Dernières actualités : données personnelles

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

GPDP (autorité italienne)

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

CNIL

Données personnelles et IA : l’apport des normes ISO/IEC 27701 et 42001

La norme internationale ISO/IEC 27701 décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. La norme ISO/IEC 42001 est, quant à elle, destinée aux organismes qui fournissent ou utilisent des systèmes d’IA. 

Disponible sur: CNIL.fr

CNIL

Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation

La CNIL souhaite promouvoir des solutions de cybersécurité conformes au RGPD, tant dans leur usage que dès leur conception. Dans ce but, elle soumet à consultation publique jusqu’au 31 mai 2024 un projet de recommandation destiné à accompagner les utilisateurs et fournisseurs d’authentification multifacteur.

Disponible sur: CNIL.fr

CNIL

Guide de la sécurité des données personnelles : nouvelle édition 2024

Le guide de la sécurité des données personnelles a pour but de rappeler les précautions de sécurité à mettre en œuvre. Cette nouvelle version restructure le guide et introduit de nouvelles fiches, notamment sur l’intelligence artificielle, les applications mobiles, l’informatique en nuage (cloud) et les interfaces de programmation applicative (API).

Disponible sur: CNIL.fr

HAAS Avocats

IA garante de la cybersécurité

IA garante de la cybersécurité

Par Haas Avocats

Il est commun de dire que de nombreuses analyses ont donné crédit à l’IA de faciliter et même de renforcer les différents hacks existants avant son développement.

Force est de constater que l’IA en plus de l’attaque, peut renforcer la défense cyber d’un organisme.

Disponible sur: haas-avocats.com

L’Informé

Fuite de données personnelles sur Leboncoin

La semaine dernière, certains profils de vendeurs ont pu avoir accès aux informations personnelles d’acheteurs étant entré en contact avec eux : nom, prénom, adresse, numéro de téléphone. Ces informations apparaissaient sur la messagerie interne du site et de l’application, comme le montre l’exemple ci-dessous..

Le média l’Informé a contacté Leboncoin, qui a confirmé l’existence d’un « bug technique ».

Disponible sur: linforme.com (article payant).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

La CNIL sera présente au Forum InCyber du 26 au 28 mars 2024

La CNIL sera présente au Forum InCyber (FIC) 2024 à Lille Grand Palais pour le sommet d’ouverture du 26 mars « L’Europe est-elle prête pour l’IA ? » et jusqu’au 28 mars au stand D3 pour répondre aux questions du public et des professionnels.

Disponible sur: CNIL.fr

HAAS Avocats

Le CLOUD fiché par la CNIL !

Le CLOUD fiché par la CNIL !

Par Haas Avocats

La CNIL publie deux fiches pour éclairer les acteurs ayant recours au CLOUD et notamment au chiffrement et l’utilisation d’outils de sécurité et de performance.

Disponible sur: haas-avocats.com

Retour en haut