Dernières actualités : données personnelles

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T avait signalé l’année dernière une fuite de données sur l’un de ses fournisseurs de cloud, subtilisant les données de près de 9 millions de clients. L’opérateur s’engage également à renforcer ses pratiques de gouvernance des données. Le spécialiste américain des télécoms a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires.

Disponible sur: usine-digitale.fr

Hackread

Violation des données de l’application de localisation Tracelo : 1,4 million d’enregistrements d’utilisateurs mis en ligne

Tracelo, une application relativement récente qui permettrait de géolocaliser des smartphones sur la seule base de leur numéro de téléphone, a été victime d’une intrusion le 1er septembre 2024, exposant les données de ses clients et des personnes ciblées par ces derniers. Un pirate informatique utilisant le pseudonyme « Satanic » affirme avoir pénétré dans Tracelo, un service de géolocalisation de smartphones. Le pirate a ainsi divulgué les données personnelles de plus de 1,4 million de personnes (1 459 014) sur les célèbres Breach Forums. Selon l’analyse de l’équipe de recherche de Hackread le pirate a réussi à extraire 264 Mo de données, dont trois fichiers CSV : l’un nommé « saas-backend locate_phone_infos », un autre nommé « saas-backend users » et un troisième nommé « saas-stage users ».

Vous trouverez ci-dessous une analyse approfondie, fichier par fichier, des enregistrements ayant fait l’objet d’une fuite (avec un petit plot twist en prime!) :

Disponible (en anglais) sur: hackread.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité Italienne)

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Transferts données hors UE via des fonctionnalités proposées par Meta : Freepik reçoit un avertissement par l’autorité espagnole

Il y a quelques jours, l’autorité suédoise condamnait une banque pour l’utilisation du « pixel Meta » de manière illicite qui avait résulté en une rupture de la confidentialité des données. Cette fois-ci, c’est à l’autorité espagnole d’avertir le célèbre site d’images libres de droit Freepik pour des inconformités en lien avec « Facebook Login ».  Comme souvent, cette affaire commence par une plainte, en l’occurrence par une personne représentée par l’association NOYB, et au sein de laquelle il était déclaré que certaines données personnelles (y compris l’adresse IP et les « cookies ») traitées par Freepik ont été transférées à Facebook Inc. aux États-Unis via la fonctionnalité  « Facebook Login » en l’absence de base juridique (au moins) entre 2020 et 2022, dans la mesure où la CJUE avait invalidé le Privacy Shield dans l’arrêt C-311/18 (« Schrems II ») dès juillet 2020 et qu’aucun autre mécanisme de transfert n’était applicable ou appliqué.

Au cours de l’enquête ouverte par les agents de l’AEPD dans le cadre d’un groupe de travail « TF101 » mis en place afin de traiter les 101 plaintes déposées par NOYB dont celle-ci, Meta a tenté d’argumenter que ces transferts étaient encadrés par des clauses contractuelles types (CCT), mais cet argument a été rejeté par l’AEPD en partie parce qu’ « au moins jusqu’au 10 juillet 2023, Freepik et Meta Platforms, Inc se sont appuyés sur […] le Privacy Shield pour effectuer les transferts de données mentionnés. Toutefois, la CJUE, dans son arrêt du 16 juillet 2020, C-311/18, a déclaré que cette décision d’adéquation n’assurait pas un niveau de protection adéquat des personnes physiques en raison de la réglementation américaine pertinente et de la mise en œuvre de programmes de surveillance officiels fondés, entre autres, sur la section 702 de la FISA et l’E.O.12333 en liaison avec la PPD-28, et a annulé ladite décision d’adéquation. » L’AEPD précise également qu’elle « croit savoir que Meta Platforms, Inc. avait l’obligation de fournir aux autorités américaines les données à caractère personnel en vertu de la section 1881.a du code américain ».

Le rejet de cet argument a également impacté Freepik qui s’est vu reprocher le fait de ne pas avoir suffisamment vérifié la conformité du transfert réalisé par le biais de son site internet sur lequel était installé « Facebook Login » : l’AEPD estime en effet que « les transferts internationaux effectués dans le cadre des activités de Freepik n’étaient pas conformes aux éléments requis par l’article 44 du RGPD, [et qu’] il incombait à Freepik de vérifier qu’ils l’étaient et de cesser d’utiliser les services en question s’ils ne l’étaient pas ». Les faits évoqués dans la plainte ayant pu être vérifiés par l’autorité espagnole, Freepik a écopé d’un avertissement.

[Ajout contextuel Portail RGPD: Il y a un autre point qui est intéressant dans cette affaire, cette fois de procédure: l’AEPD écrit que « Le 27 octobre 2022, les travaux du groupe de travail TF101 n’ont pas été achevés, c’est pourquoi il a été déclaré que la procédure d’enquête préliminaire était caduque, car plus de douze mois se sont écoulés. Une nouvelle procédure d’enquête a alors été ouverte, l’infraction n’étant pas prescrite. » L’AEPD semble ainsi disposer de délais spécifiques pour traiter des plaintes (et notamment de délais de prescription stricts), ce qui n’est pas le cas en France, la CNIL se fondant sur le principe du « délai raisonnable » à défaut de règle plus précise (tel que précisé dans sa Délibération SAN-2020-018 du 8 décembre 2020 disponible ici, ou dans notre section « Jurisprudence »).]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : les États-Unis interdisent l’antivirus russe Kaspersky

Le département américain du Commerce a annoncé le 20 juin “interdire” la vente du logiciel antivirus Kaspersky aux États-Unis et a demandé aux Américains utilisant le logiciel de passer à un autre fournisseur, reprochant à la firme russe sa proximité avec Moscou. “La Russie a montré qu’elle avait la capacité, et même l’intention, d’exploiter des sociétés russes comme Kaspersky pour collecter et utiliser comme armes les données personnelles des Américains”, a expliqué Gina Raimondo, secrétaire américaine au Commerce. Une décision “vitale pour [la] sécurité intérieure” des États-Unis, selon Alejandro Mayorkas, secrétaire américain à la Sécurité intérieure.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : la fonctionnalité Recall de Microsoft universellement fustigée

Microsoft a présenté fin mai sa nouvelle fonctionnalité Recall, qui sera disponible sur les PC Copilot+. Elle permet de prendre des captures d’écran en continu et de les analyser directement sur l’ordinateur, afin de créer une “mémoire photographique”. Le géant de l’informatique affirme avoir mis en place des mesures de sécurité, notamment de privilèges administrateur, pour consulter les données Recall. Des chercheurs en cybersécurité ont toutefois pu contourner ces obstacles et accéder aux données comme bon leur semble.

Disponible sur: usine-digitale.fr

GPDP (autorité italienne)

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

HAAS Avocats

Une norme ISO sur l’Intelligence Artificielle ?

Une norme ISO sur l’Intelligence Artificielle ?

Par Haas Avocats

Pour assurer et harmoniser la sécurité informatique, des normes internationales ont été élaborées pour constituer une référence des bonnes pratiques devant être adoptées par les acteurs du secteur.

Deux normes encadrent principalement la protection des données personnelles : l’une certifie un « système de management de la sécurité de l’information » (ISO/IEC 27001), pendant que l’autre détaille les bonnes pratiques à mettre en œuvre pour assurer la sécurité des données personnelles (ISO/IEC 27002).

Disponible sur: haas-avocats.com

Retour en haut