Vol de données clients Swisscom – Une sonnette d’alarme pour la Suisse?
par Gabriel Avigdor
L’affaire du vol des données clients Swisscom auprès d’un de ses partenaires survenu ce 7 février 2018 fait suite à une longue liste d’incidents au niveau international (Equifax, Yahoo, Wannacry, Uber, Linkedin,…). Mais aussi en Suisse (Digitec, Swisscom), avec une liste qui va encore s’allonger ces prochaines années. Cet incident permet de se rendre compte concrètement que les grands opérateurs, ceux qui devraient d’ordinaire inspirer confiance, ne sont pas à l’abri des attaques. D’ailleurs, il en va de même pour tous les autres acteurs, secteurs publics et privés confondus. Néanmoins, ce sont surtout nos données qui sont à risque.
Risques limités, mais vol significatif à l’échelle suisse
A l’échelle de la Suisse, ce sont quand même les données de 800’000 clients volées il y a de cela 3 mois et annoncé le 7 février 2018 seulement. Difficile d’extrapoler cela aux incidents survenus auprès de vrais géants. Même si ce vol de données peut paraître dérisoire en comparaison avec d’autres vols de données historiques (3 milliards de données de comptes Yahoo!, au travers de Verizon, compromis en 2014), ce nombre est pourtant assez significatif pour un opérateur helvétique.
Notification tardive, mais conforme
A noter aussi une notification de la part de Swisscom qui intervient tardivement, mais qui correspond aux obligations actuelles imposées aux responsables de traitement selon le droit suisse: il n’y en a pas.
Conséquences de ce vol
Ce vol de données jugées par l’opérateur Swisscom comme
“pas particulièrement sensibles “
n’aura probablement que peu de répercutions sur les individus, mais véhicule un mauvais message au public qui pourrait laisser penser que lorsque des données personnelles sont volées, ce n’est pas important. De plus, il s’agit d’une terminologie malheureuse qui peut prêter à confusion (voir plus bas).
Les désagréments attendus pourraient aller du marketing ciblé, aux tentatives d’obtention de paiements indus, de prestations financières ou de communication de données bancaires par téléphone, SMS ou courrier. Par conséquent, une certaine vigilance accrue est dès lors de mise pour les clients ayant fait l’objet d’un vol de leur données. Ce genre d’incidents n’est donc pas à prendre à la légère dans un contexte où les inquiétudes des citoyens face à la course effrénée aux technologies et à l’utilisation massive des données ne concordent pas vraiment avec celles d’une majorité de nos politiques et parlementaires.
La Suisse tarde et risque de perdre sa compétitivité
Plutôt en retard. La Suisse peine à suivre le train des technologies et se trouve être en retard sur certains aspects liés au numérique, notamment la protection des données. Le droit suisse n’est pas encore complètement “périmé” et apporte bon nombre de réponses face à l’avancée rapide des technologies. Simplement, il n’est plus très moderne et pour un pays bénéficiant d’autant d’innovateurs, de start-ups et d’entreprises high-tech, il est difficile de comprendre le manque de prise de décisions et d’initiatives pour faire de la Suisse un Etat moderne, voir modèle.
Le modèle à la suisse trouve réellement ses limites. Institutions politiques, démocratie semi-directe et directe, ainsi que sa trop grande prudence aboutit toujours au même discours:
” attendons de voir ce que les autres feront, nous verrons ensuite“
Cette mentalité semble dépassée et plutôt antagoniste avec le fait que les technologies touchent à des questions fondamentales de notre société. Le droit du travail va bouleverser les métiers non créatifs (IA), l’éducation doit être repensée, la médecine et la santé vont drastiquement changer, la responsabilité individuelle va augmenter, la formation et la création de nouveaux métiers à tous les échelons (apprentissages, hautes écoles, universités) doit être anticipée, et les données de nos citoyens ainsi que de toutes celles des entreprises qui font confiance à la Suisse pour les y héberger ou laisser transiter, doivent être en sûreté.
Est-ce la peur de faire des erreurs, la peur du risque, des générations de dirigeants étatiques et ou privés qui attendent d’être à la retraite pour dire “ouf, heureusement que je n’ai pas eu à m’en charger” ou “je n’y comprends rien de toute façon“? Difficile de répondre à cette question. Pourquoi la Suisse ne pourrait-elle pas inspirer, elle dont l’économie internationale bénéficie encore de sa réputation basée sur la confiance, sa neutralité, sa discrétion, son exigence, sa capacité de travail et son sérieux?
Il semble URGENT pour la Suisse d’accélérer sa prise d’initiative au niveau politique et législatif si elle souhaite rester compétitive face aux acteurs du marché européen. Par ailleurs, on constate que des entreprises suisses qui ne seront pas soumises au Règlement (UE) 679/2016, autrement connu sous le doux nom de RGPD (ou GDPR en anglais), se mettent en conformité pour éviter de perdre des parts de marché.
Loin de Swisscom, l’exemple de Talk-Talk
En octobre 2016, l’entreprise de télécoms anglaise Talk-Talk avait perdu 101’000 clients suite à un vol de numéros de comptes bancaires d’environ 157’000 de ses clients. Cela avait abouti à une amende record de £400’000, qui n’était finalement rien face aux répercutions économiques suite à cet incident, lesquelles se sont élevées à environ £60 millions, dont:
- £45 millions de coûts liés à (a) la remise en ligne du service, (b) l’interruption du service et des affaires, (c) la réaction à l’incident et les frais de consultants, ainsi que
- £15 millions pour l’amélioration et prévention des incidents.
De plus, le communiqué de presse avait été effectué en urgence et sans préparation, ce qui avait eu des conséquences désastreuses sur la confiance auprès de ses clients et le départ de bon nombre d’entre eux.
Pour donner un ordre de grandeur, cette même amende sous l’angle du RGDP aurait pu se monter à quelques £59 millions si l’événement s’était produit le 26 mai 2018, contre £400’000 en octobre 2016…des montants franchement différents.
Remarques et réflexions suite à l’incident Swisscom
- Sonnette d’alarme pour la Suisse. Pour une entreprise détenue à 51% par la Confédération, ce genre d’événement devrait faire office de catalyseur. Les récents développements parlementaires sur la révision totale de la loi fédérale sur la protection des données (tant sur le contenu que sur la décision de scinder le projet en deux) semblent pourtant indiquer que la Suisse n’est pas pressée d’encadrer la protection des données pour ses citoyens, avec comme risques de rater le tournant du numérique, de perdre le statut de pays avec un niveau de protection adéquat pour le transfert des données, d’attirer des entreprises peu recommandables en abaissant le standard, d’être moins compétitif et j’en passe. Cela alors que l’Europe et d’autres pays sont en train de faire l’inverse. Un tel incident devrait être un signal d’alarme pour la Suisse qui ne peut plus rester passive devant des voisins européens proactifs et chamboulant le paysage réglementaire. Cela est d’autant plus important si la Suisse veut rester compétitive économiquement et attirer les entreprises garantissant un niveau d’exigences et de confiance élevé pour l’utilisation des nouvelles technologies, la protection des données, la cybersécurité et l’industrie 4.0.
- Une cible de choix. Les grands opérateurs et entreprises sont aujourd’hui une cible de premier choix qui ne peuvent pas se permettre de prendre à la légère ces problématiques. Les cyberattaques vont se multiplier dans les années à venir et il est dès lors nécessaire de comprendre, maîtriser et anticiper ce genre de scénarios, afin d’éviter une situation de type “Talk-Talk”. Si l’entreprise se protège et élève ses standards, elle protège en même temps sa réputation, son business et ses clients.
- Notifications en cas d’incidents. Le projet de loi fédérale sur la protection des données, qui devrait bientôt imposer un délai de 72 heures dès la connaissance de l’incident pour le notifier aux autorités, est une étape clef dans le cadre des incidents en matière de cybersecurité. Pour les entreprises soumises au RGPD, cette obligation implique de mettre en place les mesures nécessaires pour s’organiser à l’interne, prévenir les incidents, les détecter, les notifier, minimiser les risques, etc. Des obligations et une organisation, dont encore peu d’entreprises sont habituées à mettre en place.
- Notification obligatoire ou non ? Aujourd’hui, aucune obligation n’existe en Suisse. La cybersécurité n’est pas développée contrairement à l’Europe ou aux Etats-Unis dont les législations étatiques regorgent de pratiques en la matière. Seul le RGPD, pour les entreprises qui y sont soumises, et le projet de révision de la LPD prévoient des modifications allant en ce sens. Il sera également crucial de mettre en place les mesures adéquates (telles que l’anonymisation, la pseudonymisation, le cryptage, etc.) qui pourraient éviter de devoir notifier aux autorités les incidents et perdre ainsi sa réputation et des clients. Lorsque des mesures adéquates sont prises au préalable, elles peuvent avoir comme effet que personne ne le sache. En effet, s’il n’existe qu’un risque minime ou inexistant pour les données personnelles, personne n’aura besoin de le savoir. Le responsable du traitement protège ainsi sa réputation et la confiance auprès des clients. Par exemple, si vous perdez votre carte de crédit, mais que des chiffres sont effacés, il n’y aura presque aucun risque pour une utilisation indue de votre carte de crédit.
- Contrats avec les tiers et procès. On l’a vu, ce n’est pas Swisscom qui s’est directement fait voler ses données mais une entreprise “partenaire”. Il est par conséquent important, surtout au vu du nouveau régime d’amendes (voir mon article sur les amendes selon le RGPD), de prévoir un contrat avec ses fournisseurs qui soit en béton. Vu les prochaines modifications législatives et l’arrivée du RGPD, il est essentiel de revoir ses contrats pour qu’ils tiennent compte de la problématique des incidents et avoir une idée claire de ce qu’il advient contractuellement en pareil cas. C’est dans ce cas qu’on peut pourra analyser la relation contractuelle et éventuellement se retourner contre son fournisseur. Dans ce contrat, on songera par exemple à: (a) définir les rôles de chaque partie (responsable ou sous-traitant), (b) n’agir que sur instruction du responsable du traitement des données, (c) garantir des mesures de sécurité adéquate, (d) imposer une formation des employés du fournisseur, (e) que des sauvegardes suffisantes soient effectuées régulièrement et à plusieurs endroits, (f) une possibilité de récupérer ses données en tout temps, même en cas d’incidents, (g) obliger le tiers à notifier tout incident par le partenaire dans un délai très court, (h) une collaboration entre les parties en tout temps, (i) permettre ou non la sous-traitance de 2e niveau et en être informé au préalable, avec droit de refus ou de résiliation du contrat, (j) le transfert des données vers un pays tiers, (k) prévoir des indemnités, pénalités en cas de violation du contrat, (l) de désigner comme juste motif de résiliation du contrat en cas d’incident, etc. (la liste est encore longue!). En résumé, le contrat avec ses partenaires d’affaires qui traitent les données de ses clients, doit être absolument revu pour anticiper les récents développements. Cela fera la différence en cas négociation, dans le cadre d’un litige, ou de procès.
- Enfin, sur le caractère sensible des données, la prise de position de Swisscom prête à confusion. Le caractère sensible ou non d’une donnée est définit dans la loi et a une portée juridique particulière. Soit une donnée entre dans cette catégorie, soit pas. Une donnée sensible se rapporte par exemple à une information sur la santé, sur les orientations politiques, philosophiques, religieuses, les particularités raciales et ethniques, (bientôt le profilage et les données biométriques) et pouvant se rapporter directement ou indirectement à un individu. Cette catégorie est mieux protégée par la loi, car le consentement exprès de la personne concernée doit être recueilli et peut-être retiré en tout temps. Lorsqu’on mentionne “sensible” on pense parfois à la valeur de la donnée, ce qui n’est pas la même chose. Une donnée peut être considérée comme “sensible“, soit parce qu’elle est à risque (donnée de comptes bancaires), a une valeur économique (information sur un brevet d’invention en cours de développement), soit parce qu’une protection et une confidentialité particulière doit y être accordée (secrets d’affaires). Ainsi, lorsque Christian Neuhaus indique que
“aucune donnée sensible, telle que mot de passe ou information bancaire, n’a été subtilisée”
alors que ni un mot de passe, ni une information bancaire ne sont une donnée sensible, ni même probablement une donnée personnelle au sens juridique du terme et échapperaient à la réglementation sur la protection des données.
Il existe clairement une grande confusion entre la notion de données sensibles selon la loi, ou selon qu’elle est considérée comme “critique” ou que le degré de confidentialité requis est élevé. Cela dénote bien que la protection des données, ses règles et ses principes sont méconnus et ont encore beaucoup de chemin à faire.
La Suisse et la protection des données: une affaire à suivre de près !
Chercheur dans le domaine de l’informatique médicale (particulièrement sur la confidentialité des données) je trouve dans votre article un discours qui fait écho à ma pensée. Le droit me semble particulièrement en retard sur la réalité des évolutions technologiques. Je suis très heureux de voir qu’un spécialiste du domaine tente d’alerter le public aussi bien que le législateur sur les risques encourus si on ne s’intéresse pas tous rapidement à ce sujet.
En passant, je me permets de réagir sur une chose que vous mentionnez. Vous parlez d’une possibilité d’anonymiser les données afin de les protéger et même peut-être de ne pas avoir à déclarer leur vol. L’anonymisation est mon domaine de recherche et son efficacité voir même sa faisabilité sont toutes deux discutées. Dans un monde où les innovations technologiques et la collecte massive de données ne font que s’accélérer, il me semble peu raisonnable d’espérer trouver dans la technologie une solution robuste à un problème de société nouveau. Voici un lien vers une publication présentant une vision plutôt pessimiste de l’efficacité de l’anonymisation / de-identification : “no silver bullet de-identification still doesn’t work” (votre site ne me permet pas de poster le lien, je vous laisse donc effectuer une recherche sur google pour trouver l’article)
Il existe évidemment d’autres points de vue à ce sujet dans la communauté scientifique mais je trouve l’approche de ces auteurs raisonnable dans l’état actuel des choses. Affaire à suivre…
Merci beaucoup pour votre commentaire.
L’article que vous mentionnez (https://bit.ly/1kEPwxV) m’avait déjà intéressé il y a de cela quelques temps. Il met bien en exergue la difficulté que représente la “désidentification” vu l’essors des nouvelles technologies et le peu d’espoir pour garantir une parfaite anonymisation des données personnelles et je vous rejoins sur cet aspect.
Dans mon article, je fais référence au nouveau Règlement Général sur la Protection des Données (RGPD – art. 33 (1)), lequel s’applique en Suisse à certaines conditions, et qui prévoit une exemption de notification aux autorités en cas d’incident.
Il est prévu que le responsable du traitement est exempté de notification aux autorités (et également aux personnes concernées) s’il peut démontrer “qu’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques”.
Tel peut être le cas si un ordinateur portable est volé ou égaré par un employé, mais qu’il est crypté et inaccessible sans de grands efforts. Ici, les données personnelles ne sont pas anonymisées, elles ne sont que “pseudonymisées”. Le risque de pouvoir y accéder pourra être considéré comme suffisamment faible, si le niveau de cryptage est fort, pour exempter le responsable de traitement de notifier cet incident.
Merci pour votre réponse et merci encore une fois pour cet article très intéressant.