Dernières actualités : données personnelles

UODO (autorité polonaise)

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés

Créé en 2012, le Mois européen de la cybersécurité (European Cybersecurity Month – ECSM) est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir la cybersécurité dans tous les pays de l’UE pour permettre de mieux comprendre les menaces et les appréhender. En France, le Mois européen de la cybersécurité a été décliné en « Cybermoi/s » et est piloté par le dispositif national Cybermalveillance.gouv.fr qui a pour missions la sensibilisation, la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tout au long du mois d’octobre 2024, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : événement de lancement, événements de sensibilisation, campagnes vidéo… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.

Disponible sur: CNIL.fr

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

DPC (autorité irlandaise)

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

  • Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
  • Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
  • Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 26 septembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 26 septembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Point d’information sur les conditions d’exercice des délégués à la protection des données (DPO) :
     – Présentation des résultats de l’enquête sur le métier du DPO par des représentants du ministère du Travail (DGEFP) et de l’AFPA ;
     – Bilan des contrôles réalisés dans le cadre du Coordinated Enforcement Framework (CEF) du CEPD portant sur les « moyens du DPO » ;
     – Présentation du plan d’actions du service des délégués et de l’accompagnement pour améliorer les conditions d’exercice des DPO.

* Examen d’un projet de délibération portant avis sur un projet de référentiel de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) relatif aux systèmes de vérification de l’âge mis en place pour l’accès à certains services permettant l’accès à des contenus pornographiques ;
* Communication relative à l’actualité du CEPD (juillet à septembre) et aux travaux en cours sur ses lignes directrices relatives à l’article 48 du RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation.

Disponible sur: CNIL.fr

Numerama – Cyberguerre

Un trésor pour les cybercriminels : 95 millions de données de Français reposent sur un serveur ouvert

68 millions de Français, 95 millions de lignes de données. Une immense base de données de plusieurs enseignes françaises repose actuellement sur un serveur de ElasticSearch, un moteur de recherche sur les données pour professionnel contenant parfois des informations illégales. Selon une étude publiée le 25 septembre par le média Cybernews et le chercheur Bob Dyachenko à la tête de SecurityDiscovery.com, ce serait « un trésor pour les cybercriminels ».

Notez que si le nombre de lignes est supérieur à celui de la population française, c’est parce que ces fichiers contiennent souvent plusieurs types d’informations : email, adresse, numéro de téléphone, etc.

Le dossier, d’une taille totale de 30,1 Go, contient de nombreux fichiers, principalement liés à de précédentes cyberattaques. « Il est probable qu’un cybercriminel ait réuni l’ensemble des données issues de violations de grandes entreprises et services bien connus » déclarent les chercheurs.

Disponible sur: numerama.com

Numerama – Cyberguerre

Telegram : Pavel Durov s’engage à livrer les adresses IP aux autorités en cas de délit

pavel durov

La sulfureuse application mobile Telegram fait volte-face sur la modération. Depuis l’arrestation de Pavel Durov, plusieurs changements ont été annoncés. Désormais, « les adresses IP et les numéros de téléphone de celles et ceux qui enfreignent les règles [de l’application] peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides », a-t-il prévenu. Cette règle, qui vise à « dissuader davantage les criminels d’abuser » de l’application, s’applique dans le monde entier.

Disponible sur: numerama.com

IMY (autorité suédoise)

IMY et quatre banques participent à un projet visant à réduire le blanchiment d’argent dans le cadre d’un « bac à sable réglementaire »

L’Autorité suédoise pour la protection de la vie privée (IMY) a lancé son quatrième projet d’innovation dans le bac à sable réglementaire. En collaboration avec SEB, Nordea, Swedbank et Handelsbanken, le projet examinera les possibilités d’accroître le partage d’informations entre les banques afin de renforcer la capacité à lutter contre la fraude et le blanchiment d’argent. En effet, la police suédoise estime que le crime organisé, le blanchiment d’argent et la fraude coûtent à la société suédoise entre 100 et 150 milliards de couronnes suédoises par an). Dans le cadre d’un projet commun avec IMY, les quatre banques étudieront ainsi les possibilités d’accroître le partage d’informations entre elles afin de lutter plus efficacement contre la criminalité financière et de la réduire, sans compromettre les exigences de la législation en matière de protection des données.

Le projet a débuté la semaine dernière et les travaux aboutiront à un rapport public qui permettra à un plus grand nombre de personnes de s’informer. Le rapport sera publié au printemps 2025.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY donne son avis sur les changements proposés aux règles de surveillance des caméras de police

En suède, à la suite d’une enquête commandée par le Ministère de la Justice, il a été proposé de donner à la police des possibilités accrues d’utiliser la surveillance par caméra et la technologie de reconnaissance faciale automatique (DS 2024:11), notamment s’agissant de la surveillance des routes ou encore s’agissant à des fins de maintien de l’ordre (au moyen d’identification biométrique à distance). L’Autorité suédoise (IMY) a publié ce jour ses commentaires concernant les propositions et souligne qu’une réglementation supplémentaire est nécessaire pour limiter l’atteinte à la vie privée afin que les propositions répondent à l’exigence de proportionnalité.

L’IMY estime qu’il est important de donner à la police de meilleures conditions pour lutter contre le crime organisé, tout en garantissant le droit à la vie privée. Dans son avis, l’IMY souligne que la proposition d’accroître les possibilités de surveillance par caméra risque de permettre une collecte générale de données sur les mouvements des individus dans tout le pays. IMY estime donc qu’une réglementation supplémentaire est nécessaire pour limiter ce risque.

« Nous pensons qu’il est possible de donner à la police de meilleures possibilités de surveillance par caméra, mais des mesures supplémentaires sont nécessaires pour protéger la vie privée. Nous estimons que la proposition actuelle ne répond pas à l’exigence d’un équilibre entre les intérêts des forces de l’ordre et la protection de la vie privée », déclare Jenny Bård, chef d’unité chez IMY.

S’agissant de la reconnaissance faciale automatique dans les lieux publics, l’autorité ajoute être d’accord avec l’évaluation du mémorandum selon laquelle des réglementations supplémentaires sont nécessaires pour protéger la vie privée et d’autres droits et libertés fondamentaux des individus . Ce n’est que lorsqu’il y aura des propositions pour de telles réglementations supplémentaires qu’il sera possible d’évaluer si la proposition remplit l’exigence de proportionnalité.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

Retour en haut