L’APDL est bien lancée

L’Association pour la protection des données au Luxembourg (APDL) tenait sa conférence inaugurale le 11 mars 2014. Elle s’est fixée pour objectifs de fédérer et servir la communauté de la protection des données personnelles. Internet des objets, Big Data et secret bancaire, cette première donnait une overview de l'importance de la protection des données. Le prochain rendez-vous est déjà fixé au 19 septembre.

L’Association pour la protection des données au Luxembourg (APDL) tenait sa conférence inaugurale le 11 mars 2014. Elle s’est fixée pour objectifs de fédérer et servir la communauté de la protection des données personnelles. Internet des objets, Big Data et secret bancaire, cette première donnait une overview de l’importance de la protection des données. Le prochain rendez-vous est déjà fixé au 19 septembre.

Juristes, avocats, RSSI, informaticiens, chercheurs, l’APDL accueille des membres de toute nature, de tous grades, sans distinction. « Je sues très heureux de pouvoir commencer à travailler aver css différentes professions, annonçait Michael Hofmann, Vice-Président de l’APDL. Maintenant, voyons ce qu’on peut faire et essayons d’aller en profondeur. Nous pouvons vraiment créer quelque chose avec des échanges, des working group, et changer tout cela ensemble : prendre le meilleur de la Data et créer une valeur ajoutée.» L’APDL doit ainsi permettre à ses membres :

  • d’échanger, de communiquer et d’être représentés auprès des administrations et régulateurs locaux,
  • de partager l’information et la connaissance en matière de protection des données au travers de l’organisation d’événements, de conférences et de partenariats tant au niveau local qu’international,
  • d’établir des liens avec des associations étrangères de protection des données.

La vente des données est un domaine lucratif

Après l’exemple du rachat de WhatsApp par Facebook pour la somme record de 16 milliards de dollars, il n’y a plus de doute, les données des individus se vendent à prix d’or. Dans ce contexte, les utilisateurs restent très mal informés de leurs droits sur internet. Tous ont déjà coché des conditions générales sans les avoir lues, et pour cause, le texte n’est jamais très attractif. Les associations des consommateurs et de protection se sont déjà insurgées contre ces pratiques mais en vain. On ne compte plus les fois où les géants sont appelés à payer des amendes.

« Garantir la protection des données est essentielle pour regagner la confiance des utilisateurs, débutait Nathalie Sprauer, Présidente de l’APDL. Parce que la vente de données est une activité très lucrative, les protéger est un challenge pour l’association. J’espère que nous serons de plus en plus nombreux et je vous invite à nous rejoindre pour protéger ce droit des individus. »

Internet of everything

Avec 2 milliards d’utilisateurs d’internet, l’internet des objets (IdO) prend de plus en plus d’ampleur. Si les objets connectés se développent, on hésite entre gadgets et réelle avancées. Bijoux de technologies, mais aussi  réelle fusion de la physique et du numérique, ils se propagent dans tous les secteurs d’activité. Même si l’UE ne fait que des pas timides sur ce terrain, les prévisions à l’horizon 2020 montre une forte croissance.

« En 2010, il y avait 12,5 milliards d’IdO pour 6,8 milliards d’êtres humains. En 2020 il y en aura 50 milliards pour 7,6 milliards d’êtres humains, ce qui fait près de 7 objets connectés par personne, s’exclamait Marc Gallardo Business Lawyer chez Lexing. Pourquoi c’est important ? Parce que cela signifie que 40% des données seront des créées par des objets et non par des personnes. Les machines collecteront des données entre elles, machine-to-machine, pour s’adapter aux besoins, aux habitudes de vie, etc. Et la question de la protection de ces données sera cruciale, mais aussi de savoir à qui ces données appartiennent. »

Là où le bât blesse, c’est que leurs concepteurs ne pensent pas la sécurité en amont. Le privacy by design est un réel enjeu pour protéger ces données, qui bientôt, émaneront de tous les objets qui nous entourent.Si tout est connecté sans être protégé alors tout peut être potentiellement hacker. Il ne s’agira plus d’internet des objets mais de l’internet de tout (Internet of everything, IoE).

Aussi, lorsque Google a racheté les thermostats Nest, tout le monde s’est demandé ce qu’il voulait en faire pour avoir allongé sa 3ème plus grosse dépense (3 milliards de dollars). En effet quoi de plus innocent qu’un thermostat qui doit essentiellement permettre de faire des économies d’énergies et d’argent ? Mais si un pirate a accès à ces données, il récupère vos temps d’absence de votre domicile : idéal pour un cambriolage ou juste utiliser un maximum de ces objets très peu protégés pour faire des « machines zombies ». La maison du future, pensée connectée, pleine de domotique et intelligente, pourrait ainsi être pleine de dangers.

Utiliser Big Data, le pour et contre

On pourrait utiliser Big Data pour croiser des données très utiles et importantes, par exemple dans le domaine de la santé ou de la justice. Mais lorsque Ronald Koorn, Partner IT Advisory chez KPMG Netherlands, pose la question à la salle, de la plus fréquente des utilizations de Big Data, ce qui ressort est le marketing. « Le profilage, la prédiction, sont fréquemment utilisés pour adapter la demande, les solutions, les produits, et cell dans tous les secteurs. Nous devons connaître les atouts et les dangers de ces utilisations et les étudier. Le Big Data est très important pour le business d’aujourd’hui mais qu’en est-il des impacts sur la confidentialité ? C’est pourquoi la sécurité et la confidentialité doivent demeurées liées. En matière de technologies, on peut dire que le problème c’est l’IT, et c’est vrai, mais l’IT peut aussi faire parte de la solution. Nous devons utiliser un IT éclairé pour atteindre notre but de la protection des données. »

Le secret bancaire n’est pas mort, simplement parce qu’il n’existe pas

« On ne devrait pas parler de l’avenir du secret bancaire, simplement parce qu’il n’existe pas, débutait David Hagen, CIO & Head of IT Supervision à la CSSF. Ici comme dans de nombreux pays (ou pour d’autres secteurs comme la santé, la justice,… ndlr), les banques sont soumises à respecter le secret professionnel. Elles doivent garder secrètes toutes informations que leurs clients leurs confient. » Mais il y a évidemment beaucoup d’exceptions à ce secret : lutte contre le blanchiment d’argent, qu’il vienne de pratiques délictueuses y compris la fraude fiscale, de l’argent de la dfrogue ou  de la traite des êtres humains,…, lutte anti-terroriste,…

Pas plus tard qu’hier, les députés ont admis le procédé d’échange automatique d’informations entre administrations fiscales dans l’Union. Ce qui n’enlève en rien le secret des échanges entre clients et banques. D’autant que l’échange aura lieu entre les institutions liées aux taxes en Europe, mais en aucun cas vers l’extérieur du domaine de la fiscalité. Hors de question d’échanger entre filiales, avec la maison-mère ou des tiers, en rompant le secret des affaires.

Depuis le développement de l’outsourcing bancaire, la protection des données connaît de nouveaux enjeux. Chaque banque choisit d’outsourcer à Luxembourg ou ailleurs. La CSSF précise donc, qu’en dehors d’une externalisation vers un PSF de Support (donc à Luxembourg), le devoir de la banque est d’informer le client sur la localisation de cet outsourcing, et ce de façon contractuelle. Au cas par cas pour chacun de ses clients.

La CSSF et la CNPD travaillent de concert pour s’assurer que les banques protègent la confidentialité des clients. Dans un domaine ou la réputation est reine dans la demande, l’anonymat favorise toujours la confiance. C’est donc la seule voie pour garantir l’outsourcing au-delà du pays, y compris vers une maison mère ou un hub de filiales. La confidentialité ne doit plus être synonyme d’avoir quelque chose à cacher mais plutôt à préserver.

L’APDL espère fédérer d’autres associations et organismes pour mieux agir. La protection des données est un droit qui devrait toucher tout le monde, mais c’est aussi une question qui évolue tout le temps. « C’est un sous-qualitatif de voir ce que représente l’association, annonçait Gérard Lommel, President of CNPD. Je suis heureux de pouvoir partager la ferveur de nos convictions avec vous tous. Le respect de ces droits doit être considéré comme un véritable atout et pas seulement comme une contrainte. Le pays devra se tenir aux avants-postes auprès de l’UE, pour achever cette révolution. »

En photo, une partie des fondateurs de l’APDL : (de gauche à droite) Myriam Brunel, Michael Hofmann, Henri Damiani, Nathalie Sprauer, Romain Sabel, Tony Ristagno.