Série PME et Vie privée
Sens de vie privée Eviter les pièges Boîte à outils

Le sens d'identité et de vie privée EN

Le sens d'identité et de vie privée est le premier article d'une trilogie vie privée et PME, signée Irene Silberstein. Cet article aborde la sémantique et l'aspect pratique.

Sens de vie privé

J'ai écrit cette série pour les PME ayant une présence en ligne et les responsables de sites web : sociétés, commerces et tout professionnel, expert, freelance, créateur, publication, conseil, agence, artiste et bien d'autres métiers.

Une recherche sur l'état de la vie privée qui a commencé il y a assez longtemps, mais qui a redémarré récemment alors que je cherchais une façon cosy et conviviale d'accéder à nos sites internet thématiques.

Cette recherche m'a conduite au carrefour de la sémantique(1), du bon sens et des pratiques commerciales.

Au coeur du débat sur la vie privée, je questionne le sens des mots identité et vie privée pour nous mêmes et pour nos clients.

Note 1.
a- nom - La science du sens (le sens porté par un mot ou une expression).
b- adj - relatif au sens

.

Temps de lecture moyen : 17 minutes.
Pas le temps de lire maintenant ? Aucun problème.
Accédez librement à nos ressources et téléchargez l'article

Your email (secure), anonymize if you wish, (Example: AnonAddy (2nd Window).

Un fournisseur doit-il exiger les papiers d'un client ? >La vente en ligne implique-t-elle de contrôler les identités ?

Bien que je puisse imaginer cette exigence dans certains cas précis, mon bon sens refuse l'idée qu'un producteur vendant des pommes de terre en ligne doive contrôler l'identité de ses clients.

La question est de savoir si un prestataire doit contrôler l'identité de ses clients./p>

Cela heurte mon bon sens. Pas le vôtre ?

Cette observation a déclenché un questionnement sur les données dont nous avons réellement besoin pour rendre notre service.

En regardant la vente de services marketing par exemple, nous avons éventuellement besoin de savoir si notre client a un site internet, s'il participe à des salons commerciaux, vend dans le monde entier ou localement. Oui, mais pourquoi devrions-nous nous pencher sur la date de naissance de son chef des ventes ?

Donc, la première question qui me vient à l'esprit est :

La vente en ligne nécessite-t-elle de contrôler les identités ?

J'entends certains d'entre vous dire "mais l'identité peut être attestée par des tiers de confiance..."
Bien sûr, mais même s'il s'agit d'une tierce partie, il s'agit toujours d'un contrôle d'identité.

Ma deuxième question :

Avons-nous le droit de vérifier l'idebntité ? Avons-nous le droit d'exercer un tel contrôle ?

Il est probable que non.

Dans de nombreux pays. Les contrôles d'identité sont strictement réglementés et confiés aux agents des douanes et aux forces de police. Ainsi, le propriétaire d'un site Web confronté à cette exigence pourrait-il commettre une infraction pénale.

Oui, direz-vous, mais si vous vendez des médicaments et que l'un d'entre eux ne peut être vendu pour un enfant de moins de 12 ans, ils doivent le faire !

Eh bien, lorsque vous vendez 10 000 produits et que vous en avez 2 qui ne peuvent pas être vendus aux moins de 12 ans, dans ce cas précis, vous devriez soit ne pas vendre les 2 produits pour les moins de 12 ans en ligne, soit parler à la personne qui veut commander. Il ne sert à rien de construire une règle générale à partir d'une exception. Et si vous vendez de nombreux produits interdits aux moins de 12 ans, alors créez un service téléphonique pour ce genre de ventes.

Oui, chaque mot compte Oui chaque mot compte car les mots véhiculent le sens

Les glissements sémantiques font le lit des idées fausses.

Dans la société dans laquelle nous vivons, les glissements sémantiques sont si courants que nous les remarquons à peine. Nous tombons dans le piège et utilisons un mot pour un autre.

L'utilisation actuelle des mots identité/identification est l'un de ces pièges.

Regardez bien : un système authentifie un utilisateur afin de lui en permettre l'accès et vérifie ses droits.

Exemples:
Le système d'exploitation Unix vint le premier, avant Dos et avant Windows qui hérita une partie de sa logique.
Pour accéder à un serveur Unix ou Linux, un utilisateur doit disposer des informations d'identification appropriées.

L'utilisateur Root dispose de tous les droits (par exemple tous les droits, y compris la suppression).
L'utilisateur Admin dispose des droits d'administration (par exemple toutes les actions qui peuvent être annulées).
et l'utilisateur Joe dispose de certains droits

.
Nul besoin pour le système d'apprendre ou de stocker le vrai nom de root. ni, dans cet exemple, de la date de naissance de Joe.

Dans un tel cas, pour concevoir un système sécurisé, il nous appartient simplement de décider des informations d'identification appropriées, pas plus.

Les pratiques actuelles Les pratiques actuelles

Pour permettre l'accès à une plateforme collaborative par exemple
la plateforme réclame fréquemment un fournisseur d'identité.
Cela me perturbe, pas vous ?

En effet, les concepts informatiques, éventuellement pourvus de sens pour les experts et les développeurs
peuvent devenir une source de confusion lorsqu'ils sont utilisés par des spécialistes du marketing ou des politiciens.
ça ne nous embrouillerait pas autant si on utilisait plutôt authentifier.
mais, à partir de là, nous pouvons suivre le glissement sémantique.
Supposément destiné à sécuriser l'utilisateur et ses données.

Devons-nous le croire ?
Certainement NON.

Cette affirmation est tout simplement fausse.

Comme vous le verrez plus loin, l'histoire du RGPD et les statistiques le prouvent.
Non seulement cela n'apporte aucune sécurité
mais cela devient rapidement un cauchemar pour l'utilisateur.

Un bref rappel historique Un bref rappel historique

à partir de 2008 environ, les consultants en sécurité ont commencé à expliquer à leurs clients cibles, dans leurs documents commerciaux, que la "vérification de l'identité" et l'"authentification de l'identité" étaient des concepts distincts, le premier (vérification de l'identité) impliquant uniquement la présentation d'une pièce d'identité tandis que les responsables de sites web devaient prévoir une étape de plus pour se protéger de la fraude, notamment pour les ventes en ligne.

Au cours de la décennie suivante, l'idée d'un fournisseur d'identité a fait son chemin et de grandes sociétés bien connues telles que Google, Facebook, etc. sont devenues les garants de l'"identité" des utilisateurs. Elles ont commencé à proposer ce service, afin que les responsables de sites Web puissent offrir un mode unique d'identification à leurs utilisateurs. Au début, cela semblait confortable pour les utilisateurs.

Les recherches conduites alors ciblaient, pour la plupart, les protocoles, les procédures, les processus sécurisés, les performances. Néanmoins, le fondement n'était pas un objet de recherche.

La « preuve d'identité est entrée dans le jeu. En gros, je comprends le concept de preuve comme des couches et des couches d'identification et de vérification ajoutées.

Depuis 2012, divers documents ont mis en avant le « risque » de fraude et la nécessité de prouver l'identité, beaucoup montrant un intérêt commercial évident.

Depuis 2017, le libellé "identification comparé à authentification" a retenu l'attention. Les responsables du marketing ont fait valoir que les fraudes et les menaces liées à l'identification étaient en augmentation.

Jetons-y un coup d'oeil.

Brèches, hameçonnage, et plus encore

Halte là. Les faits recueillis pourraient démontrer que la manie de l'identification pourrait bien être une cause principale des incidents.

Les vendeurs et les spécialistes du marketing ont fait état d'une augmentation des vols de données, avec des nombres à sept chiffres, et ont demandé un contrôle accru de l'accès des utilisateurs. Ils ne se sont pas interrogés sur les raisons de cette augmentation des incidents.

Stop. Les faits recueillis pourraient au contraire démontrer que la manie de l'identification est une cause majeure des incidents.

En effet, rien qu'aux états-Unis, le nombre des vols de données a fait un bond

de 784 en 2015 à 1106 en 2016(2)et 1632 en 2017

Note 2. L'année de la naissance du RGPD

et de 1257 en 2018 à1473 en 2019 revenant à 1001 en 2020(3)

Note 3. L'année durant laquelle la Cour de justice de l'UE a refusé la sous-traitance hors UE.

Statistiques des vols de données

Source Statista 2021

Ainsi voit-on s'effondrer le discours sur l'augmentation de la fraude et la nécessité de la vérification de l'identité.

Paysage juridique mondial Paysage international

Un regard rapide sur le RGPD

Que s'est-il passé ? Depuis août 2016, le cadre du bouclier de protection de la vie privée UE-USA permettait de sous-traiter hors UE à des entreprises invoquant la législation américaine - une simple déclaration.

Bien sûr, c'était à l'opposé des règles appliquées dans les pays européens.

Si vous pensiez que le RGPD représente un progrès en matière de protection de la vie privée, oubliez ça. Le RGPD a ouvert la porte aux vols de données, fait régresser la protection de la vie privée et créé une jungle juridique.

Pourquoi ? Parce qu'à la demande du ministère américain du commerce, l'UE a accepté le transfert des données personnelles à des sous-traitants situés hors de l'UE. On comprend mieux le déroulement du GDPR si l'on sait qu'en dépit des apparences l'UE ne représente pas les intérêts des pays qui la composent, mais prend ses ordres des globalistes du FEM (Forum economique mondial).

Malgré l'imbrication de mesures juridiques, il n'existait plus aucun contrôle sur les sous-traitants, ce qui a ouvert la porte aux infractions.

En 2020, l'arrêt de la Cour de la CJUE

La Cour a rejeté en août 2020 la sous-traitance en dehors de l'UE.

Un mois plus tard, plus de 100 plaintes ont été déposées contre des sites web pour avoir continué à envoyer des données aux états-Unis via Google Analytics ou Facebook, par le groupe européen de défense de la vie privée Noyb.

Mais direz-vous, en quoi cela me concerne-t-il ?

En tant que responsable de site web, vous devez savoir quelles données vous conservez, où vous les stockez, comment vous les protégez et qui en est le détenteur.

Compliqué, mais aussi difficile à respecter

Un exemple simple : Google, Facebook et d'autres possèdent vos données, ainsi que celles de vos clients. C'est pourquoi, en utilisant leurs produits, vous ne pouvez pas être en conformité avec le RGPD.

Commencez-vous à apercevoir comment ça marche ?

Dans l'UE par exemple, les entreprises qui transfèrent des données personnelles à un sous-traitant aux états-Unis, notamment lorsque celui-ci utilise des services cloud, doivent désormais passer immédiatement à des fournisseurs de services basés dans l'Union européenne ou dans un pays pouvant garantir un niveau adéquat de protection des données.

Un phénomène récent

--Du fait des réglementations locales en matière de protection de la vie privée, ne pas respecter la confidentialité, de ne pas gérer correctement les cookies ou ne pas déclarer les données des clients, ou tout autre manquement, peut entraîner une amende dans de nombreux pays, pas seulement dans l'UE.

Outre les pays de l'EEE, les entreprises opérant au niveau international ou recevant des visiteurs d'autres pays doivent également respecter les lois sur la protection de la vie privée.

Regardez ce que Morrizon Foester indique à la date du 28/01/2021
« Le nombre de lois sur la confidentialité des données dans le monde a monté en flèche ces dernières années. En janvier 2021, 133 juridictions dans le monde ont adopté des lois omnibus sur la confidentialité des données ; 102 de ces lois [1] se trouvent dans des juridictions situées en dehors de l'Espace économique européen (EEE). [Soixante de ces lois ont été adoptées au cours des dix dernières années et la moitié au cours des cinq dernières années. Rien qu'au cours des deux prochaines années, nous pourrions assister à l'adoption ou à l'introduction dans les législatures nationales de 12 lois nouvelles ou actualisées, voire davantage. »

La Suisse, le Japon, la Floride, le Canada, mais aussi l'Inde (la jurisprudence indienne a reconnu le droit à la vie privée comme un droit constitutionnel), Singapour et maintenant la Chine avec la loi dite PIPL (la loi chinoise sur la protection des informations personnelles), qui a un court délai pour la mise en conformité : 1er novembre 2021. Comme pour le RGPD, la PIPL a un impact sur toute entreprise ayant des données en Chine ou qui y fait des affaires.

Une analyse complète dépasse le cadre de cet article. Toutefois, ces quelques informations peuvent aider à comprendre à quel point il est compliqué de se conformer à la réglementation.

De nombreuses organisations et auteurs proposent des points de vue sur diverses facettes de la vie privée à partir de 2021. Citons :

DIGITAL DATA AND PRIVACY, un article sur Medium par Mayank Bhandary le 12/07/2021. Un article utile pour découvrir pourquoi notre vie privée numérique est en jeu et comment nous pouvons la protéger.

Why Data Privacy Matters to Me, an AdTech Dropout,un article sur Medium par Lauren Kaufman, 14 septembre 2021. En tant qu'auteur, je considère que la vie privée et l'éthique forment un socle fondamental pour nos sociétés.. Cependant, il est clair que nous pouvons tous contribuer à la construction de ce socle.

The Calyx Institute, une publication Medium consacrée aux solutions de protection de la vie privée publie :
Awala - Une lumière dans l'obscurité des pannes d'Internet. Par Cathy B. 17 septembre 2021 : Un sneakernet crypté E2E permet aux utilisateurs de rester connectés même lorsque l'internet est coupé.

Tor et les flocons de neige Par Brandon S. 23 août 2021 : Comment vous pouvez faire partie de la solution de confidentialité numérique.

take care of privacy Protéger la vie privée

En septembre 2021, l'organisme irlandais de surveillance des données a infligé à What'sapp, propriétéde Facebook, une amende record de 267 millions de dollars pour avoir induit les utilisateurs en erreur et violéles règles de l'Union européenne de 2020 en matière de confidentialité des données.

Jusque-là, l'amende record était de 886,6 millions d'euros, infligée àAmazon par l'agence de protection de la vie privée de la Commission nationale pour la protection des données (CNPD) du Luxembourg, en juillet 2021 pour avoir traité des données personnelles en violation des règles du RGPD.

Il y a quelques mois, Restore Privacy a souligné que

"Au cours des dernières semaines, nous avons vu "533 millions d'enregistrements d'utilisateurs volés sur Facebook et 500 millions d'enregistrements volés sur LinkedIn" [propriétéde Microsoft].

Dans The Ultimate Guide to Private and Anonymous Payment Methods (2) (Le guide ultime des méthodes de paiement privées et anonymes).

Restore Privacy observe à juste titre :


« Le problème : vous n'avez pas le contrôle des bases de données » qui stockent vos informations privées...

La solution : commencer à utiliser des méthodes de paiement privées et/ou anonymes, ce qui minimise les données disponibles...

« Malheureusement, vous ne pouvez pas compter sur les entreprises, ni même sur les gouvernements, pour protéger vos informations personnelles...

Certes, mais en tant qu'individus et responsables d'entreprises, nous pouvons nous entraider, dans notre intérêt commun.

C'est pourquoi mes propres recherches de solutions simples ont conduit àréduire et sécuriser les données collectées.

De même, du côtéde l'entreprise, l'absence de connaissance est un moyen de réduire la charge et les risques.

Dans le prochain article de cette série, j'examinerai avec vous les risques encourus et comment éviter les pièges.

Sources

Sources sur un pan de l'histoire

Novembre 2012

https://www.microbilt.com/blogs/post/knowing-the-difference-between-id-verification-and-id-authentication

Octobre 2016

https://salesforce.stackexchange.com/questions/144671/difference-between-authentication-and-identity-provider

2017

https://www.experian.com/assets/government/white-papers/identity-proofing.pdf

Novembre 2018

https://simplicable.com/new/identification-vs-authentication

August 2019

https://www.okta.com/blog/2019/08/what-is-identity-proofing/

Decembre 2019

https://m-saranki.medium.com/identity-vs-authentication-vs-authorization-biggest-dilemma-823ca02e66d5

Février 2020

https://www.jumio.com/identification-authentication-verification-compared/

Mai 2020

https://docs.microsoft.com/en-us/azure/active-directory/develop/authentication-vs-authorization

Juin 2020

https://searchsecurity.techtarget.com/answer/Authentication-vs-digital-identity-Whats-the-difference

Décember 2020

https://www.paymentsjournal.com/telling-the-difference-between-identity-and-authentication/

2021

https://www.cnn.com/2021/04/06/tech/facebook-data-leaked-what-to-do/index.html

2021

https://www.aware.com/resources/cloud-based-biometric-identity-proofing-and-authentication-services/

Sources juridiques sur la confidentialité des données :

Morrison Foerster

https://www.mofo.com/resources/insights/210127-data-privacy-day.html

Information sur la loi sur de protection des données en Chine

https://www.wrangu.com/data-privacy-management/

Sources vie privée

https://legal-nen.medium.com/digital-data-and-privacy-c2aa2e023cfb

https://lolokaufman.medium.com/why-data-privacy-matters-to-me-an-adtech-dropout-b7b126a0c8aa

https://medium.com/@calyxinsta/awala-a-light-in-the-darkness-of-internet-blackouts-f6485e59c5d8

About the author Irene Silberstein

Spécialiste de l'information et pionnière du web, Irene apporte son expérience de la strayégie, de la recherche et de l'analyse de l'information. Elle dirige iSkiv Ltd, société à responsabilité limitée britannique. Pour en savoir plus, voir Irene Silberstein