Dernières actualités : données personnelles

Mesures prises à l’encontre de Sky Betting and Gaming pour utilisation de cookies sans consentement

Dans un communiqué publié ce jour, l’ICO annonce avoir adressé un blâme à Bonne Terre Limited, opérant sous le nom de Sky Betting and Gaming, pour avoir traité illégalement les données des personnes par le biais de cookies publicitaires sans leur consentement.

À la suite d’une plainte déposée par l’association militante Clean Up Gambling, l’autorité a cherché à savoir si Sky Betting and Gaming abusait délibérément des informations personnelles des joueurs pour cibler les joueurs vulnérables. Bien qu’aucune preuve d’abus délibéré n’ait été trouvée, l’ICO a conclu que Sky Betting and Gaming traitait des données personnelles par le biais de certains cookies d’une manière qui n’était pas légale, transparente ou équitable. L’enquête a en effet relevé que du 10 janvier au 3 mars 2023, Sky Betting and Gaming a traité les informations personnelles des personnes et les a partagées avec des sociétés de technologie publicitaire dès qu’elles accédaient au site Web de SkyBet – avant qu’elles aient la possibilité d’accepter ou de refuser les cookies publicitaires. Cela signifie que leurs informations personnelles pouvaient être utilisées pour les cibler avec des publicités personnalisées sans leur consentement préalable ou sans qu’ils le sachent.

Sky Betting and Gaming a apporté des modifications en mars 2023 pour s’assurer que les internautes puissent rejeter les cookies publicitaires avant que leurs données personnelles ne soient partagées à ces fins. Cette mesure d’application de la loi intervient alors que nous nous efforçons de sévir contre les sites web qui n’offrent pas aux internautes un choix équitable et éclairé quant à l’utilisation de leurs données personnelles à des fins de publicité ciblée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’ICO réprimande la Commission électorale après la compromission de ses serveurs à l’occasion d’une cyberattaque

L’ICO a annoncé ce 30 juillet 2024 avoir adressé un blâme à la Commission électorale après que des pirates ont accédé à des serveurs contenant les informations personnelles d’environ 40 millions de personnes.

En août 2021, des pirates ont réussi à accéder au serveur Microsoft Exchange de la Commission électorale en usurpant l’identité d’un compte utilisateur et en exploitant des vulnérabilités logicielles connues dans le système qui n’avait pas été sécurisé. Jusqu’en octobre 2022, soit plus d’un an plus tard, les pirates ont eu accès aux informations personnelles contenues dans le registre électoral, notamment les noms et les adresses. Les serveurs ont été accédés à plusieurs reprises à l’insu de la Commission électorale.

L’enquête a révélé que la Commission électorale n’avait pas mis en place les mesures de sécurité appropriées pour protéger les informations personnelles qu’elle détenait. En particulier, elle n’a pas veillé à ce que ses serveurs bénéficient des dernières mises à jour de sécurité. Les correctifs de sécurité pour les vulnérabilités exploitées lors de la cyberattaque ont été publiés en avril et mai 2021, plusieurs mois avant l’attaque. La Commission électorale n’avait pas non plus mis en place de politiques suffisantes en matière de mots de passe au moment de l’attaque, de nombreux comptes utilisant encore des mots de passe identiques ou similaires à ceux attribués à l’origine par le service desk.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’ICO enquête sur la violation des données de 23andMe avec son homologue canadien

L’Information Commissioner’s Office (ICO) et le Commissariat à la protection de la vie privée du Canada (CPVP) ont lancé une enquête conjointe sur la violation de données qui s’est produite en octobre 2023 au sein de la société mondiale de tests génétiques directs aux consommateurs 23andMe, qui est dépositaire d’informations personnelles très sensibles, notamment d’informations génétiques qui ne changent pas avec le temps. Ces données peuvent révéler des informations sur une personne et les membres de sa famille, notamment sur leur santé, leur origine ethnique et leurs liens biologiques. C’est pourquoi la confiance du public dans ces services est essentielle.

L’enquête conjointe reflète l’engagement des régulateurs à collaborer à la protection du droit fondamental à la vie privée des individus dans toutes les juridictions.

Elle examinera :
1- L’étendue des informations exposées lors de la violation et les préjudices potentiels pour les personnes affectées ;
2- Si 23andMe disposait de garanties suffisantes pour protéger les informations hautement sensibles qu’elle contrôlait ; et
3- Si l’entreprise a notifié de manière adéquate la violation aux deux régulateurs et aux personnes concernées, comme l’exigent les lois canadienne et britannique sur la protection des données.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PSNI risque une amende de 750 000 livres sterling à la suite d’une erreur de tableur qui a exposé les informations personnelles de l’ensemble de son personnel.

L’ICO a annoncé son intention d’infliger une amende de 750 000 livres sterling au Service de police d’Irlande du Nord (PSNI) pour n’avoir pas protégé les informations personnelles de l’ensemble de son personnel.
L’amende proposée est liée à un incident au cours duquel des informations personnelles – y compris le nom de famille, les initiales, le grade et le rôle de l’ensemble des 9 483 officiers et employés du PSNI – ont été incluses dans un onglet « caché » d’une feuille de calcul publiée en ligne en réponse à une demande d’accès à l’information. L’enquête menée par l’ICO a révélé que les procédures internes et les protocoles d’approbation du PSNI pour la divulgation sécurisée d’informations étaient inadéquats.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.