Dernières actualités : données personnelles

AP (autorité néerlandaise)

Booking signale une violation de données à temps après l’intervention de l’autorité des Pays-Bas

L’Autorité des données personnelles (« Autoriteit Persoonsgegevens » ou AP) a mis fin à une période de contrôle intensif de Booking, après avoir conclu que la société a bien respecté les règles relatives à la notification des violations de données en 2023.  En effet, deux ans plus tôt, l’entreprise avait été condamnée à payer une amende de 475 000 euros en 2021 pour avoir notifié tardivement une violation de données. Dans cette fuite, des criminels ont saisi les données personnelles de 4 000 clients, y compris les détails des cartes de crédit de 300 victimes.

Au cours de la période qui a suivi, l’entreprise est soupçonnée ne pas avoir signalé à temps de nouvelles fuites de données. L’autorité néerlandaise a ainsi contrôlé Booking pendant un an en 2023 , afin de voir si l’entreprise respectait correctement les règles relatives à la notification des violations de données. En instaurant une surveillance plus intensive, l’AP voulait s’assurer que la société signale les fuites de données à temps, à la fois à l’AP et aux victimes. Ainsi, Booking devait rendre compte, jusqu’en 2023, des mesures prises pour signaler les violations de données à l’AP dans les délais impartis ; ainsi que des mesures prises pour prévenir les incidents futurs. En outre, le Parlement européen a vérifié si l’entreprise n’avait pas injustement omis de signaler certains incidents. Résultat: au cours de la période de contrôle intensifié, il a été constaté que l’entreprise avait effectivement signalé tous les incidents qu’elle était tenue de signaler.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction  est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le piratage de Microsoft par la Chine était “évitable”, assure un comité gouvernemental américain

Huit mois après la découverte par Microsoft d’une campagne d’espionnage visant sa solution de messagerie Exchange Online, le Cyber Safety Review Board (CSRB), comité consultatif rattaché au département de la Sécurité intérieure des États-Unis, chargé d’enquêter sur l’intrusion, a publié ses conclusions de ce rapport mandaté par le président américain Joe Biden. Dans un communiqué cinglant mis en ligne le 2 avril, le CSRB dénonce les pratiques de cybersécurité de mauvaise qualité appliquées par Microsoft. Sont notamment pointées du doigt “une série de décisions opérationnelles et stratégiques”, mettant en évidence “une culture d’entreprise qui priorisait les investissements en matière de sécurité d’entreprise et une gestion des risques, en contradiction avec le niveau de confiance que les clients accordent à l’entreprise pour protéger leurs données et opérations”. Le comité ajoute que l’intrusion du groupe de hackers était “évitable”.

Disponible sur: usine-digitale.fr

CNIL

Données personnelles et IA : l’apport des normes ISO/IEC 27701 et 42001

La norme internationale ISO/IEC 27701 décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. La norme ISO/IEC 42001 est, quant à elle, destinée aux organismes qui fournissent ou utilisent des systèmes d’IA. 

Disponible sur: CNIL.fr

CNIL

Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation

La CNIL souhaite promouvoir des solutions de cybersécurité conformes au RGPD, tant dans leur usage que dès leur conception. Dans ce but, elle soumet à consultation publique jusqu’au 31 mai 2024 un projet de recommandation destiné à accompagner les utilisateurs et fournisseurs d’authentification multifacteur.

Disponible sur: CNIL.fr

CNIL

Guide de la sécurité des données personnelles : nouvelle édition 2024

Le guide de la sécurité des données personnelles a pour but de rappeler les précautions de sécurité à mettre en œuvre. Cette nouvelle version restructure le guide et introduit de nouvelles fiches, notamment sur l’intelligence artificielle, les applications mobiles, l’informatique en nuage (cloud) et les interfaces de programmation applicative (API).

Disponible sur: CNIL.fr

Zataz

Un pirate affirme avoir récupéré les informations relatives à 200 millions de comptes X (Twitter).

Un pirate informatique a publié une nouvelle base de données qu’il affirme appartenir à Twitter\X. Selon les informations de ZATAZ, des millions de données ont été extraites via un accès non divulgué par le pirate, datant du 14 mars 2024. La base de données SQL mise en avant par le malveillant indique, par exemple, « 10.3.36-MariaDB » et compte 5 661 457 utilisateurs ! Le pirate a mentionné que l’accès découvert lui a permis d’extraire environ 200 millions de lignes, représentant quelque 500 Go d’informations. Quant à la véracité de cette base de données, ZATAZ se base sur trois éléments pour affirmer qu’elle pourrait être authentique.

[Ajout contextuel Portail RGPD: Au vu des données concernées (ID, pseudonyme, données métriques, géolocalisation, nombre de followers, … ), à savoir des données publiques, il est possible que cette base ait été constituée au moyen de scraping. ]

Disponible sur: zataz.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

IA garante de la cybersécurité

IA garante de la cybersécurité

Par Haas Avocats

Il est commun de dire que de nombreuses analyses ont donné crédit à l’IA de faciliter et même de renforcer les différents hacks existants avant son développement.

Force est de constater que l’IA en plus de l’attaque, peut renforcer la défense cyber d’un organisme.

Disponible sur: haas-avocats.com

L’Informé

Fuite de données personnelles sur Leboncoin

La semaine dernière, certains profils de vendeurs ont pu avoir accès aux informations personnelles d’acheteurs étant entré en contact avec eux : nom, prénom, adresse, numéro de téléphone. Ces informations apparaissaient sur la messagerie interne du site et de l’application, comme le montre l’exemple ci-dessous..

Le média l’Informé a contacté Leboncoin, qui a confirmé l’existence d’un « bug technique ».

Disponible sur: linforme.com (article payant).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

La CNIL sera présente au Forum InCyber du 26 au 28 mars 2024

La CNIL sera présente au Forum InCyber (FIC) 2024 à Lille Grand Palais pour le sommet d’ouverture du 26 mars « L’Europe est-elle prête pour l’IA ? » et jusqu’au 28 mars au stand D3 pour répondre aux questions du public et des professionnels.

Disponible sur: CNIL.fr

Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut