Dernières actualités : données personnelles

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

UODO (autorité polonaise)

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omis de publier ses coordonnées et de les notifier à l’autorité de contrôle.  Dans le cadre de la procédure engagée par le président de l’UODO, l’Inspection des bâtiments de Poviat (PINB) a soumis une copie des dossiers personnels de deux personnes qui, selon elle, avaient précédemment exercé la fonction de délégué à la protection des données à la PINB de Częstochowa. Pour le prouver, l’entité a fourni les documents suivants à l’UODO:
– une attestation de suivi d’une formation à la protection des données personnelles pour le délégué à la protection des données,
– une clause d’information sur le traitement des données à caractère personnel,
– l’autorisation de traiter les données à caractère personnel dans les systèmes traditionnels et informatiques,
– le règlement relatif à la mise en œuvre de la politique de sécurité du traitement des données à caractère personnel au sein de l’inspection de la surveillance des bâtiments du district.
– l’étendue des activités liées à l’exercice de la fonction de DPD sur la base d’un ordre verbal de l’administrateur

Néanmoins, selon l’avis du président de l’Office de protection des données à caractère personnel (UODO), les formulations figurant dans les documents susmentionnés ne peuvent que prouver indirectement que la fonction de DPO au sein de la structure de l’administrateur est exercée par les personnes qui y sont indiquées. Elles ne prouvent pas qu’il y a eu une nomination effective au poste de DPO. L’exercice de la fonction de DPO sur la base d’une instruction verbale de l’administrateur n’établit pas son efficacité. Selon l’autorité, le responsable du traitement doit s’efforcer de veiller à ce que l’acte juridique (par exemple, l’ordre interne, la résolution, l’attribution des tâches) ou le contrat conclu avec la personne qui doit exercer la fonction de DPO indique clairement la désignation d’une personne spécifique pour exercer la fonction de DPO. À des fins de preuve, il est essentiel qu’ils soient également rédigés par écrit. Il est également nécessaire d’assigner précisément l’étendue des fonctions de cette personne conformément aux dispositions des articles 38 et 39 du RODO.

Dans le cas de la PINB à Częstochowa, un DPO n’a effectivement désigné une personne spécifique que le 4 mars 2024, c’est-à-dire déjà après la procédure de contrôle. Toutefois, à la date de la décision (18 octobre 2024), il n’avait pas publié les coordonnées de la personne susmentionnée. Actuellement, cela a été corrigé.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cyberattaque contre Free : La justice ordonne à Telegram de révéler l’identité du pirate

Le tribunal judiciaire de Paris a ordonné à la messagerie Telegram de révéler l’identité du pirate informatique à l’origine d’une demande de rançon à Free, après une cyberattaque ayant provoqué le vol des données de 19,2 millions de clients. L’application doit alors fournir “tous les éléments permettant d’identifier la personne”, soit son identité civile, les adresses IP recueillies et le numéro de téléphone utilisé pour la création du compte. D’après Free et Free Mobile, un cybercriminel dénommé “[Z] [L]” a adressé trois messages le 21 octobre sur la plateforme interne dédiée à la protection des données personnelles, ainsi qu’un quatrième au “président du groupe Iliad” (Xavier Niel) via Telegram. Le pirate informatique affirmait alors avoir les données en sa possession, menaçait de “les utiliser frauduleusement” et exigeait une rançon de 10 millions d’euros en cryptomonnaies.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Une fuite de données frappe Le Point et une autre Auchan, un demi-million de clients affectés

Auchan piraté

À la liste déjà fort longue d’entreprises françaises victimes de fuites de données, deux noms viennent de s’y ajouter : le magazine Le Point et, surtout, l’enseigne de grande distribution Auchan. L’enseigne de grande distribution a adressé un mail à sa clientèle pour lui signaler une fuite de données. On parle du nom, prénom, mail, adresse postale, numéro de téléphone, date de naissance, et d’informations secondaires (composition du foyer, numéro de la carte de fidélité et montant de la cagnotte).

Disponible sur: numerama.com

PIPC (autorité coréenne)

Sanctions contre deux universités n’ayant pas appliqué un patch de sécurité vieux de 6 ans

La Commission de protection des informations personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a annoncé avoir a voté l’imposition d’un total de 235,8 millions KRW d’amendes (environ 160 000 euros) et de 6,6 millions KRW (environ 4500 euros) de pénalités à l’Université Sunchunhyang et à l’Université Kyungsung pour avoir enfreint la Loi sur la protection des informations personnelles à propos de leurs obligations de sécurité.  Ces deux universités ont fait l’objet d’une enquête à la suite d’un rapport sur une fuite d’informations personnelles. Au cours de ces enquêtes, l’autorité a constaté :

* S’agissant de l’université Sunchunhyang : des informations personnelles ont été divulguées par des pirates informatiques qui ont exploité une vulnérabilité de logique web sur le site web principal de l’école. L’analyse des fichiers diffusés par le pirate sur les réseaux sociaux a confirmé que plus de 500 informations personnelles (nom, département, numéro de cours, adresse, coordonnées, affiliation, numéro de sécurité sociale, etc. Malgré cela, l’université Sunchonhyang n’a pas appliqué à ce jour le correctif de sécurité distribué par Oracle pour résoudre la vulnérabilité de la logique web en octobre 2017. En outre, l’université Sunchonhyang n’a pas mis en place les fonctions d’autres règles de sécurité essentielles, ni de  mesures de chiffrement lors de la conservation, dans un espace de stockage interne, de preuves relatives au recrutement de conférenciers contenant des numéros d’identification nationaux.
En conséquence, la PIPC a imposé une amende de 193 millions de KRW et une pénalité de 6,6 millions de KRW (environ 135 000 euros au total) à l’université Sunchonhyang, et a ordonné des mesures correctives afin de remédier aux carences mises en évidence.

* S’agissant de l’université Kyungsung : des informations personnelles ont été divulguées à la suite d’un piratage du système d’information global du campus (portail Kyungsung), de la même manière qu’à l’université Sunchonhyang, et les pirates ont diffusé les informations personnelles volées sur les services de réseaux sociaux. Après avoir analysé les fichiers publiés par les pirates, il a été confirmé que les informations personnelles (nom, département, numéro de cours, numéro de téléphone portable) de plus de 2 000 étudiants ont  été divulguées. À la suite de l’enquête, l’Université Kyungsung n’a pas non plus appliqué le correctif de sécurité distribué par Oracle en octobre 2017 pour résoudre la vulnérabilité de la logique web.
En réponse, la Commission de protection des informations personnelles a imposé une amende de 42,8 millions de wons (environ 29 000 euros) à l’université et lui a demandé d’améliorer l’ensemble de ses mesures de protection des informations personnelles.

L’autorité note qu’il est probable que les deux universités aient été attaquées par le même pirate informatique car elles ont laissé des vulnérabilités dans la logique web de leurs systèmes de traitement des informations personnelles non améliorées pendant plus de six ans.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données

Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection des données à caractère personnel. Cette affaire commence par une notification de violation : la base de données indique avoir été victime d’un ransomware et avoir perdu une base de données qui contenait notamment les données d’anciens employés et d’employés actuels : numéros PESEL [équivalent du NIR], cartes d’identité, noms et prénoms, noms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, e-mail et numéro de téléphone. Selon l’entreprise, son employé a désactivé son programme anti-virus, ce qui a permis l’attaque. Selon l’administrateur, l’incident a toutefois été de courte durée et l’entreprise a réussi à récupérer l’accès aux données. Il a également reconnu que le but de l’attaque n’était pas d’obtenir des données, mais de faire du chantage. Elle a donc estimé qu’il n’y avait pas de risque élevé de violation des droits ou des libertés des personnes.

Au cours de l’enquête qui a suivi cette notification, l’UODO constaté un certain nombre de manquements :
* Absence de mesures techniques et organisationnelles appropriées permettant de minimiser le risque pour les données;
* Absence de vérification que le sous-traitant fournit des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées ;
* Notification incomplète des personnes concernées, et absence d’information des employés (anciens ou actuels) de la société concernés ;
* Non respect du principe de responsabilité : le responsable du traitement n’a pas été en mesure de démontrer que les mesures mises en place étaient adaptées aux risques, car il n’avait pas examiné ces derniers.

Conséquence pour l’entreprise : une amende de 80 000 euros environ. L
L’UODO ne s’est cependant pas arrêtée là et a relevé la responsabilité des associés de la société civile à laquelle le responsable du traitement a confié le traitement des données. Il a souligné qu’ils n’ont pas aidé le responsable du traitement à respecter son obligation de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement des données à caractère personnel.  Le sous-traitant a négligé au fil des ans d’informer l’administrateur des vulnérabilités présentes dans le logiciel du serveur (alors que l’une d’entre elles a été exploitée avec succès par les auteurs de l’action criminelle) et de la nécessité de mettre à niveau le système d’exploitation vers la dernière version possible, ou d’utiliser d’autres solutions logiques plus récentes. Elle se trouve alors également condamnée par l’UODO, mais à une amende plus légère (environ 2200 euros).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Picard victime d’une fuite de données, plusieurs milliers de clients concernés

Après l’annonce d’une cyberattaque chez Free, c’est au tour de Picard d’annoncer avoir été victime d’une fuite de données. Dans un email envoyé à 45 000 clients membres de son programme de fidélité, l’enseigne de surgelés annonce avoir détecté « un accès non autorisé » par un tiers, sans intrusion dans ses systèmes d’information. La Commission nationale de l’informatique et des libertés (Cnil) a été informée, comme l’exige la législation en vigueur. Cet incident de sécurité a pu entraîner « une perte de confidentialité » des données disponibles sur les comptes de fidélité. Sont concernés les noms, prénoms, date de naissance, adresse mail, adresse postale, numéro de téléphone, numéro de carte de fidélité, bons de réduction/avantages éventuels, historique des commandes, tickets de caisse ainsi que la liste d’achats et les favoris de produits. L’entreprise précise que les données bancaires n’ont pas été touchées.

Disponible sur: usine-digitale.fr

Datatilsynet (autorité danoise)

La commune de Brøndby fait l’objet d’une réprimande pour le manque de mesures de sécurité de ses données

À l’automne 2023, l’Agence danoise de protection des données a procédé à une inspection de la municipalité de Brøndby, en se concentrant sur deux thèmes clés : le contrôle périodique des droits d’accès et l’utilisation de l’authentification multifactorielle (MFA) lors de l’accès aux systèmes informatiques de la municipalité directement à partir d’Internet. Les thèmes ont été choisis sur la base des recommandations de l’autorité à la municipalité de Brøndby dans le cadre de contrôles écrits menés 2021 et 2022, au cours desquels la maturité de la municipalité dans le domaine de la protection des données a été examinée.

Suite à son enquête, Datatilsynet a conclu que la municipalité de Brøndby n’avait pas effectué de contrôles documentés permanents de l’accès des utilisateurs ordinaires à KMD Nexus [une application de services de santé] (c’est-à-dire les utilisateurs qui ne disposent pas de droits étendus ou de droits d’administrateur), les derniers contrôles effectués par la municipalité avant la visite d’inspection ayant eu lieu en janvier 2020 et en mars 2021.

En outre, jusqu’au le 15 novembre 2023, la municipalité de Brøndby n’a pas mis en œuvre le MFA lors de l’accès à KMD Nexus, mais également à d’autres sites ou applications. Le MFA n’a été mise en œuvre qu’après que l’Agence danoise de protection des données a notifié l’inspection à la municipalité de Brøndby et cinq ans après que la municipalité a estimé, dans une évaluation des risques de KMD Nexus, que l’absence de MFA pour la connexion directement depuis l’internet constituait une vulnérabilité. Sur cette base, l’Agence danoise de protection des données a réprimandé municipalité de Brøndby pour ne pas avoir pris les mesures de sécurité appropriées. En revanche, aucune amende n’a été prononcée à l’encontre de la municipalité.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes

Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation de données. La première est le centre municipal d’aide sociale (MOPS) et du centre municipal de sports et de loisirs (MOSiR). Une amende de plus de 24 000 PLN (environ 5500 euros) a également été infligée à l’entreprise engagée par les institutions pour transférer les données vers le nouveau système de gestion des ressources humaines et des salaires.

A l’occasion de ce transfert, un employé de l’une des institutions a partagé les données avec un employé de l’entreprise chargée du transfert des données. Ces données ont été transférées sur une clé USB non chiffrée, qui a ensuite été perdue alors que son contenu n’avait pas été effacé après les données extraites, conformément aux procédures de l’entreprise. La clé USB a été trouvée par une personne qui a tenté de la restituer en publiant une annonce dans les médias locaux, mais sans succès. La personne a donc ouvert les fichiers et a pu identifier les institutions concernées. Après avoir pris connaissance de cette situation, les institutions ont signalé la perte de la clé USB à l’autorité de protection des données.

La clé contenait les données personnelles de près de 1 000 employés et collaborateurs actuels et anciens de l’une des institutions, ainsi que les données de 549 employés, retraités, anciens employés, contractants et participants aux travaux d’intervention de l’autre institution. Des données telles que les prénoms, noms, prénoms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, numéros d’enregistrement PESEL [équivalent du NIR], adresses électroniques, données sur les revenus et/ou les biens possédés, noms de famille de la mère, séries et numéros de carte d’identité, numéros de téléphone, données sur les vacances, congés de maladie, données sur les écoles terminées, historique de l’emploi, noms des enfants et leurs dates de naissance ont pu être trouvées sur le support.

Le président de l’autorité de protection des données a enquêté sur l’affaire et a estimé que la la MOPS, MOSiR et la société qui modifie le système de gestion des ressources humaines et des salaires auraient dû vérifier que les données à caractère personnel étaient partagées d’une manière qui tienne compte du risque de perte de leur support et qu’elles étaient protégées de manière adéquate contre tout accès non autorisé (par exemple, en utilisant le mot de passe requis pour ouvrir tous les fichiers ou dossiers de fichiers contenant des données à caractère personnel). Si cela avait été fait, la violation de données aurait pu être évitée.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne donne à la plus grande banque italienne 20 jours pour informer ses clients de la violation des données qu’elle a subi

Dans un article publié ce jour, l’autorité italienne a annoncé avoir donné 20 jours à Intesa pour informer les clients concernés par la violation de leurs données personnelles et bancaires, survenue à la suite d’un accès indu de la part d’un employé de la banque aux données de plusieurs milliers de clients. L’Autorité considère, contrairement à l’évaluation de la banque, que la violation de données à caractère personnel présente un risque élevé pour les droits et libertés des personnes concernées, compte tenu de la nature de la violation, des catégories de données traitées, de la gravité et des conséquences qui pourraient en résulter (par exemple, divulgation d’informations concernant la situation financière, atteinte à la réputation).

L’autorité italienne note que, dans les premières communications envoyées par la Banque au Garante, l’ampleur de la violation n’avait pas été suffisamment mise en évidence, comme l’ont révélé par la suite tant les articles de presse que les commentaires fournis par la Banque elle-même. La Garante, qui se réserve le droit d’évaluer l’adéquation des mesures de sécurité adoptées dans le cadre d’une enquête en cours, a ainsi également ordonné à la Banque de fournir à l’Autorité, dans un délai de trente jours, un retour d’information suffisamment documenté sur les mesures prises pour mettre pleinement en œuvre les exigences.

[Ajout contextuel Portail RGPD: La presse note en particulier que les comptes de 3 500 clients d’Intesa Sanpaolo, y compris ceux de la Première ministre Giorgia Meloni et de l’ancien Premier ministre Mario Draghi, ont été potentiellement été compromis entre février 2022 et avril 2024 et ont été indument consultés par l’employé concerné. Normalement, les employés d’Intesa n’ont de visibilité que sur les clients dont ils ont besoin de voir les données pour exercer leurs fonctions. Néanmoins, du fait de sa fonction, l’employé concerné avait accès à de très nombreuses données, et en a profité.]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut