Dernières actualités : données personnelles

INAI (autorité mexicaine)

L’INAI ouvre une enquête d’office sur la divulgation présumée de données personnelles par Ticketmaster

Le 14 juillet 2024, l’autorité de protection des données mexicaine (INAI) a annoncé son intention d’ouvrir une enquête d’office sur la divulgation présumée de données personnelles par Ticketmaster, une société qui vend des billets pour des spectacles et des événements. L’autorité n’en dévoile pas beaucoup plus mais cette enquête fait probablement suite aux deux récents incidents de sécurité intervenus à quelques semaines d’intervalle, le premier fin intervenu mai et qui aurait touché 560 millions d’internautes , et le second la semaine dernière et qui aurait cette fois touché 39 000 personnes.  L’autorité précise néanmoins être « attentive à toute plainte qui pourrait être déposée par des personnes affectées par une éventuelle divulgation de leurs données personnelles afin d’entamer les procédures correspondantes », et que « les personnes peuvent signaler toute utilisation abusive de leurs données personnelles à l’INAI en appelant le Tel-INAI 800 835 4324 ; par e-mail à atencion@inai.org.mx, ou en personne dans les locaux de l’INAI. »

Disponible (en espagnol) sur: inai.org.mx
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Numerama – Cyberguerre

TicketMaster dans la tourmente, 39 000 billets de concerts volés et mis en ligne par un pirate

Une base de données contenant des codes barre de places de concert a été publiée par un hacker. La société Ticketmaster doit faire face à fuite de données et plusieurs soucis de cybersécurité.

Disponible sur: numerama.com

L’Usine digitale

L’application d’authentification forte Authy piratée, 33 millions de numéros de téléphone concernés

Authy, populaire application d’authentification à double facteur développée par la société américaine Twilio, a été victime d’une cyberattaque. “Twilio a détecté que des acteurs malveillants ont pu identifier des données associées à des comptes Authy, notamment des numéros de téléphone”, a déclaré l’entreprise propriétaire dans un communiqué le 1er juillet. En cause, une interface de programmation (API) comportant une faille de sécurité et qui a permis aux attaquants d’extraire 33 millions de numéros de téléphone enregistrés dans l’application et de les rassembler dans un fichier.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : les États-Unis interdisent l’antivirus russe Kaspersky

Le département américain du Commerce a annoncé le 20 juin “interdire” la vente du logiciel antivirus Kaspersky aux États-Unis et a demandé aux Américains utilisant le logiciel de passer à un autre fournisseur, reprochant à la firme russe sa proximité avec Moscou. “La Russie a montré qu’elle avait la capacité, et même l’intention, d’exploiter des sociétés russes comme Kaspersky pour collecter et utiliser comme armes les données personnelles des Américains”, a expliqué Gina Raimondo, secrétaire américaine au Commerce. Une décision “vitale pour [la] sécurité intérieure” des États-Unis, selon Alejandro Mayorkas, secrétaire américain à la Sécurité intérieure.

Disponible sur: usine-digitale.fr

Courthousenews

Google devra bien répondre en justice d’accusations de violation de la loi fédérale américaine protégeant les données des enfants

Google doit répondre à des accusations de violation de la loi fédérale sur la protection des enfants en ligne, ainsi que des lois sur l’enrichissement sans cause et la concurrence déloyale en vigueur dans plusieurs États, en permettant aux développeurs de suivre et de collecter des données sur les enfants sans leur autorisation. Le juge de district P. Casey Pitts a rejeté dans son intégralité la demande de Google de rejeter les plaintes déposées par un groupe d’enfants qui accusent l’entreprise technologique d’avoir violé la loi fédérale sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act), qui vise à protéger les enfants contre la collecte de leurs informations personnelles sans le consentement de leurs parents.

« Les plaintes des plaignants, qui portent notamment sur la concurrence déloyale, l’enrichissement sans cause et les violations de la vie privée en Californie, ne sont pas emportées par la loi fédérale », a déclaré M. Pitts.

Dans une ordonnance de 16 pages déposée mardi en fin de journée, le juge a rejeté chacune des tentatives de Google d’esquiver le procès. En ce qui concerne la plainte californienne pour atteinte à la vie privée, par exemple, le géant de la technologie a fait valoir en partie que l’intrusion dans la vie privée n’était pas, comme l’exige la loi de l’État, « hautement offensante ». M. Pitts, estime néanmoins que « aussi peu sensibles ou intimes que soient les informations personnelles collectées ici, écrit-il, l’allégation selon laquelle les défendeurs ont collecté les données en violation de la loi fédérale bien qu’ils aient affirmé que leurs applications de programme [conçues pour les familles] ne faisaient pas de publicité basée sur les intérêts suffit à montrer que l’intrusion des défendeurs dans les attentes des plaignants en matière de respect de la vie privée était très choquante ».

Disponible (en anglais) sur: courthousenews.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta et le procureur de la ville de Los Angeles annoncent un règlement de 500 000 dollars avec Tilting Point Media pour avoir collecté et partagé illégalement des données sur les enfants

OAKLAND – Le procureur général de Californie, Rob Bonta, et le procureur de Los Angeles, Hydee Feldstein Soto, ont annoncé un règlement de 500 000 dollars avec Tilting Point Media LLC (Tilting Point), qui met fin aux allégations selon lesquelles l’entreprise aurait violé la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi fédérale sur la protection de la vie privée des enfants en ligne (COPPA) en collectant et en partageant les données des enfants sans le consentement de leurs parents dans leur jeu mobile populaire « Bob l’éponge : Krusty Cook-Off ». Outre une amende civile de 500 000 dollars, Tilting Point doit se conformer à des injonctions garantissant une collecte et une divulgation légales des données, notamment en obtenant le consentement des parents et en faisant preuve de diligence lors de la configuration de logiciels tiers dans ses jeux mobiles.

« Les entreprises ont l’obligation légale de protéger les données des enfants et de se conformer aux lois fédérales et étatiques importantes en matière de protection de la vie privée, conçues pour protéger les enfants en ligne. Si elles ne le font pas, elles mettent nos enfants en danger et les rendent vulnérables à la collecte, au suivi et à la vente de leurs données personnelles », a déclaré le procureur général Bonta. « Comme les enfants passent de plus en plus de temps en ligne, que ce soit sur des sites web ou des applications mobiles, nous utiliserons tous les outils d’application de la loi pour nous assurer que la loi est respectée et que les entreprises font preuve de diligence en ce qui concerne les exigences de la loi sur la protection de la vie privée. Je remercie le bureau du procureur de la ville de Los Angeles pour son travail sur cette question et je me réjouis de continuer à collaborer avec les partenaires locaux, étatiques et fédéraux pour protéger la vie privée des enfants. »

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta annonce un règlement à l’amiable contre Adventist concernant la divulgation non autorisée de renseignements sur les patients aux forces de l’ordre

SACRAMENTO – Le procureur général de Californie, Rob Bonta, a annoncé aujourd’hui un accord avec Adventist Health Hanford (Adventist) qui résout les violations de la loi sur la concurrence déloyale, de la loi sur la confidentialité des informations médicales (CMIA) et de la règle de confidentialité de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) liées aux divulgations non autorisées aux forces de l’ordre des informations médicales de deux patientes, Adora Perez et Chelsea Becker. Dans les deux cas, les femmes enceintes se sont rendues à l’hôpital Adventist pour obtenir une assistance médicale et y ont accouché d’un enfant mort-né. Le personnel de l’hôpital Adventist a fourni aux forces de l’ordre des informations médicales non autorisées, y compris des informations de santé protégées (PHI). À la suite de ces divulgations illégales, les deux patientes ont été poursuivies pour meurtre et incarcérées. L’accord conclu aujourd’hui prévoit des sanctions civiles d’un montant de 10 000 dollars et des mesures d’injonction qui obligent Adventist à protéger les données de santé des patients contre toute communication et exploitation illicites.

« Aucune femme ne devrait être pénalisée pour la perte de sa grossesse« , a déclaré le procureur général Bonta. « Comme nous l’avons dit à plusieurs reprises, l’emprisonnement injustifié des deux femmes en raison de la divulgation non autorisée de données de santé aux forces de l’ordre était illégal. C’est pourquoi le règlement conclu aujourd’hui garantit que les informations de santé personnelles des patients d’Adventist sont traitées avec le plus grand soin et dans le respect de la loi, ce qui rétablira et renforcera la confiance des patients« .

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Association EPIC

L’état de la protection de la vie privée : comment les lois des États américains ne protègent pas la vie privée et ce qu’elles peuvent faire pour l’améliorer

L’association EPIC (Electronic Privacy Information Center) a récemment sorti un rapport sur l’état de la protection de la vie privée aux Etats-Unis. En introduction, l’association note que plus les entreprises détiennent vos données, plus il y a de chances qu’elles soient exposées lors d’une violation ou d’un piratage et qu’elles se retrouvent entre les mains d’usurpateurs d’identité, d’escrocs ou de sociétés obscures connues sous le nom de « courtiers en données » qui achètent et vendent une grande quantité de données sur les Américains. Or, et bien que la collecte et la vente de données constituent une industrie de plusieurs milliards de dollars propagée par certaines des entreprises les plus puissantes du monde, les États-Unis ne disposent d’aucune loi fédérale sur la protection de la vie privée. Par conséquent, un nombre croissant d’États adoptent des lois qui visent prétendument à protéger la vie privée et la sécurité des personnes. Toutefois, ces lois ne protègent pas suffisamment les consommateurs. Dans notre évaluation des 14 États qui ont adopté une législation sur la protection de la vie privée des consommateurs, près de la moitié d’entre eux ont reçu une note d’échec, et aucun n’a obtenu un A.

L’association dénonce également le fait que « les grandes entreprises technologiques ont joué un rôle important dans l’adoption de projets de loi peu contraignants sur la protection de la vie privée. Sur les 14 lois adoptées à ce jour par les États, toutes, à l’exception de celle de la Californie, suivent de près un modèle initialement élaboré par des géants de l’industrie tels qu’Amazon. Dans une analyse des dossiers de lobbying dans les 31 États qui ont examiné des projets de loi sur la protection de la vie privée en 2021 et 2022, le Markup a identifié 445 lobbyistes actifs et entreprises représentant Amazon, Meta, Microsoft, Google, Apple et des groupes de façade de l’industrie. Ce chiffre est probablement sous-estimé. Permettre aux grandes entreprises technologiques de façonner nos règles en matière de protection de la vie privée leur permet de consolider leur pouvoir déjà considérable dans l’économie et dans nos vies. Les règles en matière de protection de la vie privée devraient être équilibrées en faveur des milliards de personnes qui dépendent d’Internet dans leur vie quotidienne.

Toujours selon l’association, une loi forte et complète sur la protection de la vie privée des consommateurs devrait:
* imposer des obligations de minimisation des données aux entreprises  ;
* réglementer strictement toutes les utilisations de données sensibles, y compris les données de santé, les données biométriques et les données de localisation ;
* établir des garanties solides en matière de droits civils en ligne et freiner le profilage préjudiciable des consommateurs ;
* fournir de solides pouvoirs d’exécution et de réglementation pour garantir le respect des règles ; et
* permettre aux consommateurs de tenir les entreprises responsables des violations devant les tribunaux.

EPIC conclut « qu’à l’heure où nous écrivons ces lignes, des États comme l’Illinois, le Maine, le Massachusetts et le Maryland envisagent de se doter d’une législation solide qui obligerait à modifier les pratiques abusives en matière de données à l’origine de la surveillance commerciale et de la discrimination en ligne, tout en permettant aux entreprises de continuer à innover. Nous pouvons avoir un secteur technologique fort tout en protégeant la vie privée.  »

Disponible (en anglais) sur: epic.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Microsoft repousse le lancement de son outil Recall dans Windows

Microsoft a annoncé le 13 juin qu’il avait décidé de repousser le lancement de sa fonctionnalité Recall, qui devait être disponible mardi prochain lors de la sortie des nouveaux PC Copilot+. Dans un premier temps, le groupe informatique effectuera des tests dans le cadre de son programme Windows Insider, qui permet aux utilisateurs qui possèdent un ordinateur labelisé Copilot+ d’accéder gratuitement aux versions développeur.

“Nous ajustons le modèle de sortie de Recall afin de tirer parti de l’expertise de la communauté Windows Insider, afin de garantir que l’expérience répond à nos normes élevées de qualité et de sécurité, écrit la firme. Lorsque Recall (preview) sera disponible dans le programme Windows Insider, nous publierons un article de blog avec des détails sur la façon d’obtenir cette preview.” Aucune date précise n’a été communiquée, Microsoft précisant simplement que la disponiblité dans Windows Insider se fera dans les prochaines semaines. »

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : la fonctionnalité Recall de Microsoft universellement fustigée

Microsoft a présenté fin mai sa nouvelle fonctionnalité Recall, qui sera disponible sur les PC Copilot+. Elle permet de prendre des captures d’écran en continu et de les analyser directement sur l’ordinateur, afin de créer une “mémoire photographique”. Le géant de l’informatique affirme avoir mis en place des mesures de sécurité, notamment de privilèges administrateur, pour consulter les données Recall. Des chercheurs en cybersécurité ont toutefois pu contourner ces obstacles et accéder aux données comme bon leur semble.

Disponible sur: usine-digitale.fr

Retour en haut