L’Identity Theft Task Force présentera bientôt son plan

, Partager

En mai 2006, le président des Etats-Unis réagissait à la multiplication des usurpations d’identité et ses conséquences en signant un décret ("Executive Order") établissant la création d’un groupe de travail, l’Identity Theft Task Force, ayant pour mission de développer un plan stratégique coordonné pour combattre ce fléau. Ce plan devrait être présenté le 9 février. Entre temps, l’Identity Theft Task Force a publié des recommandations provisoires en septembre 2006 et un appel à commentaires en décembre 2006 auquel l’Association for Computing Machinery (ACM, importante association américaine de l’informatique) a répondu le 19 janvier.

La Task Force cherche à diminuer la dépendance des gouvernements locaux, étatiques et fédéral aux numéros de sécurité sociale (SSN), souhaite inventorier les usages de SSN dans le secteur privé, s’interroge sur la nécessité d’imposer des standards de sécurité nationaux aux sociétés commerciales qui détiennent des informations sensibles de consommateurs, à rendre obligatoire la notification lors de brèche, à davantage informer le secteur privé et les consommateurs.
Elle cherche aussi à empêcher les usages inappropriés de données personnelles, notamment en développant des méthodes d’authentification plus sûres (actuellement la connaissance du SSN et de coordonnées telles que adresse et numéro de téléphone est couramment utilisée comme moyen d’authentification).
En ce qui concerne l’assistance aux victimes d’usurpation d’identité, elle étudie notamment les effets d’un fichier national des victimes permettant d’identifier ces personnes.
Un autre axe est la répression.

Dans sa réponse, l’ACM attire l’attention sur la nécessité de protéger correctement les informations personnelles, et cela en suivant les principes et recommandations concernant la minimisation des données, l’accord, l’ouverture, l’accès, l’exactitude, la sécurité et la responsabilisation.
En ce qui concerne la notification lors de brèche, elle recommande l’établissement de normes nationales reposant sur les normes internationales de sécurité des données largement acceptées telles que l’ISO 17799 (Code de pratique pour la gestion de sécurité de l’information) et ISO 18033 (Algorithmes de chiffrement), neutres concernant le choix de technologies et offrant la meilleure protection des données personnelles.
Elle recommande l’établissement de règles claires concernant l’usage des SSN et qu’ils soient utilisés comme identifiant (éventuellement dans un fichier séparé avec des restrictions d’accès plus fortes que pour les autres données) et non pour l’authentification.
Enfin, elle exprime sa réserve quant au fichier permettant d’identifier les victimes d’usurpation : non seulement il est difficile d’identifier une personne à partir de données personnelles, mais ce fichier serait une cible pour les usurpateurs d’identité, si les données qu’il contient sont considérées comme le moyen ultime d’identifier une personne.

Source :


- http://www.ftc.gov/opa/2006/12/fyi0688.htm
- http://www.ftc.gov/speeches/majoras/061221PublicNoticeFinal.pdf
- http://www.acm.org/usacm/PDF/ID_Task_Force_Letter.pdf

Pour en savoir plus, contacts :

http://www.ftc.gov/bcp/edu/microsites/idtheft/taskforce.htm
Code brève
ADIT : 41004

Rédacteur :

Sébastien Morbieu, deputy-stic.mst@ambafrance-us.org

Voir en ligne : http://www.bulletins-electroniques….