[Interview] La sécurisation des données clients chez Pretto - Avec David, CTO
Cela veut donc dire que les informations personnelles des clients servent uniquement au traitement de leurs projets et sont stockées de manière sécurisée.
Mais comment cette sécurisation des données se manifeste-t-elle concrètement ? Pour vous permettre d’avoir des réponses à toutes vos interrogations, vous pouvez découvrir notre interview avec David Ruyer, CTO de Pretto.
Pour démarrer, David, est ce que tu peux nous dire ce que veut dire la "sécurisation des données" chez Pretto ?
Ah c’est vaste, la sécurisation des données chez Pretto… le risque qu’on veut éviter c’est que des personnes externes à Pretto, à la banque et aux interlocuteurs à qui on envoie ces données à la demande du client, puissent les récupérer.
Pour nous, la sécurisation des données c’est d’assurer une bonne transition des données de nos clients auprès des bonnes personnes ou organismes comme la banque, les assureurs...
Notre cœur de métier en tant que courtier en crédit immobilier c’est de récupérer ces données, de faire le travail de dépôt de dossiers à la place du client. Nous devons donc être sûrs qu’elles ne tombent pas entre de mauvaises mains.
Quelles données clients sont récupérées par Pretto ? A quel moment exactement Pretto commence à récupérer de la data sur le client ?
Nous récupérons plusieurs couches de données. La première, c’est la donnée un peu standard que tout le monde va récupérer sur le Web qui est l’adresse IP de l’utilisateur, son device...
Quand un utilisateur navigue sur le site, le navigateur envoie au serveur des informations.
Cette donnée est récupérée dès que l’utilisateur commence à visiter notre site, elle n’est donc pas directement identifiable. Elle est naturellement collectée parce que nous fonctionnons en Web et pas en physique. C’est à peu près les seules données qui sont envoyées de manière automatique.
Les données qui restent ne sont collectées qu’à la demande du client. Ce sont des données déclaratives concernant qui il est, sa situation, qu’est ce qu’il cherche à acheter, où est ce qu’il habite...
Nous avons besoin de ces données pour monter le dossier.
Une fois que le client nous transmet ses informations, nous nous basons sur les données recueillies pour faire une simulation de taux. Nous nous en servons pour voir ce que les banques peuvent proposer au client.
Ces données sont donc collectées avant l’inscription du client chez nous et de manière anonyme. Ce qui veut dire qu’à ce moment-là, nous n’avons ni son nom, ni son prénom, téléphone... Nous sommes uniquement sur un dépôt de formulaire, un devis, une simulation de crédit.
Les troisièmes types de données que nous collectons sont les pièces, les documents nécessaires au montage de son dossier de demande de prêt. Pièce d’identité, relevés de compte et d’impôts, contrat de travail... Il s’agit là de la donnée la plus critique.
C’est particulier parce que c’est grâce à ça que quelqu’un pourrait potentiellement faire de l’usurpation d’identité et prendre des crédits conso ou faire des faux papiers. Ce sont donc des données qui sont collectées et que le client nous envoie explicitement.
Dans les CGU, nous nous engageons explicitement à ce que les données ne soient pas revendues.
Elles ne sont d’ailleurs pas envoyées à des tiers hors accord du client.
Chez nous, l’accord du client est défini par la signature du mandat. C’est à ce moment-là que nous avons l’autorisation d’envoyer les données que le client nous a confiées aux banques et aux assureurs pour déposer le dossier de demande de prêt.
En tant que courtier en crédit immobilier, comment est-ce que Pretto fait pour assurer cette sécurisation des données ?
Il y a plusieurs axes. Le premier c’est juste les bonnes pratiques : faire en sorte que seules les personnes qui en ont besoin et qui interviennent sur le dossier d’un client aient accès à ses données. Il ne faut pas que ça soit ouvert par défaut.
Chez nous, cela veut dire qu’un dossier est visible par l’expert et son manager, le back office et le support client pour répondre aux questions. Une fois le mandat signé, les banques vont également y avoir accès parce qu’il nous faut leur envoyer le dossier pour avoir des réponses.
La sécurisation c’est donc faire en sorte de limiter le nombre de gens qui peuvent avoir accès à la donnée.
La deuxième étape, c’est le process IT que nous avons renforcé il n’y a pas longtemps. Il s’agit de faire en sorte que le poste de travail et le comportement de travail des gens qui ont accès à la donnée soient sécurisés. De cette manière, on ne peut pas passer par eux pour accéder aux données des clients auxquelles ils ont accès.
Quelqu'un qui force la porte de ton bureau et qui n’a pas de serveur, n’a pas de data center, la seule donnée qu’il peut récupérer c’est dans les ordinateurs des employés. Si ces ordinateurs sont cryptés, tu es bon.
Nous avons également créé un espace client pour chaque client Pretto sur lequel ils peuvent saisir les données de leur dossier. L’accès se fait sans mot de passe parce que nous savons que les mots de passe sont réutilisés.
Tous les mois, on entend parler de brèches de sécurité par lesquelles il est possible d’avoir des paires de login et de mot de passe utilisables et testables. C’est un vecteur d’attaque que nous avons identifié dès le début et que nous avons choisi de sécuriser au détriment de l’expérience des utilisateurs. L’accès se fait par mail, ce qui est un peu contre-intuitif.
Mais ainsi, si le client se retrouve avec un compte compromis, ce sera parce que c’est son compte mail qui est compromis et en général on est sur du Google. Ils ont des pratiques de sécurité plutôt solides. Donc, si le compte est quand même compromis, nous faisons en sorte qu’un attaquant qui récupère l’accès client ne puisse pas récupérer de données clients.
Le client a quand même un droit de regard sur les documents qu’il a déposés, sur les données qu’il transmet à Pretto ?
Il a un droit de regard : c’est ce que garantit la RGPD. Ce droit de regard s’exerce par demande explicite avec vérification d’identité au téléphone par exemple.
Nous vérifions aussi sa pièce d’identité. Il y a tout un process pour garantir qu’une demande d’accès aux données soit bien faite par le client et pas par quelqu’un qui se fait passer pour lui.
Une fois que le client fait une demande explicite pour justement accéder à ses données, ça se passe comment concrètement ?
Nous lui envoyons toutes ses données par courrier, mail ou par un autre canal s’il nous le demande. Par défaut Pretto privilégie l’email.
Si on nous demande du courrier papier, nous pouvons le faire aussi. Et nous les anonymisons : cela veut dire que la donnée existe encore pour que l’on puisse l’analyser. Mais il est impossible de pouvoir la rattacher à un dossier, et donc à une personne spécifique.
A partir de quel moment Pretto s’est dit qu’il fallait des actions concrètes pour assurer la sécurisation des données des clients ?
Dès le début, dès que nous nous sommes rendus compte qu’il fallait manipuler des données sensibles des clients, des pièces d’identité...On l’a tout de suite pris très au sérieux.
On passe par des tiers qui ont des process de sécurité à toute épreuve auxquels nous faisons confiance. Et nous mettons en place les process de contrôle et vérification. Partons du principe qu’il y a forcément des failles qui arriveront, l'important c’est de nous en rendre compte avant les attaquants.
Pour la gestion des pièces ou pour notre serveur, par exemple, nous passons par des partenaires. La raison pour laquelle nous faisons ça c’est parce que nous sommes conscients que la sécurité est un sujet complexe, nous ne nous faisons pas confiance pour la faire mieux que des pros. Nous préférons payer cher des tiers qui ont des équipes en interne et sont experts dans le domaine.
Comment Pretto fait pour s’assurer qu’il n’y ait pas de faille dans le système ?
Nous nous faisons auditer régulièrement. Nous sommes sur une fréquence d’une fois tous les 6 mois, ce qui est plutôt fréquent. Et nous faisons appel à des sociétés externes dont l’objectif est de nous attaquer, trouver des failles dans le système.
La RGPD impose d’être responsable des données qu’on nous confie. Chez Pretto, nous avons fait le choix de faire des tests de pénétration en externe et c’est une manière d’y arriver. Il y a plusieurs manières d’atteindre ces objectifs.
Vu que Pretto passe par une agence externe, est-ce que cela veut dire que sa responsabilité ne reste pas engagée en cas de problème ?
Selon la RGPD, Pretto est responsable de nos problèmes et des problèmes de nos sous-traitants. Nous prenons sur nous la responsabilité du traitement fait par les gens à qui nous faisons appel.
Imaginons qu'il y ait une faille de sécurité chez un partenaire tiers, c’est nous qui sommes responsables envers le client parce que c’est à nous que le client a confié ses données. Nous n’avons pas l’option de dire que ce n’est pas de notre faute.
Mais si le problème vient de la société sous traitante, est-ce que Pretto peut se retourner contre cette société ?
Nous avons un niveau d’engagement sur la sécurité de la donnée. C’est pour cette raison que nous demandons à nos sous-traitants de s’engager au moins à ce niveau là pour que nous puissions tenir le niveau. Cela fait partie de la relation contractuelle qu’on a avec eux.
Quelle est la position du client par rapport au fait que ses données soient gérées par une société sous traitante ?
Le fondamental de la RGPD, c’est que la donnée que tu traites n’est pas à toi. On te la confie mais tu n’en es pas propriétaire. Le propriétaire reste le client qui t’a confié cette donnée. Ça veut dire qu’il a un droit d’accès à tout moment et un droit de suppression.
Pour moi, ça veut dire également qu’au moment où il te la confie, il doit avoir une liste explicite de toutes les personnes qui peuvent traiter cette donnée. Par défaut, si tu n’es pas dans la liste, tu n’as pas le droit d’y avoir accès. On a besoin de justifier la raison pour laquelle cette donnée doit être envoyée à tel ou tel sous-traitant.
Nous remercions DAVID d’avoir bien voulu répondre à nos questions. Pour Pretto, la sécurisation des données clients reste un sujet complexe et nous engageons à rassurer nos clients. Toutes vos données sont stockées de manière sécurisée et nous ne les transmettons aux organismes concernés qu’avec votre accord.