La recherche sur Internet de fuites d’informations (RIFI) est devenue un outil de cybersécurité à part entière. Mais analyser massivement le web pour retrouver des données exposées ne s’improvise pas : le RGPD s’applique pleinement à cette pratique, tant pour l’organisme qui y recourt que pour le prestataire qui l’exécute. Tour d’horizon du cadre applicable, de la méthode à suivre, et du service que DPO FRANCE et FOCUS RGPD proposent concrètement sur ce sujet.
Qu’est-ce que la RIFI et à quoi sert-elle ?
Une fuite de données peut survenir à tout moment : erreur de configuration d’un serveur, acte malveillant d’un salarié, cyberattaque par ransomware ou exfiltration ciblée. Une fois les données exposées sur le web, elles peuvent circuler sur des forums spécialisés, des marchés clandestins ou de simples espaces publics accessibles à tous les moteurs de recherche.
La RIFI consiste à analyser de façon automatisée le web, y compris ses zones les plus opaques, pour vérifier si des informations appartenant à un organisme y ont été rendues accessibles. Elle repose sur la définition préalable de mots-clés représentatifs des données à surveiller, qui servent de marqueurs de recherche lors du parcours du réseau.
Les deux usages les plus courants sont la réalisation d’une veille active et la correction d’une fuite avérée de données. Dans le premier cas, l’organisme surveille en continu l’espace numérique pour détecter toute exposition non voulue. Dans le second, il réagit à un incident identifié pour en mesurer l’étendue réelle et préparer les mesures correctives.
Les quatre étapes d’une opération de RIFI
Une opération de RIFI se décompose schématiquement en quatre étapes lors desquelles des données personnelles sont susceptibles d’être collectées et traitées.
Étape 1 – Définir les mots-clés. C’est la phase la plus stratégique. Les mots-clés doivent cibler précisément les données susceptibles d’avoir fuité : nom de domaine interne, identifiants techniques, numéros de contrats, noms de projets sensibles.
Étape 2 – Parcourir le web de façon ciblée. Les outils automatisés parcourent le web, y compris des zones spécifiques telles que les forums spécialisés dans la revente de données, sans exploiter de faille ni forcer aucune mesure de sécurité.
Étape 3 – Remonter et qualifier les alertes. Le prestataire traite les correspondances obtenues pour distinguer les fausses alertes des résultats pertinents. Seules les données pertinentes font l’objet d’une collecte et d’une conservation.
Étape 4 – Communiquer les alertes qualifiées. Le prestataire transmet à son client les seules alertes retenues, accompagnées d’éléments d’analyse permettant de qualifier la nature et la portée de l’exposition.
Le cadre réglementaire applicable
La RIFI est un traitement de données personnelles
Dès lors que les recherches conduisent à identifier des données appartenant à des personnes physiques, la RIFI constitue un traitement de données personnelles au sens de l’article 4 du RGPD. Elle doit donc satisfaire à l’ensemble des exigences du règlement.
Responsable de traitement et sous-traitant : des rôles bien distincts
L’entreprise qui décide de recourir à un prestataire est qualifiée de responsable de traitement, tandis que le prestataire qui recherche et analyse les données sur ses instructions agit en tant que sous-traitant. Chaque opération de RIFI doit être encadrée par un contrat reprenant les exigences de l’article 28 du RGPD.
La base légale : l’intérêt légitime
Les opérations menées dans le cadre de la RIFI sont susceptibles de reposer sur la base légale de l’intérêt légitime du responsable de traitement, sous réserve d’une analyse au cas par cas. Le considérant 49 du RGPD reconnaît expressément que la sécurité des réseaux et des systèmes d’information constitue un intérêt légitime pouvant fonder un traitement. Encore faut-il en démontrer la réalité et la proportionnalité.
Les six conditions à remplir pour une RIFI conforme
1. Justifier d’un intérêt légitime réel. L’organisme doit démontrer en quoi la RIFI répond à un enjeu concret de protection de son patrimoine informationnel : sécurité des systèmes, protection de données de santé ou financières, prévention d’actes malveillants internes.
2. Démontrer la nécessité de la RIFI. Compte tenu du caractère intrusif des opérations, l’organisme doit établir qu’il n’existe pas d’autre moyen efficace pour repérer les fuites concernées.
3. Assurer l’équilibre entre intérêt de l’organisme et droits des personnes. Les personnes concernées doivent pouvoir raisonnablement s’attendre à ce que leurs données soient analysées pour garantir la sécurité du patrimoine informationnel de l’organisme, au regard de l’importance de leurs fonctions ou des projets sur lesquels elles travaillent.
4. Définir des durées de conservation limitées. Les données non pertinentes doivent être supprimées immédiatement après leur collecte. Les données pertinentes ne peuvent être conservées que le temps nécessaire à la qualification de l’incident et, le cas échéant, aux poursuites en contentieux.
5. Limiter au strict nécessaire la collecte de données. L’organisme doit veiller à ne pas collecter de données extérieures à ses systèmes d’information, et à exclure en particulier les catégories particulières de données au sens de l’article 9 du RGPD.
6. Respecter les droits des personnes concernées. L’information peut être réalisée via la politique de confidentialité ou la charte informatique pour les personnes liées à l’organisme. Pour les tiers, le RGPD autorise une dispense d’information individuelle si elle s’avère impossible ou disproportionnée, au sens de l’article 14.5.b, à condition de rendre l’information publiquement accessible.
Les garanties techniques recommandées par la CNIL
La CNIL recommande que les mots-clés ne comportent pas de données personnelles, notamment grâce à l’utilisation de marqueurs numériques dits « canary tokens », correspondant à des données synthétiques. L’outil ne doit pas cibler de données sensibles au sens de l’article 9 du RGPD. Le prestataire ne doit exploiter aucune vulnérabilité ni contourner aucune mesure de sécurité : seules les informations librement accessibles peuvent être collectées.
Ce qu’il faut faire en cas de fuite identifiée
Si la RIFI confirme une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, les articles 33 et 34 du RGPD s’appliquent : notification à la CNIL dans les 72 heures et communication aux personnes concernées. Le DPO coordonne l’ensemble de cette réponse.
DPO FRANCE et FOCUS RGPD peuvent vous accompagner
La RIFI n’est pas réservée aux grandes structures. DPO FRANCE et FOCUS RGPD proposent ce service sur demande, sous une forme ciblée et accessible à tout organisme : la vérification de la compromission des adresses mail de ses collaborateurs ou utilisateurs.
En s’appuyant sur Have I Been Pwned, service de référence mondial qui recense à ce jour plus de 963 violations de données documentées, FOCUS RGPD est en mesure de vérifier, pour chaque adresse fournie par l’organisme (adresse mail professionnelle), si elle figure dans une violation connue et laquelle. L’adresse mail n’est ni conservée ni diffusée : seul le résultat de la vérification est restitué à l’organisme sous forme de rapport, accompagné des recommandations d’action.
Ce traitement est encadré contractuellement, documenté dans le registre de l’organisme et conforme aux exigences du RGPD. Le DPO accompagne l’organisme dans les suites à donner, y compris en cas de notification à la CNIL.
Pour toute demande, rendez-vous sur dpo-france.com ou focus-rgpd.fr.
