Dernières actualités : données personnelles

ICO (autorité anglaise)

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité Italienne)

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à la cyberattaque de Synnovis

Le 3 juin, Synnovis, un laboratoire de pathologie qui traite les tests sanguins pour le compte d’un certain nombre d’organisations du NHS (« National Health Service »), principalement dans le sud-est de Londres, a été victime d’une cyberattaque. Le NHS a été informé qu’un groupe de cybercriminels a publié hier soir des données qui, selon eux, appartiennent à Synnovis et ont été volées dans le cadre de cette attaque. La National Crime Agency et le National Cyber Security Centre s’efforcent de vérifier le plus rapidement possible les données contenues dans les fichiers publiés.

Nous comprenons que les gens puissent être préoccupés par cette affaire et au fur et à mesure que de nouvelles informations seront disponibles grâce à l’enquête complète de Synnovis, le NHS continuera d’informer les patients et le public sur cette page web. Un service d’assistance téléphonique a été mis en place pour répondre aux questions. Dès que nous aurons plus d’informations sur la fuite de données et sur la nature de ces données, nous les publierons d’abord sur cette page. Les patients doivent continuer à se rendre à leurs rendez-vous et à accéder aux soins urgents comme d’habitude.

En réaction, un porte-parole de l’ICO a déclaré :
« Bien que nous continuions à enquêter sur cette affaire, nous sommes conscients de la sensibilité de certaines des informations en question et de l’inquiétude qu’elles ont pu susciter. « Nous conseillons vivement à toute personne préoccupée par la manière dont ses données ont été traitées de consulter notre site web pour obtenir des conseils et de l’aide, ainsi que de visiter le site web de NHS ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

ICO (autorité anglaise)

PSNI risque une amende de 750 000 livres sterling à la suite d’une erreur de tableur qui a exposé les informations personnelles de l’ensemble de son personnel.

L’ICO a annoncé son intention d’infliger une amende de 750 000 livres sterling au Service de police d’Irlande du Nord (PSNI) pour n’avoir pas protégé les informations personnelles de l’ensemble de son personnel.
L’amende proposée est liée à un incident au cours duquel des informations personnelles – y compris le nom de famille, les initiales, le grade et le rôle de l’ensemble des 9 483 officiers et employés du PSNI – ont été incluses dans un onglet « caché » d’une feuille de calcul publiée en ligne en réponse à une demande d’accès à l’information. L’enquête menée par l’ICO a révélé que les procédures internes et les protocoles d’approbation du PSNI pour la divulgation sécurisée d’informations étaient inadéquats.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

BBC

Violation des données du ministère de la défense UK : Les données personnelles des forces armées britanniques ont été consultées lors d’un piratage

Selon la BBC, les informations personnelles d’un nombre indéterminé de militaires britanniques en service ont été consultées dans le cadre d’une importante violation de données. Le piratage a visé un système de paie géré par un contractant externe et utilisé par le ministère de la défense, qui comprend les noms et les coordonnées bancaires des membres actuels et de certains anciens membres des forces armées. Dans un très petit nombre de cas, les données peuvent également inclure des adresses personnelles. On ne sait pas qui est à l’origine de ce piratage ni à quoi les données pourraient servir. Les données, décrites comme des « informations personnelles de type HMRC (= fiscales) », concernent des membres actuels et anciens de la Royal Navy, de l’Army et de la Royal Air Force sur une période de plusieurs années.
Selon la BCC, le ministère de la défense ait pris des mesures immédiates et que le système ait été mis hors ligne, tandis que des enquêtes sont en cours.

Disponible (en anglais) sur: bbc.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut