Mamori'nsight - Février 2025

Pour cette nouvelle sélection d’actualités, je vous propose un format plus synthétique autour des sanctions et de la cybersécurité, avec une touche d'IA.

🇳🇱 Netflix : près de 5 millions d'€ d’amende (aux Pays-Bas) pour manque de transparence sur le sort des données de ses utilisateurs.

🇮🇪 Meta : 251 millions d'€ (en Irlande) après une violation de données ayant touché 30 millions d’utilisateurs.

🇫🇷 KASPR : 240 000 € d’amende (en France) pour collecte illicite de données personnelles sur LinkedIn, manque de limitation des durées de conservation, absence d’information des personnes et refus de répondre à leurs demandes d’accès.

🔎 Dans ces trois cas, les entreprises avaient déjà corrigé leurs manquements, mais ce sont des violations passées qui ont été sanctionnées par les autorités de contrôle.

⚖️ La Cour de Justice de l’UE a tranché le 9 janvier : il n’est pas nécessaire de collecter la civilité (“Madame” ou “Monsieur”) des acheteurs de billets de train.

Si ce cas d’espèce paraît plutôt innofensif, il sert à rappeler le principe de minimisation dans les traitements de données personnelles : on ne traite que les données strictement nécessaires à la poursuite de l’objectif fixé !

Les news récentes ont été très marquées par le changement de présidence aux US :

🔹 Dernière action de J. Biden : un executive order pro-cybersécurité.

🔹 Premières actions de D. Trump : les membres du Cyber Security Review Board ont été renvoyés, et le créateur de Silk Road* a été gracié. 

(*Plateforme web connue pour faciliter les opérations de cybercriminalité, le trafic de drogues et autres crimes et délits).

➡️ Au-delà des autres changements notables que cette transition apporte au monde du numérique, on commence donc déjà à voir des impacts propres à la cybersécurité.

🎭 Le scam du mois : des sites de phishing (vecteurs d’escroqueries en ligne) assurent leur promotion grâce à Google Ads, avec pour but de… soutirer des identifiants de connection à des utilisateurs de Google Ads.

📌 Et une petite nouveauté pratique : la messagerie Signal permettra prochainement de récupérer ses anciennes conversations sur un nouvel appareil.

Je ne pouvais pas conclure cette sélection d'actualités sans aborder DeepSeek, le chatbot chinois lancé en janvier sur iOS et Android, qui a immédiatement reçu un accueil très positif du public avec des records de téléchargements de ses applications mobiles.

💸 Au-delà de sa popularité, la société DeepSeek a fait parler d'elle en déclarant avoir entraîné son modèle d’IA à un coût bien inférieur à celui de ses concurrents américains, notamment grâce à l’usage de matériel plus ancien.

📌 De mon côté, j’ai suivi les péripéties déjà rencontrées par DeepSeek en matière de sécurité et de vie privée. En voici quelques unes :

🔹 La suspension temporaire des créations de comptes suite à une attaque par déni de service distribué* (*Une multitude de connexions simultanées au service, causant sa surcharge). 

🔹 L'exposition d'un grand volume de données, dont des historiques de chat et des données sensibles.

🔹 Un jailbreak qui a induit le chatbot à révéler son System Prompt* (*Les instructions normalement cachées qui lui indiquent comment se comporter et quelles sont ses limitations.)

❌ “On garde tout, au cas où…” = fausse bonne idée !
Encore récemment, j’ai été confrontée à une levée de boucliers de la part de plusieurs services d’une entreprise, en abordant la question des durées de conservation (et donc de la suppression) des données personnelles.

Je comprends que l’accumulation puisse être une façon de se rassurer, mais on oublie souvent toute une partie de l’équation 👉 plus on cumule des données, plus on a de problèmes à gérer. 
🔹 Plus de données = plus de risques (piratage, fuite accidentelle…).
🔹 Plus de données = plus de coûts (stockage, gestion…).

✅ Mes conseils
👉 Veiller à ne pas non-plus supprimer trop tôt, ni de façon chaotique. 
👉 Évaluer et challenger les besoins réels avec les équipes.
👉 Concevoir et appliquer un cycle de vie des données efficace et responsable.
👉 Se faire accompagner par une personne spécialisée en gouvernance des données qui saura optimiser tout cela et proposer des idées différentes.

Je fais ça très souvent, et je sens à chaque fois que mon intervention est particulièrement utile sur cette thématique… car finalement, cela peut sembler étonnant quand on n’y a jamais été confronté, mais la suppression des données est un sujet vraiment sensible.