Dernières actualités : données personnelles

La Quadrature du Net

L’algorithme de notation de la CNAF attaqué devant le Conseil d’État par 15 organisations

En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

La Quadrature précise que cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisés dans leurs parcours de vie.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Vérification de l’âge en ligne : la CNIL a rendu son avis sur le référentiel de l’Arcom concernant l’accès aux sites pornographiques

Certains sites ou services sur Internet sont réservés aux majeurs, en particulier lorsqu’ils donnent accès à des contenus à caractère pornographique. Pour vérifier l’âge des internautes, la loi visant à sécuriser et à réguler l’espace numérique (SREN) prévoit l’adoption par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) d’un référentiel. Celui-ci détermine les exigences techniques minimales applicables aux systèmes de vérification de l’âge auxquels doivent recourir les sites diffusant des contenus à caractère pornographique. Les sites internet visés par le référentiel doivent mettre en œuvre un système de contrôle de l’âge conforme aux caractéristiques techniques du référentiel dans un délai de trois mois après sa publication.

La CNIL s’est prononcée, le 26 septembre 2024, sur ce projet de référentiel dont les exigences portent sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée. Globalement, la CNIL accueille favorablement la publication par l’Arcom d’un référentiel encadrant les systèmes de vérification de l’âge reprenant une partie importante de ses préconisations relatives à la protection des données personnelles et de la vie privée.

Disponible sur: CNIL.fr

CNIL

La CNIL a prononcé ces trois derniers mois onze nouvelles sanctions dans le cadre de la procédure simplifiée

Depuis juin 2024, la CNIL a rendu onze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant cumulé d’amendes de 129 000 euros.

Les principaux manquements retenus concernent :
* le non-respect du principe de minimisation des données (vidéosurveillance des salariés et enregistrements de conversations téléphoniques de manière systématique et en intégralité) ;
* l’absence de registre de traitement ;
* l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ;
* le défaut de coopération avec la CNIL ;
* le non-respect des droits des personnes (absence de réponse dans les délais prévus) ;
* le manquement à l’information des personnes (clients et salariés).

Depuis janvier 2024, sur 9 mois, la CNIL a prononcé 28 sanctions simplifiées pour un montant total de 290 500 euros. En comparaison, sur la totalité de l’année 2023, 24 sanctions simplifiées ont été prises pour un montant total de 229 500 euros qui se sont ajoutées aux 18 sanctions ordinaires (88 950 000 euros). Au-delà des sanctions pécuniaires, les mises en demeure participent également au respect du RGPD : la CNIL a ainsi prononcé 168 mises en demeure contre des organismes publics et privés en 2023. Ce chiffre est en constante augmentation depuis plusieurs années (135 en 2021, 147 en 2022).

Disponible sur: CNIL.fr

L’Usine digitale

Le groupe de santé Hospi Grand Ouest victime d’une cyberattaque, des services perturbés

Hospi Grand Ouest, groupe de santé gérant neuf cliniques et centres de soins en Bretagne et Pays de la Loire, a été touché dans la nuit du 3 au 4 octobre par une cyberattaque. La direction du groupe précise que cette attaque informatique s’est cantonnée à la clinique de La Sagesse, à Rennes, qui comprend notamment une maternité et de nombreux services de chirurgie. L’étendue de la cyberattaque n’est, pour l’heure, pas officiellement connue, tout comme sa nature. D’après Ouest-France, les hackers à l’origine de l’attaque auraient toutefois réclamé une rançon le 5 octobre à la direction du groupe, ce qui s’apparenterait alors à une fuite de données.

Disponible sur: usine-digitale.fr

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

CNIL

Ordre du jour de la séance plénière du 3 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 3 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Présentation du bilan de l’observatoire des élections 2024 et impacts du nouveau règlement européen relatif au ciblage de la publicité à caractère politique ;
* Présentation d’un projet d’observatoire des parcours d’exercice d’un droit ;
* Restitution de l’évènement « Recherches sur les enjeux éthiques et la régulation de l’intelligence artificielle ».

Partie II (sans débats) :
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes sous-traitant du groupe TALAN.

Disponible sur: CNIL.fr

CNIL

Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés

Créé en 2012, le Mois européen de la cybersécurité (European Cybersecurity Month – ECSM) est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir la cybersécurité dans tous les pays de l’UE pour permettre de mieux comprendre les menaces et les appréhender. En France, le Mois européen de la cybersécurité a été décliné en « Cybermoi/s » et est piloté par le dispositif national Cybermalveillance.gouv.fr qui a pour missions la sensibilisation, la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tout au long du mois d’octobre 2024, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : événement de lancement, événements de sensibilisation, campagnes vidéo… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.

Disponible sur: CNIL.fr

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

CNIL

Ordre du jour de la séance plénière du 26 septembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 26 septembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Point d’information sur les conditions d’exercice des délégués à la protection des données (DPO) :
     – Présentation des résultats de l’enquête sur le métier du DPO par des représentants du ministère du Travail (DGEFP) et de l’AFPA ;
     – Bilan des contrôles réalisés dans le cadre du Coordinated Enforcement Framework (CEF) du CEPD portant sur les « moyens du DPO » ;
     – Présentation du plan d’actions du service des délégués et de l’accompagnement pour améliorer les conditions d’exercice des DPO.

* Examen d’un projet de délibération portant avis sur un projet de référentiel de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) relatif aux systèmes de vérification de l’âge mis en place pour l’accès à certains services permettant l’accès à des contenus pornographiques ;
* Communication relative à l’actualité du CEPD (juillet à septembre) et aux travaux en cours sur ses lignes directrices relatives à l’article 48 du RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation.

Disponible sur: CNIL.fr

Retour en haut