logiquement, ils en déduisent qu’il n’est plus nécessaire de prendre de précautions renforcées pour protéger ces données personnelles, comme par exemple un hébergement externalisé certifié HDS (Hébergement de Données de Santé).

Malheureusement, ce n’est pas si simple.

En fait c’est typiquement une des difficultés du Règlement Européen sur les Données Personnelles (RGPD), celle d’utiliser des mots du langage courant avec un sens bien spécifique:

• la notion de données personnelles est très large, et va bien au-delà des données directement identifiantes ; et la CJUE tend qui plus est à élargir ce spectre dans son arrêt du 01/08/2022 sur la déduction d’informations sensibles dans le cadre d’un traitement de données personnelles.
• la notion d’anonymisation suppose qu’il ne soit plus possible de réidentifier la personne concernée, ce qui est contradictoire par exemple avec la nécessité d’effectuer un rapprochement post traitement pour rattacher ce traitement de données au bon patient…

Nous verrons dans cet article les différentes méthodes permettant d’assurer la confidentialité des données de santé, notamment la pseudonymisation et l’anonymisation, les problématiques liées de réidentifications, ainsi que l’importance de l’étude de l’impact potentiel sur les personnes concernées.

1. La pseudonymisation, simple mesure de sécurisation des données personnelles

La notion de pseudonymisation sous-entend que les données personnelles sont toujours individualisées, même si les éléments d’identification directe de la personne concernée (nom, prénom, numéro de sécurité sociale, date de naissance, sexe, adresse postale…) du jeu de données initial ont été retirés ou masqués (remplacés par “NIR”, “NOM”, “PRENOM” etc. comme le recommande notamment la CNIL dans son référentiel concernant les entrepôts de données de santé).

Néanmoins, il y a toujours un élément (un index) qui permet de réidentifier les individus dans la base de données pseudonymisées, par rapprochement avec une autre base de données qui lie cet index aux informations d’identification directe de la personne concernée.

Il s’agit donc d’une simple mesure de sécurisation des données, réversible comme l’est un chiffrage de données, utile notamment dans les cas de sous-traitance ou de recherche sur les données personnelles de santé.

Par exemple, dans le cas d’un Centre d’Imagerie Médicale (CIM), la pseudonymisation est utilisée pour transmettre l’image médicale (IM) d’un patient à un sous-traitant qui va réaliser une pré-interprétation de celle-ci grâce à de l’intelligence artificielle.

Le traitement du sous-traitant se fait dans uns infrastructure conforme HDS, car la pseudonymisation des IM ne change pas leur statut de données personnelles de santé.

Une fois le traitement terminé, le pré-diagnostic est retourné au CIM, qui peut ensuite le réattribuer au bon patient, grâce à la base de données d’identification qui permet ce rapprochement.

Le schéma suivant présente ce processus de pseudonymisation-réidentification:

On pourrait objecter que rien ne ressemble plus à une radio de poumons, qu’une autre radio de poumons, et que seul le CIM dispose de la base de correspondances nécessaire pour faire le rapprochement.

Mais en réalité, le fait que ces données de santé soient individualisées les expose à un risque de réidentification par recoupement, c’est à dire en comparant par exemple ces radios avec d’autres radios, en croisant ce résultat avec une base de rendez-vous d’un prestataire tiers du CIM qui a été piratée etc.

2. Le difficile challenge de l’anonymisation

Contrairement à la pseudonymisation, l’anonymisation de données personnelles doit être irréversible.

Le G29, Groupement de l’article 29 regroupant les autorités de contrôle de la protection des donnéess personnelles préalablement au RGPD/GDPR et CEPB/EDPB avait donné son avis en 2014 ce que devaient être des données anonymisées:

• Individualisation impossible, contrairement justement à la pseudonymisation,
• Corrélation impossible, i.e. aucun lien entre des ensembles de données distincts concernant un même individu,
• Inférence impossible, i.e. pas possible de déduire de nouvelles informations sur un individu.

Si un seul de ces trois critère n’est pas rempli, on peut considérer que ces données ne sont pas anonymisées stricto sensu, et donc qu’il s’agit toujours de données personnelles.

2.1. Les méthodes d’anonymisation par randomisation

Les différentes méthode de randomisation étudiées par le G29 sont les suivantes:

• randomisation par ajout de bruit, notamment en réduisant la précision/granularité des données personnelles pour réduire les risques de réidentification ; par exemples, réduire la précision de l’a taille d’un individu de +/- 10 cm, réduire la précision sur le poids d’un individu de +/-10 kg .
• randomisation par permutations, pour corréler artificiellement les données entre des individus différents, par exemples en permutant les tailles et poids des individus.
• randomisation par confidentialité différentielle, pour rajouter un bruit mathématique aux données personnelles qui n’altérera pas le traitement de ces données. On est proche dans l’esprit du chiffrage de ces données personnelles, en optimisant le niveau de bruit pour ne pas nuire au résultat du traitement de ces données. C’est une solution promue notamment par Google en open source pour garantir la confidentialité des données personnelles dans le Big Data/Open Data.

Si un humain peut difficilement effectuer une réidentification à partir de ces données, elles présentent un biais logique qui est de continuer à individualiser les données personnelles sources.

Le tableau suivant synthétise les conclusions du G29 sur les méthodes de randomisation:

Le cas Netflix est une bonne illustration des problématiques de randomisation par ajout de bruit, où Arvind Narayanan et VitaliyShmatikov ont réussi à réidentifier jusqu’à 99% des 500 000 individus d’une base pseudonymisée de plus de 100 millions d’évaluations de films, avec pourtant rajout de bruit sur les notes et dates, simplement en la croisant avec une base de notations publique de films tierce IMDB…

2.2. Les méthodes d’anonymisation par généralisation

Le principe d’anonymisation par généralisation est de supprimer l’individualisation des données personnelles, notamment en les regroupant sous forme de cohortes de même caractéristiques pour qu’il ne soit plus possible de les réidentifier.

Les différentes méthodes de généralisation étudiées par le G29 sont les suivantes:

• k-anonymat: il s’agit d’effectuer des agrégations avec au moins k individus, en réduisant la granularité de leurs données personnelles pour qu’ils partagent les mêmes valeurs. Par exemple, regrouper les individus par fourchettes d’âge à la place de leur date de naissance, ou des fourchettes de poids ou de tailles.
• l-diversité/t-proximité: il s’agit de pallier aux attaques par inférences du k-anonymat en s’assurant que les attributs des cohortes aient au moins l valeurs différentes (l-diversité) et que leur distribution ne dépasse pas un seuil t (t-proximité).

A ces deux méthodes de généralisation, nous rajoutons comme le fait par exemple le spécialiste du traitement de données PALANTIR les données synthétiques, qui reposent sur la génération de nouvelles séries de données corrélées aux données originales, notamment:

• Réseaux Antagonistes Génératifs (ou GAN), antagonistes car mettant en compétition un réseau neuronal “générateur” et un réseau neuronal “discriminateur” dans un process d’apprentissage par les machines (machine learning). Au fil de l’apprentissage, le générateur va créer de nouvelles données, dont la pertinence sera validée par le réseau discriminateur.
• Auto Encodeurs Variables (ou VAE), où un “encodeur” va déterminer dans un premier temps caractéristiques moyennes et spécificités (ou variances) des données initiales, qui sont ensuite “décodées” pour générer de nouvelles données au caractéristiques proches.

Avec des données synthétiques, on ne traite plus des données originales des patients, ce qui rend impossible l’individualisation ou la corrélation; toutefois si la répartition de la nouvelle série de données est très proche de la série d’origine, l’inférence reste possible par du recoupement avec des données tierces.

Le tableau suivant synthétise les performances respectives des différentes solutions de généralisation:

En fin de compte, il n’y a pas de méthode d’anonymisation parfaite ou idéale car la réidentification peut dans certains cas être possible, quel que soit le procédé d’anonymisation utilisé, notamment grâce au recoupement avec des données tierces.

La CNIL conclut à ce sujet qu’“À défaut de remplir parfaitement ces trois critères, il doit être démontré, via une évaluation approfondie des risques d’identification, que le risque de réidentification avec des moyens raisonnables est nul.”

PALANTIR ne parle pas d’ailleurs anonymisation stricto sensu dans son article, “Puisque le terme d’anonymisation peut comporter un sens usurpé de sécurité en suggérant que les données ne peuvent être ré-identifiées, Palantir recommande que les organisations lui substituent le terme “dé-identification”. Concernant les techniques en elles-mêmes, “(…) chacune présentant avantages et inconvénients, permettant de sensiblement réduire les risques de réidentification”. (mis en gras par nous)

3. Pseudonymisation, anonymisation et analyses d’impacts dans la recherche en santé

La problématique de l’anonymisation dans la recherche, c’est qu’en réduisant la granularité des données personnelles de santé voire en les généralisant complètement, on risque de perdre aussi en pertinence des résultats…

Le Health Data Hub (HDH) a évoqué cette problématique des données anonymes en santé, qui passe en pratique par un nécessaire compromis entre ces deux questions:

• a-t-on besoin de préserver la granularité des informations au niveau des individus ?
• a-t-on besoin de partager simplement et largement les données ?

La pseudonymisation s’impose quand conserver la granularité des données individuelles est nécessaire pour réaliser les études, ou qu’il faut avoir la possibilité de réidentifier ultérieurement les patients: étude des parcours de soins, études cliniques au sein d’un établissement de santé…

L’anonymisation s’impose dès lors que l’on n’a pas besoin de données identifiantes, ou que le partage large et simple des données est une nécessité: statistiques anonymes, partage de résultats dans le cadre de la recherche pour en assurer la reproductibilité…

Toutefois, il est utile de rappeler que la notion de risque mitige un évènement redouté (ici la réidentification) avec sa probabilité de réalisation, mais aussi avec son impact sur les personnes concernées (les patients).

Ainsi, le Guide d’évaluation du caractère anonyme d’un jeu de données dans le cadre d’un projet de recherche donne quelques conseils, notamment concernant l’analyse de risque de réidentification pour le patient (ou Analyse d’Impact sur la Protection des Données, AIPD).

Pour illustrer son propos, le HDH reprend notre cas des patients d’un CIM, mais cette cette fois les IM ne sont plus pseudonymisées quand elle sortent du PACS, mais “anonymisées” (plus d’index permettant le recoupement comme avec la pseudonymisation) pour être rendues disponibles pour des chercheurs.

En fait, nous parlerons ici plus de déidentification comme le fait PALANTIR, car si il n’y a plus d’index comme dans l’IM pseudonymisée, l’IM en elle-même n’a pas subit la moindre modification pour éviter un rapprochement ultérieur avec les images du PACS du CIM. Le rapprochement des IM étant possible sans difficultés majeures, on pourrait considérer d’ailleurs qu’on est toujours dans un cas particulier de pseudonymisation, et donc qu’il s’agit toujours de données personnelles de santé.

Le schéma suivant présente ce processus de déidentification-réidentification:

Si l’on reprend l’AIPD proposée par le HDH, cela donne le tableau (TRES simplifié) suivant:

Ainsi, quoique la réidentification grâce au PACS du CIM soit quasi certaine à partir des images déidentifiées, le risque lié au traitement reste au final acceptable, notamment parce que la sécurisation du PACS qui pourrait permettre ce rapprochement est excellente, et que l’impact sur les personnes concernées en cas de rapprochement est considérée comme négligeable.

Au final le RGPD ne donne pas de recettes miracles pour protéger les données de santé, mais il oblige les chercheurs à un minimum de réflexions ex ante sur la meilleure façon de procéder en fonction des objectifs recherchés, tout en anticipant avec des AIPD sur les impacts potentiels de ces traitements pour les personnes concernées.

Et comme je l’avais écrit dans une précèdent article, DPO et professionnels de santé sont fait pour s’entendre, car la vision du Délégué à la Protection des Données qui défend l’intérêt des patients apporte sa contribution pour assurer la cohérence globale du projet de recherche.

Conséquence de cette absence ? L’abondance voire le trop-plein de solutions avec plusieurs milliers de CMP disponibles, dont une grande partie sont référencés sur le site de l’IAB, du moins ceux qui sont conformes au Transparency and Consent Framework (TCF).

Comme une présentation exhaustive de ces solutions n’est juste pas possible, j’ai pris le parti de présenter les 4 solutions que je conseillerai à des TPE ou PME pour mettre en place un gestionnaire de cookies conforme aux recommandations de la CNIL.

Tarte au citron : open source, auto-hébergé et référence CNIL

La solution Tarte au citron, créée par le développeur français Amauri Champeaux, cumule à nos yeux la plupart des avantages qu’on peut attendre d’un CMP :

• Open source : transparence sur les traitements effectués par le logiciel, existence d’une communauté d’utilisateurs ;
• Auto-hébergé : possibilité de l’installer directement sur ses serveurs, pour une maîtrise totale des traitements ;
• Solution référente car utilisée sur le site Web de la CNIL, Autorité de Contrôle française.

Cependant comme beaucoup de solutions open source, il faut maîtriser un minimum les principes de développement informatiques pour pouvoir la mettre en œuvre en auto-hébergé.

Orejime : open source, auto-hébergé et référence APD

La solution orejime est développée par la SCOP française BOSCOP (anciennement: “Empreinte Digitale”) qui développe des solutions numériques responsables (RSE, Green IT etc.). Comme Tarte au Citron, elle est open source et disponible en auto-hébergé.

Elle est aussi très crédible, car utilisée aussi bien par l’Autorité de Contrôle belge (APD) que par le site Web Service-Public.fr en France.

CookieBot : SaaS mais utilisable en version gratuite

La solution SaaS CookieBot est éditée par la société dano-germanique Usercentric, avec un hébergement des données situé dans l’Union Européenne (Microsoft Azure en Europe, Fujitsu A/S au Danemark).

Contrairement aux solutions auto-hébergées, les solutions SaaS sont censées être plus faciles à intégrer par des profils moins techniques.

CookieBot est l’une des rares solutions SaaS qui reste conforme au RGPD dans sa version gratuite, malgré quelques limitations : 1 domaine avec moins de 100 pages Web, pas de bannières personnalisées, pas de multilingue etc.

Elle s’adresse semble-t-il principalement aux petits sites Web (d’où l’offre gratuite) et aux agences Web.

Axeptio : SaaS payant mais pas triste !

La solution SaaS Axeptio est éditée par la société française Agilitation.

Si une version gratuite existe, elle est purement théorique car non conforme au RGPD (pas de stockage du consentement) et trop limitée (2 cookies, pas de consentement marketing etc.).

Ce qui la différencie des autres solutions, c’est le design « fun » des interfaces de gestion des cookies, qui s’adresse aux agences Web qui désirent en mettre plein la vue à leurs clients ! Bien loin en tous cas des interfaces austères réalisées par et pour des informaticiens…

Mais c’est aussi la preuve qu’on peut traiter un sujet sérieux (la protection des données personnelles) sans se prendre trop au sérieux.

Au final c’est quand même rassurant que dans un univers Web largement dominé par Google, il soit tout à fait possible de n’utiliser que des solutions respectueuses des données, comme par exemple un « combo » de CMP Tarte au Citron ou Orejime, avec MATOMO pour l’analytique.