Partager cet article

Actualités de la quinzaine n°1 d’Avril 2024

Alcees vous propose la quinzaine du numérique :

  • Les actualités CNIL,
  • Les actualités relatives aux législations européennes,
  • Les nouveaux outils cybersécurité, ainsi que,
  • Les violations de données personnelles et bien plus encore.

Explorez toutes les dernières actualités compilées, tous secteurs d’activités confondus, du 15 mars au 15 avril 2024 tous inclus.

Actualités CNIL

logo CNIL

1. Élections européennes 2024 : Plan de la CNIL

À l’occasion des élections européennes du 9 juin 2024, la CNIL réactive son « observatoire des élections ».

Ses missions sont :

  • Organiser une veille sur les pratiques de communication politique
  • Sensibiliser les partis et candidats aux enjeux de la protection des données sur les bonnes pratiques à respecter.
  • Informer les électeurs sur leurs droits et mettre à leur disposition une plate-forme de signalement.

    Le plan d’action de la CNIL se focalisera sur :

    • La conformité des pratiques de prospection téléphonique avec la législation sur la protection des données,
    • La réutilisation des bases de données à des fins de propagande électorale,
    • La transparence envers les personnes concernées et
    • La sécurité des données collectées par les entreprises offrant des services novateurs de ciblage électoral aux candidats.
    • L’impact de l’intelligence artificielle sur les stratégies de communication politique,
    • L’application du prochain règlement européen relatif à la transparence et au ciblage de la publicité à caractère politique.

    Un bilan des élections sera fait par la CNIL.

2. Bilan des violations de données en 5 ans de RGPD

La CNIL a publié le 27 mars 2024 un bilan des violations de données qui lui ont été notifiées depuis l’entrée en application du RGPD.

Il en ressort que :

  • Ce sont 17 483 violations de données notifiées en 5 ans. Un nombre en constante croissance.
  • Le secteur privé affiche plus de notifications de violations dont 39% de PME, là où le secteur public regroupe 22% de notifications.
  • Les violations de données trouvent leur origine dans les actes malveillants externe (55%). Le secteur public est plus touché par l’hameçonnage, tandis que le secteur privé est davantage concerné par les rançongiciels.
Bilan RGPD des violations de données publiées le 27 mars 2024

Afin de réduire considérablement les incidents entraînant des violations de données personnelles, la CNIL souligne l’importance de :

 

  • Intégrer la sécurité dès les prémices d’un projet ;
  • Adopter systématiquement des mesures de sécurité minimales pour la protection des données ;
  • Procéder régulièrement aux mises à jour de sécurité des systèmes d’exploitation, des serveurs applicatifs et des bases de données ;
  • Sensibiliser régulièrement le personnel aux risques et enjeux de la cybersécurité.

Liens utiles quand l’on est victime d’une violation de données:

Notre cabinet, composé d’experts en cybersécurité et protection des données, vous accompagne dans le pilotage de l’intégration de la sécurité et de la protection des données dans vos projets stratégiques. Contactez nousinformation@alcees.com

3. Nouvelle édition du guide de la sécurité des données

La sécurité en matière de traitement de données est une obligation : « Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. » – Article 32 du RGPD.

La CNIL a donc publié son nouveau guide de la sécurité des données, édition 2024 qui a pour but de rappeler les précautions de sécurité à mettre en œuvre.

Ce guide constitue une ressource essentielle à la disposition :

Des délégués à la protection des données (DPD/DPO),

  • Des responsables de la sécurité des systèmes d’information (RSSI),
  • Des informaticiens et des juristes impliqués dans la gestion de la sécurité des données.
  • De la CNIL lors de l’évaluation de la sécurité des traitements de données personnelles.

Pour cette édition, le guide a été organisé en cinq parties pour faciliter la consultation de ses 25 fiches. De plus, cinq nouvelles fiches ont été ajoutées, reprenant principalement des contenus déjà publiés par la CNIL sur les sujets suivants :

  • L’informatique en nuage (cloud)
  • Les applications mobiles
  • L’intelligence artificielle (IA)
  • Les interfaces de programmation applicative (API)
  • Le pilotage de la sécurité des données.

Par ailleurs, les pratiques contemporaines telles que l’utilisation d’équipements personnels en environnement professionnel (BYOD) ont été intégrées pour enrichir les fiches existantes. De plus, les fiches traitant de plusieurs sujets ont été divisées et développées de manière approfondie sur leurs thèmes respectifs.

 

Guide pratique RGPD

5. Publication des premières recommandations de La CNIL sur l’Intelligence Artificielle

La CNIL a publié le lundi 08 Avril 2024 ses premières recommandations sur l’intelligence artificielle. Ces recommandations ont été élaborées après une série de rencontres avec des entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc. ainsi qu’une consultation publique de deux mois.

Les objectifs

  • Concilier IA & RGPD
  • Permettre l’innovation
  • Développer des IA responsables
  • Apporter des réponses concrètes à l’application du RGPD à l’IA

Les 7 thèmes abordés par la CNIL sont :

  • Le régime juridique applicable
  • Définir la finalité
  • La qualification juridique des fournisseurs de systèmes d’IA
  • Définir une base légale
  • La réutilisation des données
  • Réaliser une analyse d’impact (si nécessaire)
  • Respecter le RGPD dès la conception du projet d’IA
  • Respecter le RGPD lors de la constitution des jeux de données d’entraînement

Vous mettez en place des Systèmes d’Intelligence Artificelle (IA) et avez besoin d’un accompagnement en sécurité des données ? Contactez nous via information@alcees.com !

6. La CNIL sanctionne à hauteur de 525 000 euros la société HUBSIDE.STORE

Ce 9 avril 2024, la CNIL a sanctionné d’un montant de 525 000€ la société HUBSIDE.STORE pour l’utilisation à des fins de prospection commerciale de données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient préalablement consenti à être démarchées. Les données des prospects démarchés étaient achetées auprès de courtiers en données, éditeurs de sites de jeux-concours ou de tests de produits.

Les manquements constatés :
  1. Manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE) : 

– Les formulaires de collectes utilisés par les courtiers pour récolter des données personnelles ne permettaient pas de recueillir un consentement libre et univoque des personnes concernées, eu égard à leur apparence trompeuse. 

– Même si la société a imposé certaines exigences contractuelles à ses fournisseurs, aucun contrôle effectif de ces exigences n’était opéré. Or il appartient à la société, de s’assurer que les personnes concernées ont exprimé un consentement valide.

 

  1. Manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6 du RGPD) :

– La CNIL rappelle que la prospection commerciale par appels peut être fondée sur l’intérêt légitime de la société à la condition que les personnes concernées, au moment de la collecte de leurs données, soient informées qu’elles pourront recevoir des offres de prospection commerciale. 

– Les formulaires utilisés par les courtiers pour collecter les données des prospects ne mentionnaient pas automatiquement la société HUBSIDE.STORE dans la liste des partenaires susceptibles de démarcher les personnes concernées. 

  1. Manquement à l’obligation d’information (article 14 du RGPD) :

– La CNIL a constaté que les personnes démarchées par téléphone n’étaient pas suffisamment informées sur la manière dont leurs données personnelles étaient collectées et utilisées. Ces informations sont primordiales pour que les individus puissent exercer leurs demandes de droits.

Besoin d’un accompagnent dans l’audit de la sécurité de vos traitements de données personnelles ? Besoin d’encadrer vos pratiques de prospection conformément au RGPD ? Contactez-nous : information@alcees.com .

Loi DORA

7. DORA : la Commission européenne adopte 3 RTS - Regulatory Technical Standards

Le premier lot des normes techniques de réglementation (RTS) a été adopté par la Commission européenne le 13 mars 2024.

Une norme technique de réglementation (RTS) est un type d’instrument de réglementation utilisé dans l’Union européenne pour fournir des spécifications techniques détaillées pour la mise en œuvre de certains aspects de la législation. Dans le contexte du cadre européen de réglementation financière, les RTS sont souvent élaborées par les autorités européennes de surveillance (AES) pour fournir des orientations plus détaillées et définir des règles spécifiques qui complètent les dispositions plus larges décrites dans la législation primaire.

Les RTS adoptées sont les suivantes :

  1. RTS sur le cadre de gestion des risques liés aux TIC et RTS sur le cadre simplifié de gestion des risques liés aux TIC
  2. RTS sur les critères de classification des incidents liés aux TIC
  3. RTS pour préciser la politique relative aux services TIC fournis par des fournisseurs tiers de TIC

Les versions finales ont été initialement publiées le 17 janvier 2024 par les autorités européennes de surveillance.

Celles-ci ont ensuite été identifiées respectivement comme

  • JC 2023 86,
  • JC 2023 84,
  • JC 2023 83

Sur le lot 1, la norme technique d’exécution sur le registre des informations (JC 2023 85) doit encore être adoptée.

8. DMA : Enquête de non-conformité

Depuis le 7 mars 2023, le règlement DMA (Digital Markets Act) est applicable et devient opposable aux géants du numérique.

La Commission européenne a annoncé, le 25 mars, l’ouverture d’enquêtes à l’encontre des multinationales Apple, Alphabet (Google) et Meta (Facebook, Instagram et WhatsApp), pour non-conformité au Digital Markets Act (DMA).

Les manquements constatés :

  • La liberté des développeurs d’applications d’orienter sans frais les consommateurs vers des offres en dehors des boutiques d’applications des contrôleurs d’accès.
  • La limitation de la capacité des développeurs à communiquer et à promouvoir librement des offres et à conclure directement des contrats par le biais de leurs magasins d’applications.
  • Pratique de l’autofavoritisme
  • Non-respect des obligations pour faciliter la désinstallation des applications installées par défaut sur iOS.
  • La mise en place un système-piège qui oblige les utilisateurs d’Instagram ou de Facebook à sacrifier leurs données personnelles pour éviter la publicité ciblée (Pay or consent).

Les procédures d’enquêtes devraient se clore dans un délai d’un an.

Les sanctions quant-à-elles pourraient atteindre entre 10% et 20% du chiffre d’affaires mondial des multinationales concernées, en cas d’infraction grave et répétée.

EBIOS Risk Manager

9. L'ANSSI met à jour la méthode EBIOS Risk Manager

EBIOS Risk Manager est une méthode pertinente pour évaluer et gérer les risques de manière proactive. En appliquant cette méthode d’analyse des risques, les organisations renforcent la sécurité de leurs informations sensibles et se prémunissent contre les menaces potentielles.

Cette version 1.5. est désormais pleinement conforme à la norme ISO 27005:2022, grâce à des ajouts et à un alignement de vocabulaire. Les différents ateliers de l’analyse de risque ont également été enrichis du retour des patriciens pour offrir une approche plus complète.

Cette mise à jour renforce les capacités à anticiper les risques, à prendre des décisions éclairées et à assurer la continuité des activités dans un environnement en constante évolution.

10. Le NIST publie la V2 de son référentiel de Cybersécurité

L’Institut national des normes et de la technologie (NIST) a sorti une version mise à jour de son guide de sécurité informatique, appelé Cadre de Cybersécurité 2.0 (CSF 2.0). Cette nouvelle version intègre les suggestions du public issues de la consultation en avant-première en août dernier.

Le CSF a pour objectif de  créer un cadre destiné à toute organisation souhaitant améliorer sa maturité et sa posture en matière de cybersécurité.

Une des forces du CSF 2.0 est son organisation en six fonctions principales qui sont:

  1. Gouverner : mettre en place une gouvernance qui intègre la cybersécurité dans les pratiques de gestion stratégique.
  2. Identifier : comprendre et gérer les risques de cybersécurité pour les systèmes, les actifs, les données et les capacités.
  3. Protéger : mettre en œuvre les mesures appropriées pour assurer la protection des services et des infrastructures essentiels.
  4. Détecter : développer les activités nécessaires pour identifier l’occurrence d’un événement de cybersécurité.
  5. Répondre : établir des actions pour prendre en charge un événement de cybersécurité dès sa détection.
  6. Récupérer : prévoir des plans pour restaurer toute capacité ou service impacté par un incident de cybersécurité.

11. Cybermalveillance.gouv.fr offre une nouvelle version de «SensCyber»

Cybermalveillance.gouv.fr a eu l’occasion de dévoiler lors du Forum InCyber Europe une nouvelle version de “SensCyber“, un programme d’e-sensibilisation aux risques du numérique.

Cette nouvelle version adressée à la fois au grand public et plus spécifiquement aux TPE-PME est organisée autour de 3 modules pour mieux comprendre les risques cyber, agir face aux possibles cyberattaques et transmettre au mieux les connaissances à ce sujet et, par conséquent, sensibiliser un maximum de personnes.

A l’issue des trois modules, il est possible de télécharger une attestation de suivi.

La sensibilisation de vos collaborateurs est au coeur de vos préocupations, contactez notre équipe d’experts, afin de vous accompagner dans la mise en place d’un programme.

12. Fuite de données sur Leboncoin.fr

À la suite d’un bug, la plateforme Leboncoin.fr a partagé les données personnelles, censées rester secrètes, de certains acheteurs avec les vendeurs avec qui ils sont entrés en contact.

Selon la plateforme, ces informations ont « été affichées dans le mail de notification reçu par les vendeurs à la suite d’un premier échange dans la messagerie », que ce soit sur le site ou dans l’application.

Les données concernées sont :

  • Le nom et le prénom,
  • L’adresse électronique et
  • Le numéro de téléphone.

La notification de cette violation a été faite à la CNIL.

fuite de données sur leboncoin.fr

13. Vol d’ordinateur de l’Inspection Générale de la Gendarmerie Nationale (IGGN)

Le vendredi 15 mars, un lieutenant de gendarmerie aurait été victime du vol de son ordinateur professionnel au sein de la gare Saint-Lazare, dans le 8e arrondissement de Paris. Selon les  informations recueillies, cet ordinateur contiendrait des données confidentielles concernant l’Inspection générale de la gendarmerie nationale (IGGN).

Pour rappel une violation de données peut être une fuite de données, une attaque, une perte de matériel, etc.

Tous les organismes qui traitent des données personnelles doivent mettre en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d’incident.

14. Piratage de données sur Minecraft

Le célèbre jeu de construction et de survie a été victime d’un grand vol de données.

Désormais, les joueurs de Minecraft doivent redoubler de prudence, car il est possible que ces informations sensibles soient utilisées par des cybercriminels. Selon les recherches de Cybernews, pas moins de 700 petits fichiers auraient été accumulés à la suite de l’exploitation, au cours des derniers mois, de plusieurs failles de sécurité. Parmi ces fichiers, on retrouverait même certains serveurs privés Minecraft contenant diverses combinaisons, incluant des noms d’utilisateur, des mots de passe et des adresses IP.

En effet, pas moins de 14 Go de données, comprenant des informations relatives aux utilisateurs et aux serveurs Minecraft, ont été dérobées puis divulguées sur le marché illégal de ventes, BreachForums, le 23 mars. Dans un souci de dissimulation, le pirate a créé un compte unique, qu’il n’a utilisé qu’une seule fois pour diffuser les données acquises. Jusqu’à présent, Microsoft, propriétaire du jeu et de sa licence, n’a pas encore officiellement commenté cette fuite majeure, mais a déjà été informé de l’incident.

15. La Fédération Française de Football Victime d’un piratage

La Fédération Française de Football (FFF) qui a été victime d’un piratage massif : 1,5 million de données de licenciés ont été dérobées le 22 mars.

La fuite concernerait uniquement les «données relatives aux demandes de licences des saisons 2022-2023 et 2023-2024».

Les données «semblent légitimes» selon le site spécialisé Cybernews, qui a visionné un échantillon partagé par le pirate. Mais il y a un problème. Le hacker revendique détenir les informations de 10 millions de personnes soit plus que les 2,3 millions de licences annoncées par la FFF en janvier 2024. Et plus que le million et demi mentionné par Cybermalveillance, ce qui impliquerait la présence de joueurs, clubs et bénévoles plus anciens.

«Aujourd’hui, je vends la base de données de la FFF», a sobrement annoncé le supposé hacker à l’origine de l’attaque, sur un forum bien connu des adeptes d’informations volées.

Données concernées :

  • Nom, prénom,
  • Genre, date et lieu de naissance,
  • Nationalité, mais aussi,
  • Représentant légal pour les mineurs,
  • Adresse postale, mail, numéro de téléphone et enfin
  • Numéro de licencié et club

Les données volées peuvent servir d’hameçonnage ou d’usurpations d’identités.

16. campagnes de vol de données bancaires et de phishing en cours (probable suites de la cyberattaque contre Almerys et Viamedis)

Des signalements de phishing liés aux comptes AMELI ont été constatés, avec des SMS frauduleux incitant à renouveler la carte vitale via un lien vers un site suspect. Le message est clair et convaincant, indiquant une date limite pour le renouvellement.

Le site frauduleux imite partiellement la charte graphique du site officiel d’AMELI mais redirige vers des sites légitimes comme impots.gouv.fr ou mediapart.fr lors de tests depuis un ordinateur.

Le processus d’arnaque comprend cinq étapes : collecte d’informations personnelles, adresse postale, choix de livraison de la carte vitale, saisie des coordonnées bancaires pour un paiement et une probable redirection vers le site officiel d’AMELI. Le nom de domaine du site frauduleux a été acheté récemment.

Il est essentiel de sensibiliser sur les bonnes pratiques à avoir :

  • Ne pas cliquer sur les liens suspects et
  • Signaler les numéros d’expéditeurs des SMS frauduleux (gouv.fr).

 

17. 40 000 données de collégiens et de parents de l'Académie de Lyon ont été mises en vente sur le DarkWeb

Le 9 avril à 23h50, un individu malveillant a annoncé la vente présumée de données personnelles de 40 000 collégiens et de leurs parents de l’académie de Lyon sur le dark web.

Les informations incluent : des noms, prénoms, coordonnées, identités parents (père/mère), adresse postale, mail etautres informations.

Bien que l’origine des données semble être les portails académiques :  portail.ac-lyon.fr et monbureaunumerique.fr. le prix de vente reste inconnu. Cependant, la fiabilité de cette annonce est remise en question, car le vendeur n’a fait qu’une seule publication et semble peu expérimenté dans le domaine du cybercrime.

Cette situation souligne le risque croissant d’attaques et de fuites de données, nécessitant une vigilance accrue, surtout à l’approche des Jeux olympiques de 2024 et des élections européennes.

Il est crucial de sensibiliser et de se prémunir contre les risques de phishing et autres tentatives d’escroquerie.

18. Le PSG victime d'une cyberattaque sur sa billeterie en ligne

Le Paris Saint-Germain a confirmé le 9 avril qu’il avait été victime d’une violation de données sur sa billetterie en ligne, survenue le 3 avril, mais résolue en moins de 24 heures selon le club.

Cette violation aurait exposé des données personnelles telles que les noms, prénoms, adresses électroniques et postales, numéros de mobile, dates de naissance, statut du compte, ainsi que les trois derniers chiffres du numéro IBAN et les identifiants des cartes-cadeaux.

Bien que l’étendue de l’exploitation de ces données ne soit pas confirmée, le PSG invite à la vigilance, notamment face aux risques de phishing.

Cette violation s’ajoute à d’autres incidents récents dans le milieu sportif français, notamment le piratage de la Fédération Française de Football, soulignant l’importance de la cybersécurité, surtout à l’approche des Jeux Olympiques de Paris.

19. Test de phishing à la Gendarmerie

Un mail de simulation de phishing a été envoyé récemment aux 9 000 gendarmes et adjoints de la région Ile-de-France, révélant que sur les 5 000 destinataires ayant ouvert le mail, 500 ont cliqué sur le lien potentiellement dangereux. Cet exercice de cybersécurité, organisé par les référents JO au sein de la gendarmerie d’Ile-de-France en préparation des Jeux Olympiques de Paris, a mis en lumière les failles. 10 % des gendarmes ont succombé à l’appât du phishing, malgré des indices évidents de fraude tels que des fautes d’orthographe dans l’expéditeur et des détails erronés dans le contenu.

Les destinataires crédules ont été confrontés à une redirection vers une page d’alerte sur le phishing, illustrée par une capture d’écran publiée par le journal. Tous les 9 000 gendarmes ont ensuite reçu un mail indiquant qu’il s’agissait d’un exercice. Le général Xavier Ducept a souligné la réalité de la menace cyber et son amplification potentielle lors des Jeux Olympiques.

Le rapport annuel de Cybermalveillance.gouv.fr souligne également que l’hameçonnage reste la menace la plus répandue en ligne, avec près de 1,5 million de consultations sur son site.

20. Google sanctionné par l'Autorité de la concurrence à hauteur de 250 millions d'euros

L’Autorité de la concurrence sanctionne Google à hauteur de 250 millions d’euros pour avoir enfreint ses engagements obligatoires, résultant de la décision 22-D-13 du 21 juin 2022.

Ces engagements visaient à garantir une coopération transparente et non discriminatoire avec les éditeurs et agences de presse. Google a manqué à ses engagements en ne respectant pas plusieurs principes clés, notamment la conduite de négociations de bonne foi dans un délai précis, la transmission transparente des informations nécessaires aux évaluations de rémunération, et la préservation des relations économiques existantes.

L’Autorité a également reproché à Google le lancement du service d’intelligence artificielle “Bard” en juillet 2023, qui a utilisé les contenus des éditeurs et agences de presse sans leur consentement. De plus, Google n’a pas fourni de solution technique permettant aux éditeurs de s’opposer à l’utilisation de leur contenu par Bard, compromettant ainsi leur capacité de négociation.

En réponse à ces manquements, l’Autorité a infligé une amende de 250 millions d’euros à Google. La société a accepté les faits et a proposé des mesures correctives pour remédier aux manquements identifiés.

21. Prérogative de puissance publique pour les autorités de contrôle

Une question préjudicielle a été portée devant la cour de justice de l’Union Européenne, introduite par la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), par décision du 8 décembre 2022, parvenue à la Cour le 31 janvier 2023.

La demande de décision préjudicielle porte sur l’interprétation de l’article 58, paragraphe 2, sous c), d) et g), du RGPD. Ella a été présentée dans le cadre d’un litige opposant la Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (administration municipale d’Újpest – quatrième arrondissement de Budapest-Capitale, Hongrie) à la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorité nationale de la protection des données et de la liberté de l’information, Hongrie) au sujet d’une décision par laquelle cette dernière a ordonné à l’administration d’Újpest d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite.

Des débats il ressort que : L’article 58, paragraphe 2, sous d) et g), du RGPD doit être interprété en ce sens que : l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous-traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, du RGPD.

De plus l’article 58, paragraphe 2, du RGPD doit être interprété en ce sens que : le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source.

Cette décision vient mettre en lumière la portée du pouvoir de l’autorité de contrôle d’un État membre qui peut ordonner l’effacement de données personnelles, même sans demande préalable de la personne concernée. De plus, cette autorité peut exiger la suppression de données provenant de la personne concernée ou d’une autre source.

22. HDH : des fournisseurs français attaquent la décision de la Cnil favorisant Microsoft

Des opérateurs et associations dont Clever Cloud, Nexedi, Rapid.Space, Cleyrop, l’open Internet project, Bernard Benhamou de l’Institut de la souveraineté numérique, contestent la décision de la CNIL autorisant l’hébergement du Health Data Hub (HDH) sur Microsoft Azure pour le programme européen EMC2.

Leur recours devant le Conseil d’Etat vise à suspendre cette décision et à poser une question préjudicielle à la Cour de justice de l’Union européenne sur sa conformité au cadre de protection des données. La décision de la CNIL a surpris car, elle alerte sur les risques liés aux lois américaines extraterritoriales.

Les requérants estiment que ces lois entrent en conflit avec le RGPD et rendraient caduc le Digital Privacy Framework (DPF). Ce dernier a été mis en place pour encadrer les transferts de données entre l’Europe et les États-Unis. Les plaignants demandent la suspension de la décision de la Cnil et posent une question à la Cour de justice de l’UE. En outre, ils critiquent l’aspect technique du dossier du Health Data Hub, soulignant des problèmes lors de l’audit technique et regrettant le manque de consultation des acteurs du logiciel. Le choix de Microsoft pour l’hébergement est également critiqué, notamment en raison de son processus de marché public contesté. Le débat autour du Health Data Hub et de son hébergement est complexe et génère des retards dans la recherche médicale, selon les requérants.

23. Avant de Cliquer et le Conseil national de l'ordre des experts-comptables rejoignent Cybermalveillance.gouv.fr

Avant de Cliquer et le Conseil national de l’ordre des experts-comptables rejoignent Cybermalveillance.gouv.fr.

Créé en 2017, le GIP compte désormais 65 membres et vise à sensibiliser sur les risques numériques, à aider les victimes de cyberattaques et à observer la menace en France. Avec plus de 280 000 demandes d’assistance en 2023, le site est un guichet unique de la cybersécurité et produit une grande quantité de contenus.

Les nouveaux membres s’engagent à contribuer à la mission du GIP en fournissant des ressources et en partageant ses valeurs.

Leur adhésion souligne l’importance croissante de la cybersécurité pour tous les secteurs.

24. TEMU : Achat de données

La marketplace chinoise Temu a récemment suscité la controverse en proposant une offre commerciale en France permettant aux utilisateurs d’obtenir une récompense en argent et en bons d’achat en échange de leurs données personnelles. Cette campagne, baptisée « Cash reward », a été suspendue temporairement après avoir été largement partagée sur les réseaux sociaux.

Les utilisateurs étaient invités à télécharger l’application et à cliquer sur un lien de parrainage, tout en acceptant de vendre à vie une partie de leurs données personnelles. Suite à la polémique, Temu a décidé de revoir son programme et de l’optimiser en fonction des réactions des clients, dans le but d’assurer une expérience plus claire et satisfaisante pour tous.

Bien que la campagne ait été qualifiée de succès en France, avec de nombreux participants satisfaits, les critiques sur le rachat des données personnelles ont entraîné sa suspension. Temu avait déjà fait marche arrière concernant les données personnelles collectées, affirmant ne recueillir que le nom d’utilisateur et la photo de profil, contrairement à ce qui était initialement stipulé dans les conditions générales de l’offre. Les réactions politiques divergent, certains appelant à la vigilance des consommateurs quant à leurs données personnelles, tandis que d’autres soulignent la nécessité d’une communication claire de l’information. La CNIL, chargée de réguler les données personnelles, doit évaluer la légalité de ces pratiques.

Les conséquences de la divulgation des données personnelles vont du profilage commercial aux risques de phishing et même à des implications potentielles en matière de surveillance gouvernementale chinoise.

Cette affaire met en lumière les préoccupations croissantes liées à la protection des données personnelles dans un contexte de commerce en ligne et de collecte massive d’informations.

achat de données par le site TEMU

25. L’ANSSI publie son rapport d’activité 2023

L’ANSSI vient de publier son rapport d’activité pour l’année 2023, récapitulant les principaux projets, dispositifs et partenariats de l’agence. Vincent Strubel, directeur général de l’ANSSI, souligne les défis rencontrés et les réalisations de l’année écoulée. Malgré les tensions géopolitiques croissantes et la montée de la menace informatique, l’ANSSI a réussi à sécuriser des événements majeurs tels que la Coupe du monde de rugby sans incident notable. L’accent a été mis sur la préparation des Jeux olympiques et paralympiques de Paris 2024.

La directive NIS 2 a été un autre point focal de l’année, visant à renforcer la cybersécurité dans tous les secteurs économiques et services publics. L’inauguration d’ArteFact, le nouveau site de l’ANSSI à Rennes, a renforcé les activités de détection et de supervision des réseaux ainsi que les collaborations avec les partenaires institutionnels, industriels et académiques. Face à une menace omniprésente, l’ANSSI se prépare à relever les défis des JOP avec confiance en l’expertise et l’engagement de ses agents.

Quelques chiffres clés :

  • 3 703 évènements de sécuritéportés à la connaissance de l’ANSSI et qui ont donné lieu à un traitement par les équipes opérationnelles.
  • 1 112 incidents pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime.
  • 25 738 rapports d’audits automatisés (ADS et SILENE)
  • 269 visas de sécurité délivrés
  • 8 guides techniques publés
  • 15 logiciels publiés en open source.

26. Alcees présent au Forum In Cyber 2024

Alcees était présent le mercredi 27 mars 2024 à la 16ème édition du Forum InCyber Europe ( anciennement Forum International de la Cybersécurité – FIC) qui s’est tenu à Lille Grand Palais sur le thème “Ready for AI” ?

Le Forum InCyber est le principal événement européen sur les questions de la sécurité et de confiance numérique. Il se distingue par sa capacité à réunir l’ensemble de l’écosystème de la cybersécurité et du “numérique de confiance”, incluant les clients finaux, les fournisseurs de services, les éditeurs de solutions, les consultants, les forces de l’ordre et les agences gouvernementales, ainsi que les établissements d’enseignement supérieur.

Le cabinet a été représenté par la présidente Carole Njoya et la consultante Odilone Kouadio. Ça a été l’occasion de découvrir de nouveaux services et de rencontrer de nouveaux prospects.

16ème édition du Forum InCyber Europe

Le Cabinet Alcees vous accompagne dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La rédaction de politiques de sécurité des systèmes d’information ( Plan de reprise d’activités/ plan de continuité d’activités) ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Économique Européen ;
  • Le pilotage de l’Intégration de la Cybersécurité et de la Protection des données dans les Projets Stratégiques;
  • La formation et la sensibilisation de vos collaborateurs conformément à une série de normes en vigueur (NIS 2, DORA, ISO 27001, ISO 42001, …).
  • Et bien plus encore, CONTACTEZ NOUS!

Nos derniers articles