Le RGPD et le vol de données personnelles

La valeur probante d’un document numérisé

Le RGDP est désormais en vigueur depuis mai 2018 et des inconvénients se font ressentir quant à la protection des données personnelles.

En effet, ce règlement a pour objectif d’optimiser la protection des données et leur contrôle. En effet, chaque individu a désormais le droit de connaître où sont exactement ses données personnelles et peut en demander la récupération et la suppression. Le règlement impose donc aux entreprises une totale transparence quant à la gestion des données de leurs clients/partenaires/fournisseurs/employés/etc.).

En cas de non-respect de cette règle, des amendes dissuasives sont prévues… Mais au final, ce règlement protège-t-il réellement vos données personnelles ?

Un droit d’accès aux données trop laxiste

Un expert, M. Casey Knerr, a voulu tester la sécurité de ce système en se faisant passer pour sa fiancée, et en réclamant ses données personnelles à environ 150 entreprises. Pour ce faire, il a simplement envoyé une lettre à ces 150 sociétés, dans laquelle il a demandé en retour une copie de l’ensemble des données qu’elles détiennent sur sa fiancée.

Résultat ?

Sur 108 sociétés qui ont répondu à sa demande, plus d’un quart d’entre elles ont transmis les données demandées sans même vérifier sa réelle identité ! Et 16% d’entre elles ont “vérifié” son identité à l’aide d’une faible preuve, très facile à voler, telles que : déclaration sur l’honneur, facture d’électricité, etc.

De réelles fuites de données

Au final, seulement 39% des entreprises ont tenté de vérifier correctement l’identité de la personne en lui demandant d’envoyer un mail via l’adresse enregistrée chez le fournisseur. Et d’autres entreprises sont même allées un peu plus loin en demandant une copie de sa carte d’identité ou passeport…

Mais aux yeux du RGPD, n’est-ce pas contradictoire de réclamer des données encore plus sensibles que celles demandées ?

Ce “test” que M. Knerr a effectué a donc permis de démontrer que vos données ne sont pas à l’abris et qu’il est très simple de pouvoir les récupérer via un “simple courrier”… Finalement, voici les données qui ont pu être récupérées : téléphone, numéro de sécurité sociale, numéro de carte bancaire, login et mot de passe, etc.

Une faille du RGPD

Le RGPD n’indique pas comment les entreprises doivent vérifier l’identité des demandeurs, si ce n’est que ces dernières doivent mettre tout en oeuvre pour s’assurer qu’il s’agit de la bonne personne…

En conclusion, il s’est avéré que les grandes entreprises sont plus organisées à ce sujet et ont mis en place des étapes de vérification strictes, contrairement aux PME qui sont bien plus vulnérables dans ce domaine.

Nous contacter

Source : 01 Net

ACCUEIL

CybersécuritéDéDOC SA21 août 2019sécurité, cyberattaque, cybersécurité, protection des données, loi sur la protection des données