Ne partez pas avec mes données: je vous retrouverai
Un article spécial RH, commerciaux et publicitaires aujourd’hui. En effet, il arrive que lorsque vous quittiez une entreprise, vous soyez tentés de partir avec un petit “carnet d’adresses”.
C’est une pratique contraire à la loi, mais que certains (heureusement une minorité) pratiquent allègrement dans les entreprises où les systèmes de protection contre le vol de données sont sommaires ou inexistants.
Beaucoup d’informations
Mails, numéros de téléphone, informations personnelles, adresse, descriptions, spécialités et parcours. Autant d’informations que nous, consultants, disséminons dans nos CVs lors des recrutements, mais aussi, sous d’autres formes, en particulier parce que nous “postulons” chez des clients pour des missions.
Tous ces fichiers, qui restent notre propriété et dont nous gardons le droit -en théorie- de supprimer et modifier partent dans des systèmes informatisés que nous ne maîtrisons pas, sont parfois imprimés, souvent classés, très rarement supprimés et quasiment jamais détruits correctement.
En ce qui me concerne, lorsque je fais passer des entretiens techniques, je passe systématiquement à la déchiqueteuse les CV papier lorsque je n’en ai plus l’usage (c’est à dire en général après le processus de recrutement) mais une telle prévenance n’est pas toujours la norme dans les entreprises.
Le problème de la redistribution
La loi est assez protectrice en France et au niveau européen. Nous disposons en effet du droit d’accéder, modifier, supprimer les informations nous concernant dans n’importe quel système. De telles procédures sont rarement triviales, mais les responsables juridiques abdiquent en général rapidement quand on invoque le RGPD, la CNIL ou tout simplement des associations de consommateurs voire la DGCCRF selon les cas.
Néanmoins, ce règlement oublie un problème majeur: celui de la redistribution qu’elle soit légale ou illégale.
Pour ce qui est des méthodes légales, ces informations que vous avez offertes à votre interlocuteur vont souvent être partagées, parce que vous l’avez accepté dans le cadre de la collecte de vos données avec d’autres entreprises ou particuliers. Soyons clairs, ils ne vont pas vous envoyer un mail pour vous dire qu’ils ont vendu leurs fichiers à une autre société. Bien malin qui pourra alors demander à supprimer ses informations s’il ignore qu’elles sont en possession de cette autre société.
Dans le cas des propagations illégales, c’est encore pire. Vous ne pourrez jamais savoir si un petit malin sorti d’école de commerce voire un vieux routard du management a récupéré en douce une clé USB avec quelques giga octets d’adresses email.
De la teinture en contre-mesure
Alors comment faire pour, à minima, identifier le petit filou qui aura volé ou revendu vos informations ? C’est très simple, et si vous suivez la série “le bureau des légendes”, les mots bleu de méthylène vous diront tout de suite quelque chose.
Dans la série, les personnages utilisent un procédé visant à introduire des informations erronées dans leurs échanges pour identifier la source d’une fuite en cas de diffusion dans la presse.
Pour mes données personnelles, je fais quasiment pareil. Je “marque” mes informations avec des éléments indélébiles pour pouvoir savoir où sont les fuites et comment parfois celles-ci sont agrégées sans scrupules par des entreprises de communication.
En effet, chacun des documents que je fournis est “teinté” et je maintiens la liste des marqueurs pour chaque personne qui a reçu le document. Ces marqueurs peuvent être simples comme complexes.
Parmi les marqueurs les plus simples, il y a l’adresse email. Je dispose d’une vingtaine d’adresses email à mon nom, sur des domaines différents. Quand un courriel arrive sur l’une d’entre elle, je sais quel document est en possession de l’entreprise qui l’a utilisée et donc je peux remonter jusqu’à la source pour les attaquer si la redistribution de cette information est illégale.
Parmi les plus complexes, il y a évidemment les textes. Sur chacun des mes CVs, les descriptions de mon parcours ou de mes missions sont différentes. Toujours exactes bien sûr, mais toujours différentes. Des détails, des tournures de phrase, des enchaînements, des polices de caractère: tout est utile. C’est un processus très proche de la stéganographie.
A peu de choses près, le même procédé est utilisé pour le le “tatouage” numérique des films qui permet de remonter à la source des fuites pour les films piratés, ou encore le traçage des documents des agences de renseignement qui ont coûté leur couverture à beaucoup de lanceurs d’alerte.
En parlant d’agences de renseignement, saviez-vous que la totalité des imprimantes “grand public” impriment de manière invisible leur numéro de série sur vos documents ? (source, détails sur Wikipédia, liste des machines testées par l’EFF)
En bref
Est-ce que je suis un peu fada comme on dit dans le sud ? Sans aucun doute. Est-ce que ce système m’a déjà permis de remonter la source d’une donnée personnelle ? Absolument.
En tant que particulier, sachez que vous ne pourrez de toute manière pas contrôler la circulation de vos informations personnelles. La loi, malgré toutes les contraintes qu’elle impose aux entreprises ne vous donnera pas les outils pour relier avec du fil rouge les endroits par où ont transité vos données. Cet article de Numerama, que je vous recommande, et dans lequel le journaliste tente de retrouver l’origine des informations des annonceurs Facebook en montre bien la complexité.
La seule manière pour moi de garder un minimum de contrôle (à posteriori), c’est le marquage des documents.