Identity Theft Task Force présentera bientôt son plan
0701
Identity Theft Task Force présentera bientôt son plan
http://www.bulletins-electroniques.com/actualites/41004.htm
En mai 2006, le president des Etats-Unis reagissait a la multiplication des
usurpations d'identite et ses consequences en signant un decret ("Executive
Order") etablissant la creation d'un groupe de travail, l'Identity Theft
Task Force, ayant pour mission de developper un plan strategique coordonne
pour combattre ce fleau. Ce plan devrait etre presente le 9 fevrier. Entre
temps, l'Identity Theft Task Force a publie des recommandations provisoires
en septembre 2006 et un appel a commentaires en decembre 2006 auquel
l'Association for Computing Machinery (ACM, importante association
americaine de l'informatique) a repondu le 19 janvier.
La Task Force cherche a diminuer la dependance des gouvernements locaux,
etatiques et federal aux numeros de securite sociale (SSN), souhaite
inventorier les usages de SSN dans le secteur prive, s'interroge sur la
necessite d'imposer des standards de securite nationaux aux societes
commerciales qui detiennent des informations sensibles de consommateurs, a
rendre obligatoire la notification lors de breche, a davantage informer le
secteur prive et les consommateurs.
Elle cherche aussi a empecher les usages inappropries de donnees
personnelles, notamment en developpant des methodes d'authentification plus
sures (actuellement la connaissance du SSN et de coordonnees telles que
adresse et numero de telephone est couramment utilisee comme moyen
d'authentification).
En ce qui concerne l'assistance aux victimes d'usurpation d'identite, elle
etudie notamment les effets d'un fichier national des victimes permettant
d'identifier ces personnes.
Un autre axe est la repression.
Dans sa reponse, l'ACM attire l'attention sur la necessite de proteger
correctement les informations personnelles, et cela en suivant les principes
et recommandations concernant la minimisation des donnees, l'accord,
l'ouverture, l'acces, l'exactitude, la securite et la responsabilisation.
En ce qui concerne la notification lors de breche, elle recommande
l'etablissement de normes nationales reposant sur les normes internationales
de securite des donnees largement acceptees telles que l'ISO 17799 (Code de
pratique pour la gestion de securite de l'information) et ISO 18033
(Algorithmes de chiffrement), neutres concernant le choix de technologies et
offrant la meilleure protection des donnees personnelles.
Elle recommande l'etablissement de regles claires concernant l'usage des SSN
et qu'ils soient utilises comme identifiant (eventuellement dans un fichier
separe avec des restrictions d'acces plus fortes que pour les autres
donnees) et non pour l'authentification.
Enfin, elle exprime sa reserve quant au fichier permettant d'identifier les
victimes d'usurpation : non seulement il est difficile d'identifier une
personne a partir de donnees personnelles, mais ce fichier serait une cible
pour les usurpateurs d'identite, si les donnees qu'il contient sont
considerees comme le moyen ultime d'identifier une personne.
Pour en savoir plus, contacts :
http://www.ftc.gov/bcp/edu/microsites/idtheft/taskforce.htm
Sources : - http://www.ftc.gov/opa/2006/12/fyi0688.htm
- http://www.ftc.gov/speeches/majoras/061221PublicNoticeFinal.pdf
- http://www.acm.org/usacm/PDF/ID_Task_Force_Letter.pdf
Redacteur : Sebastien Morbieu, deputy-stic.mst@ambafrance-us.org