Confidentialité, sécurité informatique, protection des données à caractère personnel… Depuis 2018 et l’introduction du RGPD à l’échelle européenne, être blogueur ne veut plus seulement dire écrire et vivre de sa passion. Il faut désormais s'intéresser à la sécurité informatique et à la protection de l’anonymat de ses lecteurs.
Alors pour éviter le scénario à la Black Mirror ou une amende de la CNIL, on vous propose de repasser sur les grandes lignes du RGPD, sur les bases de la protection des données (celles de nos utilisateurs, ou les nôtres en révisant les essentiels, par exemple avec l’essai gratuit d’un VPN pour en discerner les bénéfices) et sur des solutions pour se protéger des attaques de pirates informatiques ou encore pour protéger son anonymat sur Internet.
Retour (vers le futur) sur les fondements du RGPD
Le RGPD - ou le Règlement Général sur la Protection des Données à caractère personnel en version longue, a été mis en place en mai 2018. Ce règlement s’applique à toutes les organisations qui collectent des données sur leurs utilisateurs, stockent et partagent ces renseignements personnels avec d’autres acteurs, en le voulant ou non.
Il a fait l’effet d’une vague dans la blogosphère française lors de son entrée en vigueur, et bien au-delà, puisqu’il s’agit d’un cadre européen. En effet, le RGPD touche tous les blogueurs amateurs ou professionnels qui autorisent les commentaires sur leur plateforme, envoient des newsletters régulières ou non ou, tout simplement, utilisent Google Analytics. De quoi donner du fil à retordre à toute notre communauté, qui s’est retrouvée à se plonger dans des textes de loi assez vagues et à s’intéresser à des sujets pas forcément très faciles d’accès.
La CNIL (Commission Nationale Informatique et des Libertés), qui est garante du respect de ce texte européen en France, avait bien à propos mis en place une période de transition d’une durée de 12 mois après l’entrée en vigueur du règlement. Le but de cette phase transitoire était de permettre aux organisations touchées par le RGPD de bien mettre en place toutes les mesures nécessaires à son respect.
La plupart d’entre vous ont déjà dû profiter de cette période transitoire bienvenue afin de mettre vos blogs à jour sur tout ce qui touche de près ou de loin à la transparence sur la collecte des données et à confidentialité ou sécurité informatique : on pense par exemple à mettre à jour vos mentions légales ou formulaires de contacts, à ajouter un plugin de sécurité sur votre Wordpress ou CMS, à mettre en avant une page ou un bandeau d’informations sur les cookies, ou encore à sécuriser votre site à l’aide d’un certificat SSL.
Maintenant que cette phase de transition est passée, la CNIL considère que tous les acteurs sont en règle. Avec les contrôles de la commission qui s’accélèrent, on en profite donc pour faire une petite piqûre de rappel sur le sujet.
L’un des points les plus importants à comprendre quand on parle du RGPD, c’est donc de tout d’abord de bien cerner ce qu’on veut dire par données personnelles, puis de voir comment les sécuriser.
Quelles actions faire en tant que blogueur pour la protection des données personnelles des utilisateurs ?
On commence d’abord par le début, avec la notion de données personnelles. Quand il s’agit du RGPD, elle désigne tous les éléments qui permettent d’identifier une personne physique grâce aux données qu’elle dissémine sur Internet et qui sont stockées dans des bases de données de professionnels. Cette identification peut être à la fois directe ou indirecte. On englobe donc dans cette définition les noms, les données de localisation, ou encore les potentiels identifiants en ligne, etc. C’est donc une notion assez vaste, comme vous pouvez le voir.
L'objectif principal de ce règlement qui s’applique à l’échelle européenne, c’est de protéger les utilisateurs sur Internet (et donc, vos lecteurs adorés). Et ça marche, puisque quasiment trois quarts des français considèrent qu’ils sont plus sensibles à cette thématique qu’auparavant.
À l’échelle d’un blog, ça nous touche, car nous collectons, bon gré mal gré, les données de ceux qui lisent nos articles. Une fois que vous avez mis en place votre politique de transparence et un registre de traitement des données, le but final est donc de conserver l’anonymat des lecteurs et surtout d’éviter toute faille de sécurité sur nos blogs. En cas d’attaque des bases de données de votre blog par des pirates informatiques et de fuite de données personnelles, il est ainsi impératif d’informer la CNIL et éventuellement vos utilisateurs dans les 72 heures qui suivent la faille de sécurité.
Le risque zéro n’existe pas, mais quelques bonnes pratiques permettent de se protéger de ces attaques. Il est par exemple nécessaire de mettre à jour régulièrement son CMS et ses plugins (idéalement dès que les mises à jour sont disponibles). Ne mettez pas cette étape de côté ! Elle permet à votre blog de rester à la page niveau sécurité.
Autre point crucial et tout simple, la gestion de ses mots de passe. On active la double authentification au minimum sur la boîte mail, le CMS du blog et le compte Google Analytics. On pense aussi à installer un gestionnaire de mots de passe, outil plus que pratique qui permet une gestion sécurisée de tous ses mots de passe, un peu à la manière d’un coffre-fort. Et pour être encore mieux protégé, il est aussi possible de profiter de partenariats comme celui du gestionnaire de mots de passe premium LastPass et d’ExpressVPN, l’expert en chiffrage des données. On fait ainsi d’une pierre deux coups niveau confidentialité et sécurité informatique.
On espère que ces premières pistes vous permettront de continuer vos recherches sur les sujets de la sécurité et de la protection des données à caractère personnel. D’ailleurs, pour aller plus loin, je conseille également le très bon guide de la CNIL ou carrément sa formation MOOC, qui permet d’obtenir une attestation officielle.