Dernières actualités : données personnelles

L’Usine digitale

Cybersécurité : les États-Unis interdisent l’antivirus russe Kaspersky

Le département américain du Commerce a annoncé le 20 juin “interdire” la vente du logiciel antivirus Kaspersky aux États-Unis et a demandé aux Américains utilisant le logiciel de passer à un autre fournisseur, reprochant à la firme russe sa proximité avec Moscou. “La Russie a montré qu’elle avait la capacité, et même l’intention, d’exploiter des sociétés russes comme Kaspersky pour collecter et utiliser comme armes les données personnelles des Américains”, a expliqué Gina Raimondo, secrétaire américaine au Commerce. Une décision “vitale pour [la] sécurité intérieure” des États-Unis, selon Alejandro Mayorkas, secrétaire américain à la Sécurité intérieure.

Disponible sur: usine-digitale.fr

FTC

La FTC finalise une ordonnance avec Blackbaud concernant les allégations selon lesquelles les failles de sécurité de l’entreprise ont conduit à une violation de données

La Federal Trade Commission (FTC) a finalisé une ordonnance à l’encontre de Blackbaud Inc. en réponse à des allégations selon lesquelles ses pratiques de sécurité laxistes ont permis à un pirate informatique de pénétrer dans le réseau de l’entreprise et d’accéder, sur une période de trois mois, aux données personnelles de millions de consommateurs, y compris les numéros de sécurité sociale et de compte bancaire. La société a attendu près de deux mois pour informer ses clients de la violation et les a ensuite induits en erreur sur l’étendue des données volées, selon la plainte.

En vertu de cette ordonnance, Blackbaud est tenue de supprimer les données dont elle n’a plus besoin pour fournir ses produits ou services et il lui est interdit de présenter de manière inexacte ses politiques en matière de sécurité et de conservation des données. L’ordonnance impose également à Blackbaud d’élaborer un programme complet de sécurité de l’information qui aborde les problèmes mis en évidence par la plainte de la FTC et de mettre en place un calendrier de conservation des données décrivant ses pratiques en matière de suppression des données. Blackbaud est également tenue d’informer la FTC en cas de violation future de données qu’elle est tenue de signaler à tout autre organisme local, étatique ou fédéral.

Disponible (en anglais) sur: ftc.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

CJUE – Arrêt C-741/21

Dans un arrêt C-741/21 du 11 avril 2024, la Cour de Justice de l’UE continue de bâtir le régime de responsabilité lié à la protection des données personnelles.

Dans ce nouvel arrêt, elle a estimé que:
* une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne (solution déjà dégagée par l’arrêt C-300/21, et notamment confirmée par l’arrêt C-687/21) ;
* il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 de l’article 82, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité;
* pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.

Disponible sur: curia.europa.eu.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-768/21

Selon l’avocat général Pikamäe, l’autorité de contrôle est obligée d’intervenir lorsqu’elle constate une violation dans le cadre de l’examen d’une réclamation.

Dans l’affaire dont il est question, le commissaire à la protection des données a constaté une violation de la protection des données prévue par le règlement général sur la protection des données (RGPD), mais a conclu qu’il n’y avait pas lieu d’intervenir à l’encontre de la Caisse d’épargne, qui avait déjà pris des mesures disciplinaires à l’encontre de l’employée concernée. L’avocat général Priit Pikamäe estime, au contraire, que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation. En particulier, elle serait tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée.

À cet égard, le RGPD exigerait, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Il en résulterait, d’un côté, que le pouvoir discrétionnaire dans le choix des moyens est limité lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises 2 et, de l’autre côté, que l’autorité de contrôle pourrait, sous certaines conditions, renoncer aux mesures énumérées dans le RGPD lorsque c’est justifié par les circonstances spécifiques du cas particulier. Il pourrait en être ainsi notamment lorsque le responsable du traitement a pris certaines mesures de sa propre initiative. En tout état de cause, la personne concernée n’aurait pas le droit d’exiger qu’une mesure déterminée soit prise. Toujours selon l’avocat général, ces principes s’appliqueraient également au régime des amendes administratives.

Disponible (en anglais) sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut