Alcees vous propose la quinzaine du numérique : la CNIL sanctionne un éditeur de site d’annonces, cyberattaques massives chez des opérateurs de tiers payants sociaux, 18ème édition de l’Université annuelle des DPO de l’AFCDP, fuite de données chez un éditeur de logiciel incontournable, l’ANSSI publie un guide sécurité destiné aux équipes d’exploitation et intervenants techniques d’opération de remédiation, le Conseil d’Etat rejette une demande d’exercice de droit RGPD, la CNIL publie ses thématiques prioritaires de contrôle 2024, la CNIL clôt l’injonction prononcée à l’encontre du Ministère de l’Intérieur, sécurité du Dossier Patient Informatisé (DPI) et mise en demeure de la CNIL, Alcees s’associe à la 9ème journée internationale des femmes et des filles en sciences célébrée le 11 février 2024... et bien plus encore… Explorez toutes les dernières actualités compilées, tous secteurs d'activités confondus, du 01er au 14 février 2024 tous inclus.

Partager cet article

Plus d’une douzaine d’ infos business de la semaine qu’il ne fallait pas manquer (semaine du 1er au 14 février 2024)

#1 La CNIL sanctionne PAP, l’éditeur du site pap.fr, à hauteur de 100.000 euros

Le 31 janvier 2024, la CNIL a prononcé une sanction de 100 000 euros à l’encontre de la société PAP qui édite le site pap.fr (De Particulier à Particulier), notamment pour ne pas avoir respecté ses obligations en matière de durée de conservation des données et de sécurité des données.

PAP est une société qui édite le site pap.fr permettant aux particuliers de consulter et de publier des annonces immobilières.

Cette amende a été prise en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et la Norvège en tant qu’Etat membre de l’Espace économique européen.)

En mars et avril 2022, la CNIL a procédé à deux contrôles de la société. Lors de ses investigations, elle a relevé des manquements suivants :

  • Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)
  • Durée de conservation non justifiée par les dispositions du code de la consommation dont elle se prévalait.
  • Durées de conservation non respectées.

 

 

  • Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

Sur son site web, la société informait les personnes au moyen d’une politique de confidentialité incomplète et imprécise.

 

  • Un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)

Un contrat conclu entre la société et un sous-traitant ne comportait pas les mentions requises par le RGPD.

 

  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

Les règles de complexité des mots de passe des comptes des utilisateurs du site ainsi que les références confidentielles transmises par la société, après dépôt d’une annonce immobilière sur le site, étaient insuffisamment robustes.

La conservation en clair des mots de passe des comptes utilisateurs et des références confidentielles ne permettaient pas de garantir la sécurité des données.

L’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

En adoptant les bonnes pratiques en matière de traitement des données personnelles, votre entreprise ou votre collectivité montre son engagement envers la protection de la vie privée de ses clients/utilisateurs et vous renforcez votre crédibilité sur le marché. Assurez-vous de mettre en place les mesures nécessaires pour garantir la conformité au RGPD. Nos consultants DPO certifiés et nos consultants Cybersécurité certifiés sont à votre écoute.

#2 Cyberattaques massives chez les opérateurs de tiers payants ALMERYS et VIAMEDIS

Almerys et Viamedis assurant la gestion du tiers payant pour de nombreuses complémentaires santé et mutuelles ont subi fin Janvier une énorme fuite de données, concernant plus de 33 millions d’assurés sociaux en France.

« La fuite résulte d’une usurpation d’identité d’un professionnel de santé » a révélé Nicolas Samarcq, administrateur de l’AFCDP. Cette violation de données concerne l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.

Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernés par la violation.

Mais l’AFCDP a souhaité souligner que la fuite de données pourrait avoir des conséquences plus graves qu’initialement anticipé car en plus des données des assurés, d’autres données plus critiques (sensibles) auraient été collectées concernant les professionnels de santé telles que : le login de connexion du professionnel de santé à son portail de tiers payant, son numéro de téléphone et son relevé d’identité bancaire (RIB).

La CNIL, informée de la situation a ouvert une enquête et pris le soin de rappeler aux assurés les précautions à prendre.

Une enquête préliminaire a également été ouverte sur les instructions de la section J3 du Parquet de Paris.

Par ailleurs un formulaire de lettre-plainte électronique a été rendu disponible sur le site : https://www.cybermalveillance.gouv.fr/ pour les assurés souhaitant porter plainte.

Vous proposez des services en ligne et collectez des données à caractère personnel sensibles ? Assurez-vous qu’elles soient correctement chiffrées. Réalisez un audit de vos procédures de gestion d’incidents et de violation des données avec le cabinet Alcees.

#3 Université des DPO de l’AFCDP 2024

En 2024, la 18ème édition de l’Université annuelle des DPO de l’AFCDP a eu lieu durant 2 jours, du 8 au 9 Février 2024, à Paris, à la Maison de la Chimie, célébrant également en cette occasion, les 20 ans de l’association.

Ce sont près de 1000 participants, Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données avec une présence remarquée de la présidente de la CNIL Mme Marie-Laure Denis, qui ont pris part à l’événement.

Alors que le RGPD aura bientôt 8 ans, ce sont différents échanges d’expérience, inspirations et regards croisés entre pairs sur la protection des données à caractère personnel, les flux transfrontaliers de données, la souveraineté et l’intelligence artificielle (IA) qui ont marqué cette 18ème édition dont vous trouverez le programme ici.

Votre organisme transfère des données personnelles à des prestataires notamment en dehors de l’Union européenne ? Assurez-vous que la transmission de ces données est conforme au RGPD. Réalisez une analyse d’impact de vos transferts de données avec le cabinet Alcees.

#4 Fuite de données chez l’éditeur de logiciel AnyDesk Software GmbH

L’éditeur AnyDesk Software GmbH a été victime d’une fuite de données. En effet, le code source des applications développées par l’éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés.

Selon l’entreprise, les données exfiltrées pourraient potentiellement être réutilisées dans le cadre d’attaques ultérieures visant les utilisateurs des solutions AnyDesk.

Les systèmes affectés sont l’ensemble des logiciels produits par la société AnyDesk (Windows, linux, MacOs, Android, iOS, AppleTV, etc.)

Pour Windows les versions installables et portables qui ont été signées antérieurement aux versions 8.0.8.

Pour les autres versions, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est dans l’attente de plus d’informations et vous invite à rester attentifs aux futures communications.

 

  • Parmi les mesures conservatoires suivantes recommandées par le CERT-FR, citons :

Vous proposez des logiciels informatiques à des grands groupes ? Donnez-vous les moyens de rassurer les Directions des achats les plus contraignantes. Assurez-vous de contractualiser un Plan d’Assurance de Sécurité des Données (PASD) qui respecte le corpus d’exigences de sécurité de la norme ISO 27001. Nos consultants Cybersécurité certifiés ISO 27001 sont à votre disposition.

#5 L’ANSSI publie un guide sécurité destiné aux équipes d’exploitation et intervenants techniques d’opérations de remédiation

L’ANSSI a publié le guide « La remédiation du Tier 0 Active Directory » destiné aux équipes d’exploitation et intervenants techniques d’opérations de remédiation.

 

Ce guide constitue une base technique présentant les piliers d’une opération de reconstruction du cœur de confiance de l’Active Directory.

 

Ce guide détaille les principaux axes de mise en œuvre à prendre en compte lors de la remédiation. Les documents de ce volet accompagnent les organisations dans les actions techniques à effectuer au cours de la remédiation, pour des technologies spécifiques telles que le Tier 0 Active Directory. Ce volet sera progressivement enrichi en nouveaux guides sur d’autres sujets techniques.

#6 Rejet d’une demande d’exercice de droit RGPD par le Conseil d'Etat

Le 2 février 2024, le Conseil d’État a rejeté la demande du citoyen français qui réclamait sur le fondement du RGPD l’effacement de son nom des registres de l’Église catholique.

Le Conseil d’État affirme que l’apposition en marge du registre d’une mention selon laquelle le requérant ne reconnaissait pas la valeur de son baptême pouvait être regardée comme satisfaisant à l’exercice de son droit d’opposition fondé sur le paragraphe 1 de l’article 21 du RGPD.

Il soutient également que la mention de données personnelles sur le registre des baptêmes, relatives à l’état civil, à la filiation et aux coordonnées de la personne baptisée, qui trouve sa justification dans l’objet même de ce document, ne constitue pas un traitement illicite au regard des dispositions du d) du paragraphe 2 de l’article 9 du RGPD et que la conservation des données ainsi collectées durant une période ne s’achevant qu’après le décès de la personne concernée est nécessaire au regard des finalités de ce traitement.

Cette décision est contraire à celle de l’autorité de contrôle Belge qui considère que l’intérêt légitime à conserver ces données est disproportionné à partir du moment où la personne indique vouloir quitter l’Eglise. L’intérêt du plaignant prime sur celui de l’Eglise.

Votre organisation a besoin de s’informer sur les droits RGPD de ses clients/prospects et de prendre les mesures nécessaires pour les faire respecter. N’hésitez pas à nous consulter pour des conseils ou un accompagnement dans vos démarches de mise en conformité RGPD.

#7 La CNIL publie ses thématiques prioritaires de contrôle 2024

La CNIL effectue des activités de contrôles sur la base de plaintes reçues, de signalements de violations de données, de faits d’actualité, mais également de thématiques prioritaires annuelles.

En 2024, la CNIL se concentrera sur :

  1. Collecte de données dans le cadre des Jeux Olympiques et Paralympiques :
  • Contrôles portant sur la mise en place de codes QR pour les zones à accès restreints, les habilitations d’accès et l’utilisation de caméras augmentées.
  • Contrôles portant sur la collecte de données opérée dans le cadre des services de billetterie.
  1. Données des mineurs collectées en ligne :
  • Contrôles des mécanismes de vérification de l’âge.
  • Contrôles des mesures de sécurité et du principe de minimisation des données.
  1. Programmes de fidélité et tickets de caisse dématérialisés :
  • Contrôles portant sur l’information partagée avec les consommateurs
  • Contrôle du respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.
  1. Droit d’accès des personnes concernées :
  • Dans le cadre de la troisième action du Cadre d’application coordonné (en anglais Coordinated Enforcement Framework) du Comité européen pour la protection des données (CEPD), la CNIL et ses homologues vont procéder à des vérifications sur les conditions de mise en œuvre du droit d’accès.

Vous ou votre DPO vous interrogez sur la maturité de votre processus de gestion des droits des clients ou prospects ? Assurez-vous que ce processus facilite l’exercice des droits des individus, et ce dans le délai légal avec l’assistance de nos consultants Cybersécurité certifiés ISO 27001 sont à votre disposition.

#8 La CNIL clôt l’injonction prononcée à l’encontre du Ministère de l’Intérieur

Le 8 janvier 2024, la formation restreinte de la CNIL a clos l’injonction prononcée le 24 septembre 2021 à l’encontre du ministère de l’Intérieur concernant le fichier automatisé des empreintes digitales (FAED).

Le FAED est un fichier de police judiciaire d’identification recensant les empreintes digitales de personnes mises en cause dans des procédures pénales. Ces empreintes sont principalement utilisées par les forces de l’ordre dans le cadre de leurs enquêtes.

  • Les manquements relevés étaient :
  • La conservation, dans le fichier, de données non prévues par les textes ;
  • La conservation de données pendant une durée excédant celle prévue par les textes ;
  • La conservation de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite ;
  • Une sécurité des données insuffisante en raison d’un mot de passe peu robuste ;
  • L’absence d’information des personnes concernées.

Le Ministère de l’Intérieur a pris des mesures afin de remédier à ces non-conformités ce qui a conduit la clôture de l’injonction de la CNIL.

Le respect des règles de protection des données renforce les droits des personnes concernées et vous met en conformité avec la loi. Contactez-nous pour un accompagnement RGPD adapté à votre entité de service public.

#9 La CNIL a mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé

Le dossier patient informatisé (DPI) centralise l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. Il permet aux professionnels de santé d’accéder facilement à leurs informations médicales.

Alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le DPI, la CNIL a procédé, entre 2020 et 2024, à 13 contrôles auprès d’ établissements de santé.

Ces contrôles ont permis de constater que les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées aux besoins des établissements.

La CNIL a mis en demeure plusieurs établissements et prévoit prendre d’autres mesures correctrices.

La CNIL rappelle donc les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé (DPI).

La sécurité des données est essentielle pour protéger votre entreprise et la confiance des personnes. Investir dans des mesures de sécurité robustes est crucial pour prévenir les violations de données. Vous ne savez pas par où commencer ? Nos Consultants Cybersécurité certifiés ISO 27001 vous assistent de bout-en-bout. Contactez-nous.

#10 Hébergement des données de santé

L’Internet Society France demande l’annulation de la délibération de la CNIL autorisant l’hébergement par Microsoft des données de santé des Français. En effet, elle a ce jour déposé un recours devant le conseil d’État contre cette délibération.

Les disparités entre les lois et les législations relatives à la protection des données en vigueur dans les deux pays pourraient en effet compromettre la confidentialité des données de santé des Français.

Dans son recours, l’Internet Society France s’interroge notamment sur :

  • L’absence de compétence du groupement d’intérêt public « Plateforme de données de santé » pour candidater à un appel d’offres européen,
  • La violation de l’article 48 du Règlement général sur la protection des données (RGPD),
  • L’existence d’une erreur manifeste d’appréciation au regard de la circulaire du Premier Ministre sur l’utilisation du cloud,
  • Et l’atteinte disproportionnée à la vie privée des personnes concernées.

On comprend que les données de santé nécessitent une protection rigoureuse. 

Si votre organisme traite des données de santé, vérifiez que votre hébergeur est certifié HDS et contractualisez un Plan d’Assurance Sécurité des Données de Santé (PASDS) avec l’assistance du cabinet Alcees.

#11 La CNIL inflige 75 000 € d’amende à la PME TAGADA MEDIA, courtier en données personnelles, pour prospection commerciale en violation du RGPD

Le 29 décembre 2023, la CNIL a sanctionné la société TAGADAMEDIA d’une amende de 75 000 euros, notamment pour avoir collecté des données de prospects sans consentement valide, en raison de l’apparence trompeuse de ses formulaires de jeux-concours.

TAGADAMEDIA est un courtier en données personnelles dont l’activité consiste à collecter les données des internautes, par exemple grâce à des jeux-concours en ligne, afin de les vendre ensuite à des partenaires pour de la prospection commerciale. Afin de récolter ces données, l’entreprise assure recueillir le consentement des internautes à travers des formulaires.

Le consentement est l’une des 6 bases légales prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.

 

Cependant la CNIL a constaté lors de ses contrôles que les formulaires utilisés ne permettent pas de collecter un consentement libre, éclairé et univoque.

De plus le registre des traitements ne permettait pas d’identifier clairement la société agissant en qualité de responsable de traitement.

Votre traitement de données personnelles a pour base légale le consentement? Assurez vous qu’il soit conforme au RGPD. Consultez notre cabinet, pour un accompagnement.

#12 La CNIL inflige 105 000 € d’amende à NS CARD FRANCE pour plusieurs violations du RGPD incluant une politique de protection des données obsolète, des durées de conservation des données excessives

Le 29 décembre 2023, la CNIL a prononcé une sanction de 105 000 euros à l’encontre de la société NS CARDS FRANCE pour des manquements au RGPD.

NS CARDS FRANCE est une entreprise qui édite le site neosurf.com et l’application mobile « Neosurf » permettant d’effectuer des paiements en ligne après inscription au service.

La CNIL a procédé à deux contrôles de la société et a relevé les manquements suivants :

  • Le non-respect des règles sur les cookies et traceurs : Absence de recueil d’accord au dépôt de cookies Google Analytics et absence de recueil d’accord à l’utilisation du reCAPTCHA.
  • Le non-respect d’une durée de conservation des données :  Les données des comptes étaient conservées pour une durée indéterminée.
  • Le manque d’information des personnes : La politique de confidentialité était incomplète et obsolète en plus d’être fournie en anglais, alors que le public visé par la société est majoritairement francophone.
  • La sécurité des données : Les mots de passe étaient insuffisamment robustes. Aussi les mots de passe étaient en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs.

#13 Forum mondial sur l’éthique de l’IA 2024

Le 2ème Forum mondial sur l’éthique de l’intelligence artificielle : changer le paysage de la gouvernance de l’IA, s’est tenu au Centre des congrès Brdo de Kranj les 5 et 6 février 2024.

Ce forum  a rassemblé les connaissances et le savoir-faire de pays se trouvant à différents niveaux de développement technologique et politique, en vue d’un échange approfondi sur les questions que soulèvent l’IA. Questions qui sont principalement liées à la santé, aux réseaux sociaux, au travail, aux droits de l’homme, etc.

Le forum a également marqué le lancement de diverses initiatives de l’UNESCO, notamment l’Observatoire mondial de l’éthique de l’IA et le réseau UNESCO d’experts en éthique de l’IA sans frontières.

 

Retrouvez le programme et la vidéo de conférence ici.

Vos logiciels intègrent de l’IA pensez à les mettre à jour régulièrement. Si vous ne savez pas par où commencer, contactez nous.

#13 Feu vert de l’Europe sur l’AI Act et la protection du droit d’auteur

Les 27 états membres de l’Union européenne s’accordent à l’unanimité sur des règles contrôlant l’intelligence artificielle (IA).

En effet, avec l’IA Act l’Europe tient la première loi au monde aussi complète pour réglementer l’intelligence artificielle (IA).  C’est à Bruxelles que les ambassadeurs des États membres ont voté en faveur de ce texte qui aura alimenté bien des débats.

Un point important de cette loi est la protection du droit d’auteur. En effet, les lois sur le droit d’auteur sont conçues pour protéger des utilisations non autorisées; les créations intellectuelles et artistiques, telles que les œuvres littéraires, musicales, artistiques et cinématographiques. Cependant les algorithmes et l’intelligence artificielle (IA) soulevaient des questions intéressantes, notamment quant à la création d’œuvres par des IA. A cela Il faut ajouter l’utilisation d’oeuvres protégées par le droit d’auteur par des IA.

Un point important de cette loi est la protection du droit d’auteur. En effet, les lois sur le droit d’auteur sont conçues pour protéger des utilisations non autorisées; les créations intellectuelles et artistiques, telles que les œuvres littéraires, musicales, artistiques et cinématographiques. Cependant les algorithmes et l’intelligence artificielle (IA) soulevaient des questions intéressantes, notamment quant à la création d’œuvres par des IA. A cela Il faut ajouter l’utilisation d’oeuvres protégées par le droit d’auteur par des IA.

Tout cela semble a présent trouver solution après l’accord trouvé, par les organisations représentant les médias et la culture, pour réglementer l’intelligence artificielle. Les acteurs du secteur vont devoir désormais négocier l’utilisation de leurs contenus. Cette négociation pourra se faire auprès d’acteurs comme OpenAI et ses concurrents.  

Le cabinet Alcees vous accompagne dans le cadre de l’intégration de la cybersécurité et de la protection des données à caractère personnel dans vos projets informatiques/data/IA.

 

Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !

Bibliographie:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Partager cette publication à un collègue ou une connaissance

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.

L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.

Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.

Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.

Nos derniers articles