Qui est responsable de la protection de mes données personnelles sur Internet ?

La protection des données est un objectif pour lequel tous les acteurs concernés doivent se battre : usagers, entreprises et Etat. Chacun joue un rôle fondamental dans la création d'un environnement sécurisé qui minimise les risques de risque pour empêcher que des informations personnelles ne tombent entre les mains de cybercriminels.

Les dangers sont déjà clairs : vol d'argent, usurpation d'identité, espionnage, détournement de données... Une longue liste et l'Amérique latine a un long chemin à parcourir pour garantir des environnements sûrs aux utilisateurs.

Selon le rapport LATAM CISO 2023, créé aux États-Unis, en Amérique latine, il y a 1 600 cyberattaques par seconde et 11 % des entreprises interrogées n'évaluent pas les risques qu'elles encourent en raison de ces événements ; En outre, un tiers d'entre eux effectuent l'évaluation respective une fois par an.

Par conséquent, des lois sur la protection des données ont été créées depuis plus de dix ans et sont principalement conçues pour la réaction et non pour la prévention.

Seuls 67 % des Latino-Américains sont préoccupés par leur cybersécurité, malgré le fait que 83 % des organisations de la région ont été impliquées dans une sorte de violation de données.

Avec ce panorama, une grande question se crée : que font les acteurs pour prendre soin des données personnelles.

Le pouvoir des lois

Contrairement à l'Europe, où il existe une loi appelée Règlement sur la protection des données (RGPD) dans l' Union européenne, en Amérique latine , la protection des données dépend de chaque pays.

Seuls l'Équateur et le Brésil ont approuvé de nouvelles réglementations au cours des deux dernières années, les autres pays ont des réglementations en vigueur depuis plus d'une décennie.

Par exemple, en Colombie , une législation sur la protection des données a été créée en 2012, au Mexique en 2017, en Argentine en 2000 et au Chili en 1999, des années où le monde numérique était différent.

"Aujourd'hui, après la pandémie, quelqu'un passe une commande, un achat via WhatsApp, envoie une capture d'écran de l'ID, c'est là que commence le problème actuel, car beaucoup de choses ont été numérisées et le marché l'exige. Mais les lois n'ont pas été mises à jour pour examiner comment les informations sont partagées, qui les détient, où elles sont stockées et ce que les organisations en font », a déclaré Andrés Mendoza, directeur régional pour Latam chez ManageEngine , une société qui fournit des solutions de cybersécurité.

Bien que la plupart des pays aient apporté des modifications à leur réglementation, les possibilités d'un changement général des politiques publiques de protection dépendent d'un gouvernement qui le souhaite et propose cette nouvelle voie. Bien que cela devrait être une politique d'État.

De plus, la plupart des lois actuelles ont une fonction réactive, c'est-à-dire qu'elles agissent lorsqu'une violation de données se produit ou lorsqu'une attaque se produit. Mais tout le processus précédent est impuissant.

"Voici la loi, mais il n'y a personne pour nous aider à l'appliquer, à la respecter, à examiner ou à auditer les entreprises", a déclaré Mendoza.

De Fluid Attacks , une société spécialisée dans la réalisation de tests de sécurité, ils proposent des solutions pour renforcer les politiques publiques de cybersécurité telles qu'aller au-delà de la protection interne des organisations, effectuer des évaluations constantes, favoriser la divulgation des incidents et des stratégies, créer des entités spécialisées pour prévenir les cyberattaques et favoriser le développement de technologies sécurisées.

Que se passe-t-il dans les entreprises

Aujourd'hui, la plupart des entreprises disposent de données sur leurs utilisateurs et employés, depuis les informations qu'elles collectent à l'entrée d'un immeuble jusqu'aux numéros de carte de crédit pour les achats en ligne.

« Les entreprises savent qu'elles collectent beaucoup de données parce que c'est l'entreprise, mais elles ne sont pas vraiment conscientes de la taille et de l'ampleur. Aujourd'hui, chaque interaction, chaque clic, chaque message sont des données et le problème est de savoir comment elles sont stockées, car de nombreuses entreprises ne font que cela et ne les traitent pas et ne s'en occupent pas », a déclaré Natty Herrera, analyste de données.

Cela donne lieu à une information qui est liée au point précédent sur l'état actuel des lois, à savoir que les entreprises disposent d'un cadre large dans lequel se déplacer dans lequel elles savent que les sanctions sont laxistes.

"Les entreprises disent : 'personne ne va me contrôler, personne ne me sanctionne, cela signifie que j'ai le libre choix de ce que je peux faire. Quand quelque chose de critique ou d'urgent se produit, je dois faire quelque chose de manière réactive et revenons à la mise en place de contrôles ». C'est une coutume très latino-américaine », a déclaré Andrés.

Cela déclenche la « corruption », comme l'appelle Herrera. Générant différents cas où les mêmes salariés filtrent les bases de données pour les revendre ou les entreprises « prennent des libertés complètement floues devant la loi » pour profiter des données des utilisateurs.

Comme le cas qui s'est produit en Colombie en 2020, dans lequel une entreprise de télécommunications a accédé à la base de données de portabilité, qu'elle partageait avec d'autres entreprises, pour prendre les e-mails de ces utilisateurs et leur envoyer des promotions de leurs produits. Ce qui a conduit à une sanction financière, mais seulement après que quelqu'un a déposé une plainte pour irrégularité.

Et que faisons-nous en tant qu'utilisateurs ?

Aujourd'hui chaque personne est une donnée, c'est une opportunité de construire de l'information pour booster un business. C'est pourquoi il est essentiel de connaître les droits dont nous disposons, tels que : demander notre suppression des bases de données, demander aux entreprises les informations qu'elles détiennent sur nous, demander l'autorisation de traiter des données et porter plainte en cas de mauvais traitement.

Mais il est également de notre devoir de savoir quelles conditions générales nous acceptons lors de l'accès à un réseau social, lors d'un achat ou lors de la création d'un compte.

"Dans tous les termes et conditions, il y aura toujours quelque chose qui nous mettra en danger en tant qu'utilisateurs. Par exemple, il arrive que si une entreprise appartient à un groupe de plusieurs entreprises, les données de ses utilisateurs appartiennent à l'ensemble du conglomérat. C'est pourquoi nous devons être plus conscients, lire et savoir que lorsque quelque chose est gratuit, c'est parce que l'entreprise, ce sont nos données », a conclu l'analyste.