« Pognon de dingue » : la boutique de l’Elysée est sous le coup d’une enquête de la Cnil

19 septembre 2018 Adrien Pittore 1

La Cnil a ouvert, le 17 septembre dernier, une enquête qui vise la boutique officielle de l’Elysée. Plusieurs points montrent que la boutique ne serait pas en règle avec le nouveau RGPD et les données personnelles des utilisateurs en ligne ne seraient pas assez bien protégées. L’instruction déterminera si des sanctions doivent être prononcées. La boutique officielle de l’Elysée n’en finit plus de faire parler d’elle. D’abord parce que les chiffres de ventes en seulement trois jours sont tout bonnement exceptionnels. On parle de plus de 7 000 goodies vendus du vendredi 14 au dimanche 16 pour une somme de 347 000€. Mais plusieurs couacs sont venus perturber la tenue de cette boutique. D’abord avec l’histoire de la « fausse porcelaine«  de Limoges dont étaient composées plusieurs objets alors même qu’ils portaient cette mention. De même, les opposants de LaREM parlent de culte de l’image avec la vente d’objets à l’effigie du Président de la République. Enfin, plus récemment, nous apprenons que la Cnil, la Commission nationale de l’informatique et des libertés, mènent actuellement une enquête sur la boutique. Cette dernière est accusée de ne pas respecter les obligations en vigueur nouvellement instaurées par le RGPD, le Règlement Général relatif à […]

RGPD : l’opérateur NRJ Mobile sera-t-il le premier à être sanctionné ?

25 juin 2018 Adrien Pittore 0

En changeant simplement quelques numéros d’une adresse URL, il était possible d’accéder aux données personnelles de n’importe quel client de l’opérateur. Une faille rapidement colmatée mais qui pourrait coûter gros après la mise en vigueur du RGPD. Le 9 juin dernier, plusieurs utilisateurs dont Damien Bancal, journaliste spécialiste en cybersécurité, ont remarqué une importante faille de sécurité sur le site web de l’opérateur téléphonique NRJ Mobile. La boite de Pandore s’ouvrait d’un simple clic La nouvelle faisait tâche alors que le RGPD était entré en vigueur le 25 mai dernier. Le Règlement Général relatif à la Protection des Données est censé redonner aux utilisateurs le contrôle de leurs données personnelles. A condition que les entreprises qui les exploitent mettent leurs procédures en conformité avec ce nouveau texte de lois. Un vaste éventail de sanctions est d’ailleurs pour les entreprises contrevenantes. Et il se pourrait bien que l’opérateur NRJ Mobile soit l’un des premiers à en faire les frais. Damien Bancal expliquait qu’en faisant la démarche classique d’inscription sur le site web de l’opérateur s’affichait une URL suivie d’un numéro de commande. D’un simple clic, il était alors possible d’avoir accès aux données d’un autre utilisateur en changeant simplement la suite […]

Les médecins doivent aussi se conformer au RGPD !

21 juin 2018 Adrien Pittore 0

Avec un mois de retard par rapport à son entrée en vigueur, la CNIL met à disposition des médecins libéraux un guide de mise en conformité avec le RGPD. Un document qui détaille tout un éventail de nouvelles règles auxquels les professionnels de santé doivent se conformer. Guide CNIL CNOM RGPD Médecins de Société Tripalio Il est entré en vigueur le 25 mai dernier, avec un acronyme qui fait peur. Son arsenal de sanctions fait même trembler bon nombre d’entreprises. Le Règlement Général relatif à la Protection des Données, ou RGPD, est bien là ! Mais il ne concerne pas seulement les grandes entreprises. Les professionnels de santé doivent aussi s’y conformer sous peine de voir arriver des amendes plus que salées. Pour rappel, une entreprise contrevenante peut se voir ponctionner jusqu’à 10 000 000€ ou 2% du chiffre d’affaires annuel mondial pour les cas les moins graves, à 20 000 000€ ou 4% du chiffre d’affaires annuel mondial pour les cas les plus graves. Médecins libéraux, gare à vous ! Le 19 juin dernier, la CNIL remettait au Conseil Nationale de l’Ordre des Médecins un guide pratique pour que les médecins libéraux se conforment au RGPD. Ce document d’une quarantaine […]

Fuite de données personnelles : Optical Center échappe de peu au RGPD

8 juin 2018 Adrien Pittore 0

Pour ne pas avoir assez bien sécurisé les données personnelles de ses client, l’entreprise spécialisée dans l’optique écope d’une amende de 250 000€ émanant de la CNIL. Un moindre mal puisque la faille date d’avant l’entrée en vigueur du RGPD. Saisie dès juillet 2017, la CNIL vient de rendre son verdict concernant la faille de sécurité qui rendait visibles les données personnelles de ses clients. Elle condamne Optical Center à une amende de 250 000€. Une amende record pour certain, mais surtout bien inférieure à ce qu’elle aurait dû être si la faille avait été constatée après l’entrée en vigueur du RGPD. Les factures de la discorde La faille était très simple à utiliser. En renseignant plusieurs URL dans la barre de recherche d’un navigateur internet quelconque, des centaines de milliers de factures étaient alors accessibles. Damien Bancal, journaliste spécialisé cyber-sécurité, explique précisément de quoi il retournait. Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée.  L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais […]

Fuite de données : les noms des futurs licenciés de Jaguar-Range Rover révélés !

30 mai 2018 Adrien Pittore 0

Une usine anglaise de Jaguar-Range Rover a connu une importante fuite de données personnelles. Surtout, cette fuite contient un document secret qui annonce les futures mises au chômage des salariés. En lisant le Huffington Post, les 647 employés de l’usine Jaguar-Range Rover de West Midlands en Angleterre ont dû avoir une drôle de surprise. Le quotidien affirme qu’une fuite de données personnelles a eu lieu. Pas très RGPD… Un tableau qui annonce des licenciements Ce seraient donc les coordonnées des employés qui auraient fuité sur Internet. Le document sur lequel a mis la main le média contient les noms, les numéros de paie, les sanctions disciplinaires et le nombre d’arrêts maladie des salariés. Seulement, cette première fuite s’accompagnait d’une seconde plus surprenante: un tableau Excel faisant concorder les noms des employés, leur poste avec des cases de couleurs. Si une partie des employés « sont en vert », d’autres héritent d’une case rouge. Cette couleur annonce leur licenciement prochain. En avril dernier, Jaguar-Range Rover annonçait un plan massif de reclassement. La surprise était de taille pour les salariés. C’est vraiment dégoûtant. Les gens se promènent en disant quand ils quitteront leur poste. C’est embarrassant pour tout le monde. Vous continuez de travailler […]

RGPD : Peut-il y avoir plusieurs responsables d’un même traitement ?

9 mai 2018 Leo Guittet 0

Il reste à peine trois semaines avant l’entrée en vigueur du Règlement européen relatif à la protection des données (RGPD). A cette date, toutes les entreprises effectuant un traitement de données personnelles devront impérativement y être conformes. Pour rentrer dans le cadre du RGPD, il est nécessaire de désigner un responsable pour chaque traitement de données personnelles. Mais à la question de savoir si un seul traitement peut avoir plusieurs responsables, les répondants à nos questionnaires sont moins de 60% à connaître la bonne réponse. [Pour aller plus loin, répondez à nos questionnaires en ligne et demandez notre dossier complet « RGPD : les bons conseils pour réussir » qui vous donne toutes les clefs théoriques et pratiques sur plus de 150 pages] Un traitement de données personnelles peut avoir plusieurs responsables Le responsable du traitement de données personnelles prévu par le RGPD peut être responsable de plusieurs traitements différents à partir du moment où il assume les missions prévues par l’article 24. Mais ce que beaucoup de personnes semblent ignorer, c’est qu’un seul traitement peut avoir plusieurs responsables. C’est l’article 26 du RGPD qui prévoit cette possibilité, on parle alors de « responsables conjoints du traitement ». Pour que de tels responsables soient nommés, il est nécessaire qu’ils déterminent tous les […]

Le site de la FDJ fermé après avoir laissé fuiter les données personnelles de ses usagers !

16 avril 2018 Adrien Pittore 3

Présenté comme un bug d’affichage, l’incident qui touche les sites La Française des Jeux et Parionssport pourrait être plus grave que prévu. Les données personnelles des utilisateurs auraient été communiquées durant le week-end du 14/15 avril ! [Communiqué] pic.twitter.com/ll6SYC8wSt — FDJ® (@FDJ) 15 avril 2018 Joueurs et parieurs ont eu la mauvaise surprise de ne pas pouvoir accéder au site et aux applications de la Française des jeux ce week-end du 14/15 avril. Et si les médias traditionnels se sont attelés à mettre en avant le communiqué officiel qui parle d’un « incident technique interne pouvant se traduire par des incohérences d’affichages à l’écran », Damien Bancal, journaliste spécialisé en cybersécurité, évoque une toute autre problématique. Les données personnelles d’utilisateurs visibles par tous ! Et comme pour la faille Infogreffe, qui rappelons-le nous a été présentée comme une « facilité de navigation », il n’y avait pas besoin d’être un hacker chevronné pour s’en prendre aux clients de la FDJ. Dans les premières heures du week-end, il suffisait de se connecter à son propre compte pour voir s’afficher toutes les données d’un autre joueur. En clair, nom, prénom, adresse mail mais aussi dernier jeu et paris étaient à la portée de tout le monde ! Et […]

Le RGPD menace l’organisme international qui fournit les domaines internet

19 mars 2018 Adrien Pittore 0

En prévision de l’entrée en vigueur du RGPD, l’ICANN cherche un moyen pour que sa base de données « Whois », qui permet de savoir qui se cache derrière un site internet, ne soit pas illégale. Et si le RGPD atteignait l’un des organismes les plus important ? Avec une application le 25 mai prochain, l’ICANN (l’organisme qui fournit les noms de domaines aux sites web), tremble de voir disparaître sa base de données « Whois« . Cette dernière regroupe les propriétaires de sites et leurs données personnelles comme les adresse, les mails et les numéros de téléphone. Dans un souci de transparence, elle permet au grand public de savoir qui se cache derrière chaque site internet. « Whois » bientôt illégale ? Actuellement, plusieurs réunions ont déjà été organisées afin de trouver une solution pour continuer à utiliser cette base de données qui pourrait devenir illégale. Les propriétaires craignent la divulgation de ces informations et donc des représailles physiques. A l’inverse, si « Whois » fermait en Europe à cause du RGPD, cela créerait une zone de non-droit où n’importe quel propriétaire de site pourrait se dissimuler. La solution qui semble aujourd’hui faire consensus serait la création d’une base de données à deux niveaux : l’un qui serait […]

Votre identité virtuelle vaut 1 200 dollars sur le dark web !

13 mars 2018 Adrien Pittore 0

Une récente étude sur les trafics de données personnelles sur le dark web estime à 1 200 dollars le prix de l’identité numérique d’un seul individu. Parmi les données revendues les plus chers, on retrouve les informations concernant les finances personnelles, les comptes d’achats en ligne et les informations contenues sur les passeports et documents d’identité.  Ce n’est une surprise pour personne : nombre d’escrocs rivalisent d’ingéniosité pour voler et revendre les données personnelles du public sur Internet, plus précisément sur le dark web. Une équipe de chercheurs s’est rendue sur plusieurs plateformes d’achats pour estimer ce que vaut l’identité numérique d’un individu. 1 200$ pour la vie numérique d’une personne Les différentes données ne se valent pas entre elles. Ainsi, parmi les données personnelles les plus chers, on retrouve en premier lieu celles qui concernent les finances personnelles avec une moyenne de 710,65$. Les informations des cartes bancaires sont généralement les données les plus prisées. Elles peuvent aussi être disponibles dans un « pack » contenant des informations plus personnelles comme le nom des personnes, leur adresse, leur numéro de sécurité sociale ou encore leur date de naissance.  Sur la deuxième marche du podium, on retrouve les informations disponibles sur les […]

Protection des données personnelles : Facebook obligé de changer sa politique

26 octobre 2017 Adrien Pittore 0

Cibler précisément le public auquel on souhaite s’adresser lorsque l’on est une entreprise est assez intéressant. Alors, elles sont de plus en plus nombreuses à ouvrir des pages « fan » sur Facebook qui permettent de collecter des données sur les utilisateurs. Seulement, le cas d’une entreprise allemande devrait faire jurisprudence dans le cas de la collecte des données personnelles. Nouvelle grosse affaire pour Facebook Ireland Ltd. En 2015 déjà, le représentant du réseau social en Europe avait dû faire face à un recours de 25 000 usagers qui l’accusaient de violer le secret de leurs données personnelles. La plainte avait trouvé un écho auprès du tribunal civil de Vienne. Deux ans plus tard, la société allemande Wirtschaftsakademie Schleswig-Holstein GmbH est accusée à son tour d’avoir utilisé les cookies de Facebook pour recueillir des informations personnelles sur les utilisateurs sans les avertir. Des services de formation directement sur Facebook C’est ce qu’offre la Wirtschaftsakademie via sa page fan hébergée sur le réseau social. Seulement, afin de mieux cibler leurs clients et accessoirement gonfler ses chiffres, l’académie s’est mise à utiliser le « plug-in » Facebook Insight qui permet d’obtenir des statistiques d’audience. Le problème, c’est que ces données, en plus d’analyser vos tendances d’achats, votre utilisation de Facebook […]