Le Bureau du commissaire à l’information du Royaume-Uni (ICO), en collaboration avec onze autorités de protection des données et de la vie privée du monde entier, a publié une déclaration appelant les plateformes de médias sociaux à renforcer leurs protections contre les grattoirs de données.
Le grattage de données est le processus d’extraction de grandes quantités de données accessibles au public à partir de sites Web à l’aide d’outils automatisés tels que des robots, collectant les informations que les utilisateurs ont publiées sur cette plate-forme.
Bien que les informations collectées soient déjà publiques, si elles sont combinées avec des données privées ou supplémentaires provenant d’autres sources, les acteurs malveillants peuvent les utiliser pour lancer des attaques ciblées ou pour commettre une fraude à l’identité, et les courtiers en données ou les spécialistes du marketing peuvent créer des profils d’utilisateurs détaillés.
« Le scraping des réseaux sociaux crée des risques pour la vie privée et des préjudices potentiels, tels que les informations que les gens publient en ligne étant utilisées pour des raisons auxquelles ils ne s’attendent pas, exploitées dans des cyberattaques ou utilisées pour usurper l’identité. » -OIC
Le problème a été souligné à plusieurs reprises récemment, causant des dommages à plusieurs plateformes de médias sociaux, notamment Facebook, LinkedIn et TikTok.
La déclaration commune souligne que les informations publiquement disponibles ou accessibles sont toujours soumises aux lois sur la protection des données et la vie privée et que, par conséquent, les entreprises qui gèrent ces données sont obligées de les protéger en mettant en œuvre des mesures anti-grattage.
Les mesures proposées dans le communiqué sont les suivantes :
- Mettre en œuvre des contrôles techniques et procéduraux à plusieurs niveaux pour la protection.
- Désignez une équipe ou des rôles pour gérer, surveiller et répondre aux activités de scraping.
- Utilisez la « limitation du débit » pour contrôler les visites par heure ou par jour par compte.
- Surveillez les activités des nouveaux comptes pour détecter les interactions rapides suspectes.
- Identifiez les modèles de « robots », par exemple les accès multiples utilisant les mêmes informations d’identification en peu de temps.
- Utilisez des CAPTCHA pour détecter les robots ; et bloquez les adresses IP associées si un scraping est détecté.
- Engager des actions en justice, telles que des lettres de « cessation et d’abstention », contre les scrapers confirmés.
- Informer les parties concernées et les régulateurs en cas de violations de données.
- Aider les utilisateurs de manière proactive à comprendre et à gérer les paramètres de confidentialité.
- Assurer le respect des lois sur la confidentialité si des mesures de protection traitent des informations personnelles.
- Informer les utilisateurs des mesures prises contre le grattage de données.
- Surveiller et s’adapter en permanence aux nouvelles menaces ; mettre à jour les contrôles en conséquence.
- Analysez les métriques sur les incidents de scraping pour améliorer le cadre de sécurité.
ICO rappelle également aux utilisateurs des plateformes de médias sociaux qu’aucune garantie n’est efficace à 100 % contre le scraping et qu’il est crucial pour eux de protéger activement leurs données, en commençant par limiter la quantité d’informations qu’ils publient en ligne.
De plus, les utilisateurs sont invités à lire les politiques de confidentialité des plateformes en ligne qu’ils utilisent pour comprendre les risques et à définir les paramètres de confidentialité sur ces sites afin de réduire autant que possible leur exposition publique.
« En fin de compte, nous encourageons les individus à penser à long terme. Que ressentirait une personne des années plus tard à propos des informations qu’elle partage aujourd’hui ? » prévient l’ICO
« Bien que les SMC et autres sites Web puissent proposer des outils permettant de supprimer ou de masquer des informations, ces mêmes informations peuvent rester éternellement sur le Web si elles ont été indexées ou récupérées, puis partagées. »
La déclaration est cosignée par les autorités de protection des données du Royaume-Uni, d’Australie, du Canada, de Hong Kong/Chine, de Suisse, de Norvège, de Nouvelle-Zélande, de Colombie, du Maroc, d’Argentine et du Mexique.