Incidents associés
Stephen Cavey : La sécurité - et la confidentialité d'ailleurs - c'est un problème commercial, et cela commence par le haut et descend. Dave Bittner : Bonjour à tous. Et bienvenue dans "Caveat", le podcast sur la loi et la politique de CyberWire. Ceci est l'épisode 43 du 26 août 2020. Je suis Dave Bittner. Et je suis accompagné de mon co-animateur Ben Yelin du Centre pour la santé et la sécurité intérieure de l'Université du Maryland. Bonjour ben. Ben Yelin : Salut, Dave. Dave Bittner : Dans l'émission de cette semaine, je décris comment la Californie fournit des données – beaucoup de données – aux enquêteurs privés. Ben explique comment la police de Miami utilisait un logiciel de reconnaissance faciale pour identifier les manifestants. Et plus tard dans l'émission, ma conversation avec Stephen Cavey. Il vient de Ground Labs. Il est le co-fondateur et évangéliste en chef. Et nous allons parler du CCPA et de ce qui se passe maintenant que la période de grâce de six mois s'est terminée le 1er juillet. Dave Bittner : Bien que cette émission couvre des sujets juridiques et que Ben soit avocat, les opinions exprimées ne ne constituent pas un avis juridique. Pour obtenir des conseils juridiques officiels sur l'un des sujets que nous couvrons, veuillez contacter votre avocat. Dave Bittner : D'accord, Ben, commençons par quelques histoires ici. Qu'avez-vous pour nous cette semaine ? Ben Yelin : Donc, mon histoire vient de la station NBC locale à Miami. Et tu me connais, Dave; J'ai lu tous les sites Web d'actualités locales du pays et j'ai essayé de trouver... Dave Bittner : Vous êtes un passionné d'actualités, oui (rires). ** Ben Yelin : ** Ouais. Essayez de trouver les meilleures histoires pour nous. Il s'agit de l'arrestation d'une jeune femme à Miami nommée Oriana Albornoz. Elle a participé à une manifestation le 30 mai contre les violences policières à Miami, et elle aurait jeté une pierre sur un policier. Ce qui est intéressant dans cette histoire de notre point de vue, c'est que les forces de l'ordre ont utilisé Clearview AI comme élément de preuve clé pour obtenir une arrestation. Ben Yelin : Bref, ils ont surpris quelqu'un en train de lancer une pierre avec une caméra en circuit fermé. Ils ne pouvaient pas vraiment discerner de qui il s'agissait. Ils ont pu faire correspondre la chemise que cette personne portait à une image plus nette qu'ils ont trouvée d'une autre vidéo de surveillance de la même femme portant la même chemise. À partir de cette vidéo, ils ont utilisé le logiciel Clearview AI et, grâce à leur technologie de grattage de divers sites Web de médias sociaux, y compris ceux que nous utilisons tous – Facebook, Twitter, LinkedIn – ils ont pu identifier la suspecte criminelle, et elle vient d'être arrêtée et appréhendée. . Et, vous savez, nous parlons maintenant d'environ 2 mois et demi après l'incident initial. Ben Yelin : Nous avons donc ici un exemple concret d'application de la loi utilisant cette technologie assez controversée pour effectuer l'arrestation de quelqu'un qui assistait à une manifestation. Et donc il y a beaucoup, je pense, d'implications potentiellement préoccupantes à cela. Dave Bittner : Y avait-il des mandats impliqués ici ? Doivent-ils plaider leur cause devant un juge ou sont-ils simplement sortis et l'ont-ils fait? Ben Yelin : Ils n'ont pas eu à plaider leur cause devant un juge, car ce que fait Clearview AI, c'est qu'il récupère des informations accessibles au public. Il n'est donc pas nécessaire d'obtenir une citation à comparaître. Vous savez, il n'est pas nécessaire de demander à Facebook et Twitter de transmettre des données. Tout est accessible au public. C'est juste Clearview AI qui récupère ces données. Maintenant, contrairement à de nombreux autres services de police à travers le pays, le service de police de Miami a en fait des politiques assez strictes en ce qui concerne l'utilisation de Clearview AI et de technologies similaires. Donc, d'une part, vous n'êtes pas autorisé à l'utiliser pour obtenir des informations d'arrestation uniquement basées sur les activités du premier amendement d'une personne. C'est un peu une zone grise ici qui me dérange un peu. Dave Bittner : D'accord. Ben Yelin : Donc, évidemment, elle a fini par commettre un crime. Elle a jeté une pierre sur un policier. C'est une agression. Dave Bittner : Exact. C'est ce qu'ils prétendent. Ben Yelin : C'est ce qu'ils prétendent. Exactement. Dave Bittner : D'accord, d'accord. Ben Yelin : Je devrais toujours dire - toujours utiliser le mot allégué ici. Mais cela s'est produit lors de ce qui était, vous savez, une manifestation politique. Dave Bittner : Exact. Ben Yelin : Et donc si vous vous retrouvez dans une situation où vous avez des caméras de surveillance partout... Dave Bittner : Quelle est la situation. Ben Yelin : Quelle est la situation. Dave Bittner : Je veux dire, c'est le monde dans lequel nous vivons, n'est-ce pas ? (Rire). Ben Yelin : Exact. Comme nous en avons parlé un million de fois, vous allez obtenir des images de personnes qui assistent à ces manifestations, et vous allez potentiellement les surprendre en train de commettre des crimes. Je suppose que je pense que cela ne les absout pas vraiment de tout comportement douteux de dire, nous ne l'utilisons pas pour des activités pacifiques, car bien sûr vous ne l'utilisez pas pour des activités pacifiques ; vous n'essayez pas d'effectuer des arrestations. Le problème est que cette technologie de surveillance est disponible lors de manifestations politiques à grande échelle. C'est un niveau de préoccupation ici. Ben Yelin : Oui, ils ont également pour politique de tenir un journal documentant les recherches de reconnaissance faciale. Ils font des audits mensuels. Il s'agit donc d'un ensemble assez complet de politiques. Mais malgré ces politiques, la plainte pénale n'a pas noté que Clearview AI avait été utilisée pour effectuer cette arrestation. Il a simplement dit qu'ils avaient utilisé, entre guillemets, des «moyens d'enquête», ce qu'ils ont bien sûr fait. (RIRES) Ben Yelin : Je ne sais pas quoi d'autre ils utiliseraient. Et ce n'est que lorsque cette station d'information locale entreprenante a fait un peu de son propre travail d'enquête qu'elle a réalisé que le département de police de Miami utilisait cette technologie. Donc, vous savez, c'est une autre façon dont les gens doivent comprendre que leur image n'est pas protégée là-bas. Vous n'avez pas le sentiment d'intimité, même si vous êtes dans une zone où vous pensez que personne ne vous regarde ou que vous pensez que vous ne pouvez pas être identifié de manière positive parce que, vous savez, peut-être voyez-vous une caméra de sécurité qui ressemble à un mile loin et vous ne pensez pas, vous savez, qu'ils vont pouvoir améliorer l'image et vous trouver. Dave Bittner : Exact. Ben Yelin : Lorsque vous disposez de ce type de technologie de raclage, même si vous avez essayé de rester relativement en dehors du réseau, il y a suffisamment d'informations publiques sur vous en ligne que leurs forces de l'ordre pourront effectuer. arrestations. Je pense donc que c'est un avertissement aux utilisateurs qui utilisent ces sites de médias sociaux et aussi aux personnes qui assistent à ces manifestations. Dave Bittner : Ouais. Je veux dire, il me semble que ce qui change la donne ici, c'est l'efficacité que cela offre aux forces de l'ordre, où je pouvais imaginer dans le passé, s'ils avaient une photo, une image, quelque chose qu'ils ont capturé de l'un de ces dispositifs de sécurité des caméras, vous savez, elles pourraient sonder le quartier. Ils pourraient faire du porte à porte. Ils pourraient se tenir au coin d'une rue et dire, vous savez, pardonnez-moi, bon citoyen; reconnaissez-vous cette personne dont l'image est ici sur cette vidéo que nous avons capturée ? Ben Yelin : C'est ainsi que cela fonctionne dans les épisodes de "Law & Order"... Dave Bittner : Exact (rires). Ben Yelin : ... Et dans le travail policier traditionnel, absolument. Dave Bittner : Exact. Mais cela prend du temps. Et vous avez donc cette limite naturelle à leur capacité à le faire. Et, vous savez, nous parlons de - le truc avec la technologie, c'est que vous changez en quelque sorte l'échelle des choses; les choses se passent à grande échelle. C'est donc intéressant – je suppose, cela change la donne que la police puisse charger des images dans certaines de ces plates-formes de reconnaissance faciale et simplement déterminer qui se trouve dans une foule de manifestants d'une manière qui aurait été impraticable auparavant. ** Ben Yelin : ** Absolument. Je veux dire, je pense que cela rejoint un thème de beaucoup d'histoires dont nous avons parlé, vous savez, en particulier en ce qui concerne des choses comme les données de localisation. Auparavant, il fallait un travail de police complet pour suivre une personne, vous savez ? Le quart de travail d'un gars se terminerait. Le quart de travail d'un autre type commencerait. Tu sais, tu devrais suivre physiquement quelqu'un 24h/24 et 7j/7. Maintenant ce n'est pas le cas parce que nous avons le GPS. Nous avons le suivi de la localisation des téléphones portables - des choses de cette nature. Je pense qu'une dynamique similaire est en jeu ici, où le travail de la police était gourmand en ressources – cela demandait beaucoup de temps ; cela demandait beaucoup d'argent – c'est maintenant très facile. Ben Yelin : Et je pense qu'à long terme, cela réduira le droit à la vie privée, car il sera plus facile pour les forces de l'ordre de découvrir des personnes grâce à ce type de technologie. Et je pense que c'est pourquoi il incombe aux gouvernements des États en particulier d'élaborer des politiques qui régissent l'utilisation de cette technologie. Il n'y a pas de conseils, par exemple, de l'État de Floride sur la façon d'utiliser Clearview AI - quand c'est autorisé, quel type de procédures de minimisation il y a pour les données. Donc, vous savez, c'est à peu près chaque service de police local pour lui-même. Et, vous savez, nous savons tous que le gouvernement fédéral va agir comme de la mélasse à ce sujet. Ben Yelin : Je pense donc qu'il incombe aux gouvernements des États d'être proactifs, d'aborder ce problème et d'essayer de comprendre - établissons une politique ici où nous équilibrons la valeur de, oui, nous voulons arrêter les gens qui lancent des pierres sur les flics... Dave Bittner : (Rires) Exact. Ben Yelin : ... Mais nous ne voulons pas non plus que cet outil soit si omniprésent qu'il finisse par être une invasion massive de la vie privée. Dave Bittner : Ouais. D'accord. Oui, c'est un exemple intéressant de cela dans ce cas, bien sûr. D'accord. Eh bien, mon histoire cette semaine – cela vient des gens de Vice Motherboard, encore une fois Joseph Cox. Ben Yelin : Ouais, bienvenue sur le podcast de Joseph Cox, Dave. Dave Bittner : (Rires) Nous avons vraiment besoin d'envoyer à Joseph une corbeille de fruits ou quelque chose comme ça. ** Ben Yelin : ** Ouais. ** Dave Bittner : ** Ou peut-être simplement le faire participer à la série. ** Ben Yelin : ** Ouais. Dave Bittner : (Rires) Eh bien, l'article qu'il écrit s'intitule "California DMV vend les données des conducteurs aux détectives privés". Et, fondamentalement, il décrit comment les gens de Motherboard ont obtenu un document du California DMV qui répertorie à peu près tous ceux qui ont accès à une forme de données DMV. Et c'est beaucoup d'organisations (rires). Ben Yelin : C'est sûr. Dave Bittner : Quatre-vingt-dix mille à 98 000 organisations environ qui ont accès aux informations du DMV. Et ils soulignent également que le DMV gagne 50 millions de dollars par an en vendant ces données. Il y a une ligne ici qui m'a frappé - avant que nous n'allions plus loin - pertinente à cela. J'en ai eu un petit rire. Il dit que le DMV de Californie a déclaré à Motherboard, cite, "Le DMV ne vend pas d'informations, mais récupère le coût de la fourniture d'informations comme le permet la loi." (RIRES) Ben Yelin : C'était extraordinaire. Ouais. J'ai juste... Dave Bittner : Je ne sais pas - distinction sans différence. Mais... Ben Yelin : Ouais. C'était tellement drôle pour moi. C'est comme, c'est – ça s'appelle une vente. C'est ce qu'on appelle vendre des choses. Dave Bittner : (Rires) Exact. Ben Yelin : Si vous êtes rémunéré pour faire quelque chose, pour fournir un produit... Dave Bittner : Exact. Ben Yelin : ... C'est ce qu'on appelle une vente. Ouais. Dave Bittner : (Rires) D'accord, d'accord. Et, aussi, je veux dire, le California DMV souligne qu'il existe de très nombreuses utilisations légitimes de ces données, et peut-être que la grande majorité d'entre elles sont utilisées pour des choses avec lesquelles la plupart des gens n'auraient pas de problème. Par exemple, si vous êtes - si vous ou moi embauchons un chauffeur de camion dans l'État de Californie et que nous voulions vérifier son dossier de conduite, cela figurerait sur cette liste. C'est... Ben Yelin : Bien sûr. Dave Bittner : Et personne n'aurait de problème avec ça. Là où ça devient un peu plus collant, ce sont certaines des choses dont vous et moi parlons ici, qui sont quelques-unes des questions de confidentialité. Et, plus précisément, ils parlent de détectives privés. Je trouve intéressant que cet article parle d'une loi sur la protection de la vie privée. C'est ce qu'on appelle la Driver's Privacy Protection Act, qui a été écrite en 1994, et elle est apparue après qu'un harceleur ait engagé un détective privé pour obtenir l'adresse d'une actrice. Et le harceleur a ensuite assassiné cette actrice, et cela a incité la création de cette loi sur la protection de la vie privée. Mais ce qui est intéressant, c'est qu'il y a des exemptions pour les entreprises, y compris les détectives privés. Ben Yelin : Ouais, c'était un peu curieux pour moi. Si c'était l'impulsion de cette loi dans les années 1990, il semblerait que – pourquoi voudriez-vous que les détectives privés soient inclus dans la liste des exemptions si l'incident qui a provoqué la promulgation de cette loi était quelqu'un engagé par un détective privé ? C'est donc une chose qui m'a certainement sauté aux yeux à ce sujet. L'autre chose qui m'a sauté aux yeux, c'est que j'avais un permis de conduire californien DMV, et maintenant je suis plutôt content d'avoir un permis de conduire du Maryland. Bien que je sois sûr qu'ils font aussi toutes sortes de choses avec mes informations personnelles. Dave Bittner : (Rires) D'accord, d'accord. À venir – comment le Maryland vend les informations de votre permis de conduire. ** Ben Yelin : ** Ouais. Exactement exactement. Dave Bittner : Exact. Ben Yelin : Nous pourrions faire une enquête dans 50 États à ce sujet. Dave Bittner : (Rires) D'accord, d'accord. Ben Yelin : Vous savez, certaines des données qu'ils contiennent sont plutôt personnelles lorsqu'il s'agit d'adresse, de numéro de téléphone, voire d'adresses e-mail. Ils ont dit que les adresses résidentielles ne seront publiées que dans des exceptions limitées, mais celles-ci, à mes yeux, ne sont pas vraiment énumérées. Et l'adresse d'une personne est une information extrêmement personnelle. Donc, vous savez, je pense que cela m'a certainement sauté aux yeux que vous pouvez acheter ces données auprès d'une agence gouvernementale. Ben Yelin : J'ai grandi en Californie. Je sais ce que c'est que d'essayer d'élaborer un budget pour cet État, en particulier pour une agence individuelle. Donc je suis... Dave Bittner : Ouais. Ben Yelin : Vous savez, je commence par être quelque peu sympathique au fait que le DMV veuille récupérer ce qui représente probablement des milliards de dollars de pertes chaque année... Dave Bittner : Bien sûr. Ben Yelin : ... En vendant ces données, et je le comprends. Et je pense que c'est bien qu'ils aient mis en place une loi, du moins en théorie, qui protège ces données contre les abus. Mais lorsque nous parlons de données utilisées par des détectives privés pour suivre quelqu'un - si un conjoint soupçonne que son conjoint a une liaison, vous pouvez engager un détective privé. Cet enquêteur peut acheter des données auprès du California DMV et les utiliser pour traquer essentiellement ce conjoint. Dave Bittner : Ouais. Ben Yelin : Et cela, évidemment, est un problème majeur de confidentialité. Dave Bittner : Ouais. Une autre chose que l'article souligne est qu'il y a des législateurs californiens qui sont – qui ont contacté le DMV pour chercher des réponses à ce sujet et pour creuser un peu plus profondément. Donc je suppose qu'il n'est pas surprenant que, vous savez, il s'agisse d'un domaine brûlant en ce moment - oh, la confidentialité des données. Et donc ça ne me surprend pas que cela attire l'attention. ** Ben Yelin : ** Ouais. Vous savez, une membre du Congrès, la membre du Congrès Anna Eshoo, qui représente la Silicon Valley, elle est donc toujours à l'avant-garde sur beaucoup de ces questions - elle est intervenue, a écrit une lettre au DMV de Californie disant que c'est fondamentalement odieux que le DMV vende cette information pour cautionner des serfs, des détectives privés, d'autres mauvais acteurs, disant que c'est, entre guillemets, une "trahison" de la confiance du public. Ben Yelin : Vous savez, c'est finalement une question qui sera décidée au niveau de l'État. Je pense que la voie de moindre résistance serait de revenir à cette loi de protection de la vie privée DMV de 1994 et, vous savez, d'essayer de réduire un peu plus les exceptions afin qu'elle protège réellement contre les enquêteurs privés en particulier... Dave Bittner : Oui. Ben Yelin : ... Ou d'autres acteurs potentiellement néfastes. Vous pourriez avoir une exception simplement, vous savez, si vous en avez besoin pour des raisons de sécurité, comme le cas du chauffeur de camion dont vous parliez. Je pense que ce serait le moyen le plus simple pour la Californie de modifier cette loi. Je veux dire, il n'y a pas grand-chose au niveau fédéral que la députée Eshoo puisse faire sans simplement mettre la pression publique sur le DMV et essayer d'attirer l'attention sur ce qui se passe. Dave Bittner : Ouais. C'est intéressant pour moi, et c'est une autre raison pour laquelle cette histoire a attiré mon attention, c'est à quel point l'utilisation de nos voitures - l'utilisation nécessaire de nos voitures est devenue une telle fenêtre sur nos vies parce que nos voitures ont des plaques d'immatriculation dessus et nous ne sont pas autorisés à couvrir ces plaques d'immatriculation. Vous savez, vous n'êtes autorisé qu'à un certain degré d'anonymat pendant que vous conduisez votre voiture parce que - il y a - évidemment, il y a de bonnes raisons pour que les voitures aient des plaques d'immatriculation. Ben Yelin : Oui. Dave Bittner : C'est - je pense que la plupart d'entre nous sont d'accord avec cela. C'est logique dans la réglementation des conducteurs. Mais - et nous y sommes. Nous nous retrouvons dans cette situation où, encore une fois, la collecte de ces informations et le tri et l'organisation de ces informations sont devenus si routiniers qu'ils fonctionnent à un niveau très différent de ce qu'ils étaient lorsque le système a été initialement mis en place. ** Ben Yelin : ** Ouais. Je veux dire, peut-être devrions-nous tous commencer à utiliser les transports en commun. On dirait que les voitures sont... Dave Bittner : (Rires). Ben Yelin : ... Conduire des machines de surveillance. Je veux dire, quand vous combinez les lecteurs de plaques d'immatriculation et la technologie GPS et le DMV vendant des données aux détectives privés, vous savez, ça me donne envie de sauter dans, vous savez, le Muni Metro à San Francisco... *Dave Bittner : * Ouais. Ben Yelin : ... Au lieu, vous savez, de monter dans ma voiture et de conduire. Dave Bittner : (Rires). Ben Yelin : Alors, oui. Je veux dire, cela nous amène à un thème plus large, c'est-à-dire que nous n'avons souvent pas le choix de nous engager ou non dans ces activités. Si vous voulez être un membre productif de la société, dans la plupart des endroits de la Californie et du pays, vous aurez besoin d'une voiture et vous devrez conduire. Et donc il n'y a vraiment pas d'échappatoire pour s'exposer au type de données qui sont vendues ici. Dave Bittner : Ouais. Ben Yelin : Et c'est quelque chose qui m'inquiète toujours. Je veux toujours donner aux utilisateurs ou aux personnes qui ont obtenu un permis de conduire une sorte de possibilité de se retirer. Et, vous savez, une fois que vous avez obtenu ce permis de conduire, une fois que vous avez soumis cette information, savoir que c'est un jeu équitable pour les enquêteurs privés, je pense que c'est certainement quelque chose qui a piqué mon intérêt. Dave Bittner : Ouais. Je me demande s'il y a déjà eu un plan. Je sais que nous avons vu - vous et moi, je pense, avons parlé du potentiel des plaques d'immatriculation numériques, vous savez ? Ben Yelin : Exact. Dave Bittner : Mais je me demande si quelqu'un a imaginé un système où la plaque d'immatriculation elle-même était une sorte de code crypté, vous savez, qui, vous savez, n'était pas capable de... *Ben Yelin : * Arrête de leur donner des idées, Dave. Dave Bittner : (Rires) Eh bien, alors que j'y réfléchis dans mon esprit, je pense à tous les aspects pratiques. ** Ben Yelin : ** Ouais. Dave Bittner : Et si quelque chose est - ouais, ouais. Quoi qu'il en soit, oui, un garçon peut rêver, n'est-ce pas ? ** Ben Yelin : ** Absolument. Dave Bittner : (Rires) D'accord. Eh bien, c'est mon histoire cette semaine. Dave Bittner : Nous aimerions avoir de vos nouvelles. Si vous avez une question à nous poser, vous pouvez nous appeler. Notre numéro est le 410-618-3720. C'est le 410-618-3720. Vous pouvez également nous envoyer un e-mail. C'est caveat@thecyberwire.com. Dave Bittner : Ben, j'ai récemment eu le plaisir de parler avec Stephen Cavey. Il est co-fondateur et évangéliste en chef d'une organisation appelée Ground Labs. Et notre conversation a porté sur le CCPA, le California Consumer Privacy Act et la fin de la période de grâce de six mois, qui s'est terminée le 1er juillet. Voici ma conversation avec Stephen Cavey. Stephen Cavey : Du point de vue de la sécurité pure, je pense que nous étions tous au courant du CCPA, et il arrivait, et il a été publié au début de l'année, et tout le monde a été prévenu. Et ce n'est que maintenant, le 1er juillet, que l'application de celle-ci a commencé. Stephen Cavey : Et je pense que beaucoup d'entreprises ne sont vraiment pas prêtes car nous avons vécu cela avec GDPR dans d'autres scénarios, et ce qui est très différent ici, c'est qu'en raison de la façon dont la loi californienne processus fonctionne, les entreprises ont eu beaucoup moins de temps pour se préparer et se préparer à cette nouvelle loi. Il n'y avait que six mois ou à peu près de notification de dire, d'accord ; c'est maintenant à quoi ressemble la loi; commencez à vous préparer – par rapport à si nous le comparons au RGPD parce que c'est une comparaison raisonnable à faire, il y a eu deux ans de notification, vous savez ? C'était en mai 2016 lorsque le RGPD est sorti pour la première fois, et tout le monde a été prévenu. Et l'application a commencé en mai 2018. Stephen Cavey : Et c'est très différent de la façon dont le CCPA a vu le jour, et encore moins avant de commencer à parler de toute la situation pandémique, comment cela se superpose aussi - un moment très intéressant pour présenter un nouvel ensemble de législations sur la manière dont les entreprises doivent gérer et traiter les informations personnelles des personnes et des sanctions très sévères si vous ne faites pas ce qu'il faut. Dave Bittner : Pouvez-vous décrire certains des défis spécifiques auxquels les entreprises sont confrontées lorsqu'elles tentent d'atteindre la conformité ici ? Stephen Cavey : Donc, le problème que nous rencontrons le plus souvent en raison de l'industrie dans laquelle nous travaillons est le fait que tant d'organisations - je dirais même la plupart des organisations - n'ont pas un contrôle complet sur toutes les informations personnelles qui existe au sein de leur entreprise. Et nous le faisons depuis 13 ans, en travaillant avec des entreprises pour les aider à comprendre où se cachent les données personnelles dans l'entreprise, dans tous les endroits possibles où elles auraient pu se trouver à l'intérieur de l'entreprise et entre les quatre murs et également dans le cloud. Et des informations personnelles peuvent exister au sein d'une entreprise pour les raisons les plus intéressantes. Et c'est souvent complètement hors du radar de l'équipe de sécurité ou, vous savez, pour les organisations qui ont le bon niveau de maturité, l'équipe de confidentialité, les gars qui ont besoin de savoir où se trouvent ces informations. Et il y a tellement de raisons différentes, mais souvent, cela se résume à des processus hors bande qui existent au sein d'une organisation. Et ces processus, pour quelque raison que ce soit, nécessitent un accès ou nécessitent la nécessité de collecter des informations personnelles sur les clients ou quelle que soit leur activité. Et cela peut aussi être le résultat de processus hérités du système. Vous savez, nous avons toujours procédé ainsi. Et les organisations ont peut-être collecté un grand nombre de données sur leurs clients pendant très longtemps, et ces informations ont été collectées et stockées dans toutes sortes de plates-formes, de logiciels et, de nos jours, d'applications SAS et d'autres choses qui reposent dans le nuage. Stephen Cavey : C'est un problème simple à comprendre. Plus vous devenez grand, plus vous stockez de données. Et plus la complexité se retrouve dans votre entreprise, plus il y a de personnes, plus d'applications, plus de fournisseurs de cloud, plus de processeurs, potentiellement plus de points de capture lorsque vous interagissez avec vos clients de différentes manières via différentes plateformes. Et tout cela crée en conséquence plus de stockage de données personnelles, ce qui rend un programme de conformité CCPA beaucoup plus difficile à superviser et à comprendre. Et donc, d'après notre expérience, c'est souvent un domaine avec lequel les entreprises ont vraiment du mal. Stephen Cavey : Traditionnellement, l'approche d'une entreprise est qu'elle adopte une approche plus manuelle. Donc, ils créeraient probablement une feuille de calcul. Ils passeraient en revue chaque équipe, chaque département, parleraient à tous les différents chefs de chaque division et leur poseraient une série de questions standardisées sur le traitement des données. Quelles données collectez-vous ? Pourquoi le collectionnes-tu ? Quels sont tous les champs que vous collectez et avez-vous besoin de tous les collecter ? Et où finissent ces données ? Quelles applications utilisez-vous ? Dans quels dossiers votre personnel les stocke-t-il ? Et grâce à cela, vous développez une image et vous obtenez une compréhension générale de l'endroit où l'entreprise pense que les données sont stockées. Stephen Cavey : Maintenant, la réalité est que ce que les gens pensent et ce qui se passe réellement sont souvent deux histoires très différentes. Et cela se produit lorsque vous travaillez avec un ensemble de personnes très expérimentées dans le domaine de la confidentialité et de la sécurité des données ou que vous faites appel à un consultant indépendant comme un évaluateur de sécurité externe, un évaluateur de la confidentialité. Et ils examinent toutes les preuves que vous avez rassemblées à partir de toutes les différentes sources de l'entreprise, et ils adopteront alors efficacement une approche sans hypothèses où ils exécuteront réellement ce que nous appelons un processus de découverte de données à travers le toute l'affaire. Stephen Cavey : Ce n'est pas de la découverte de données au sens juridique. Il s'agit de la découverte de données au sens de la sécurité, où l'objectif du processus est de découvrir toutes les données personnelles et sensibles qui se cachent dans tous les coins de l'entreprise et dans tous les référentiels de stockage possibles qui existent. Et très souvent, les résultats qui découlent de ce processus de découverte de données sensibles sont très différents de ce que l'entreprise avait rapporté. Et cela révélera souvent beaucoup plus de zones de stockage où se cachent des données personnelles, et cela révélera souvent des processus hors bande, des applications inconnues, peut-être même des applications obsolètes et de nombreuses données héritées du passé où des données qui étaient autrefois collecté dans l'entreprise pour différentes raisons, différents processus, différentes applications - il est toujours là parce que nous regardons le passé au sein d'une organisation typique, et la mentalité normale était, stockons tout. Dave Bittner : Exact. Stephen Cavey : Vous savez, c'est le point de départ le plus simple. On va tout stocker, et puis on verra si on en a besoin plus tard car on ne sait jamais ce qu'on va faire plus tard. Et malheureusement, personne n'est rétrospectivement revenu en arrière et a examiné ces décisions et fait le travail de nettoyage, en particulier dans ce nouveau monde de réglementation dans lequel nous vivons. ** Dave Bittner : ** Vous savez, cela me frappe que comme le stockage est devenu bon marché, presque au point d'être, vous savez, dénué de sens - vous pouviez en gros avoir un stockage illimité - cela a conduit à ce genre de mentalité de meute que je pense que vous décrivez ici, où les gens diraient, eh bien, ceci les données pourraient avoir de la valeur un jour, alors autant s'y accrocher. J'ai entendu certaines personnes décrire une sorte d'attitude changeante pour considérer les données stockées comme étant presque radioactives, en ce sens que si vous en rassemblez trop au même endroit, de mauvaises choses peuvent se produire. Stephen Cavey : C'est absolument vrai. C'est drôle que ces points de vue contrastés ou même contradictoires, devrais-je dire, selon le côté de la clôture sur lequel vous êtes assis - d'un point de vue, c'est au plutonium qu'il faut vraiment faire attention. D'un autre point de vue, c'est la nouvelle huile. Et c'est bien plus - c'est l'atout le plus précieux dont dispose une entreprise de nos jours. Et juste pour ajouter à la complexité de ce que vous venez de dire, Dave, IDC a pris un excellent départ il y a quelques années. Et ils ont prévu que le volume de données devrait être multiplié par 10. Et en termes réels, c'est, vous savez, au nord de 160 zettaoctets. Vous savez, c'est plus de 160 millions de pétaoctets. Et la plupart de ces données seront générées par les entreprises. Et c'est juste une preuve supplémentaire que, oui, le stockage est bon marché. Et donc, nous en utilisons beaucoup plus. Stephen Cavey : Mais malheureusement, en ce qui concerne le côté conformité et réglementation de l'équation, nous nous créons beaucoup plus de problèmes. Et si nous ne contrôlons pas ce que nous faisons avec ces données et où elles aboutissent et quels contrôles nous mettons autour de ces données, nous nous dirigeons vers une période très dangereuse si les entreprises ne le font pas commencer à aborder cela maintenant. Et je suppose que c'est pourquoi vous pouvez comprendre pourquoi des législations comme le CCPA sortent – parce que votre consommateur moyen maintenant – je pense qu'ils souffrent de la fatigue des violations de données. Des violations de données ont été signalées dans les nouvelles si souvent par tant d'entreprises différentes de toutes tailles que nous en sommes maintenant insensibles. Et malheureusement, cela va continuer à arriver. Vous savez, les violations de données sont une chose normale maintenant. Et il y a tellement de façons différentes de s'introduire dans un réseau et de voler des données. Stephen Cavey : Et donc plutôt que de penser que nous pouvons empêcher les méchants d'entrer par la porte d'entrée, la porte latérale ou la porte arrière, pourquoi ne pas nous concentrer sur pourquoi entrent-ils ? Et que recherchent-ils ? Eh bien, ils recherchent généralement des données. Donc, si nous pouvons trouver un moyen de leur retirer ce qu'ils recherchent et de les monétiser, cela nous place dans une bien meilleure position pour simplement réduire le risque mais aussi réduire les dommages potentiels. cela vient de l'idée que si quelqu'un a trouvé un moyen de s'introduire dans votre réseau, eh bien, s'il ne reste plus grand-chose à voler, alors l'effet d'entraînement aura beaucoup moins d'impact au sein de votre entreprise. Dave Bittner : Quelles sont vos recommandations pour cette organisation ? Je pense en particulier aux petites et moyennes entreprises qui sont confrontées à cette quantité croissante d'éléments réglementaires auxquels elles doivent se conformer. Vous savez, quel est un moyen pratique et rationnel pour eux de commencer, d'avoir une idée de ce qu'ils ont et quel est le bon moyen d'en prendre le contrôle ? Stephen Cavey : Si vous regardez simplement le CCPA, son applicabilité est pour les entreprises avec un chiffre d'affaires de 25 millions et plus. Donc, vous savez, vous traduisez cela en une taille d'entreprise, c'est probablement de 100 à 150 employés et plus, selon l'industrie, la taille et l'endroit où ils opèrent. Et donc ces types d'entreprises seront au stade où elles auront des gens dans l'entreprise qui auront des connaissances en matière de sécurité. Le plus gros problème que nous ayons vu dans le passé lorsque vous regardez des entreprises de cette taille et plus petites est que lorsque quelque chose comme le CCPA arrive, elles le considèrent généralement comme un problème informatique. Vous savez, la sécurité est un problème informatique. C'est l'une des déclarations classiques. Et ce n'est pas le cas. Vous savez, lorsque vous avez examiné les différents problèmes et la raison pour laquelle les violations de données se produisent, la sécurité est - et la sécurité et la confidentialité d'ailleurs - c'est un problème commercial. Et ça commence par le haut et coule vers le bas. Stephen Cavey : Vous savez, il y a tellement de conversations en cours sur les personnes au niveau du conseil d'administration qui doivent être beaucoup plus conscientes de la sécurité et de la confidentialité des données au point où le RSSI de nombreuses organisations dispose désormais d'une ligne hiérarchique au conseil d'administration pour informer le conseil d'administration et le conseiller sur la position de sécurité de l'entreprise. Et vous voyez maintenant une représentation au niveau du conseil d'administration où l'expérience en matière de sécurité est une nécessité juste pour s'assurer que ce point de vue, que cette voix est assise à la table lorsqu'il s'agit de réfléchir aux risques et aux autres défis auxquels l'entreprise sera probablement confrontée dans le avenir. Mais lorsque nous le ramenons à votre entreprise de taille quotidienne qui doit s'en occuper - qu'il s'agisse du CPA, du RGPD et, franchement, de toutes les données personnelles - alors que nous nous tournons vers l'avenir, toutes les données personnelles seront probablement réglementées. il. Et vous allez devoir en être conscient. Et vous ne pouvez pas ignorer cela. Si vous collectez toute forme de données client, vous devrez vous assurer que les bons processus sont en place. Et je pense que Microsoft est un merveilleux exemple de la direction que prend le monde, c'est-à-dire que vous finirez par devoir traiter toutes les données personnelles que vous collectez de la même manière. Vous ne devriez pas avoir besoin de faire la différence entre les clients californiens et les clients des autres États. Et, par conséquent, si vous traitez toutes vos données personnelles avec le plus haut niveau de sécurité, cela vous placera dans une bien meilleure position pour commencer dans la façon dont vous abordez ce problème et comment vous minimisez le risque de subir une violation de données et fournissez simplement une meilleure posture de sécurité globale au sein de l'entreprise. Stephen Cavey : Donc, vous savez, je pense que cela commence par la responsabilité. Vous savez, vous devez nommer quelqu'un au sein de l'entreprise pour diriger l'initiative de mise en conformité avec le CCPA et toutes les autres réglementations futures. Et ce serait bien si c'était un rôle dédié, mais ce n'est pas toujours pratique ou possible. Vous pouvez donc commencer par un rôle virtuel. Vous savez, confiez cette responsabilité à quelqu'un et donnez-lui l'initiative de l'intégrer à l'entreprise et de rendre l'entreprise beaucoup plus consciente des obligations en matière de données personnelles, vous savez ? Stephen Cavey : Et à votre avis, Dave, cela devrait être considéré comme toxique. Il faut le voir comme quelque chose de très, très fragile. Et il doit être traité avec le bon niveau de respect. Ce n'est pas quelque chose que vous pouvez désormais simplement mettre dans une feuille de calcul Excel ou un document Word et simplement envoyer un e-mail librement à vos collègues ou à des tiers. Cela a des conséquences dans l'environnement réglementaire actuel si vous n'avez pas mis en place les bonnes protections autour de ce type de données. Donc, avoir quelqu'un pour prendre l'initiative, pour aligner l'entreprise et sensibiliser toutes les parties prenantes de l'entreprise aux obligations - mais je pense que pour revenir à des concepts simples, cela commence vraiment par les données. Vous savez, le plus gros problème que nous constatons est que les entreprises ne sont pas au courant de toutes les données qu'elles ont recueillies. Stephen Cavey : Donc, si vous en faites un objectif pour commencer, si nous devons nous conformer à la CCPA ou à toute autre norme de sécurité, la réglementation sur la confidentialité qui sera présentée à l'avenir, nous devons arrêter en comprenant quelles sont les données qui existent au sein de l'entreprise. Une fois que nous comprenons cette position complète - je ne parle pas seulement des domaines où nous savons qu'il y aura des problèmes ; nous parlons de n'importe quel domaine de l'entreprise qui stocke des données. Cela inclura vos e-mails. Cela inclura tous vos fournisseurs de cloud. Cela inclura tous vos ordinateurs de bureau et portables et tous les serveurs qui sont encore sur place au sein de votre réseau et tout autre élément qui stocke des données. Chaque octet de données doit être examiné pour s'assurer que les données sensibles ou les données personnelles ne sont pas stockées ou n'existent pas dans des endroits dont vous n'êtes pas au courant. Stephen Cavey : Une fois que vous avez compris cela, eh bien, vous pouvez maintenant commencer à élaborer un programme de travail sur la façon de garantir que ces données restent sécurisées et que vous pouvez vous conformer au CCPA et à d'autres réglementations et que l'entreprise gère ces données de manière appropriée. Dave Bittner : D'accord, Ben. Conversation intéressante. Qu'est-ce que vous en faites? ** Ben Yelin : ** Ouais. Je pense donc que l'aspect intéressant pour moi est la comparaison avec le RGPD, dans laquelle les entreprises ont eu un temps de transition plus long entre le moment où le règlement a été promulgué et le moment où elles ont effectivement dû se conformer. Six mois est, dans n'importe quelle circonstance normale, une période très courte. Ensuite, vous ajoutez une pandémie mondiale, et cela devient encore plus court. Donc, vous savez, il est difficile pour les entreprises de se mettre en conformité aussi rapidement. Ben Yelin : Et une chose qui m'intéressait également n'est pas que les entreprises essaient de prendre des raccourcis ; c'est juste qu'ils dépendent des systèmes de processus hérités, et ceux-ci sont très difficiles à changer. Vous savez, il faudrait beaucoup de main-d'œuvre pour remplacer ces systèmes hérités, et ce n'est tout simplement pas quelque chose que beaucoup d'entreprises - vous savez, si vous avez 26 employés, en vertu de la loi californienne sur la protection de la vie privée des consommateurs, vous savez, vous êtes couvert par cette loi, et il faudrait beaucoup de main-d'œuvre pour abandonner ces systèmes hérités si ces systèmes collectent par inadvertance des données utilisateur. J'ai donc pensé que c'était une perspective très intéressante sur l'impact du CCPA sur certaines de ces entreprises. Dave Bittner : Ouais. Je veux dire, l'une des choses qui, je pense, va être intéressante, c'est de voir exactement quel type d'application nous voyons ici. Avec quelle agressivité la Californie va-t-elle s'attaquer aux choses ? Vont-ils se calmer un peu à cause de la pandémie ou, vous savez, envoyer d'abord des lettres sévères (rires) ? Vous savez, recevez-vous d'abord un avertissement ? Ben Yelin : Cher monsieur ou madame. Dave Bittner : (Rires) Exact. Ben Yelin : Je suis très en colère contre quoi – ouais. Dave Bittner : Exact. Je pense donc qu'il sera intéressant de voir comment cela se passe. De la même manière que beaucoup de gens retenaient leur souffle et attendaient avec le RGPD, je pense qu'il est naturel que de nombreuses organisations fassent la même chose avec le CCPA. Et je parie que beaucoup d'entre eux – en quelque sorte sifflant devant le cimetière, espérant que les gens dans la rue attirent l'attention des régulateurs avant eux. ** Ben Yelin : ** Absolument. Vous savez, je pense que la Californie est en quelque sorte confrontée à des intérêts concurrents ici. D'une part, vous ne voulez pas imposer un fardeau injuste à ces entreprises. Beaucoup d'entre eux ont leur siège social dans votre état. Mais d'un autre côté, je veux dire, vous voulez prouver aux consommateurs californiens que vous prenez cette loi au sérieux en tant que régulateurs. Ils doivent donc vraiment trouver cet équilibre. Dave Bittner : D'accord. Eh bien, encore une fois, nos remerciements à Stephen Cavey de Ground Labs pour nous avoir rejoints. C'est notre émission, et nous tenons à vous remercier tous d'avoir écouté. Dave Bittner : Le podcast "Caveat" est fièrement produit dans le Maryland dans les studios de démarrage de DataTribe, où ils co-construisent la prochaine génération d'équipes et de technologies de cybersécurité. Nos producteurs coordonnateurs sont Kelsea Bond et Jennifer Eiben. Notre rédacteur en chef est Peter Kilpe. Je suis Dave Bittner. Ben Yelin : Et je suis Ben Yelin.Dave Bittner : Merci de m'avoir écouté.