Un spécialiste pointe les problèmes de la LGPD, une loi qui protège les données personnelles (Image : Guilherme Reis / )
La LGPD (Loi générale sur la protection des données personnelles) est en vigueur au Brésil depuis son entrée en vigueur en 2022, servant de base à plusieurs décisions de justice. Cependant, en raison des invasions constantes d’entreprises et d’agences gouvernementales – sans parler des méga-fuites de CPF – nous pensons que nos données sont encore moins sécurisées qu’elles ne devraient l’être. Et maintenant?
Gwin est un expert en sécurité numérique chez Kzarka, une entreprise qui surveille le déroulement de la méga-fuite du CPF, entre autres violations de la vie privée. Dans une interview avec Gwin pointe plusieurs problèmes dans l’application de la LGPD : il dit que la loi dépend beaucoup de la confiance au Brésil, où de nombreuses organisations publiques et privées ne veulent pas dépenser pour la sécurité numérique.
Contents
Que dit vraiment le LGPD ?
La LGPD (nº 13.709/2018) est entrée en vigueur en août 2022, avec des règles plus claires pour ceux qui traitent des données personnelles, qu’elles soient physiques ou numériques. De plus, la loi donne plus de pouvoir au détenteur de ces informations, car le consentement du propriétaire est considéré comme essentiel.
Par exemple, lorsqu’une entreprise ou un organisme public demande vos informations, il y a une obligation de vous informer de la finalité et de la nécessité de celles-ci. Vous pouvez également revenir en arrière et révoquer votre consentement à tout moment ; demander que vos données personnelles soient supprimées ; et demander leur transfert vers une autre organisation.
Les entreprises doivent définir un délégué à la protection des données, appelé Data Protection Officer (DPO). De plus, ils doivent adopter une série de mesures, comme l’explique le ministère public fédéral (MPF) :
Concernant la gestion des risques et des défaillances, le responsable de la gestion des données personnelles doit également rédiger des règles de gouvernance ; adopter des mesures de sécurité préventives; reproduire les bonnes pratiques et les certifications existantes sur le marché ; préparer des plans d’urgence; réaliser des audits ; résoudre les incidents rapidement, avec notification immédiate des violations à l’ANPD et aux personnes concernées.
En cas de non-respect, l’ANPD (Autorité Nationale de Protection des Données Personnelles) a le pouvoir d’appliquer des sanctions. Il peut s’agir d’un avertissement, d’une amende journalière ou d’une amende unique pouvant atteindre 2 % des revenus de l’entreprise, avec une limite maximale de 50 millions de reais par infraction.
Quelles sont les limites du RGPD ?
Pour Gwin, le GDPR suppose que vous faites ce qu’il faut – mais pour assurer une plus grande sécurité, il recommande les protocoles à suivre. Cela inclut l’emplacement de stockage, le contrôle d’accès, entre autres critères.
Par conséquent, selon lui, la loi se limite à obtenir des données sur les incidents de sécurité, à comprendre ce qui s’est passé, à voir qui y a eu accès, en plus de déterminer la sanction du responsable.
LGPD compte toujours sur la confiance envers l’entreprise et l’équipe de sécurité. Cependant, pour lui, ce niveau de confiance ne correspond pas à la culture brésilienne de ne résoudre les problèmes que lorsqu’ils surviennent, au lieu de les prévenir :
«Nous vivons dans un pays où normalement quelqu’un ne va qu’après que quelque chose de grave se soit passé, n’est-ce pas? Et la confiance joue un rôle clé à cet égard, car vous avez confiance que l’entreprise fait tout correctement, vous avez confiance que les protocoles recommandés par la LGPD sont respectés. Mais personne ne vérifie.
Le problème n’est pas la façon dont vous gérez la fuite. Comment est la sécurité de ce système ? Comment est la sécurité de cet environnement ? »
Et il devient difficile de faire confiance après une fuite, par exemple. “Le LGPD vous recommande seulement d’être plus prudent dans le traitement des données”, note Gwin. “Il vous recommande seulement de gérer les données de manière plus responsable, mais cette responsabilité est très basée sur la confiance, et vous ne réalisez que vous ne pouvez pas faire confiance une fois que le problème est déjà survenu.”
Hacker (Image : Kevin Horvat / Unsplash)
De plus, ayant travaillé sur ce marché pendant de nombreuses années, Gwin rappelle que “souvent, les entreprises ignorent complètement la sécurité”. Cela devrait être quelque chose de basique, dit l’expert, mais cela finit par ne pas être prioritaire même avec la LGPD en vigueur.
Par exemple, Gwin note que de nombreuses entreprises ne veulent pas dépenser pour la redondance, ce qui serait essentiel pour tout système de sécurité :
« Vous avez besoin d’un mur bien construit dans l’entreprise, d’une sécurité qui résiste à tous les temps, de systèmes redondants… Ainsi, si un système tombe en panne, vous en avez un autre, et il tient le premier.
C’est comme un château au Moyen Âge : si le mur extérieur cède – il est touché par une catapulte et tombe – vous avez les murs intérieurs à protéger. Vous avez des soldats à protéger. Vous avez des miradors à protéger. En fin de compte, vous avez une multitude de systèmes de sécurité qui sont redondants. »
Pour Gwin, le problème est que la LGPD n’impose pas cette redondance. Et, comme cela coûte cher, beaucoup préfèrent ne pas le mettre en œuvre. L’expert affirme que cela est considéré comme inutile : “l’entreprise pense, ‘pas besoin, pourquoi le refaire, le faire une fois et ça marche, c’est fini’. Mais la sécurité est le seul domaine où vous avez besoin de redondance.
L’exemple européen
Le LGPD est basé sur le GDPR, qui est en vigueur dans l’Union européenne depuis 2018, et Gwin pense que la sécurité des systèmes est davantage une question culturelle chez les Européens, c’est-à-dire qu’elle n’a pas commencé uniquement à cause de la loi.
“L’Europe, en particulier la Russie, a toujours aimé avoir une approche de sécurité beaucoup plus approfondie”, dit-il. Il convient de rappeler que les Russes ont une loi sur la protection des données personnelles en place depuis 2006, qui a été mise à jour au fil des ans.
C’est comme si, au Brésil, on avait fait le processus inverse, où la loi passait avant une culture qui privilégie la protection des données. Gwin mentionne l’exemple de la Russie en matière de sécurité :
« Le hacker russe était autrefois considéré comme l’un des meilleurs au monde parce qu’il aime la redondance, il aime adopter des politiques de sécurité réellement sécurisées. Il y a cette notion que si vous n’avez pas de sécurité, vous n’avez pas de système – parce qu’il peut tomber en panne à tout moment.
Et au Brésil, que pouvons-nous faire ? Gwin dit qu’il n’a pas de solution, mais souligne que les entreprises, “principalement les autorités publiques”, doivent vérifier leur propre sécurité et cesser de penser que ce n’est pas nécessaire car “il ne s’est jamais rien passé”.
Une curiosité : le spécialiste s’identifie uniquement sous le nom de Gwin car “le métier nécessite de cacher le nom en raison d’éventuelles représailles de criminels”. Il explique qu’il a utilisé ce surnom pour accéder à des jeux en ligne, puis qu’il a conservé ce surnom pour explorer le Web profond.
Collaboration : Laura Canal
