La recherche sur Internet de fuites d'informations (RIFI) | CNIL – CNIL |

XtremWebSite
Réalisation site web - Référencement

Protéger les données personnelles, accompagner l’innovation, préserver les libertés individuelles
Qu’est-ce qu’une donnée personnelle ?
Coronavirus (COVID-19)
Les décisions de la CNIL sur Légifrance
Retour sur l’histoire de la CNIL
Suivre le Mooc RGPD
Coronavirus (COVID-19)
Les décisions de la CNIL sur Légifrance
Retour sur l’histoire de la CNIL
La recherche sur Internet de fuites d’informations (RIFI) a pour objectif de détecter, au plus tôt, une fuite de données. Les organismes qui souhaitent y recourir, ainsi que les prestataires de RIFI eux-mêmes, doivent respecter certaines règles, notamment le RGPD et le code pénal.
La RIFI permet de détecter une fuite de données, qui peut être accidentelle (en raison de problèmes de sécurité, par négligence, etc.) ou intentionnelle et malveillante (suite à une cyberattaque, à des fins de vengeance ou de chantage, etc.) et peut conduire à rendre accessible sur le web, tout type de données, y compris des données personnelles.
Une opération de RIFI consiste à analyser le web de manière automatisée, afin de vérifier si des informations, préalablement identifiées par le biais de mots‑clés, ont été rendues publiques. Cela revient, pour un organisme, à rechercher dans le vaste océan du web, les données qui ont fuité. Cela implique donc d’analyser un important volume de données, y compris, des données personnelles. Une opération de RIFI se décompose schématiquement en 4 étapes, lors desquelles des données personnelles sont susceptibles d’être collectées et traitées :
Lors de l’analyse du web, toutes les données traitées (analysées pour vérifier leur correspondance avec les mots clés) ne sont pas collectées. En effet, seules les données pertinentes (donnant lieu à une correspondance) vis-à-vis des mots-clés déterminés, font l’objet d’une collecte et d’une conservation (voir ci-dessous, les règles applicables à la conservation des données).
Les deux utilisations les plus courantes de la RIFI sont la réalisation d’une veille active ou la correction d’une fuite avérée de données.
Dans les deux cas, il est nécessaire de respecter le cadre légal applicable à la protection des données personnelles, le règlement général sur la protection des données (RGPD). Pour cela, il faut notamment mettre en place des mesures techniques et organisationnelles permettant de concilier ce type d’opérations avec les droits et libertés des personnes concernées.
Plusieurs règles doivent être respectées par les organismes qui décident de recourir à la RIFI et les prestataires de RIFI afin de mettre en place des pratiques respectueuses du RGPD.
L’entreprise qui décide de recourir à un prestataire afin d’effectuer une RIFI pour son compte, est qualifiée de responsable de traitement, tandis que le prestataire qui recherche et analyse les données sur les instructions de celle‑ci, agit en tant que sous- traitant.
Chaque opération de RIFI doit être encadrée par un contrat liant l’entreprise cliente qui commande l’opération (le responsable du traitement) et l’entreprise prestataire qui met en œuvre celle-ci (le sous‑traitant). Ce contrat devra préciser les obligations de chaque partie et reprendre les exigences de l’article 28 du RGPD.
Les objectifs (ou finalités) du traitement devront être précisés dans le contrat : il sera ainsi nécessaire de bien décrire ce que recouvre la réalisation d’une veille active ou la remédiation à une fuite avérée de données.
La poursuite de tout autre objectif justifie une analyse complémentaire pour vérifier que celui-ci n’est pas illégal et limiter les risques juridiques tant pour l’organisme décidant d’avoir recours à la RIFI que pour son prestataire.
Pour pouvoir être mis en œuvre, tout traitement de données doit d’abord reposer sur l’une des bases légales prévues par le RGPD.
Dans le cadre de la RIFI, les opérations menées sont susceptibles de pouvoir reposer sur la base légale de l’intérêt légitime du responsable de traitement (celui dont les données ont fuité et qui les recherche) à condition d’apporter certaines garanties qui doivent faire l’objet d’une analyse au cas par cas.
Les 6 principales conditions à remplir sont :
La sécurité du réseau et des systèmes d’information constitue un intérêt légitime (considérant 49 du RGPD) que le responsable de traitement pourrait mettre en avant. En effet, la RIFI a pour objet d’assurer la protection des informations d’un organisme en repérant d’éventuelles fuites de données, révélatrices de failles de sécurité au sein de ses réseaux ou systèmes d’information et portant atteinte à la protection des données personnelles.
Compte tenu du caractère intrusif des opérations réalisées dans le cadre de la RIFI (collecte et analyse massive de données), l’organisme qui y recourt devrait pouvoir mettre en avant le fait que, compte tenu de sa situation particulière, il n’existe pas d’autres moyens efficaces de repérer certaines fuites de données.
Cela peut être particulièrement le cas lorsque les fuites de données ont pour origine les agissements de personnes mal intentionnées travaillant pour l’organisme et disposant d’un accès légitime à ces données en raison de leurs fonctions. Dans une telle hypothèse, la fuite de données peut être difficilement détectable malgré l’existence de mesures déjà en place au sein de l’organisme concernée.
Lorsque la base légale d’un traitement est « l’intérêt légitime du responsable de traitement », ce dernier doit pouvoir démontrer que les personnes concernées peuvent s’attendre à ce que leurs données personnelles soient utilisées pour l’objectif qu’il poursuit. Dans le contexte de la RIFI, cela signifie que les personnes doivent pouvoir s’attendre à ce que leurs données soient collectées et analysées pour garantir la sécurité et la protection du patrimoine informationnel de l’organisme, au regard notamment de l’importance stratégique de leurs fonctions, ou des projets sur lesquels elles travaillent.
Ainsi, les dirigeants d’un organisme exposé à des risques d’accès illégitimes peuvent raisonnablement s’attendre à ce que leur nom fasse l’objet d’une veille, la question se pose en revanche pour un salarié qui n’exerce aucune fonction à responsabilité ou en lien avec la sécurité des systèmes d’information, ou n’est impliqué dans aucun projet sensible.
Toutefois, les attentes raisonnables des personnes concernées ne sont pas le seul élément à prendre en compte. En effet, l’objectif de sécurité visé par le responsable de traitement doit être suffisamment important pour ne pas créer de déséquilibre au détriment des droits et intérêts des personnes concernées. Il est ainsi important que l’organisme tienne compte d’éléments tels que, la nature de son activité et des données qui doivent être protégées mais également l’objectif de protection de la vie privée des personnes dont les données ont pu être rendues publiquement accessibles. Plus les données à protéger sont sensibles et nombreuses, plus des opérations de RIFI peuvent être, au cas par cas, jugées proportionnées.
Pour rappel, la RIFI n’implique pas systématiquement la collecte de données personnelles. Ces dernières sont collectées uniquement lorsqu’elles sont pertinentes vis-à-vis de la finalité du traitement et qu’elles correspondent aux mots-clés qui ont été définis en amont de la recherche. Ainsi, les données non pertinentes ne sont jamais conservées à l’issue de la phase d’analyse de correspondance.
Concernant les données collectées, comme pour tout fichier, une durée de conservation limitée doit être définie. Celle-ci doit être déterminée en fonction de l’objectif de la recherche. Ainsi, si la RIFI porte sur un aspect particulier d’un projet stratégique (par exemple, une étape de soumission d’une réponse à un appel d’offre important), la durée devra tenir compte des spécificités de celui-ci.
S’agissant des résultats issus de la recherche, lorsque la RIFI permet de retrouver les données qui ont initialement fuité, celles-ci pourront être conservées le temps nécessaire aux poursuites judiciaires et, le cas échéant, à l’analyse de l’origine de la violation.
Si malgré toutes les précautions prises, la RIFI conduit à collecter des données qui ne sont pas recherchées par l’organisme, celles-ci devront être supprimées immédiatement après leur collecte (voir, ci-après, les garanties à mettre en œuvre).
Enfin, s’agissant des mots-clés utilisés aux fins de recherche, ceux-ci peuvent être conservés pour la durée du contrat de RIFI.
L’organisme souhaitant recourir à la RIFI doit s’assurer que tous les moyens sont mobilisés pour ne pas collecter de données qui ne proviennent pas de ses systèmes d’information.
Il doit en particulier mettre en œuvre toutes les mesures permettant de limiter la collecte de catégories particulières de données personnelles (par exemple des données de santé, d’infraction ou en lien avec la vie sexuelle…), notamment dans les mots-clés utilisés pour la RIFI ou dans les sites ciblés par la RIFI.
Si malgré les mesures prises, des données sensibles qu’il ne recherche pas sont traitées, l’organisme devra là encore les supprimer immédiatement. Sur ce point, il est possible d’avoir le même raisonnement que pour les traitements de données personnelles effectué par le biais de moteurs de recherche auxquels le principe d’interdiction de traitement de données sensible ne s’applique qu’a posteriori lorsque le moteur de recherche est informé du caractère sensible de la donnée qu’il détient (sur ce point, voir les mesures techniques et organisationnelles développées ci-après).
Les prestataires de RIFI doivent s’assurer que les techniques utilisées dans le cadre de leurs missions ne portent pas atteinte aux systèmes de traitement automatisé de données (ce qui est puni par la loi), par exemple :
Chaque entreprise qui décide de recourir à la RIFI doit veiller au respect des droits des personnes concernées.
Si l’information des personnes en lien avec l’organisme (clients, salariés, dirigeants, etc.) peut être réalisée, par exemple, par le biais de la politique de confidentialité, de la charte informatique ou du contrat de travail, afin d’effectuer une information individuelle, la RIFI est susceptible d’impliquer le traitement (ou au moins la consultation) de données concernant des personnes avec lesquelles l’organisme n’a pas de lien.
En effet, la RIFI implique l’analyse d’un nombre important de contenus publiés en ligne pour identifier ceux qui correspondent aux mots‑clés déterminés par l’entreprise ayant recours à la RIFI. Par conséquent, l’information individuelle des personnes concernées peut s’avérer très complexe.
Dans l’hypothèse d’une collecte des données qui ne s’effectue pas directement auprès des personnes, le RGPD peut dispenser l’organisme d’effectuer une information individuelle si la fourniture de cette information se révèle impossible ou exigerait des efforts disproportionnés. Cette exception doit néanmoins être interprétée strictement par le biais d’une analyse au cas par cas et ne peut constituer une règle générale. Dans ce cas, l’organisme devra rendre ces informations publiques, par exemple, en mettant celles-ci à disposition sur son site web, ou en réalisant une information vers les personnes si elles sont ultérieurement identifiées et joignables.
Si la RIFI révèle l’existence d’une violation de données au sein du système d’information de l’entreprise et que celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement devra communiquer à chaque personne concernée les informations concernant cette violation afin qu’elle puisse prendre les mesures appropriées.
Enfin, les personnes disposent d’un droit d’accès à leurs données personnelles, à l’effacement et à la rectification de celles‑ci, ainsi que d’un droit à la limitation, du traitement mis en œuvre, et d’opposition à celui-ci, qui devront être mis en œuvre par le responsable de traitement.
Afin de limiter les conséquences d’une opération de RIFI sur les droits des personnes concernées, la CNIL recommande la mise en œuvre des mesures suivantes :
Compte tenu de l’évolution rapide des menaces en matière de cybersécurité, la CNIL reste attentive à l’évolution des besoins : les commentaires sur la présente analyse peuvent être envoyés à l’adresse [email protected].
Votre adresse de messagerie est uniquement utilisée pour vous envoyer les lettres d’information de la CNIL. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. En savoir plus sur la gestion de vos données et vos droits
Commission Nationale de l’Informatique et des Libertés

source

Nous vous proposons de l'information

Xtremwebsite réalisation de site web avec ou sans engagement.

Articles récents

Suivez-nous

Vous voulez plus d'infos

Indiquer votre email 

google partner xtremwebsite
google adsence xtremwebsite
google analytics xtremwebsite
google-mybusiness xtremwebsite

Tout d’abord la page est mise en ligne à des fins d’information du public et en vue d’informer les clients. Par ailleurs elle est régulièrement mise à jour, dans la mesure du possible.
Néanmoins en raison de l’évolution permanente de la législation en vigueur, nous ne pouvons toutefois pas garantir son application actuelle. Nous vous invitons toutefois à nous interroger pour toute question ou problème concernant le thème évoqué au 07 81 19 33 22. Cependant en aucun cas Xtremwebsite ne pourra être tenu responsable de l’inexactitude et de l’obsolescence des articles du site.  xtremwebsite cout site internet création site internet  site internet pour avocat  création site vitrine {service} à {ville(Ville)}< /span>