Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Une fuite de données frappe Le Point et une autre Auchan, un demi-million de clients affectés

Auchan piraté

À la liste déjà fort longue d’entreprises françaises victimes de fuites de données, deux noms viennent de s’y ajouter : le magazine Le Point et, surtout, l’enseigne de grande distribution Auchan. L’enseigne de grande distribution a adressé un mail à sa clientèle pour lui signaler une fuite de données. On parle du nom, prénom, mail, adresse postale, numéro de téléphone, date de naissance, et d’informations secondaires (composition du foyer, numéro de la carte de fidélité et montant de la cagnotte).

Disponible sur: numerama.com

UODO (autorité polonaise)

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost

L’autorité en Finlande a aujourd’hui annoncé avoir  imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres électronique pour ses clients sans qu’ils en aient fait la demande et cela a été jugé illégal par l’autorité. Cette affaire a commencé par des plaintes concernant la transmission de lettres au service en ligne de la Poste (MyPost, donc)  sans le consentement du client. L’autorité a enquêté et a constaté que la boîte aux lettres électronique était reliée à un ensemble plus large de services, y compris la redirection du courrier et le service « Mon point de retrait ». Le client ne pouvait pas choisir d’utiliser ou non la boîte MyPost parce que les différents services étaient liés dans un seul contrat. De plus, la boîte aux lettres électronique ne pouvait être supprimée sans que les autres services ne le soient également.

« Le client a pu être surpris de constater qu’une boîte aux lettres électronique avait été créée pour lui, alors qu’il avait demandé un autre service. Une personne peut avoir reçu du courrier dans une boîte aux lettres électronique sans le savoir, ce qui peut entraîner des problèmes avec les factures, par exemple », explique Anu Talus, contrôleur de la protection des données.

Un certain nombre de reproches ont ainsi été formulés :
* Les données à caractère personnel ne peuvent être traitées sur le fondement de la base légale du contrat que si elles sont nécessaires à la réalisation de l’objectif principal du contrat. Or, l’autorité a estimé que la souscription à un service particulier ne peut pas exiger que les données à caractère personnel soient également utilisées à d’autres fins, c’est-à-dire pour les autres services.
* La Poste n’a pas informé ses clients de manière suffisamment claire sur l’activation de la boîte électronique. Pire, ils ont été induits en erreur : la Poste mentionnait qu’après l’introduction du service MyPost, ils pourraient encore recevoir des lettres par courrier papier uniquement s’ils le souhaitaient. En réalité, cette option n’était pas disponible.
* Le service MyPost comportait également des paramètres techniques qui ne répondaient pas aux exigences en matière de protection des données. Il s’agissait notamment d’une case à cocher activée automatiquement et d’une case pré-cochée.

Conséquence pour la Poste : une amende de 2,4 millions d’euros et une injonction de se mettre en conformité avec le RGPD. En réponse, la Poste a annoncé qu’elle allait corriger ces paramètres de manière à ce que la réception du courrier uniquement par voie électronique ne soit plus présélectionnée. Selon la Poste, les clients pourront désormais choisir s’ils souhaitent recevoir des copies électroniques de leurs lettres papier dans leur boîte MyPost.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Sanctions contre deux universités n’ayant pas appliqué un patch de sécurité vieux de 6 ans

La Commission de protection des informations personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a annoncé avoir a voté l’imposition d’un total de 235,8 millions KRW d’amendes (environ 160 000 euros) et de 6,6 millions KRW (environ 4500 euros) de pénalités à l’Université Sunchunhyang et à l’Université Kyungsung pour avoir enfreint la Loi sur la protection des informations personnelles à propos de leurs obligations de sécurité.  Ces deux universités ont fait l’objet d’une enquête à la suite d’un rapport sur une fuite d’informations personnelles. Au cours de ces enquêtes, l’autorité a constaté :

* S’agissant de l’université Sunchunhyang : des informations personnelles ont été divulguées par des pirates informatiques qui ont exploité une vulnérabilité de logique web sur le site web principal de l’école. L’analyse des fichiers diffusés par le pirate sur les réseaux sociaux a confirmé que plus de 500 informations personnelles (nom, département, numéro de cours, adresse, coordonnées, affiliation, numéro de sécurité sociale, etc. Malgré cela, l’université Sunchonhyang n’a pas appliqué à ce jour le correctif de sécurité distribué par Oracle pour résoudre la vulnérabilité de la logique web en octobre 2017. En outre, l’université Sunchonhyang n’a pas mis en place les fonctions d’autres règles de sécurité essentielles, ni de  mesures de chiffrement lors de la conservation, dans un espace de stockage interne, de preuves relatives au recrutement de conférenciers contenant des numéros d’identification nationaux.
En conséquence, la PIPC a imposé une amende de 193 millions de KRW et une pénalité de 6,6 millions de KRW (environ 135 000 euros au total) à l’université Sunchonhyang, et a ordonné des mesures correctives afin de remédier aux carences mises en évidence.

* S’agissant de l’université Kyungsung : des informations personnelles ont été divulguées à la suite d’un piratage du système d’information global du campus (portail Kyungsung), de la même manière qu’à l’université Sunchonhyang, et les pirates ont diffusé les informations personnelles volées sur les services de réseaux sociaux. Après avoir analysé les fichiers publiés par les pirates, il a été confirmé que les informations personnelles (nom, département, numéro de cours, numéro de téléphone portable) de plus de 2 000 étudiants ont  été divulguées. À la suite de l’enquête, l’Université Kyungsung n’a pas non plus appliqué le correctif de sécurité distribué par Oracle en octobre 2017 pour résoudre la vulnérabilité de la logique web.
En réponse, la Commission de protection des informations personnelles a imposé une amende de 42,8 millions de wons (environ 29 000 euros) à l’université et lui a demandé d’améliorer l’ensemble de ses mesures de protection des informations personnelles.

L’autorité note qu’il est probable que les deux universités aient été attaquées par le même pirate informatique car elles ont laissé des vulnérabilités dans la logique web de leurs systèmes de traitement des informations personnelles non améliorées pendant plus de six ans.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données

Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection des données à caractère personnel. Cette affaire commence par une notification de violation : la base de données indique avoir été victime d’un ransomware et avoir perdu une base de données qui contenait notamment les données d’anciens employés et d’employés actuels : numéros PESEL [équivalent du NIR], cartes d’identité, noms et prénoms, noms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, e-mail et numéro de téléphone. Selon l’entreprise, son employé a désactivé son programme anti-virus, ce qui a permis l’attaque. Selon l’administrateur, l’incident a toutefois été de courte durée et l’entreprise a réussi à récupérer l’accès aux données. Il a également reconnu que le but de l’attaque n’était pas d’obtenir des données, mais de faire du chantage. Elle a donc estimé qu’il n’y avait pas de risque élevé de violation des droits ou des libertés des personnes.

Au cours de l’enquête qui a suivi cette notification, l’UODO constaté un certain nombre de manquements :
* Absence de mesures techniques et organisationnelles appropriées permettant de minimiser le risque pour les données;
* Absence de vérification que le sous-traitant fournit des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées ;
* Notification incomplète des personnes concernées, et absence d’information des employés (anciens ou actuels) de la société concernés ;
* Non respect du principe de responsabilité : le responsable du traitement n’a pas été en mesure de démontrer que les mesures mises en place étaient adaptées aux risques, car il n’avait pas examiné ces derniers.

Conséquence pour l’entreprise : une amende de 80 000 euros environ. L
L’UODO ne s’est cependant pas arrêtée là et a relevé la responsabilité des associés de la société civile à laquelle le responsable du traitement a confié le traitement des données. Il a souligné qu’ils n’ont pas aidé le responsable du traitement à respecter son obligation de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement des données à caractère personnel.  Le sous-traitant a négligé au fil des ans d’informer l’administrateur des vulnérabilités présentes dans le logiciel du serveur (alors que l’une d’entre elles a été exploitée avec succès par les auteurs de l’action criminelle) et de la nécessité de mettre à niveau le système d’exploitation vers la dernière version possible, ou d’utiliser d’autres solutions logiques plus récentes. Elle se trouve alors également condamnée par l’UODO, mais à une amende plus légère (environ 2200 euros).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Picard victime d’une fuite de données, plusieurs milliers de clients concernés

Après l’annonce d’une cyberattaque chez Free, c’est au tour de Picard d’annoncer avoir été victime d’une fuite de données. Dans un email envoyé à 45 000 clients membres de son programme de fidélité, l’enseigne de surgelés annonce avoir détecté « un accès non autorisé » par un tiers, sans intrusion dans ses systèmes d’information. La Commission nationale de l’informatique et des libertés (Cnil) a été informée, comme l’exige la législation en vigueur. Cet incident de sécurité a pu entraîner « une perte de confidentialité » des données disponibles sur les comptes de fidélité. Sont concernés les noms, prénoms, date de naissance, adresse mail, adresse postale, numéro de téléphone, numéro de carte de fidélité, bons de réduction/avantages éventuels, historique des commandes, tickets de caisse ainsi que la liste d’achats et les favoris de produits. L’entreprise précise que les données bancaires n’ont pas été touchées.

Disponible sur: usine-digitale.fr

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut