Dernières actualités : données personnelles

DPA (autorité grecque)

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Pologne: des violations de la protection des données causées par les inondations, l’autorité rassure les responsable de traitement concernant leurs obligations

En raison des tragiques inondations qui ont touché le sud de la Pologne, l’autorité a publié le communiqué dans lequel elle indique comprendre que de nombreux responsables du traitement des données puissent se trouver dans une situation difficile, tant sur le plan personnel que sur celui de leur activité, et que la priorité absolue doit être la sécurité des personnes. L’autorité a par ailleurs déclaré, ce jour :

 » Nous sommes conscients que vous pouvez être préoccupés par la mise en œuvre de vos obligations en vertu du RGPD, y compris la notification éventuelle de violations de la protection des données.

C’est pourquoi nous vous rappelons que le délai de 72 heures pour signaler un tel incident au président de l’autorité de protection des données ne court qu’à partir du moment où il est découvert. Nous sommes conscients que, dans de nombreux cas, cela ne sera possible qu’après que la situation ait été maîtrisée et que les pertes potentielles aient été évaluées dans un premier temps. Nous sommes également conscients que certains d’entre vous ne parviendront pas à signaler les violations de la protection des données dans les délais impartis. Dans ce cas, nous vous prions de bien vouloir indiquer les raisons de ce retard en faisant référence aux conditions extraordinaires liées à la situation d’inondation.

Soyez assurés que le président et le personnel de l’Office de la protection des données à caractère personnel comprennent parfaitement les difficultés posées par la situation actuelle, de sorte que toutes les notifications que vous ferez seront examinées en tenant compte de ces circonstances particulières. » 

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : ServiceNow victime d’une fuite de données à cause d’une erreur de configuration

ServiceNow, société de logiciels américaine développant une plateforme cloud optimisée pour l’automatisation des flux de travail, a subi une fuite de données exposant des informations sensibles, a révélé le 17 septembre la société de cybersécurité spécialisée dans les applications SaaS AppOmni. À l’origine de cette violation de données, une mauvaise configuration des contrôles d’accès aux bases de connaissances (“knowledge bases”, KB). Ces référentiels d’articles permettent aux entreprises et administrations de partager des foires aux questions, des guides pratiques et tutoriels pour les utilisateurs autorisés. Au lieu d’être cantonnées à une société, certaines pages contenant des informations sensibles ont été rendues publiquement accessibles pour d’autres utilisateurs. L’éditeur de logiciels américain a ainsi subi une violation de données touchant plus de 1000 instances d’entreprise.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T avait signalé l’année dernière une fuite de données sur l’un de ses fournisseurs de cloud, subtilisant les données de près de 9 millions de clients. L’opérateur s’engage également à renforcer ses pratiques de gouvernance des données. Le spécialiste américain des télécoms a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires.

Disponible sur: usine-digitale.fr

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

La police du Surrey fait preuve d’un « manque de sérieux à l’égard de ses obligations » alors que l’ICO émet un avis d’exécution concernant des manquements en matière d’accès à l’information

Ce jour, l’ICO a publié un un avis d’exécution concernant le retard en matière de liberté d’information concernant la police de Surrey. Dans le cadre du FOIA [Freedom of Information Act] , les autorités publiques, y compris les forces de police, sont tenues de répondre aux demandes d’information dans un délai de 20 jours ouvrables. Cependant, l’ICO a constaté, s’agissant des pratiques de la police de Surrey que :

  • La plus ancienne demande en suspens date de plus de deux ans, alors que les réponses sont généralement attendues dans un délai de vingt jours ouvrables
  • Il y a un retard important et croissant dans le traitement des demandes de liberté d’information par la police du Surrey, qui s’est traduit par un taux de conformité de 54 % seulement, bien en deçà des normes attendues et en net recul par rapport au taux de conformité de 69 % enregistré au cours de la même période l’année dernière.

Très concrètement,  la police du Surrey doit désormais soumettre, dans les 30 jours, un plan d’action détaillant la manière dont elle mettra ses procédures de traitement des FOI en conformité avec la FOIA. Ce plan doit comprendre des mesures spécifiques pour résorber l’arriéré et faire en sorte que les demandes futures soient traitées dans les délais prévus par la loi. Les forces de police pourraient être condamnées pour outrage au tribunal si elles ne se conforment pas à ces mesures.

Disponible (en anglais) sur: ico.org.uk. L’avis d’exécution complet est également disponible (en anglais).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : Le groupe de presse Bayard victime d’un ransomware

Bayard, groupe de presse et d’édition français, a été touché en fin de semaine dernière par une cyberattaque. “Le 8 septembre, nous avons été victime d’une cyberattaque de type rançongiciel, affectant une partie de nos systèmes informatiques et nos activités”, explique le groupe dans un communiqué publié hier. Cet incident de cybersécurité a directement affecté certains titres du groupe, qui ont dû arrêter “la plupart de [leurs] outils rédactionnels, de production et de commercialisation”, selon un message interne consulté par Le Monde. “La publication de ‘La Croix’ du mardi 10 septembre n’a pu être réalisée, écrit le journal sur sa homepage. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée.” En outre, les sites web des Éditions Bayard, de Bayard Jeunesse et de Milan Jeunesse (maison d’édition appartenant à Bayard depuis 2004) sont inaccessibles, renvoyant sur un message de maintenance. Même son de cloche pour les boutiques d’abonnement en ligne.

Disponible sur: usine-digitale.fr

Datatilsynet (autorité norvégienne)

Amende de 12 500 euros pour une université norvégienne qui n’a pas bien sécurisé ses données

Ce jour, l’autorité norvégienne de protection des données a annonce avoir infligé une amende de 150 000 NOK [environ 12500 euros] à l’université d’Agder (UiA) pour avoir enfreint le règlement général sur la protection des données. En particulier, il lui est reproché de ne pas avoir mis en œuvre les mesures appropriées pour garantir la sécurité des données à caractère personnel dans le cadre de son utilisation de Microsoft Teams.

En février 2024, un employé de l’UiA a découvert que des documents contenant des données personnelles avaient été stockés dans des dossiers Teams ouverts, auxquels des employés sans besoin professionnel avaient accès. L’infraction était en cours depuis que l’université avait commencé à utiliser Microsoft Teams en août 2018. Les données personnelles étaient accessibles dans le système, et les employés pouvaient y accéder via des recherches dans des dossiers ouverts. L’infraction concerne des documents contenant des données personnelles sur des employés, des étudiants et des acteurs externes. Environ 16 000 personnes enregistrées sont concernées.

Les données comprennent notamment des noms, des numéros de naissance, des informations sur les examens aménagés, le nombre de tentatives d’examen et des dispositions particulières. De plus, l’infraction incluait une liste des réfugiés d’Ukraine liés à l’université, avec des informations telles que les coordonnées, la formation et le statut de résidence.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : Après Boulanger, Cultura révèle une fuite de données clients

Boulanger annonçait hier être victime d’une violation de données personnelles: c’est désormais au tour de Cultura, un autre distributeur français (spécialisé lui dans les produits culturels) de déclarer à ses clients la fuite de leurs données. 1,5 million de comptes clients ont été touchés d’après l’entreprise. Les informations concernées sont les nom, prénom, adresse e-mail, adresse postales, date de naissance, et numéro de téléphone des clients, ainsi que des détails sur les produits commandés. En cause, un « prestataire informatique » commun à plusieurs enseignes opérant un site web.
Les magasins PepeJeans, Grosbill et CyberTek feraient également partie des victimes, même s’ils n’ont pas encore confirmé l’information.

Disponible sur: usine-digitale.fr

Retour en haut