Protection des données d'utilisateurs à caractère personnel sur les programmes d'ordinateurs au burkina faso

B. La nécessité de prévoir une sécurité logicielle

La sécurité logicielle passe par la configuration des droits d'accès et d'habilitation des usagers (1). En outre, elle permet de se prémunir des failles applicatives (2).

1. La configuration des droits d'accès et d'habilitation des usagers

Il s'agit de filtrer l'accès aux données personnelles collectées. Ce filtrage se fait par la mise en place d'un dispositif de contrôle d'accès. Il sera donc associé à chaque usager un identifiant mnémonique ou physique. La mise en place d'un système de contrôle accès doit aussi respecter la loi portant protection des données à caractère personnel. La loi du 20 avril 2004 stipule que toute entreprise qui met en place puis gère un fichier automatisé de données nominatives est tenue de le déclarer^182(*).

Il faut noter que la configuration des droits d'accès et d'habilitation des usagers permet de restreindre l'accès aux serveurs des données et d'identifier les personnes qui y ont accès. Nous ne nous attarderons pas sur la restriction de l'accès aux données mais plutôt sur la capacité de ce dispositif à identifier les personnes en contact avec les serveurs des données.

Conformément aux dispositions de la loi portant protection des données personnelles, le responsable du traitement est tenu de garantir que puisse être vérifiée et constatée a posteriori l'identité des personnes ayant eu accès au système d'information contenant des données à caractère personnel.

Ainsi, ce dispositif sécuritaire permettrait aux responsables de traitement de remplir cette obligation. Cela participerait, par ailleurs, à une meilleure protection des données personnelles de leurs membres. Après une configuration des droits d'accès et d'habilitation des usagers, nous verrons comment prévoir les failles applicatives.

2. La prévention des failles applicatives.

Ce besoin répond la loi burkinabé relative à la protection des données personnelles qui dispose que le responsable du traitement est tenu de prendre toute précaution au regard de la nature des données et, notamment, pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il ressort, ici, que le responsable du traitement, dans les mesures qu'il devra mettre en place pour assurer la sécurité des données personnelles, doit prendre certaines précautions. Le traitement effectué étant un traitement automatisé, il doit donc se prémunir des failles applicatives. Les failles applicatives sont en réalité des vulnérabilités du système^183(*). Pour définir le terme sur le plan informatique, il faut dire que c'est « une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient »^184(*). Il est donc nécessaire de se prémunir de telles failles pour éviter de compromettre la sécurité des données personnelles collectées.

Ces failles qui sont des « portes entrouvertes » de façon volontaire ou non, peuvent faire l'objet d'attaques (les modes opératoires, les actions pirates). Ces attaques dépendent du but recherché : usurpation (manipulation de session) ; Introspection (injection : SQL, code) ; ou des failles : débordement, Formatage des chaînes, attaque brusque... Ces attaques peuvent entrainer la rupture de la « triade DIC », ce qui pourrait avoir un impact sur l'intégrité et la confidentialité des données collectées. Ces attaques peuvent par ailleurs, empêcher la disponibilité des données. Il est donc nécessaire d'anticiper ces failles dès la phase de conception, de spécification, de développement, ou de production pour la sécurité des données à caractère personnel collectées.

Après avoir faire un développement sur les mesures imputables aux compagnies de transports et MTOPO, nous analyserons dans le paragraphe suivant celles imputables aux utilisateurs.

* ¹⁸²Wikipédia, Vulnérabilité (informatique), disponible sur «  https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9 », (Consulté le 19 octobre 2018).

* ¹⁸³Inecdot,interconnexion réseau et logiciel libre, disponible «  https://www.inetdoc.net/guides/tutoriel-secu/tutoriel.securite.failles.html », (Consulté le 19 octobre 2018).

* ¹⁸⁴Wikipédia, Vulnérabilité (informatique), disponible sur «  https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9 », (Consulté le 19 octobre 2018).