DataDome

Comment protéger la confidentialité des données des utilisateurs finaux dans le domaine de la cybersécurité

Table des matières
Bot management Account fraud
Romain Catala, Global Legal Manager & Data Protection Officer
11 Jul, 2022
|
min

La protection de la vie privée est un droit humain fondamental, de plus en plus protégé par des obligations de conformité dans le monde entier, et notamment par des réglementations relatives à la confidentialité des données dans le domaine de la cybersécurité. Une bonne solution de gestion des bots fera le maximum pour respecter la confidentialité de vos utilisateurs finaux et optimiser leur expérience utilisateur. Les bonnes pratiques veulent que votre plateforme et vos solutions de sécurité soient conformes à un maximum de réglementations en matière de confidentialité des données.

Voici quelques-unes des nombreuses lois sur la confidentialité des données auxquelles DataDome se conforme dans le monde entier :

Globally Privacy Compliant

Lorsqu’ils traitent des données, les fournisseurs de services de gestion des bots et de la fraude en ligne doivent se concentrer sur certains facteurs clés pour rester en conformité avec les réglementations mondiales en matière de confidentialité. Nous les avons organisés en trois piliers :

Chez DataDome, notre équipe s’engage à protéger la vie privée de tous les êtres humains concernés par notre activité, et notamment les utilisateurs finaux de nos clients. Notre engagement à fournir une solution conforme à la confidentialité des données est catégorique et ferme, et se reflète dans nos accords de niveau de service (SLA) et nos accords sur le traitement des données (DPA).

C’est pourquoi chaque point de contact, algorithme et règle personnalisable que créé DataDome privilégie la confidentialité des données autant que la sécurité et la performance. C’est aussi pour cela que nous souhaitons partager notre approche de la confidentialité et vous permettre de protéger vos données et vos clients.

Quelques éléments de contexte

Avant de vous parler plus en détail des piliers de la confidentialité des données, examinons quelques points clés de la réglementation en matière de confidentialité des données :

La mise en œuvre du RGPD (règlement général sur la protection des données)

Le 25 mai 2018 est une date que tous les avocats connaissent. C’est la date à laquelle le RGPD (règlement général sur la protection des données a été mis en œuvre en Europe.

Le RGPD est la loi la plus stricte au monde en matière de confidentialité et de sécurité. Elle a été rédigée et adoptée par l’Union européenne (UE). Le RGPD, qui est la norme d’excellence en matière de protection de la vie privée, établit les bases solides des exigences de confidentialité des données dans le monde entier.

Fin 2020, 106 pays disposaient d’une réglementation nationale (dont beaucoup s’inspirent du RGPD) sur la protection des données personnelles s’appliquant à tous les secteurs d’activité. Les entreprises et les plateformes doivent se conformer aux réglementations nationales et locales en matière de confidentialité (notamment la CCPA aux États-Unis et la PDPA en Australie) partout où leurs produits et services sont accessibles aux utilisateurs.

La Commission nationale de l’informatique et des libertés (CNIL), e régulateur français, conteste Google ReCAPTCHA

Le 15 juillet 2020, la Commission nationale de l’informatique et des libertés (CNIL) en France a souligné que Google reCAPTCHA n’informait pas les utilisateurs finaux et n’obtenait pas leur consentement pour traiter leurs données dans des applications.

Google précise dans sa documentation que reCAPTCHA peut collecter des données utilisateur qui sont « transmises à Google pour analyse » (c’est-à-dire à des fins autres que la sécurité, l’objectif  perçu de reCAPTCHA), et que les entreprises qui utilisent reCAPTCHA doivent informer les utilisateurs finaux et obtenir leur consentement pour pouvoir traiter leurs données.

La CNIL a découvert que les utilisateurs de certaines applications n’étaient à aucun moment informés ou invités à donner leur consentement (ni à l’ouverture des applications, ni plus tard au cours de leurs parcours utilisateurs) pour la collecte d’informations stockées sur leur équipement mobile. Les utilisateurs ne pouvaient pas non plus s’opposer à la collecte de leurs données.

Google n’a pas clairement défini l’objectif de la collecte de données des utilisateurs par reCAPTCHA, mais l’outil pourrait être lié à Google Analytics, entre autres. Google reCAPTCHA collecte l’adresse IP des utilisateurs, la langue du navigateur, le nombre de clics, la liste des plugins, les cookies déposés par Google au cours des six derniers mois et les objets JavaScript présents sur la page.

L’absence de notification et de consentement est encore aujourd’hui un problème pour les plateformes utilisant reCAPTCHA, ce qui constitue une violation de la vie privée des utilisateurs finaux. La CNIL critique les organisations qui n’effectuent pas d’analyse d’impact sur leur utilisation de reCAPTCHA.

Recommandations

Les finalités de la collecte de données par reCAPTCHA n’étant pas précisément définies, il est difficile d’imaginer comment le consentement de l’utilisateur (s’il est recueilli) pourrait répondre aux exigences du RGPD, à savoir être « libre, spécifique, éclairé et univoque ». Les entreprises n’ont donc pas d’autre choix que de faire appel à d’autres solutions pour être en conformité avec le RGPD.

L’obligation imposée par le RGPD de recueillir un consentement « libre, spécifique, éclairé et univoque » auprès de chaque utilisateur final ne peut être contournée que si les fournisseurs de solutions (comme DataDome) :

  • Appliquent un principe de minimisation stricte des données collectées par la technologie.
  • N’utilisent pas les données collectées à d’autres fins que la sécurisation du site, de l’application, du service ou de la plateforme du client.
  • Intègrent le traitement des données via la technologie CAPTCHA dans le traitement effectué en tant que sous-traitant du client (clauses contractuelles de l’article 28 du RGPD).
  • Rappellent aux clients leur obligation d’informer les utilisateurs finaux sur la technologie.
  • Réalisent une étude d’impact qui peut être fournie aux clients sur demande.

Les 3 piliers de la confidentialité des données

Data Collection – Data Privacy Pillar 1

1. La collecte des données

Les fournisseurs de solutions de protection contre les bots peuvent prendre quelques mesures de collecte de données pour respecter la confidentialité des données :

Collecter un minimum de données auprès des utilisateurs.

Les solutions de cybersécurité devraient être conçues de façon à limiter le type de données sensibles nécessaires à leur bon fonctionnement. Par exemple, DataDome ne collecte pas le numéro IMEI (International Mobile Equipment Identity) des utilisateurs finaux ou des coordonnées telles que le nom, l’adresse e-mail, les identifiants, le numéro de téléphone, les coordonnées bancaires, les renseignements saisis dans les formulaires, etc.

(DataDome divulgue toutes les données collectées par notre solution dans la documentation sur notre site web. Nous ne recueillons que les données absolument nécessaires, et celles-ci sont protégées par les normes de sécurité les plus strictes et utilisées uniquement à des fins de détection et de sécurité. Nous n’utilisons jamais les données à d’autres fins que la sécurité, et ne les partageons pas non plus avec des tiers).

Chiffrer toutes les intégrations clients.

Dans le cadre des meilleures pratiques, DataDome assure le chiffrement de bout en bout pour toutes les communications avec les environnements tiers de nos clients. Le chiffrement entre les tableaux de bord d’utilisateurs tiers et DataDome utilise un algorithme de chiffrement SHA256RSA. Le chiffrement entre les serveurs web des clients et l’API de DataDome utilise un algorithme de chiffrement SHA256RSA.

Traiter toutes les données à la périphérie sans externaliser le traitement des données.

Les fournisseurs de solutions doivent, dans la mesure du possible, éviter de confier le traitement des données à des tiers. Si un tel traitement s’avère nécessaire, il doit être clairement communiqué, documenté et approuvé par le client.

(DataDome a toujours respecté les exigences mentionnées ci-dessus et se conforme à la confidentialité dès la conception et lors du traitement. Le déploiement de notre technologie propriétaire n’a d’autre but que de protéger nos clients).

Les qualités à rechercher chez votre fournisseur de solutions :

  1. Des normes élevées de sécurisation et de chiffrement.
  2. La transparence totale concernant les données collectées.
  3. Aucun consentement requis de la part des utilisateurs finaux (car la collecte des données se fait qu’à des fins de sécurité).*

*Notez que puisque Google reCAPTCHA exploite des données collectées à des fins autres que la sécurité, les entreprises qui utilisent ce service doivent fournir aux utilisateurs finaux une option de refus de collecte de données pour être en conformité avec le RGPD. L’option obligatoire de refus permet aux bots de contourner facilement reCAPTCHA.

Data Collection – Data Privacy Pillar 2

2. La conservation des données

Voici les mesures de conservation des données que votre fournisseur de solutions de protection contre les bots doit mettre en œuvre pour assurer leur confidentialité :

  1. Des PoP (points de présence) désignés pour le stockage des données.
  2. Une période de conservation par défaut de 30 jours pour les données collectées.
  3. Une période de conservation personnalisable à ajuster si nécessaire.

Pour être conformes, les solutions comme DataDome qui servent une clientèle internationale doivent pouvoir garantir que toutes les données seront traitées et stockées à l’échelle régionale ou locale dans le bon PoP, le plus proche.

Une autre fonctionnalité clé à rechercher est l’option de limite de temps personnalisée pour le stockage des données. Par exemple, nos clients peuvent ajuster la période de conservation par défaut de DataDome (30 jours) via leur tableau de bord ou avec l’aide de notre équipe de support.

Le principe de minimisation des données du RGPD

Le RGPD illustre parfaitement l’importance de pouvoir modifier la durée de conservation des données de votre outil de gestion des bots pour l’adapter aux réglementations :

Le principe de minimisation des données exprimé à l’article 5, paragraphe 1, point c), du RGPD et à l’article 4, paragraphe 1, point c), du règlement (UE) 2018/1725 stipule que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. »

DataDome garantit que toutes les données collectées par notre solution ne sont utilisées que dans le cadre du service de sécurité fourni, et qu’elles sont conservées dans un délai qui respecte le principe de minimisation des données.

Utiliser des normes de sécurité très performantes pour stocker les données collectées.

Toutes les données collectées par une solution de protection contre les bots et la fraude en ligne doivent être stockées en utilisant des normes de sécurité très performantes pour respecter les bonnes pratiques et se conformer au RGPD. Les normes de sécurité de DataDome incluent des centres de données Tier3, une connexion HTTPS, une délégation de l’authentification OAuth2 et du chiffrement (VPN TLS/Ipsec).

Data Collection – Data Privacy Pillar 3

3. L’utilisation des données

Nous n’insisterons jamais assez sur l’importance de l’utilisation des données pour être conforme au RGPD et aux réglementations similaires. Votre fournisseur de solution de protection contre les bots et la fraude en ligne devrait garantir à 100 % qu’il ne traite les données qu’à des fins de sécurité.

Découvrez quelques-uns des avantages que DataDome vous offre en utilisant les données uniquement à des fins de sécurité :

  1. Le DataDome CAPTCHA ne nécessite pas le consentement de l’utilisateur final pour la collecte des données.
  2. La relation que nous entretenons avec nos clients est basée sur la confiance, et nous leur permettons également d’instaurer une relation de confiance avec leurs utilisateurs finaux.
  3. Notre moteur de détection des bots s’améliore continuellement en fonction des signaux recueillis par le biais de notre CAPTCHA.

Nos clients peuvent analyser leur trafic, les menaces et les réussites/échecs du CAPTCHA via notre tableau de bord. Ils peuvent alors décider de consulter notre équipe SOC et d’affiner les règles de réponse si nécessaire.

L’engagement de DataDome en matière de confidentialité des données

Les accords de niveau de service (SLA) et les accords de traitement des données (DPA) de DataDome témoignent de notre engagement à respecter la confidentialité des données.

Les SLA de DataDome contiennent :

  1. Nos engagements à long terme concernant les différentes réglementations sur la confidentialité des données auxquelles DataDome se conforme.
  2. Nos engagements en matière de responsabilité concernant la disponibilité des données clients.
  3. Les détails de nos engagements en matière de format et de délai pour la transmission des données au client.

Nos DPA fournissent des informations détaillées concernant :

  1. La description de notre traitement : le service fourni, la nature des processus effectués, la finalité et la durée du traitement, les données traitées et les catégories de personnes concernées par le processus.
  2. Les mesures que nous avons mises en œuvre pour assurer la confidentialité et la sécurité des données traitées.
  3. La spécification du cookie de DataDome, qui fait partie de notre solution.
Le DataDome CAPTCHA nous apporte la tranquillité d'esprit. Il bloque le trafic des bots et évite d'interrompre l'expérience de nos utilisateurs. Comme DataDome privilégie la confidentialité, nous ne craignons pas non plus d'enfreindre les règles de conformité.
Ivan Delgado, DSI, RealClearPolitics.com

En savoir plus

La vie privée et la fiabilité vont de pair

En fin de compte, respecter les lois qui protègent la confidentialité des données des utilisateurs dans le domaine de la cybersécurité contribuera à renforcer la confiance de vos clients dans votre marque.
La confiance est la trame des interactions (et des transactions) en ligne.

Les entreprises ont besoin de savoir qu’elles interagissent avec de vrais humains et les utilisateurs ont besoin de savoir que leurs données ne seront pas compromises. Dans le monde numérique d’aujourd’hui, la protection des données reste une priorité et une des principales préoccupations pour les entreprises de commerce numérique et leurs clients.

Assurez-vous que votre solution de gestion des bots et de la fraude en ligne (ainsi que votre fournisseur de CAPTCHA) accorde autant d’importance que vous à la confidentialité de vos utilisateurs finaux. DataDome maintiendra toujours ses normes et collaborera avec les meilleurs cabinets d’avocats du monde entier pour garantir les plus hauts niveaux de conformité.

Le DataDome CAPTCHA garantit à nos clients qu’ils peuvent s’appuyer sur un seul fournisseur de confiance pour l’ensemble de leur parcours de protection. Découvrez comment cela fonctionne lors d’une démo.

DataDome
Romain Catala
Global Legal Manager & Data Protection Officer
Romain Catala, directeur juridique international et délégué à la protection des données chez DataDome, est un expert incontesté en matière de conformité et de confidentialité des données. Il intervient régulièrement en tant qu'expert auprès de la Commission internationale de l'AFJE. Ses domaines d'expertise comprennent le droit international des contrats, le droit des sociétés, le droit fiscal, la conformité, la protection des données et la transparence. Romain a été admis au barreau de Paris en 2010.

Articles liés