Dernières actualités : données personnelles

CNIL

Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés

Créé en 2012, le Mois européen de la cybersécurité (European Cybersecurity Month – ECSM) est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir la cybersécurité dans tous les pays de l’UE pour permettre de mieux comprendre les menaces et les appréhender. En France, le Mois européen de la cybersécurité a été décliné en « Cybermoi/s » et est piloté par le dispositif national Cybermalveillance.gouv.fr qui a pour missions la sensibilisation, la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tout au long du mois d’octobre 2024, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : événement de lancement, événements de sensibilisation, campagnes vidéo… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.

Disponible sur: CNIL.fr

GPDP (autorité Italienne)

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Escroquerie aux données bancaires en période estivale : comment se protéger ?

Régulièrement, la CNIL communique sur des violations de données inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques de violation de données. La façon de procéder présentée dans ce document reflète l’organisation mise en œuvre par le responsable de traitement ayant servi d’inspiration à ce cas d’usage.

Disponible sur: CNIL.fr

GPDP (autorité italienne)

Concours de l’Institut national de sécurité sociale (INPS) : seules les listes finales des admis peuvent être publiées en ligne

Dans sa newsletter du 6 juin, à la suite d’une plainte déposée par un participant au concours public pour 1858 postes de conseillers en protection sociale dans les rôles du personnel de l’INPS,  l’autorité estime que la publication sur le web des résultats des épreuves intermédiaires ou des données personnelles des participants qui n’ont pas été admis à un concours constitue une violation de la vie privée.

Dans cette affaire, le plaignant s’était plaint de la publication sur le site web de l’Institut de nombreux actes et documents, dont les listes des admis et des non admis à l’épreuve écrite et à l’épreuve orale et la liste des participants, contenant l’évaluation des qualifications par le comité du concours, avec indication de la note attribuée à chaque candidat. Ces documents se retrouveraient également sur les réseaux sociaux, ceux-ci ayant été republiés par des tiers.
En conséquence de cette violation de données, l’institut s’est vu infliger une amende de 20 000 euros et a été contraint de supprimer les listes en question.

L’autorité italienne a ainsi déclaré que « lorsque les entités publiques opèrent dans le cadre de procédures de concours,  elles doivent traiter les données personnelles des personnes concernées conformément à la réglementation sectorielle applicable: il n’est donc pas possible de publier en ligne les données des participants à des concours qui ne sont pas exigées par la loi. En effet, des niveaux de protection des données personnelles différenciés ne sont pas autorisés, que ce soit sur une base territoriale ou au niveau d’une administration unique, en particulier lorsque la question a déjà été équilibrée et réglementée par le législateur avec des dispositions uniformes au niveau national. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

HAAS Avocats

Guide CNIL : Comment gérer une cyber-attaque ?

Guide CNIL : Comment gérer une cyber-attaque ?

Par Haas Avocats

Les violations de données personnelles à la suite d’attaques informatiques semblent devenues récurrentes dans l’actualité : après les deux mutuelles Viamedis et Almerys ou encore France Travail, la quasi-totalité des français a déjà été victime d’une violation de données à caractère personnel.

Disponible sur: haas-avocats.com

CNIL

Vol de matériels et détournement de services dans le cadre scolaire : comment gérer les violations de données ?

Régulièrement, la CNIL communique sur des violations de données typiques inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données par des tiers en présentant un exemple de réaction appropriée.

Disponible sur: CNIL.fr

AP (autorité néerlandaise)

Booking signale une violation de données à temps après l’intervention de l’autorité des Pays-Bas

L’Autorité des données personnelles (« Autoriteit Persoonsgegevens » ou AP) a mis fin à une période de contrôle intensif de Booking, après avoir conclu que la société a bien respecté les règles relatives à la notification des violations de données en 2023.  En effet, deux ans plus tôt, l’entreprise avait été condamnée à payer une amende de 475 000 euros en 2021 pour avoir notifié tardivement une violation de données. Dans cette fuite, des criminels ont saisi les données personnelles de 4 000 clients, y compris les détails des cartes de crédit de 300 victimes.

Au cours de la période qui a suivi, l’entreprise est soupçonnée ne pas avoir signalé à temps de nouvelles fuites de données. L’autorité néerlandaise a ainsi contrôlé Booking pendant un an en 2023 , afin de voir si l’entreprise respectait correctement les règles relatives à la notification des violations de données. En instaurant une surveillance plus intensive, l’AP voulait s’assurer que la société signale les fuites de données à temps, à la fois à l’AP et aux victimes. Ainsi, Booking devait rendre compte, jusqu’en 2023, des mesures prises pour signaler les violations de données à l’AP dans les délais impartis ; ainsi que des mesures prises pour prévenir les incidents futurs. En outre, le Parlement européen a vérifié si l’entreprise n’avait pas injustement omis de signaler certains incidents. Résultat: au cours de la période de contrôle intensifié, il a été constaté que l’entreprise avait effectivement signalé tous les incidents qu’elle était tenue de signaler.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction  est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données personnelles et IA : l’apport des normes ISO/IEC 27701 et 42001

La norme internationale ISO/IEC 27701 décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. La norme ISO/IEC 42001 est, quant à elle, destinée aux organismes qui fournissent ou utilisent des systèmes d’IA. 

Disponible sur: CNIL.fr

GPDP (autorité italienne)

La société NTT Data a été condamnée à une amende de 800 000 euros pour avoir engagé un sous-traitant secondaire sans l’autorisation préalable du responsable du traitement et pour avoir notifié tardivement une violation de données au responsable du traitement.

Dans une décision n°9991064 en date du 08 février 2024, l’autorité de protection des données a condamné la société NTT Data Italia S.p.A, en sa qualité de sous-traitant, notamment pour ne pas avoir informé le responsable de traitement suffisamment rapidement à l’occasion de la découverte d’une violation, ce qui a empêché le responsable de traitement de réaliser la notification adéquate dans les 72h.
Le déroulé des faits est le suivant:
– Le 10 octobre, le sous-traitant ultérieur a pris connaissance des vulnérabilités du portail mobile
– Il les a identifiées comme étant de haut niveau. Il les a signalées au sous-traitant initial le 19 octobre 2018
– Le sous-traitant ne les a ensuite signalées au responsable du traitement que le 22 octobre 2018.

Traduction par machine du point 4. c) de la décision de l’autorité :
« À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », adoptées par le Comité européen de la protection des données le 28 mars 2023 (qui ont remplacé les précédentes « Lignes directrices sur la notification des violations de données à caractère personnel conformément au règlement (UE) 2016/679 » adoptées par le groupe de travail sur la protection des données de l’article 29, en dernier lieu le 6 février 2018 et approuvées par le Comité européen de la protection des données le 25 mai 2018), recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est  » important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures « .
Il en va de même lorsque, comme en l’espèce, un responsable du traitement fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte d’un responsable du traitement ; l’obligation d’informer le responsable du traitement prévue par l’article 33, paragraphe 1, de la directive sur le traitement des données à caractère personnel s’applique également lorsque le responsable du traitement fait appel à un sous-traitant ultérieur reste à la charge du sous-traitant initial, qui n’est pas tenu d’évaluer le risque dérivant de la violation, avant de le communiquer au responsable du traitement […].
En l’espèce, NTT Data aurait donc dû informer le responsable du traitement de la violation de données à caractère personnel sans délai, c’est-à-dire à partir des 11 et 12 octobre 2018, date à laquelle elle en a eu connaissance par l’intermédiaire de Truel IT [alors que Truel IT n’a informé le sous-traitant initial que le 19 octobre]. »

[Ajout contextuel Portail RGPD: Selon l’autorité italienne, il doit donc être considéré qu’un sous-traitant initial a découvert une violation dès lors que l’un de ses sous-traitants ultérieurs a réalisé une telle découverte, même dans le cas où ce premier n’en a pas été informé – ou ne l’a été que bien plus tard. Bien que logique puisqu’une interprétation contraire ne permettrait pas de respecter le délai de « 72h à compter de la découverte » prévu par le RGPD pour les traitements, une telle interprétation
* fait peser de lourds risques sur les sous-traitants initiaux, qui devront imposer des délais difficilement tenables à leurs éventuels sous-traitants ultérieurs afin que le responsable de traitement puisse tenir ses délais (en particulier si les sous-traitants ultérieurs ont eux-mêmes des sous-traitants),
* oblige à réduire les chaines de sous-traitance autant que possible afin d’éviter de se trouver dans une situation similaire.]

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut