Dernières actualités : données personnelles

CNIL

Ordre du jour de la séance plénière du 16 janvier 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 16 janvier 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Audition du président de la section de l’Intérieur au Conseil d’État ;
* Examen d’un projet de délibération portant avis sur un projet de décret portant application de l’article 38 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique ;
* Examen d’un projet de délibération portant avis sur un projet de décret fixant les modalités de la procédure d’enregistrement au registre public national des organisations altruistes en matière de données en application du 4° de l’article 57 de la loi n°2024‑449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique ;
* Bilan oral du « bac à sable » intelligence artificielle au bénéfice des services publics.

Partie II (sans débats):
/

Disponible sur: CNIL.fr

CNIL

IA, mineurs, cybersécurité, quotidien numérique : la CNIL publie son plan stratégique 2025-2028

Le nouveau plan stratégique de la CNIL comporte quatre grands axes : intelligence artificielle, droits des mineurs, cybersécurité et usages du quotidien numérique. Il doit permettre de protéger les données de chacun et ainsi de sécuriser l’avenir numérique de tous. Il reposera sur une action équilibrée entre prévention, accompagnement et répression.

Dans un contexte marqué par l’essor fulgurant des nouvelles technologies et par l’omniprésence de services numériques (intelligence artificielle, Internet des objets, identité numérique, cloud et réseaux sociaux…), la question de l’utilisation des données personnelles est, plus que jamais, au cœur de notre quotidien. Face aux défis pour la vie privée de chacun, la CNIL se mobilise pour assurer la mise en conformité des organismes au RGPD et garantir le respect effectif des droits des personnes. Pour atteindre ces objectifs, la CNIL renforce sa présence sur le terrain et va à la rencontre des publics, diversifie son offre de service pour accompagner les organismes, dialogue avec les parties prenantes pour produire des outils adaptés et accroît le nombre et la variété de ses mesures répressives.

 » La CNIL porte la responsabilité particulière de concilier respect des droits fondamentaux et innovation technologique. C’est à cette condition que, particuliers, entreprises et administrations pourront bénéficier d’un cadre de confiance pour leurs usages numériques. » déclare Marie-Laure Denis, présidente de la CNIL

Disponible sur: CNIL.fr

L’Usine digitale

Kiabi touché par une cyberattaque, les coordonnées bancaires de 20 000 clients dérobées

L’enseigne de distribution de prêt-à-porter Kiabi a été touchée par une fuite de données. “Le 7 janvier, les équipes du site seconde main de Kiabi ont détecté une cyberattaque par ‘credential stuffing’, précise la société. Ce type d’attaque utilise les identifiants issus de fuites de données d’autres sites web pour tenter d’accéder aux comptes clients visés.” Les cybercriminels auraient ainsi testé plusieurs millions d’identifiants pour avoir finalement accès à 20 000 comptes. En conséquence, les criminels ont pu mettre la main sur les noms et prénoms des clients, leurs dates de naissance, leurs adresses postales et leurs IBAN.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Une vaste infection par clé USB lancée depuis la Chine est stoppée par des experts français

Un programme malveillant lancé par la Chine et propagé via des clés USB, a infecté des milliers d’appareils dans le monde. Une opération internationale menée par une entreprise française a permis de neutraliser près de 60 000 charges malveillantes. La clé USB reste un danger pour vos ordinateurs et plusieurs dizaines de milliers de personnes l’ont appris à leurs dépens. L’entreprise française de cybersécurité Sekoia.io, accompagnée de la gendarmerie, de l’unité de lutte contre le cybercrime, ainsi que du FBI, est parvenue à bloquer la propagation d’un programme malveillant lancé depuis la Chine il y a près de deux ans. Le FBI a publié un communiqué sur cette opération le 14 janvier, saluant les efforts de toutes les entités impliquées..

Disponible sur: numerama.com

CNIL

Permissions dans les applications mobiles : les recommandations de la CNIL pour respecter la vie privée des utilisateurs

Le 24 septembre 2024, la CNIL a publié la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle revient dans cet article sur le rôle clé des permissions au sein des applications mobiles. Dans son article, la CNIL note que l’utilisation d’applications mobiles implique très souvent des traitements de données personnelles : ces données sont soit fournies par les utilisateurs, soit collectées directement par l’application lorsqu’elle accède aux ressources présentes au sein de leur smartphone ou tablette. Dans ce dernier cas, l’application demande l’accord de l’utilisateur à travers un système mis à disposition par les systèmes d’exploitation : les permissions.

Au programme:
– Qu’est-ce qu’une permission ?
– Leur distinction avec le consentement au traitement
– Que retenir des recommandations de la CNIL  concernant les permissions ?

Disponible sur: CNIL.fr

CJUE – Arrêt C-394/23

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport

Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une personnalisation de la communication commerciale. L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD.

La Cour rappelle que, pour qu’un traitement de données puisse être considéré comme nécessaire à l’exécution d’un contrat, ce traitement doit être objectivement indispensable afin de permettre l’exécution correcte de ce contrat. Dans ce contexte, la Cour considère qu’une personnalisation de la communication commerciale fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable afin de permettre l’exécution correcte d’un contrat de transport ferroviaire. En effet, l’entreprise ferroviaire pourrait opter pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients, ce qui constituerait une solution praticable et moins intrusive.

La Cour précise que le traitement de données relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire :
i) lorsque l’intérêt légitime poursuivi n’a pas été indiqué à ces clients lors de la collecte de ces données,
ii) lorsque le traitement n’est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime, ou
iii) lorsque, au regard de l’ensemble des circonstances pertinentes, les libertés et les droits fondamentaux de ces clients sont susceptibles de prévaloir sur cet intérêt légitime, notamment, en raison d’un risque de discrimination fondée sur l’identité de genre. 

Disponible sur: curia.europa.eu
L’arrêt complet est également disponible. 

CNIL

Nomination de Delphine Legoherel et Victor Nicolle aux nouvelles directions de la CNIL

Précédemment directrice adjointe de la protection des droits et des sanctions, Delphine Legoherel a pris ses fonctions de directrice de l’exercice des droits et des plaintes le 1er janvier 2025, tandis que Victor Nicolle rejoindra la CNIL le 13 janvier en tant que directeur des contrôles et des sanctions. Ces deux nouvelles directions ont été créées dans le cadre de la réorganisation de l’institution. Dans un article publié ce jour, la CNIL présente ces deux personnes ainsi que leur parcours respectifs avant d’avoir été nommés à la tête d’une direction de la CNIL.

Disponible sur: CNIL.fr

CNIL

Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel d’évaluation

Le sous-traitant et le responsable de traitement sont tenus à un certain nombre d’obligations en application du RGPD. Les obligations du sous-traitant concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation. Sont notamment concernés :
* les prestataires de services informatiques (hébergement, maintenance…) ;
* les intégrateurs de logiciels ;
* les sociétés de sécurité informatique ;
* les entreprises de service du numérique (ESN) ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données ;
* les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.

De son côté, le responsable de traitement est tenu de faire appel à des sous-traitants de confiance, qui présentent des garanties suffisantes pour répondre aux exigences du RGPD (article 28 du RGPD), lorsqu’il décide de leur confier le soin d’effectuer un traitement de données personnelles pour son compte. La certification permettra d’orienter les responsables de traitement dans le choix de leurs sous-traitants : elle assure que les traitements réalisés par le sous-traitant ont été évalués comme étant conformes aux critères d’un référentiel reconnu par la CNIL. Afin de construire un référentiel adapté aux sous-traitants, la CNIL ouvre une consultation publique jusqu’au 28 février 2025.

Disponible sur: CNIL.fr

L’Usine digitale

Un ancien RSSI suspecté d’être à l’origine de la cyberattaque du groupe de santé Hospi Grand Ouest

L’Unité nationale cyber (UNC) de la Gendarmerie nationale a annoncé avoir identifié et interpellé, le 17 décembre 2024, le suspect de la cyberattaque du groupe de santé Hospi Grand Ouest, qui s’est déroulée début novembre dernier. Le suspect âgé de 26 ans a été interpellé à son domicile à Rennes et sera jugé début février pour « entrave à un système de traitement automatisé de données » et « suppression et extraction de données ». Une rançon de 650 741 dollars avait été réclamée au groupement, gestionnaire de neuf établissements de santé en Bretagne et dans les Pays-de-la-Loire, pour débloquer les systèmes.

Disponible sur: usine-digitale.fr

L’Usine digitale

Ransomware : Space Bears revendique un vol de données, Atos enquête

L’année pourrait-elle finir plus mal pour Atos ? Son équipe de cybersécurité investigue sur les allégations du groupe cybercriminel Space Bears affirmant avoir compromis une base de données. Aucune demande de rançon n’a été reçue à ce jour, déclare le spécialiste français de l’informatique, qui dément l’information. Atos déclare tout de même prendre ces allégations « très au sérieux ». Ainsi, une équipe spécialisée dans la sécurité informatique « investigue activement la situation », a précisé la société. Si des éléments nouveaux apparaissent, elle publiera des mises à jour. Si cette déclaration s’avère vraie, cette cyberattaque s’ajouterait aux très nombreux problèmes rencontrés par Atos depuis plusieurs années.

Disponible sur: usine-digitale.fr

Retour en haut