Utiliser le RGPD pour voler des données personnelles

Utiliser le RGPD pour voler des données personnelles, c’est l’expérience à laquelle James Pavur s’est livré. Pour cela, il a en particulier mis à profit la peur du gendarme (le montant des amendes prévues par le Règlement général sur la protection des données (RGPD), le texte européen sur la protection des données) et l’ambiguïté des textes (quels éléments doivent être fournis par la personne qui demande l’accès à ses données, ou ce qu’elle prétend être ses données).

Il a adressé des demandes d’accès aux informations de sa petite amie à 150 sociétés, en prétendant être elle. Le résultat : 72% de réponses dont 40% sans demande de preuve d’identité « fortes ».

Il a ainsi pu collecter le nom complet de son amie ; sa date et son lieu de naissance ; des données sur ses déplacements et ses comptes en banque.

Ses propositions pour combler cette faille de sécurité sont :

– du côté des entreprises, d’au besoin externaliser la vérification de l’identité et de dire non aux demandes suspectes ;
– du côté des pouvoirs publics, de rassurer les entreprises sur le fait qu’elles peuvent rejeter de bonne foi des demandes ; de clarifier les éléments d’identité probants et de fournir des services de vérification de l’identité.