Data Privacy Day 2023

Par Nicolas

Avec Ready4Sea, pas besoin de choisir entre votre sécurité sur l’eau et votre sécurité en ligne. Avec nous, c’est les deux mon capitaine !

La journée européenne de la protection des données à caractère personnel est encore peu connue et répandue, même sous son nom anglophone de Data Privacy Day ou Data Protection Day. Il faut dire qu’elle n’a vu le jour qu’en 2007, et ce n’est que récemment que la confidentialité des données personnelles est devenue un sujet de préoccupation.

En tant qu’éditeur d’une solution logicielle à l’usage du plus grand nombre, nous sommes cependant en première ligne pour vous proposer une application respectueuse de la vie privée et qui sécurise au mieux vos données. C’est pourquoi nous souhaitons profiter de cette journée, dont l’objectif est de sensibiliser et de promouvoir les meilleures pratiques en matière de confidentialité et de protection des données, pour évoquer notre façon de travailler.

L’approche Privacy by design

A la fois bien sensibilisés aux problématiques de cybersécurité et conscients de la responsabilité qui nous incombe dès lors que nous traitons des données personnelles, nous avons adopté dès le démarrage du projet une approche de type Privacy by design – c’est-à-dire qui intègre la confidentialité des données dès la conception et non en dernier lieu. Nous mettons donc en œuvre des solutions inspirées des principes suivants :

Limiter la collecte de données personnelles

Moins nous traitons de données à caractère personnel, mieux nous nous portons, et vous avec ! Nous savons en effet que ces données vous appartiennent et qu’elles font l’objet de convoitises. Aussi avons-nous pris le parti de vous les demander le plus tard possible, lorsqu’il devient indispensable pour des raisons techniques ou commerciales d’en disposer.

Le meilleur exemple à cela, c’est qu’il vous est possible d’installer l’application et de commencer à l’utiliser de façon anonyme, sans donner votre adresse email.

Hébergement des données en Europe

Nous avons veillé, autant que faire se peut, à héberger l’ensemble de nos données sur des solutions ou serveurs européens, davantage respectueux de la vie privée et de la législation européenne. Sans pouvoir conduire nous-même des audits auprès de nos fournisseurs (pour des raisons évidentes, en raison de notre taille et de nos moyens limités), nous les avons cependant sélectionnés selon ce critère.

Chiffrement des transmissions de données

Conformément aux standards désormais en vigueur sur Internet, nous avons bien entendu mis en place la sécurisation SSL / TLS sur l’ensemble de nos transmissions de données – vous savez, le fameux petit cadenas vert ! Qu’il s’agisse du simple affichage de notre site web ou de l’alimentation de l’application mobile avec les données de votre bateau, l’ensemble des données est protégée par ce standard, c’est aujourd’hui la base.

Sécurisation des identifiants

Votre mot de passe est baptisé chez nous “phrase secrète”. C’est à dessein que vous avons adopté cette dénomination qui interpelle, afin de vous inciter à utiliser une clé complexe pour vous authentifier.

Jauge pour évaluer la complexité de votre phrase secrète

Ne souhaitant pas compliquer votre accès, nous n’avons pas émis à ce stade de règle minimale pour vous contraindre à utiliser telle ou telle quantité de caractères dits spéciaux, de chiffres, de majuscules ou de minuscules. En effet, chacun est susceptible d’avoir une stratégie différente pour parvenir à constituer un mot de passe complexe. Pour autant, nous guidons nos utilisateurs grâce à une jauge qui permet de les inciter à obtenir un score “vert”, c’est-à-dire une phrase secrète à la complexité suffisante.

Ce mot de passe, connu de vous seuls, nous est inaccessible, car il est chiffré dès la saisie. Si vous l’oubliez, nous vous permettons de le réinitialiser, c’est-à-dire d’en saisir un nouveau, mais il ne nous est pas techniquement possible de vous indiquer quelle était la phrase secrète que vous avez oubliée. C’est voulu, et c’est mieux ainsi !

Vos données personnelles

Les données que nos utilisateurs stockent dans leur application concernent leurs bateaux et à ce titre elles peuvent relever du domaine des données à caractère personnel. C’est d’autant plus le cas concernant les données du profil utilisateur, et c’est pourquoi nous réduisons celui-ci à son strict minimum.

La pièce maîtresse de celui-ci est l’adresse email, afin d’une part de vous identifier, et d’autre part de pouvoir vous contacter en cas de besoin. Il est donc essentiel que chaque utilisateur adopte les meilleures pratiques pour protéger sa messagerie. C’est ce que nous faisons pour notre part, et nous y reviendrons juste après.

Bien entendu vos données personnelles sont soumises à l’ensemble des règles européennes : vous bénéficiez des droits d’information, d’opposition, d’accès et de rectification, et de portabilité, tels que décrits par exemple sur le site de la CNIL française. Ces droits vous permettent ainsi de retirer votre consentement à tout moment, et en particulier dans toutes nos newsletters, au pied desquelles figure un lien de désabonnement.

Enfin, et conformément à ce qui est indiqué dans notre politique de confidentialité, nous ne vendons ni ne diffusons vos données auprès de quelque partenaire que ce soit sans votre accord. Les données que vous confiez à Ready4Sea sont donc utilisées par notre équipe et par nos fournisseurs dans l’unique but de vous permettre l’utilisation de notre solution.

Les bonnes pratiques

Une fois que vous nous avez confié vos données, nous limitons au maximum les risques de fuite concernant celles-ci en adoptant les bonnes pratiques suivantes en matière de cybersécurité. Nous ne pouvons que vous suggérer de vous inspirer, non seulement dans le cadre de votre utilisation de Ready4Sea, mais plus largement dans l’ensemble de votre “vie digitale”.

Différenciation et sécurisation des identifiants

Comme le dit la boutade en mode pince-sans-rire, le problème est que les mots de passe sont intrinsèquement compliqués à retenir pour un humain et faciles à deviner pour une machine. Comme il n’est plus envisageable de protéger ses données avec des clés simples, il est donc devenu indispensable de confier à une machine la tâche de les mémoriser. C’est le rôle des gestionnaires de mots de passe, qui sont de véritables coffre-forts à identifiants.

Pour notre part nous avons retenu Bitwarden, une solution qui nous permet non seulement de stocker tous nos identifiants, mais également de nous assurer que nos mots de passe sont différents pour chaque service ou site web que nous utilisons. Cette bonne pratique permet en particulier de limiter les dégâts en cas de fuite de données chez l’un des prestataires techniques.

Afin de compartimenter au mieux, nous nous efforçons également d’utiliser des alias. Si dans le paragraphe précédent on parlait d’utiliser des mots de passe distincts par service, ici ce sont les identifiants qui sont distincts – c’est-à-dire les adresses email. Évidemment, créer des dizaines ou des centaines d’adresses email différentes n’est pas pratique et c’est pourquoi nous utilisons un service qui nous permet de gérer cela pour nous, en l’occurrence SimpleLogin.

De façon plus simple, avec n’importe quelle adresse email Gmail ou Proton Mail, vous serez également en mesure de créer des identifiants différents. Si l’on suppose que votre adresse email de base est [email protected], vous pourrez vous inscrire en tant que [email protected], où “service” est un suffixe que vous ferez varier en fonction du site web ou de l’appli. Cela permet de limiter fortement les recoupements que d’éventuels pirates ou marketeurs peu scrupuleux seraient capables de faire.

Messagerie sécurisée

Venons-en à parler de l’adresse email, puisque celle-ci est à la fois particulièrement visée, relativement vulnérable et constitue la clé de voûte de votre identité numérique. Nous avons pris le parti d’utiliser la solution la plus sécurisée qui existe aujourd’hui : Proton Mail. Les geeks parmi vous pourront vérifier dans nos enregistrements DNS que nous utilisons bien cette solution.

Grâce à cette solution, en premier lieu, nos éventuels échanges ne seront donc pas scannés à des fins commerciales par de gros faiseurs comme Google. Mais en plus, si les serveurs de Proton venaient à être piratés, nos communications y sont stockées de manière chiffrée. Comme nous sommes les seuls à disposer des clés pour les déchiffrer (clés qui sont protégées par un gestionnaire de mot de passe, on le rappelle), d’éventuels hackers ne seraient pas en mesure de prendre connaissance du contenu des messages.

Afin d’être cohérents sur la sécurisation des communications, notre équipe communique également en interne en utilisant une messagerie instantanée sécurisée, en l’occurrence Signal. Contrairement à d’autres solutions (comme Whatsapp), Signal n’est pas affiliée au groupe Meta, connu pour ses abus ou négligences notoires en matière de confidentialité.

VPN

Enfin, nous protégeons nos connexions Internet grâce à un VPN – aussi bien sur ordinateur que sur mobile. Cette couche de sécurisation supplémentaire est intéressante en soi, mais elle est particulièrement importante lorsque l’on se connecte sans fil, et à plus forte raison sur un réseau extérieur (WiFi ou mobile, par exemple). Ainsi, dès que l’on travaille dans un environnement partagé, public, ou dont on ne maîtrise pas le réseau, il est crucial pour notre équipe de veiller à sécuriser sa connexion. Ainsi, toute connexion qui véhiculerait vos données personnelles se trouve alors protégée par un niveau de sécurité supplémentaire.

Si vous vous posez la question de l’outil que nous utilisons, il s’agit de Proton VPN. C’est en effet aussi simple pour nous d’utiliser un autre produit de la suite Proton, d’autant que celui-ci est aujourd’hui reconnu comme le VPN le plus fiable et le plus sûr.

En bref

Après ce tour d’horizon, nous espérons vous avoir convaincus qu’avec Ready4Sea, vos données sont entre de bonnes mains.

Pour résumer, elles sont tout d’abord peu nombreuses puisque nous nous limitons au strict nécessaire, ensuite nous les hébergeons en Europe, et nous n’avons jamais les moyens d’accéder en clair à vos clés d’authentification. Vos données personnelles restent dans le strict cercle de Ready4Sea, et ne sont pas monétisées auprès d’autres organismes.

Enfin, la sécurité de vos profils personnels repose en particulier sur celle de votre messagerie et si notre équipe a adopté des mesures renforcées afin de se protéger et de protéger vos données personnelles, nous vous recommandons d’adopter le même niveau d’exigence pour vous-même.

Si ce n’est pas encore le cas, profitez de ce week-end du Data Privacy Day pour mettre en place l’une au moins de mesures évoquées dans cet article !