Alcees vous propose la quinzaine du numérique : Les actualités CNIL/RGPD/IA; Les actualités jurisprudentielles; Les violations de données personnelles et bien plus encore.Explorez toutes les dernières actualités compilées, tous secteurs d'activités confondus, du 15 au 30 avril 2024 tous inclus.

Partager cet article

Alcees vous propose une quinzaine d’informations qu’il ne fallait pas manquer ces dernières semaines.

logo CNIL

1.La CNIL publie son rapport annuel 2023

Le 23 avril 2024 la CNIL a publié son bilan d’activités 2023, soulignant ses quatre principales missions : Information et protection des personnes, accompagnement et conseil, anticipation et innovation, contrôles et sanctions.

 

Quelques chiffres clés : 

  • 11,8 millions de visites sur les sites web de la CNIL (audience record, témoignant d’un intérêt croissant pour la protection des données)
  • 16 433plaintes reçues
  • 4 projets IA accompagnés dans le cadre du bac à sable « données personnelles »
  • 340 contrôles réalisés.

Ce rapport met en lumière les défis complexes auxquels la CNIL est confrontée dans un contexte technologique, sécuritaire et juridique en évolution constante, tout en soulignant son engagement envers sa mission de service public et son indépendance.

2.« IA et libre-arbitre : sommes-nous des moutons numériques ? » : La CNIL publie son cahier air2023

La CNIL a publié son cahier air2023, issu de l’événement air2023 organisé fin 2023.

Ce document examine l’influence omniprésente de l’IA dans nos vies quotidiennes, notamment à travers des outils comme ChatGPT, et souligne les préoccupations éthiques et les discussions sur la régulation au niveau mondial. Il aborde les questions sur la standardisation du travail par l’IA et les implications pour les travailleurs, ainsi que les mutations du marché de l’emploi et les compétences requises.

Vous mettez en place des Systèmes d’Intelligence Artificielle (IA) et avez besoin d’un accompagnement en sécurité des données ? Contactez nous via information@alcees.com !

3.La CNIL met en demeure une société pour violation du principe de minimisation des données

La CNIL a mis en demeure une entreprise pour collecte excessive de données personnelles de candidats à l’embauche, incluant des informations telles que le lieu de naissance, la nationalité et la situation familiale. Cette collecte va à l’encontre du principe de minimisation des données du RGPD (article 5.1.c), qui exige que seules les informations nécessaires aux objectifs poursuivis doivent être collectées.

 

Ne laissez pas la non-conformité compromettre la réputation et la viabilité de votre entreprise. Agissez dès maintenant pour garantir le respect du principe de minimisation des données et éviter les sanctions de la CNIL. Contactez Alcees.

4.Le Comité européen de la protection des données (CEPD) se prononce sur la conformité du modèle «pay or consent»

Le CEPD a émis un avis sur le modèle controversé du « pay or consent », utilisé notamment par les grandes plateformes comme Meta.

 

Les points principaux à retenir incluent :

  • Les grandes plateformes ne pourront pas se conformer aux exigences du consentement valide si elles ne proposent qu’un choixentre consentir à l’utilisation de données pour la publicité ciblée ou payer un abonnement.
  • Elles doivent envisager de fournir une « alternative équivalente »à leurs services sans utilisation de données personnelles à des fins publicitaires, sans frais supplémentaires.
  • Le consentement doit être donné librement, sans être conditionné par des fraisqui empêchent un choix libre.
  • Plusieurs critères, tels que la conditionnalité, la granularité et le déséquilibre de pouvoir, doivent être pris en compte pour déterminer si le consentement est libre.
  • Les conséquences négatives pour les personnes qui refusent de consentir doivent également être examinées, telles que l’exclusion de services importants ou la perte de contenu.

Cet avis souligne les conditions restrictives pour le traitement des données personnelles selon le modèle « pay or consent ». Des lignes directrices plus générales sur les modèles « Pay or Consent » seront prochainement élaborées par le CEPD.

5.Collectivités territoriales : publication du rapport d’activités 2023 sur le parcours cybersécurité par l’ANSSI

Le parcours cybersécurité est un parcours à destination des collectivités territoriales, d’établissements publics ciblés et des établissements de santé, qui vise à fournir un soutien personnalisé et adapté, tout en permettant une progression efficace vers une meilleure sécurité informatique.

 

En 2023 ce sont 942 entités qui ont initié un parcours, dont 707 collectivités territoriales, 133 établissements de santé et 106 établissements publics (notamment d’enseignement/recherche).

Le programme a également aidé au renforcement de l’écosystème cyber sur tout le territoire :

  • 193 prestataires différents ont contribué aux parcours,
  • Et plus de 215 fournisseurs de solutions et de matériels ont été mobilisés.

6.Investissement dans le cloud et l’IA

Oracle annonce un investissement massif de plus de 8 milliards de dollars au Japon au cours des dix prochaines années, en réponse à la demande croissante en infrastructure Cloud et en Intelligence Artificielle, avec un accent particulier sur la souveraineté. 

 

Cette annonce s’inscrit dans un mouvement plus large où d’autres géants technologiques comme Microsoft investissent également massivement au Japon pour développer leur infrastructure Cloud et leurs capacités en Intelligence Artificielle.

7.Déploiement d’un dispositif de vidéosurveillance augmentée (VSA)

Deux arrêtés préfectoraux ont autorisé le déploiement d’un dispositif de vidéosurveillance augmentée (VSA) à Paris lors du match PSG-OL et du concert des Black Eyed Peas, conformément à la loi JOP 2024. Ces dispositifs, expérimentaux, permettent la détection d’événements anormaux sans reconnaissance faciale. Ces mesures surviennent après un rapport sénatorial soulevant des réserves sur ce type de dispositif, soulignant les risques pour les droits fondamentaux tels que la vie privée, la liberté de réunion et d’association, et la non-discrimination.

Besoin d’un partenaire de confiance numérique pour vous accompagner dans l’intégration de la cybersécurité dans vos projets informatiques/data/IA ? Contactez-nous à l’adresse : information@alcees.com .

8.Adoption de la loi SREN

La loi SREN, a été adoptée le 10 avril. Cette loi vise à renforcer l’ordre public dans l’espace numérique adapte notamment le droit français au Digital Markets Act (DMA) et le Digital Services Act (DSA). Outre le renforcement des sanctions pénales pour certaines infractions comme le cyberharcèlement et la création de nouveaux délits, la loi SREN prévoit que les traitements de données personnelles de personnes se trouvant en France, effectués par des responsables du traitement ou des sous-traitants non établis dans l’UE et liés au suivi du comportement de ces personnes au sein de l’UE, sont soumis à la loi française.

9.Enquête contre TikTok en vertu du DSA

La Commission européenne a entamé une procédure officielle contre TikTok en vertu de la loi sur les services numériques (DSA). Les enquêtes se concentrent sur le programme de tâches et de récompenses de TikTok Lite, soupçonné d’avoir été lancé sans évaluation diligente de ses risques, notamment ceux liés à l’effet addictif de la plateforme. L’UE est particulièrement préoccupée par les enfants en raison de l’absence présumée de mécanismes efficaces de vérification de l’âge sur TikTok. Il s’agit de la deuxième série de procédures liées à la DSA contre TikTok.

10.Droit à réparation en cas de violation du RGPD

Un arrêt de la Cour de Justice de l’UE (CJUE) est venu apporter des précisions sur les conditions requises pour obtenir réparation en cas de violation du RGPD.

 

Il en ressort que :

Pour obtenir réparation, il faut prouver un dommage matériel ou moral et son lien avec la violation. Même une perte temporaire de contrôle des données peut constituer un dommage moral réparable, sous réserve de preuve. Par ailleurs, les instructions données aux employés ne permettent pas au responsable de traitement d’échapper à la responsabilité en cas de violations de données.

 

Le montant des dommages réparables ne doit pas être basé sur les amendes administratives du RGPD, mais sur les critères de l’État membre concerné. De plus, le nombre de violations du RGPD dans une même opération ne compte pas pour évaluer les dommages ; seul le préjudice concret subi par la personne concernée compte.

11.L’Hôpital de Cannes Simone-Veil, victime d’une cyberattaque

Le Centre Hospitalier de Cannes Simone Veil (CHC-SV) a été victime d’une cyberattaque entraînant la mise en place d’un cyberconfinement général avec la coupure de tous les accès informatiques. Les investigations, menées en collaboration avec des experts, sont en cours, bien qu’aucune demande de rançon ni vol de données n’aient été identifiés pour le moment. Les professionnels de l’hôpital ont dû appliquer des procédures dégradées.

Le risque cyber étant identifié comme prioritaire dans la cartographie des risques de l’établissement, des exercices préparatoires ont été menés, permettant une réactivité face à l’événement.

Votre entreprise est-elle préparée à faire face à une cyberattaque ?

Les attaques informatiques sont de plus en plus sophistiquées et peuvent avoir des conséquences dévastatrices sur votre entreprise. Contactez-nous dès aujourd’hui pour découvrir comment nous pouvons renforcer la sécurité de votre entreprise.

12.Explosion du piratage d’adresses mails

Le dernier rapport de Surfshark, dévoile des statistiques alarmantes, concernant le nombre de comptes e-mails compromis au premier trimestre 2024 par rapport au dernier trimestre 2023.

 

La France se classe 4ème dans le nombre total d’adresses e-mail piratées depuis 2004, avec plus de 521 millions d’adresses compromis, derrière la Chine, la Russie et les États-Unis.

En cas de doute sur l’intégrité de votre adresse e-mail, testez-là sur le site Have I been Pwned : https://lnkd.in/e-Qp3_C. Il est aussi important de choisir des mots de passe différents pour chaque service en ligne.

13.Fuite d’informations chez Speedy

La société française de réparation automobile Speedy France a révélé un “incident de cybersécurité” compromettant les données personnelles de nombreux clients. Les prises de rendez-vous en ligne ont été suspendues, et la société a mobilisé des experts pour gérer la situation. Les détails sur les données affectées ou la date de l’attaque n’ont pas été divulgués. Speedy France a informé la CNIL et fourni une adresse e-mail pour le service client.

L’obligation de notifier à la CNIL les violations de données à caractère personnel est prévue à l’article 33 du RGPD. Dans le cas où la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 du RGPD impose de notifier cette dernière.

14.Données de santé : Adoption de l’espace européen des données de santé (EEDS)

Le Parlement européen a définitivement adopté le 25 avril, le Règlement relatif à l’espace européen des données de santé.

 

Ce nouveau règlement vient créer :

  1. Une infrastructure permettant le partage des données de santé pour favoriser une prise en charge transfrontière des personnes lors de leurs déplacements en Europe
  2. Des procédures d’accès harmonisées pour faciliter la réutilisation secondaire de données de santé préalablement anonymisées ou pseudonymisées.
  3. Un renforcement et une harmonisation des droits des personnes concernées en matière de données de santé (en complément du RGPD)
  4. Un cadre de gouvernance européen pour le numérique en santé.

Les données de santé sont des données à caractère personnel particulières car considérées comme sensibles. Contactez notre cabinet pour un accompagnement dans la sécurisation de ces données.

15.Alcees partenaire du Cyberday 2024

Le Cyber Day est un événement unique dans le domaine de la cybersécurité, spécifiquement axé sur l’innovation dans la lutte contre les risques cyber, avec un accent particulier sur les métiers de la banque et de l’assurance. Pour cette deuxième édition, Alcees était partenaire de l’événement, qui s’est tenu le jeudi 25 avril 2024 au Campus Cyber.

Carole Njoya, CEO de Alcees a animé une table ronde sur le thème : L’IA, nouvelle alliée incontournable de la cybersécurité ? 

Avec l’intervention de :

  • Dounya EL BAKAL, Director – Product Development & Innovation – Security Solutions chez Mastercard
  • Bassem DERBAL, Group Information Security Officer chez Groupe Crédit Agricole
  • William RITCHIE, CTO chez Custocy et Docteur en IA.

Cette journée a été riche en RETEX, réflexions et bonnes pratiques incluant :

  • L’intérêt de quelques cas d’usages d’IA pour fluidifier la détection d’intrusions émergentes, pour augmenter la supervision SOC/SIEM, pour dynamiser l’analyse comportementale des infrastructures critiques d’acteurs bancaires et financiers ;
  • La diffusion de bonnes pratiques d’encadrement des IA collaboratives conformément aux exigences réglementaires de confiance numérique en vigueur pour les banques, assureurs, et fintech ;
  • Des initiatives d’implémentation à grande échelle et des leviers d’enrichissement des pools de données.

Le cabinet Alcees vous accompagne dans le cadre de l’intégration de la cybersécurité et de la protection des données à caractère personnel dans vos projets informatiques/data/IA.

Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !

 

Bibliographie:

  1. https://cnil.fr/fr/la-cnil-publie-son-rapport-annuel-2023

 

  1. https://cnil.fr/fr/la-cnil-publie-son-cahier-air2023-ia-et-libre-arbitre-sommes-nous-des-moutons-numeriques

 

  1. https://cnil.fr/fr/recrutement-la-cnil-met-en-demeure-une-societe-de-minimiser-la-collecte-de-donnees-personnelles-de

 

  1. https://cnil.fr/fr/consentir-ou-payer-le-comite-europeen-de-la-protection-des-donnees-adopte-un-avis

 

  1. https://cyber.gouv.fr/parcours-de-cybersecurite

 

  1. https://urlz.fr/qkKi

 

  1. https://www.01net.com/actualites/match-psg-ol-concert-black-eyed-peas-voici-ce-que-lon-sait-du-systeme-de-videosurveillance-augmentee-vsa-deploye-a-paris.html

 

  1. https://www.assemblee-nationale.fr/dyn/16/textes/l16t0286_texte-adopte-provisoire.pdf

 

  1. https://www.linkedin.com/feed/update/urn:li:activity:7186036934404714496?utm_source=share&utm_medium=member_desktop

 

  1. https://ec.europa.eu/commission/presscorner/detail/fr/IP_24_2227

 

  1. https://curia.europa.eu/juris/document/document.jsf;jsessionid=E96310BAFF50D1A9EDDDD951F65CE450?text=&docid=284641&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1611310

 

  1. https://www.linkedin.com/feed/update/urn:li:activity:7186389053955600386?updateEntityUrn=urn%3Ali%3Afs_updateV2%3A%28urn%3Ali%3Aactivity%3A7186389053955600386%2CFEED_DETAIL%2CEMPTY%2CDEFAULT%2Cfalse%29

 

  1. https://www.phonandroid.com/le-piratage-dadresses-mail-explose-et-la-france-fait-partie-des-pays-les-plus-vises.html

 

  1. https://www.speedy.fr/information-importante-donnees-personnelles

 

  1. https://sante.gouv.fr/actualites/presse/communiques-de-presse/article/adoption-du-reglement-europeen-des-donnees-de-sante-eeds

Partager cette publication à un collègue ou une connaissance

Insights liés

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

Nos derniers articles