janvier 2017 par Eric Pernot, Responsable Marketing chez Interoute
Vous comme moi, nous sommes nombreux à être peu regardants sur l’usage qui est fait de nos données personnelles récoltées sur Internet. Que les publicités soient ciblées en fonction de nos usages et de nos besoins nous arrangerait même plutôt. Nous apprécions la gratuité d’Internet et nous acceptons qu’en contrepartie, les annonceurs récoltent, « avec notre accord », des informations nous concernant, dans les moindres détails. Elles les utilisent ensuite pour cibler les publicités que nous voyons et parfois revendent ces informations à d’autres entreprises qui nous ciblent à leur tour avec d’autres publicités, ou soumettent ces données à des logiciels de data mining pour revendre encore une fois notre profil à d’autres sociétés. « Avec notre accord » signifie que nous avons accepté les conditions d’utilisation d’un site, mais qui se rappelle de la dernière fois où il a lu en détail ces conditions d’utilisation ?
Les objets connectés collectent également des informations nous concernant, mais sans notre participation active – que ce soit sur notre corps, sur nos habitudes de vie (réfrigérateur, téléviseur, régulateur de chauffage central) ou sur nos déplacements (voiture connectée, cartes de transport magnétiques). La quantité de données ainsi récoltées ne cesse d’être multipliée mais notre relation à ces données n’est pas la même que sur Internet, lorsque nous utilisons Facebook ou Google. L’Internet des Objets concerne des échanges d’informations entre machines. Les données sont collectées, communiquées et analysées de manière automatique, sans que nous nous en rendions compte. Cette fluidité et cette transparence font le succès de l’Internet des Objets.
L’Internet des Objets constitue un nouveau marché, une opportunité d’augmenter les revenus, et la réglementation peine à rattraper la technologie. Il est clair que l’essentiel réside dans l’agrégation de ces données, issues de plusieurs sources. Une information seule n’a pas la même valeur que combinée aux autres. La localisation des données s’impose pour un plus grand contrôle Si nous nous soucions peu de l’usage qui est fait de nos données, les gouvernements sont là pour nous protéger et éviter les dérives, ils tentent de réglementer l’usage de ces données personnelles, au fil des développements technologiques, et la plupart misent sur la localisation des données.
Les lois de protection nationale des données personnelles telles que la Bundesdatenschutzgesetz (BDSG) en Allemagne et les lois de l’Union Européenne, se veulent strictes quant aux transferts de données transfrontaliers, obligeant de nombreuses entreprises à localiser leurs données à l’intérieur des frontières de leur pays. Au Royaume-Uni, un rapport du Conseil Scientifique en Chef du Gouvernement sur l’Internet des Objets détermine la localisation des données comme facteur clé de la recherche médicale et des découvertes dans le secteur de la santé. Les lois de protection des données personnelles, propres à chaque pays, renforcent la sécurité des informations collectées et leur contrôle par les utilisateurs et les gouvernements.
La localisation des données est une solution technique envisageable mais elle pose un problème aux entreprises de l’Internet des Objets qui, pour des raisons économiques, utilisent souvent des fournisseurs de Cloud public. A l’image des startups qui voient leurs bases clients croître et leurs services évoluer, la souplesse et le modèle « facturation à l’usage » du cloud public est idéal. Or, jusqu’à présent, les fournisseurs de cloud public regroupaient leurs données dans de grands data centres régionaux plutôt que dans des data centres spécifiques à un pays même si cela évolue : Amazon Web Services et Microsoft ont annoncé l’ouverture de data centres en France en 2017, venant compléter des implantations en Irlande et en Allemagne pour Amazon, en Irlande et aux Pays-bas pour Microsoft, le signe d’un marché qui demande plus de localisation des données ?
En France, le gouvernement avait fait le choix de financer deux clouds souverains, Cloudwatt et Numergy, pour permettre aux entreprises françaises d’utiliser le cloud public avec une garantie que les données ne sortent pas de nos frontières. Ce financement public d’infrastructures privées, complexe, a été vivement critiqué, certains y voyant un favoritisme pour quelques acteurs privés, leur donnant un avantage par rapport aux concurrents. Aujourd’hui, Numergy a été racheté par Numericable-SFR et Orange détient 100% du capital de Cloudwatt.
Quoi qu’il en soit, il est évident que la localisation s’impose comme un gage de sécurité. Et cette mesure a l’avantage d’être simple : il est aisé pour un gouvernement de montrer qu’il s’engage à légiférer la technologie et il est facile pour une entreprise de prouver qu’elle est conforme à la législation.
Prévenir les dérives
Et ce contrôle de l’usage des données personnelles prend tout son sens alors que le data mining est devenu encore plus puissant. En analysant de nombreuses données publiques et privées, il est possible de découvrir des détails personnels, même si les informations sont anonymes. Par exemple, dans le cas de maladies rares et de conditions médicales particulières, le nombre de personnes pouvant correspondre est si mince qu’il est facile d’identifier un patient. Sur ce marché en pleine croissance de la revente de « big data », il est certain que des entreprises seront en mesure d’accéder à des informations confidentielles et seraient susceptibles de prendre des décisions discriminatoires à l’encontre d’un individu, concernant son employabilité ou sa couverture d’assurance maladie, par exemple. L’Internet des Objets amplifie les risques contre la sécurité des données, notamment dans le domaine médical puisque des appareils embarqués et connectés peuvent donner de nombreux renseignements sur nos vies personnelles. Les lois sont là pour protéger les consommateurs et prévenir les abus. Mais, en même temps, les utilisateurs, qu’ils soient malades ou non, sont plus intéressés par un accès instantané à un service qui leur semble utile ou par un gadget connecté que par le fait de savoir où sont collectées leurs données dans le cloud.
Les deux se défendent. Aux Etats-Unis, la FTC (Federal Trade Commission) a publié un récent rapport sur la minimisation de l’usage des données personnelles. Il demande simplement aux organisations de n’utiliser que les données pertinentes et de les effacer une fois utilisées. Les organismes de protection des données personnelles comme l’Electronic Frontier Fondation défendent la loi pour protéger les citoyens, et encouragent ceux-ci à plus de vigilance quant à l’exploitation de leurs informations, cela en évitant les entreprises et services qui revendent les données personnelles, et en prenant des mesures pour les protéger, par exemple en ayant recours à l’encryptage.
L’Internet des Objets verra naître de nouvelles innovations autour de la donnée au fil des découvertes sur la capture de l’information et le partage entre appareils. Selon une étude de CISCO, la connexion des établissements de santé et des outils de surveillance du patient pourraient représenter un enjeu économique de 106 milliards de dollars d’ici 2022. Du point de vue de la conformité, les entreprises de l’Internet des Objets et de secteurs fortement réglementés comme la santé, arriveront plus facilement à surveiller les données si leur localisation est déterminée. Et les prestataires de cloud possédant des data centres dans différents pays devront adopter une architecture de cloud souverain public pour aider leurs clients à se conformer.
Il est clair que la localisation des données est plus difficile à maîtriser lorsque les acteurs Internet ou de l’Internet des Objets revendent les données à des entreprises tierces qui pourront les exploiter à leur tour comme bon leur semble et qu’un comportement responsable, attentif aux conditions d’utilisations, refusant d’utiliser des sites qui revendent les données récoltées, est encore plus sécurisant mais là, seuls vous et moi pouvons agir. La localisation est le moyen d’action des gouvernements et des hébergeurs.
Publiée le 27 janvier 2017 par Global Security Mag