Dernières actualités : données personnelles

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés

Créé en 2012, le Mois européen de la cybersécurité (European Cybersecurity Month – ECSM) est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir la cybersécurité dans tous les pays de l’UE pour permettre de mieux comprendre les menaces et les appréhender. En France, le Mois européen de la cybersécurité a été décliné en « Cybermoi/s » et est piloté par le dispositif national Cybermalveillance.gouv.fr qui a pour missions la sensibilisation, la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tout au long du mois d’octobre 2024, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : événement de lancement, événements de sensibilisation, campagnes vidéo… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.

Disponible sur: CNIL.fr

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

DPC (autorité irlandaise)

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

  • Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
  • Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
  • Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 26 septembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 26 septembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Point d’information sur les conditions d’exercice des délégués à la protection des données (DPO) :
     – Présentation des résultats de l’enquête sur le métier du DPO par des représentants du ministère du Travail (DGEFP) et de l’AFPA ;
     – Bilan des contrôles réalisés dans le cadre du Coordinated Enforcement Framework (CEF) du CEPD portant sur les « moyens du DPO » ;
     – Présentation du plan d’actions du service des délégués et de l’accompagnement pour améliorer les conditions d’exercice des DPO.

* Examen d’un projet de délibération portant avis sur un projet de référentiel de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) relatif aux systèmes de vérification de l’âge mis en place pour l’accès à certains services permettant l’accès à des contenus pornographiques ;
* Communication relative à l’actualité du CEPD (juillet à septembre) et aux travaux en cours sur ses lignes directrices relatives à l’article 48 du RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation.

Disponible sur: CNIL.fr

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Numerama – Cyberguerre

Un trésor pour les cybercriminels : 95 millions de données de Français reposent sur un serveur ouvert

68 millions de Français, 95 millions de lignes de données. Une immense base de données de plusieurs enseignes françaises repose actuellement sur un serveur de ElasticSearch, un moteur de recherche sur les données pour professionnel contenant parfois des informations illégales. Selon une étude publiée le 25 septembre par le média Cybernews et le chercheur Bob Dyachenko à la tête de SecurityDiscovery.com, ce serait « un trésor pour les cybercriminels ».

Notez que si le nombre de lignes est supérieur à celui de la population française, c’est parce que ces fichiers contiennent souvent plusieurs types d’informations : email, adresse, numéro de téléphone, etc.

Le dossier, d’une taille totale de 30,1 Go, contient de nombreux fichiers, principalement liés à de précédentes cyberattaques. « Il est probable qu’un cybercriminel ait réuni l’ensemble des données issues de violations de grandes entreprises et services bien connus » déclarent les chercheurs.

Disponible sur: numerama.com

Numerama – Cyberguerre

Telegram : Pavel Durov s’engage à livrer les adresses IP aux autorités en cas de délit

pavel durov

La sulfureuse application mobile Telegram fait volte-face sur la modération. Depuis l’arrestation de Pavel Durov, plusieurs changements ont été annoncés. Désormais, « les adresses IP et les numéros de téléphone de celles et ceux qui enfreignent les règles [de l’application] peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides », a-t-il prévenu. Cette règle, qui vise à « dissuader davantage les criminels d’abuser » de l’application, s’applique dans le monde entier.

Disponible sur: numerama.com

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

CNIL

Accompagnement renforcé : la CNIL guidera quatre entreprises pendant six mois

En mai dernier, la CNIL a lancé un nouvel appel à candidature pour permettre à des entreprises innovantes, engagées dans une évolution rapide de leurs activités et dont le modèle d’affaires repose sur le traitement de données, de bénéficier d’un appui des équipes de la CNIL. Cette année encore, la CNIL a reçu des dossiers couvrant des champs d’activités variés : identité numérique, vidéo augmentée, numérique en santé, sécurité numérique, legal tech, jeux d’argent… témoignant d’une forte demande d’accompagnement en matière de protection des données.

La CNIL a analysé les candidatures reçues sur la base de 5 critères :

  • la mise en œuvre par l’entreprise de produits, services ou procédés innovants ;
  • le fort développement économique de la société ;
  • l’impact des traitements de données personnelles sur les personnes ;
  • l’engagement dans la conformité au RGPD ;
  • l’intérêt des questions juridiques, sociétales ou éthiques soulevées.

La CNIL a sélectionné les entreprises Docaposte, Doctrine, la Française des Jeux et ShareID pour bénéficier d’un accompagnement renforcé sur les six prochains mois. Elle leur apportera des réponses sur mesure afin de les guider vers une bonne prise en compte de la règlementation sur la protection des données.

Disponible sur: CNIL.fr

Retour en haut