Il utilise le RGPD... pour accéder aux données de sa fiancée !

Telle est la question posée par un article surprenant mais intéressant de la BBC News : les demandes d’exercice de droits des personnes prévues par le RGPD peuvent-elles être utilisées de façon malicieuse, afin de subtiliser des données ?

Environ 25% des entreprises se sont laissées avoir

L’expérience est la suivante : un chercheur en sécurité a contacté des dizaines d’entreprises aux États-Unis et au Royaume-Uni afin de tester la possibilité de soumettre une demande d’accès aux données d’une autre personne — sa fiancée, en l’occurrence.

Résultat : un gros quart des entreprises contactées ont accepté de révéler les informations personnelles demandées au titre du RGPD. Parmi les données révélées, on retrouve des informations de carte de crédit, des itinéraires de voyage, des identifiants et mots de passe, et même le numéro de sécurité sociale et des extraits de casier judiciaire…

Les principales coupables : les entreprises de taille moyenne

Selon le chercheur, James Pavur, la réponse reçue dépend assez directement de la typologie d’entreprise contactée :

Généralement, s’il s’agit d’une très grande entreprise – particulièrement dans la tech –, ils s’en s’ont souvent vraiment bien sortis. Les petites entreprises ont eu tendance à m’ignorer. Mais les entreprises de taille moyenne qui avaient connaissance du RGPD, mais n’avaient peut-être pas de processus prévu pour répondre, ont échoué.

En tout, sur les 83 entreprises détenant des données sur sa fiancée, James Pavur a constaté que :

  • 24% ont fourni des informations personnelles sans vérifier l’identité du demandeur

  • 16% ont requis une pièce d’identité facile à falsifier

  • 39% ont demandé une pièce d’identité “forte”

  • 5% ont répondu ne pas avoir de données à partager, alors qu’elles en avaient

  • 3% ont mal compris sa demande, et ont supprimé toutes les données (!)

  • 13% ont simplement ignoré la demande

Conclusion : si de nombreuses entreprises (et pas que les moyennes) se sont pour l’instant contentées de processus manuels pour traiter les demandes d’exercice des droits, il est temps de passer à la vitesse supérieure…

(Source : BBC News)