FICHES PRATIQUES

L'exploitation d'un site Internet : les bonnes pratiques à respecter

L’économie numérique prend de plus en plus d’importance dans le monde et c’est aussi le cas à Monaco ; nombreux sont en effet les sites marchands à y être créés. Aussi, la Commission souhaite rappeler quels sont les bons réflexes que doivent avoir les responsables de traitement exploitant de tels sites, s’ils veulent avoir un niveau de sécurité adéquat relativement aux données qu’ils détiennent, et être ainsi conformes aux standards de la protection des informations nominatives.

Il convient ainsi de rappeler que les personnes créant un compte sur un site s’attendent à ce que leurs informations soient protégées, et bien évidemment inaccessibles aux tiers. Comme l’indique le rapport sur le projet de Loi relatif à l’Economie Numérique, il faut créer « les conditions de la confiance dans l’économie numérique ». Partager, même involontairement, les habitudes d’achat, les inquiétudes ou les centres d’intérêts des clients de sites marchands qui ne souhaitent pas les partager ouvertement est bien évidemment une atteinte grave à leur vie privée.

Aussi, voilà les points essentiels qu’un responsable de traitement exploitant un site Internet doit avoir en tête.

Sécuriser les échanges d’informations effectués sur le site : la mise en place d’un protocole HTTPS

Il est absolument nécessaire que les mesures techniques déployées par les responsables de sites Internet garantissent la sécurité des données stockées ou échangées.

Aussi, le responsable de traitement prend les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées en mettant notamment en place un protocole de communication sécurisé : SSL et TLS. Il s’agit de rendre ainsi le site http « S », dont la traduction visuelle pour les néophytes est l’apparition d’un cadenas vert sur la barre de domaine. Cela signifie que les données transitant sur le site sont chiffrées et donc protégées.

En ce qui concerne les données transitant sur des canaux de communication non sécurisés, elles doivent quant à elles notamment faire l'objet de mesures techniques visant à les rendre incompréhensibles à toute personne non autorisée.

Mettre en œuvre une politique de mot de passe efficace

Le responsable de traitement doit veiller à ce que les utilisateurs s'authentifient individuellement avec un identifiant et un mot de passe réputé fort, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité. Il ne doit pas connaitre le mot de passe de ses utilisateurs.

Aparté sur les mots de passe :

Bref état des lieux de la force d’un mot de passe :

Plus les mots de passe contiennent de caractères, plus ils sont robustes. Si ces caractères comportent des minuscules, majuscules, numéros et caractères spéciaux, la sécurité en est encore renforcée.

Il faut retenir que la capacité des logiciels permettant de casser et de découvrir les mots de passe s’est accélérée ces dernières années.

 Voici dans le tableau ci-dessous le temps nécessaire pour forcer des mots de passe en fonction de leur complexité en 2011 :

 

Longueur du mot de passe

Avec que des minuscules

+ des majuscules

+ des chiffres et symboles

6 caractères

10 minutes

10 heures

18 jours

7 caractères

4 heures

23 jours

4 ans

8 caractères

4 jours

3 ans

463 ans

9 caractères

4 mois

178 ans

44.530 ans

 Aujourd’hui, il existe différentes méthodes afin de casser des mots de passe (force brute, méthode de Monte-Carlo par chaines de Markov, dictionnaire, etc.) et il ne faut plus par exemple selon les méthodes utilisées qu’entre quelques millisecondes et quelques secondes pour craquer un mot de passe en minuscules de 6 caractères.

Quelques conseils pour choisir ses mots de passe :

 Longueur du mot de passe
- Choisir un mot de passe d'une longueur minimum de 8 caractères

Utiliser les combinaisons du clavier
- Utiliser les types de caractères : lettres, chiffres, symboles et signes diacritiques (^,¨,$,!,#/, etc.), alternance de majuscules/minuscules 

Recourir à la mnémotechnique
Une chaîne de caractères trop complexe peut être difficile à mémoriser. Il convient de partir d'une phrase ou d'un mot qui fait sens 

Un mot de passe pour chaque compte d'utilisateur
Il est conseillé de choisir un mot de passe par compte. A défaut, il est recommandé d'appliquer cette règle aux accès les plus sensibles (ex : banque en ligne). Les gestionnaires de mots de passe permettent de pallier cette difficulté 

Changer fréquemment de mots de passe
Le renouvellement fréquent des mots de passe est une astuce simple pour éviter les attaques de type phishing (usurpation d'identité). Par exemple, pour un mot de passe de  8 caractères un changement tous les 3 mois est opportun. On peut attendre 6 mois pour le changer s’il fait 9 caractères.


Les écueils dans le choix des mots de passe – il convient d’éviter :

 - les mots de passe qui utilisent des données trop évidentes (ex : date de naissance, lieu de naissance, numéro de téléphone) ;
- l'utilisation de chaînes de caractères linéaires : 123456, azertyuiop ;
- d’écrire ses mots de passe sur papier libre.

 

 Protéger tout particulièrement les données relatives aux cartes bancaires

Les données nécessaires à la réalisation d'une transaction à distance par carte de paiement sont le numéro de la carte, la date d'expiration et le cryptogramme visuel (il s’agit des trois chiffres au dos de votre carte bleue).

L’utilisation de moyens de paiements en ligne et la conservation de numéro de cartes bancaires doivent faire l'objet de mesures de traçabilité permettant de détecter a posteriori tout accès illégitime aux données et de l'imputer à la personne ayant accédé illégitimement à ces données. En effet, les données de cartes bancaires étant particulièrement sensibles, il convient de savoir qu’elles sont les personnes au sein du personnel du site marchand qui ont pu y avoir accès.

Le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l'état de l'art et à la réglementation applicable. Ces données doivent être notamment chiffrées par l'intermédiaire d'un algorithme réputé fort.

Lorsque le responsable de traitement conserve les numéros de carte bancaire pour une finalité de preuve en cas d'éventuelle contestation de la transaction, ces numéros doivent faire l'objet de mesures techniques visant à prévenir toute réutilisation illégitime, ou toute ré identification des personnes concernées. Ces mesures peuvent notamment consister à stocker les numéros de carte bancaire sous forme hachée avec utilisation d'une clé secrète.


En outre, compte tenu de la sensibilité de cette donnée, le numéro de la carte de paiement ne peut être utilisé comme identifiant commercial.

Le responsable de traitement, ou son prestataire, ne doit pas demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, il est nécessaire de mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros des cartes. Une solution alternative sécurisée, sans coût supplémentaire, doit être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

S’agissant des documents d’identité la Commission est particulièrement vigilante quant aux modalités de leur collecte. L’objectif est de lutter contre le vol et l’usurpation d’identité, l’utilisation illicite des informations nominatives contenues dans ces documents et les conséquences que cela peut induire pour les victimes.

En ce qui concerne les sites marchands, la collecte n’est permise qu’aux fins de s’assurer de l’identité d’un titulaire de carte bancaire ou pour gérer les demandes de paiement ou de remboursement suite à la participation à un jeu.


La Commission demande que les modalités de collecte à distance soient protégées et notamment que les copies de documents d’identité soient déposées sur une page sécurisée.  C’est pourquoi elle a adopté par délibération n° 2015-113 une recommandation sur la collecte et la conservation de la copie de documents d’identité officiels, qui est disponible sur son site Internet www.ccin.mc.

La Commission recommande également que les personnes dont les copies de documents d’identité sont collectées soient invitées à transmettre celles-ci en noir et blanc et barrées, afin d’en rendre difficiles d’éventuelles reproductions.

Appliquer des durées de conservations proportionnées

Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée, c'est-à-dire dès son paiement effectif. Les données peuvent être conservées pour une finalité de preuve en cas d'éventuelle contestation de la transaction, en archives intermédiaires, treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé.

Ces données peuvent être conservées plus longtemps sous réserve d'obtenir le consentement exprès du client, préalablement informé de l'objectif poursuivi (faciliter le paiement des clients réguliers, par exemple). Ce consentement peut être recueilli par l'intermédiaire d'une case à cocher, et non précochée par défaut, et ne peut résulter de l'acceptation de conditions générales. Les données relatives au cryptogramme visuel ne doivent pas être stockées. Lorsque la date d'expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées.

En ce qui concerne la conservation de copies de documents d’identité, celles-ci pourront être conservées au maximum 6 mois lorsqu’elles servent de justificatifs relatifs à la vérification de l’identité d’un titulaire de carte bancaire, et doivent être détruites dès que la vérification de l'identité de la personne concernée est effectuée s’agissant des demandes de remboursement ou de paiement à distance.

Maîtriser les accès aux informations

Les habilitations et les mots de passe doivent régulièrement être mis à jour afin de  garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions.

Il convient également de mettre en place un mécanisme de journalisation des accès et opérations effectués sur le traitement. Ces données de journalisation doivent être conservées pour une durée de trois mois à un an à compter de leur collecte.

Les interventions de maintenance doivent faire l'objet d'une traçabilité et le matériel remisé ne devra plus contenir d’informations nominatives. En effet, il faut être vigilant lors de changements d’équipements, notamment de disques durs, qui sont une source de fuite de données si ces supports ne sont pas correctement effacés lors de leur mise au rebus.

Informer clairement les personnes concernées

Les personnes concernées doivent être informées, dans les conditions générales et/ou dans une rubrique dédiée sur le site, de leurs droits en application de l’article 14 de la Loi n° 1.165 du 23 décembre 1993, modifiée.

Quid des cookies

 

Conformément à ce qui se passe dans les pays européens voisins, la Commission a décidé d’encadrer de façon stricte l’emploi de cookies par les sites internet en demandant que la présence desdits cookies soit explicitement acceptée par les internautes, après que ceux-ci aient été clairement informés de la finalité desdits cookies.

 

Utilisés pour faciliter la navigation en ligne, les cookies sont de petits fichiers en ligne, apparentés à des fichiers textes, qui s’enregistrent sur le disque dur d’un ordinateur dès lors qu’un utilisateur navigue sur Internet.

 

Ils permettent aux sites internet de stocker une grande variété d'informations personnelles, incluant les données d'identification personnelle de l’utilisateur (son identifiant électronique, son adresse électronique…) mais également ses habitudes de navigation et ses préférences. C’est ainsi grâce à eux qu’un utilisateur peut éviter d’avoir à ressaisir les mêmes informations à chaque fois qu’il visite à un même site.

Ces cookies peuvent être conservés sur le poste informatique de l'internaute pour une durée variable allant jusqu'à 13 mois et peuvent être lus et utilisés non seulement par le site consulté lors d'une visite ultérieure de l'internaute mais également par des annonceurs partenaires ou clients (achats), à des fins marketing.

La Commission a donc considéré, conformément à l’article 14-2 de la Loi n°1.165 que les responsables de traitement devaient informer leurs utilisateurs de l’utilisation de cookies et des moyens dont ces utilisateurs disposent pour s’y opposer. Elle estime en effet qu’il est interdit de subordonner l’accès à un service disponible sur un réseau de communications électroniques à l’acceptation, par l’abonné ou l’utilisateur concerné, du traitement des informations stockées dans son équipement terminal, sauf si la conservation ou l’accès technique vise exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou est strictement nécessaire à la fourniture d’un service expressément demandé par l’abonné ou l’utilisateur.

 

La Commission opère toutefois une distinction entre d’une part les cookies techniques et de navigation, et d’autre part les  cookies de mesure d’audience et de suivi de navigation.

 

Ainsi pour les cookies techniques et de navigation qui sont des cookies qui facilitent la navigation entre les pages d’un même site et sont nécessaires pour permettre aux utilisateurs de bénéficier de certaines fonctionnalités, la Commission considère qu’une simple information des utilisateurs suffit puisque ces cookies expirent automatiquement à la fermeture du navigateur. Il est notamment  important que l’utilisateur soit au courant que s’il choisit de désactiver ces cookies via son navigateur internet, l’accès aux services du site internet pourrait alors se révéler altéré, voire être refusé.

 

En revanche, en ce qui concerne l’utilisation des cookies de mesure d’audience et de suivi de navigation telles que le module Google Analytics, qui sont des outils puissants servant à analyser le trafic d'un site (nombre d’affichage par page, durée passée sur chaque page, nombre de clics, résolution de l’écran, langue préférée, site visité, horodatage des pages visitées...), la Commission subordonne cette utilisation au consentement exprès de l’utilisateur du site.

 

Ce consentement se manifeste par l’information préalable des personnes concernées, par le biais par exemple d’un pop-up d’information sur le traitement des cookies du site internet, et par l’utilisation d’un script permettant de matérialiser le consentement du visiteur.

 

Ce visiteur devra ainsi pouvoir indiquer s’il accepte ou s’il refuse les cookies avant de rentrer sur le site et avant que ces cookies ne soient installés sur son ordinateur. S’il accepte, les cookies seront déposés sur l’ordinateur et il pourra continuer sa navigation. En revanche, s’il refuse, un message pop-up devra alors l’avertir que son choix a bien été pris en compte, que les cookies ne seront pas installés sur son ordinateur et qu’il pourra continuer sereinement sa navigation.

 

Prévoir contractuellement avec ses prestataires et sous-traitants les garanties permettant d’assurer la protection des données exploitées

L'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que l’article 17 de la Loi n° 1.165 met à sa charge.

Le responsable de traitement conserve la responsabilité des informations nominatives communiquées ou gérées par ses sous-traitants et, le cas échéant,  le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.

Mettre à jour la sécurité

Nous l’avons vu aux points précédents, plusieurs mesures de sécurité sont aujourd’hui requises pour protéger les informations nominatives présentes sur les sites. Mais les techniques d’intrusion, ou tout simplement malveillantes, évoluent, aussi tel doit être le cas de la sécurité. Si cette sécurité est à jour, il convient de maintenir dans le temps un tel standard. La sécurité d’aujourd’hui n’est pas celle de demain ! Par exemple, pour l’https, on en est aujourd’hui à la version TLS 1.2, et la version 1.3 est en préparation.

Une étude sur les échanges sécurisés sur Internet relève que si 30% des acteurs du net améliorent leur niveau de sécurité chaque trimestre, 30% n’évoluent jamais et utilisent une sécurité obsolète.