En 2018, le nombre d’utilisateurs d’Internet a dépassé les 4 milliards. Quotidiennement, ce sont plus de 3,2 milliards de personnes qui se connectent au moins une fois par jour aux réseaux sociaux[1]. Au sein de l’Union européenne (UE) c’est plus de 90% de la population qui est connectée, soit environ 450 millions d’individus[2] et autant de victimes potentielles des piratages informatiques (« Hack »). La société évolue rapidement, et le droit comme les individus doivent faire évoluer leurs pratiques. En effet, à mesure que les données personnelles sont de plus en plus récoltées, le risque de les voir volées et utilisées augmente. Sensible à cette problématique, l’UE a voté en 2016 un nouveau règlement sur la protection des données personnelles qui entrera en vigueur mai 2018.
Le phénomène du piratage n’est pas aussi récent qu’on pourrait le croire. En 1903, le physicien John Ambrose Fleming fit une démonstration du dernier télégraphe sans fil de la Marconi Company devant la Royal institution of Great Britain. Alors qu’il procédait à sa démonstration, le télégraphe commença à enregistrer le morse correspondant à un poème accusant Marconi de tromper le public. Le facétieux instigateur n’était autre que Nevil Maskelyne, magicien et inventeur britannique dont les créations n’avaient pu voir le jour du fait des brevets très étendus déposés par la Marconi Company. Cet évènement peut être considéré comme le tout premier « piratage réseau » de l’histoire et démontra notamment que les communications n’étaient pas, de facto, sécurisées (comme le prétendait à l’époque Marconi Cie)[3].
115 ans plus tard, le nombre et les dégâts occasionnés ont sensiblement augmenté. L’année 2017 a été particulièrement violente dans le domaine de la perte de données. Par exemple Uber, plateforme mobile proposant des services de transport, a annoncé en novembre 2017 que les données de plus de 57 millions d’utilisateurs (dont potentiellement des utilisateurs européens) auraient été volées. Parmi les informations dérobées se trouvent noms, adresses emails, numéros de téléphone des utilisateurs mais également des numéros de permis de conduire[4]. Autant d’informations permettant l’usurpation d’identité.
Il nous semble également important de mentionner deux rançongiciels qui ont sévi en 2017 et dont les méfaits ont causé de sérieux problèmes aux entreprises mais également aux personnes privées : WannaCry et NotPetya. Un rançongiciel ou « Ransomware » est un logiciel malveillant qui verrouille l’ordinateur de l’utilisateur et récupère ses données, pour ensuite lui réclamer une somme d’argent afin de le débloquer. WannaCry a affecté plus de 150 pays les 12 et 13 Mai 2017. Parmi les victimes, on comptait de nombreux hôpitaux britanniques dont les serveurs ont été mis hors service, empêchant ainsi l’accès aux dossiers médicaux des patients[5]. NotPetya a quant à lui opéré en Juin 2017. Cette fois-ci, l’économie mondiale a largement été affectée et les conséquences auraient pu être bien plus graves puisque les systèmes de contrôle de la radioactivité à Tchernobyl ont été touchés[6]Sur la seule année 2017, sur l’ensemble des 28 États de l’UE, 25% des entreprises ont subi des attaques informatiques, avec pour conséquence l’indisponibilité des services, la destruction/altération ou divulgation de données[7]. Pour certains États, comme le Danemark ou la Finlande, ces attaques ont touché presque la moitié des entreprises du pays. Ces piratages d’entreprises concernent l’ensemble des individus puisque généralement ce sont les données des utilisateurs qui sont dérobées.
Un vol de données peut donner lieu à de très graves répercussions sur votre vie tant en ligne que dans la vie de tous les jours; aussi faut-il éviter de le prendre à la légère. Dans certains cas, ce peut être des usurpations d’identité, afin, par exemple, de souscrire sous votre identité un crédit, un abonnement, pour commettre des actes répréhensibles ou nuire à votre réputation. Dans des cas particulièrement graves, ce peut être des photos volées utilisées sur des sites à caractère pornographique ou, pire encore, avec la récupération des photos d’enfants sur Facebook, Instagram et autres, par des prédateurs sexuels.
C’est aussi parce que le vol de données touche tout le monde que, à travers cet article, nous tenterons de sensibiliser l’utilisateur des services internet. Cette sensibilisation passera à travers un état des lieux du droit de l’UE sur la protection des données personnelles. Toutefois, la protection des données personnelles ne saurait être réservée aux seuls experts, juristes ou informaticiens. Chacun peut mettre en application quelques conseils afin de prévenir d’éventuels piratages informatiques. (Pour commencer, il est possible de tester si une adresse mail a été corrompue avec le site Have I been Pwned ? (« Ai-je été compromis ? »)).
Qu’est-ce que le Règlement de la protection des données et quels sont ses objectifs ?
Le règlement général sur la protection des données (RGPD) (Règlement (UE) 2016/679 du Parlement européen et du Conseil, Journal officiel UE, L119 du 4 mai 2016) a été voté en avril 2016 à la suite de deux décisions particulièrement importantes de la Cour de justice de l’Union européenne (CJUE) touchant à la protection des données et qui a vu la condamnation successive des géants du web Google[8] et Facebook. L’affaire Google Spain a consacré un droit au dé-référencement en 2014 et l’Affaire Schrems en 2015 a vu un jeune étudiant en droit autrichien obtenir gain de cause face à Facebook qui n’offrait pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers [les États-Unis] »[9]. Il était devenu plus que nécessaire que soient contrôlés les traitements de données à caractère personnel.
Le règlement définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable »[10], c’est-à-dire, toute personne qui peut être identifiée (directement ou indirectement) à l’aide d’un identifiant ou de plusieurs éléments qui lui sont propres. On pourra ainsi inclure, de façon non exhaustive : le nom de la personne, un numéro d’identification, des données de localisation, un identifiant en ligne ou encore des éléments caractérisant son identité physique, physiologique, génétique, économique, culturelle ou sociale.
Celles-ci sont généralement concédées aux entreprises lors d’inscriptions à des sites internet comme Amazon, Gmail, Facebook pour les plus connues. Elles sont également utilisées lors d’actes plus communs comme un séjour à l’hôpital (création et mise à jour du dossier médical), une inscription à l’université ou encore le paiement d’un salaire par l’employeur (toutes les données conservées par les ressources humaines par exemple).
Le règlement s’applique uniquement aux données personnelles dans le cadre d’une activité professionnelle ou commerciale et exclut ainsi le traitement et la conservation de données dans le cadre d’activités strictement personnelles ou domestiques. Aussi, l’échange de correspondance et la tenue d’un carnet d’adresses ou encore l’utilisation de réseaux sociaux ne seront pas concernés[11].
Dès le début, les bases d’un projet aux intentions louables sont posées : « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité »[12]. Outre cette importance démesurée donnée au traitement des données personnelle, le texte a essentiellement pour but de faciliter la circulation des données, établir une certaine unicité de traitement au sein de l’UE, encadrer la pratique des entreprises dans le domaine du traitement des données et enfin permettre la conciliation de ces pratiques avec une forte protection de la vie privée des individus.
Faciliter la libre circulation des données
Le règlement permet d’assurer le libre flux des données à caractère personnel au sein de l’UE ainsi que dans leur transfert vers les pays tiers et/ou les organisations internationales. Au-delà de l’aspect économique de la chose comme une meilleure communication entre acteurs économiques, l’intérêt peut être dans la protection et la préservation de la sécurité et l’ordre public.
Concrètement, la libre circulation des données personnelles permettrait par exemple le transfert des dossiers médicaux d’une personne lorsqu’elle est à l’étranger. Ainsi, si une personne issue de l’UE doit subir une opération pour des problèmes cardiaques aux États-Unis par exemple, le transfert de données personnelles permettra à l’hôpital en charge de l’opération d’obtenir des informations plus rapidement, et ainsi assurer des meilleures conditions d’opération (comme par exemple être informé sur des allergies à certains principes actifs ou l’existence d’antécédents médicaux).
Assurer la cohérence au sein de l’Union européenne
À l’origine, la protection des données à caractère personnel en Europe prenait essentiellement essence dans la directive 95/46/CE du Parlement européen et du Conseil[13]. Or, une directive de l’UE ne fait que donner des objectifs à remplir aux États, qui doivent ensuite prendre les dispositions nécessaires dans leurs droits nationaux respectifs. À présent, le domaine sera régi par un règlement. Tout l’intérêt réside dans le fait qu’un règlement s’applique de façon uniforme dans tous les États, sans qu’il soit besoin d’une quelconque approbation par les organes législatifs nationaux.
Auparavant, lorsqu’un recours était formé devant plusieurs autorités de contrôle des données informatiques, la réponse pouvait être différente selon l’État dans lequel la demande était formulée. Désormais, l’ensemble des individus se trouvant en Europe (non-citoyens européens compris) bénéficieront d’une protection similaire de leurs données où qu’ils se trouveront.
Établir un socle commun de principes à respecter pour les entreprises
Le règlement définit un socle commun de grands principes que devront respecter toutes les entreprises qui traiteront des données personnelles[14]. Il s’agit là réelle force de ce texte puisque toutes les entreprises qui traiteront les données des personnes situées dans l’Union devront observer ces principes. Parmi les plus importants on notera que :
- Tout traitement doit être « licite, loyal et transparent », c’est à dire qu’il doit être nécessaire, justifié et consenti de façon claire.
- Les finalités de ce traitement doivent être déterminées, fixes, explicites et légitimes.
- Le droit à la vie privée doit être garanti[15] : Privacy by design : garantie que la protection des données personnelles est assurée dès la conception des applications, sites Web et autres systèmes IT et Privacy by default : garantie apportée lorsque les mesures de sécurisation sont intégrées nativement dans le service.
- Le traitement de données selon des critères d’origine raciale ou ethnique, d’opinions publiques, convictions religieuses ou philosophiques ou l’appartenance syndicale est interdit[16].
- De même est interdit le traitement des données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l’orientation sexuelle.
- Les données doivent être conservées uniquement pendant la période du traitement.
- Les données conservées doivent être exactes, à jour, adéquates, pertinentes et limitées.
- L’entreprise doit faire tout ce qui est en son possible pour assurer la protection des données personnelles qu’elle traite. Elle doit pouvoir le démontrer à tout instant (Accountability). En cas d’incident elle devra alors prouver que tout avait été préalablement mis en place pour l’éviter.
- En cas d’incident comme une perte de données, l’entreprise doit le notifier dans les 72 heures à l’autorité de contrôle afin de prévenir les individus touchés au plus vite[17].
Établir une protection de la vie privée, le droit à la vie privée (« Right to Privacy »)
Quant à savoir ce qui relève de la vie privée et de la vie publique, l’exercice est difficile. En effet, nous pensons qu’il existe autant de conceptions de la vie privée que d’individus. Chaque personne reste seule maîtresse de la délimitation entre sa sphère privée et la sphère publique. De plus, la conception de ce qui est privé évolue avec le temps et les mentalités. Par exemple, auparavant la salle de bain n’aurait jamais pu exister : durant l’Antiquité ou même sous l’Ancien Régime la toilette se faisait en public, que ce soit dans la pièce centrale d’une maison ou aux bains publics[18].
L’UE met un point d’honneur à protéger la vie privée des individus : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »[19]. C’est dans cet esprit que s’inscrit également le Règlement général sur la protection des données en renforçant un certain nombre de droits des individus :
- Le droit de rectification[20]
Il est possible de demander à modifier les données inexactes auprès d’un organisme national, comme un prénom ou un nom de famille erroné.
- Le droit à l’effacement (aussi appelé droit à l’oubli)[21].
Il est possible de demander l’effacement de ses données si les celles-ci ne sont plus nécessaires, si le consentement au traitement est retiré (à tout moment[22]), si le traitement est illicite, si le droit de l’Union l’exige ou encore si les données ont été récoltées dans le cadre d’une offre de service par une société d’information.
- Le droit à la limitation du traitement[23].
On peut demander que seulement une partie des données soit traitée tandis que l’autre partie soit retirée.
- Le droit d’opposition[24] :
Un candidat refusé à un poste dont le C.V. aura été traité par algorithme pourra demander qu’il y ait une intervention humaine et que les raisons de son refus lui soient données[25]
- Tout individu a le droit de demander que ses données soient transférées (droit à la portabilité des données)[26].
Dans le cadre d’un changement de travail d’une entreprise A vers une entreprise B, il est possible de demander à l’entreprise A de transférer toutes les données RH (ressources humaines) vers l’entreprise B, incluant par exemple numéro de Sécurité sociale, IBAN etc..
Si « le savoir, c’est le pouvoir » (Francis Bacon), alors savoir que ces droits existent, c’est pouvoir se protéger soi-même. Rappelons-le, l’objectif de cet article est de sensibiliser à la protection des données. Toutefois, l’utilisation des droits est déjà l’étape où le mal a été fait. Afin de prévenir une telle situation, certains gestes, basiques, peuvent permettre une meilleure protection des données. Cette démarche s’inscrit dans la dynamique européenne; le Commissaire à la sécurité chargé de la lutte contre le terrorisme et le crime affirmait récemment qu’« une cyberdéfense dépend très fortement des gens. On doit développer l’éducation en matière de cybersécurité à tous les niveaux »[27].
Protéger ses données, mais comment ?
L’objectif n’est pas de se transformer en pirates de l’informatique. Néanmoins, il existe quelques éléments de bases, rapides à mettre en place, et qui peuvent permettre de protéger au mieux ses données.
Se protéger des rançongiciels (« Ransomware »)
Évoqués au début de cette article, les rançongiciels font des ravages au sein des entreprises mais peuvent également toucher des personnes physiques. La meilleure solution pour se prémunir face à ces logiciels malveillants est de faire des sauvegardes régulièrement. Pour cela il suffit d’un simple disque dur externe (ou clé USB) sur lequel seront enregistrés les fichiers. Pour éviter de perdre trop de place, une sauvegarde peut être effectuée toutes les semaines et seules deux versions de sauvegardes antérieures peuvent être gardées par sécurité. Une alternative, plus simple, est d’utiliser un service de « Cloud » crypté, c’est-à-dire que les données seront enregistrées sur des serveurs extérieurs.
Se protéger des intrusions et pertes d’identifiants
Il est parfois difficile de se souvenir de chaque mot de passe utilisé et les deux solutions de facilité choisies sont un mot de passe simple à retenir ou l’utilisation du même mot de passe pour l’ensemble des services, parfois les deux. Pourtant, ni l’une ni l’autre des options ne permettent de protéger votre vie privée. Pourtant des solutions simples existent :
- Utiliser un gestionnaire de mot de passe : vous n’aurez qu’à retenir un mot de passe « maître » pour pouvoir accéder au gestionnaire tandis que ce dernier se chargera de créer des mots de passe complexes et différents pour chaque site.
- Créer votre propre « algorithme » de création de mot de passe. Ceci est moins complexe qu’il n’y parait. Il suffit par exemple d’utiliser les mêmes caractères spéciaux (« § » par exemple), une date facile à retenir (« 2018 » par exemple) puis un nom qui changera à chaque fois, dans lequel un caractère spécial pourra remplacer une lettre. Par exemple, les règles pourraient être :
- Je prends un mot lié au type de site sur lequel je m’inscris et je décide que la première lettre sera toujours en majuscule ;
- Je place toujours le caractère spécial « § » avant le mot et « ! » après le mot;
- Si mon mot comporte un « e », je le remplace par « € », s’il comporte un « a », je le remplace par « @ », s’il comporte un « o », je le remplace par « 0 »;
- Je finis toujours mon mot de passe par la même date, connue pour ne pas l’oublier : 1918, fin de la 1ère Guerre mondiale.
Cela me donne ainsi les mots de passe suivant :
Sur Facebook :
- Mon mot est « Social » (pour réseau social);
- J’applique les caractères spéciaux autour du mot : §Social!
- Je remplace les lettres de mon mot par les caractères : §S0ci@l!
- Je rajoute la date : §S0ci@l!1918
Mon mot de passe pour Facebook est : « §S0ci@l!1918 »
Sur LinkedIn, réseau pour le « Travail » :
Mon mot de passe sera : « §Tr@v@il!1918 »
Sur le site de ma banque, pour consulter mon « Compte » :
Mon mot de passe sera : « §C0mpt€!1918 »
Une fois que le processus est compris, vous pourrez créer votre propre « algorithme » avec vos propres règles et afin de ne pas oublier chaque mot de passe vous n’aurez qu’à noter le mot « clé » pour se rappeler pour chaque site. Dans cet exemple ce sera :
Facebook : Social
LinkedIn : Travail
Banque : Compte
Se méfier de tous les mails reçus
Après qu’un virus ait infecté un système informatique, l’enquête prouve que, dans la très grande majorité des cas, l’ouverture d’un mail est à l’origine du problème[28]. Cette technique est souvent utilisée pour récupérer les données personnelles. Mais il existe quelques astuces pour ne pas tomber dans le piège. Par exemple, un message avec une orthographe douteuse doit mettre la puce à l’oreille, tout comme l’adresse mail utilisée.
De même, si le mail contient une adresse Internet sur laquelle se rendre, il est conseillé de passer la souris au-dessus pour regarder la forme de l’adresse avant de cliquer. Il faut également faire attention à l’orthographe des entreprises qui vous contactent : « Facebook » et pas « Facebooke » ou encore « Ficebook ».
Enfin, lorsque qu’on reçoit un message provenant de l’adresse d’une personne que vous connaissez et que celle-ci vous demande quelque chose, contactez-le par un autre moyen avant de lui répondre. Une adresse mail se revend et se pirate assez facilement.
Crypter ses données
Le cryptage est le moyen de transformer une information afin qu’elle ne soit pas comprise par des personnes non autorisées. Cela a pour objectif fondamental de permettre à deux personnes ou systèmes de communiquer des informations secrètes dans un environnement public. Par exemple, transmettre un message par téléphone à un ami, alors que la ligne est écoutée par un intrus, ou envoyer un message par Internet, alors qu’il peut être aisément intercepté.
Le cryptage des données est un processus lourd et peut sembler difficile à mettre en place. Il ne doit pas nécessairement être appliqué à toutes les données, mais seulement à celles dont la nature et l’importance le nécessitent. Il faut donc hiérarchiser les données et adapter le niveau de protection au type de données.
Éviter de partager trop de données sur Internet
La règle première sur Internet est que « tout ce qui est mis sur Internet y reste définitivement ». Même si le « droit à l’oubli » a été consacré et permet, théoriquement, la suppression des informations vous concernant, comme par exemple avec la possibilité de demander à Google de supprimer ses données personnelles. Toutefois cette « suppression » n’en est pas réellement une, puisque Google se contentera simplement de « référencer » vos données, c’est-à-dire d’empêcher l’accès à ces informations.
Dès lors que vous recherchez, partagez ou commentez quelque chose, des informations seront récupérées et associées à votre adresse IP (comprenez, le « nom » de votre ordinateur sur Internet). Les « cookies » sont des fichiers de petite taille stockés dans votre ordinateur/smartphone/tablette, afin de faciliter la navigation et de permettre certaines fonctionnalités. Ils peuvent, parfois, contenir des informations personnelles résiduelles pouvant potentiellement être exploitées par des tiers.
Grâce à toutes vos informations récupérées par des entreprises, celles-ci vont pouvoir déterminer quels sont vos goûts et vos envies, elles vont pouvoir cibler « le » produit qui vous correspondra et ainsi lancer des publicités ciblées afin de vous tenter avec ce dernier. Bien entendu, ceci n’est pas fait qu’à l’échelle de l’individu mais également à l’échelle de la masse, c’est le « Big Data ». Aussi, la solution est de partager le moins d’informations possibles, uniquement celles nécessaires et uniquement avec des sites internet de confiance.
Le règlement, qui entrera bientôt en vigueur, est un outil de protection très avancé et très prometteur. Il permet de renforcer les droits des individus et de durcir les conditions de traitement des données par les entreprises. Néanmoins tous les textes du monde, aussi protecteurs qu’ils soient, ne sauront totalement protéger les individus. La vigilance et la diligence doivent être l’affaire de tous. Dans un monde où le numérique prend de plus en plus d’importance et de place dans notre vie de tous les jours, la question n’est pas d’éviter les technologies et ainsi de passer à côté de tout ce qu’elles ont à offrir : un meilleur suivi de santé, une meilleure communication, une production plus raisonnée, un suivi de la nature, etc.
C’est une chose que des droits existent et c’en est une autre que les citoyens européens en connaissent l’existence. On pourra regretter, par exemple, le manque de communication des institutions de l’UE à l’égard de l’aspect révolutionnaire de ce texte. De même, lors des recherches effectuées pour la rédaction de cet article, il est apparu que très peu d’articles étaient directement adressés aux citoyens afin de les informer qu’ils possédaient un certain nombre de droits sur leurs données personnelles. La plupart des articles des spécialistes étant dirigés vers les entreprises et les obligations auxquelles elles devront se soumettre.
Enfin et surtout, une fois que les citoyens connaissent leurs droits, il est nécessaire de les accompagner devant les juridictions compétentes, qu’elles soient nationales ou européennes. Il apparaît donc important de souligner les initiatives visant à promouvoir l’accessibilité de l’expertise juridique auprès des citoyens européens. Dans cette dynamique, Max Schrems (le jeune étudiant autrichien à l’origine des déboires de Facebook en Europe et évoqué précédemment) a lancé il y a peu la plateforme NOYB (« None Of Your Business », traduisible en « Cela ne vous concerne pas ») avec l’aide d’un certain nombre d’activistes de la protection de la vie privée et des groupes de défense des droits des consommateurs. Cette plateforme aura pour but de rendre accessible à tous la possibilité de protéger efficacement ses données.
Jean-Hugues Migeon
[1] https://wearesocial.com/blog/2018/01/global-digital-report-2018
[2] Source : Eurostat : http://ec.europa.eu/eurostat/tgm/table.do?tab=table&language=en&pcode=tps00001&tableSelection=1&footnotes=yes&labeling=labels&plugin=1
[3]Le piratage du télégraphe Marconi en 1903 n’est pas tout à fait le premier en son genre puisqu’entre 1834 et 1836 les frères Blanc, en France, exploitèrent une faille dans le système télégraphique afin d’investir en bourse et ainsi spéculer avant tout le monde. L’administration française utilisait alors les télégraphes de Chappe pour communiquer à travers la France. Néanmoins, cette escroquerie reposait plus sur l’exploitation d’un dysfonctionnement dans l’administration française ainsi que la corruption d’un fonctionnaire plus que sur le dysfonctionnement de l’appareil en lui-même.
Pour en savoir plus sur l’escroquerie des frères Blanc :
https://leshistoiresdedidymus.wordpress.com/2014/05/27/bordeaux-1834-36-les-freres-blanc-telegraphes-chappe/
[4]https://www.lemonde.fr/pixels/article/2017/11/22/piratage-massif-d-uber-les-reponses-a-vos-questions_5218688_4408996.html
[5]https://www.theverge.com/2017/5/12/15630354/nhs-hospitals-ransomware-hack-wannacry-bitcoin
[6]https://www.forbes.com/sites/thomasbrewster/2017/06/27/petya-notpetya-ransomware-is-more-powerful-than-wannacry/
[7]Rapport EuroStat de la Commission européenne, « Incidents TIC liés à la sécurité et conséquences », disponible ici : <http://ec.europa.eu/eurostat/web/products-datasets/-/isoc_cisce_ic> [Consulté le 19/01/2017].
[8]Un précédent article sur notre site traite précisément de l’Affaire Google Spain : www.eu-logos.org/?p=20777.
[9]Voir à ce titre : Cour de justice de l’Union européenne, Communiqué de presse n°117/15, 6 octobre 2015, arrêt dans l’affaire C-362/14 Maximilian Schrems / Data Protection Commissioner.
[10]Règlement général sur la protection des données, Article 4 « Définitions », p.33.
[11]Règlement général sur la protection des données, §18, p.4.
[12]Règlement général sur la protection des données, §4, p.2.
[13]Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p.31).
[14]Règlement général sur la protection des données, Article 5 « Principes relatifs au traitement des données à caractère personnel », p.35.
[15]Règlement général sur la protection des données, Article 25 « Protection des données dès la conception et protection des données par défaut », p.48.
[16]Règlement général sur la protection des données, Article 9 « Traitement portant sur des catégories particulières de données à caractère personnel », para.1, p.38.
[17]Règlement général sur la protection des données, article 33 « Notification à l’autorité de contrôle d’une violation de données à caractère personnel », p.52.
[18]Voir aussi : Legros Martin, « Histoire de la bulle », Philosophie n°19, 2018.
[19]Charte des droits fondamentaux de l’Union européenne (2000/ C 364/ 01), article 7.
[20]Règlement général sur la protection des données, article 16 « Droit de rectification », p.43.
[21]Règlement général sur la protection des données, article 17 « Droit à l’effacement (« Droit à l’oubli ») », pp.43-44.
[22]Règlement général sur la protection des données, article 6§1 et ou article 9 §2 a).
[23]Règlement général sur la protection des données, article 18 « Droit à la limitation du traitement », p.44.
[24]Règlement général sur la protection des données, articles 21 et 22, pp.45-46.
[25]Cas explicitement cité dans le texte du Règlement : voir para.(71), p.14.
[26]Règlement général sur la protection des données, article 20 « Droit à la portabilité des données », p.45.
[27]Traduit par l’auteur de l’article : « Effective cybersecurity relies heavily on people. Cybersecurity education should be developed at all levels », interview de Julian King, « The king of EU Cybersecurity », Parliament Magazine, November 20th, 2017, pp.30-34.
[28]https://www.altospam.com/actualite/2015/05/les-virus-reviennent-en-trombe-statistiques/.