La CNIL met en demeure Humanis et Malakoff-Médéric pour avoir violé le RGPD

19 octobre 2018 Adrien Pittore 0

La CNIL a procédé à la mise en demeure des groupes Humanis et Malakof-Médéric. Ces derniers sont accusés d’avoir fait un usage commercial des données personnelles de « milliers de cotisants » inscrits chez l’Agircc et l’Arrco. Ils ont un mois pour cesser ces activités. Les deux géants de l’assurance que sont Malakoff Médéric et Humanis sont rattrapés par la CNIL. Jeudi 18 octobre, le gendarme du numérique a mis en demeure les deux groupes pour avoir fait une utilisation frauduleuse des données personnelles issues des caisses complémentaires de retraite Agirc et Arrco. Au total, cinq sociétés gérées par ces deux groupes ont un mois pour stopper totalement ces pratiques. « Plusieurs milliers de personnes concernées » En somme, Humanis et Malakoff-Médéric se sont rendus coupables d’avoir eu accès aux données personnelles de plusieurs milliers de personnes, données originellement détenues par l’Agircc et l’Arrco. Elles devaient servir à recouvrir les cotisations et payer les allocations retraite. Seulement, les deux groupes auraient fait, d’après l’AFP, une utilisation commerciale de ces données. On parle de « prospection pour des produits et des services », une utilisation bien entendue interdite par le Règlement Général pour la Protection des Données Personnelles (RGPD). Cet usage a concerné plusieurs centaines de milliers […]

RGPD : 742 violations de données personnelles signalées en 4 mois

18 octobre 2018 Leo Guittet 0

La CNIL vient de faire un premier bilan des violations de données personnelles signalées depuis l’entrée en vigueur du RGPD. Du 25 mai 2018 au 1er octobre 2018, ce sont 742 violations de données personnelles qui ont été notifiées à la CNIL. Ces violations concerneraient les données de plus de 33 millions de personnes. CNIL violation de données personnelles de Société Tripalio La commission propose même un top 5 des secteurs d’où proviennent ces notifications. On retrouve en première position l’hôtellerie, puis viennent les sciences techniques, les commerces auto-moto, l’information et la communication, et en 5e position c’est la finance et l’assurance que l’on retrouve. La majorité (65%) des violations signalées proviendrait d’actes de malveillance. Dans son infographie, la CNIL rappelle que les responsables de traitement ont 72 heures pour notifier la violation des données. Sa politique affichée est d’accompagner les acteurs dans la sécurisation des systèmes, la communication auprès des personnes concernées, et la limitation des conséquences des violations constatées.

Une fuite de données sur InfoGreffe, concernant les entrepreneurs, refermée

25 septembre 2018 Adrien Pittore 1

Dernièrement, Damien Bancal, journaliste spécialisé en cyber-sécurité, a mis en lumière une faille majeure sur le site InfoGreffe. Faille rapidement colmatée mais qui tombe tout de même sous le coup du RGPD. La structure ne mettait donc pas tout en oeuvre pour protéger les données de ses utilisateurs. Dernièrement, nous traitions du partenariat entre le site InfoGreffe et le réseau Linkedin. Ce partenariat devait permettre à la seconde plateforme de mettre en ligne un nouvel onglet qui répertoriait les informations principales à connaître sur les entreprises que l’on recherche. Seulement, il semblerait que les deux sites en aient oubliés de prendre les précautions d’usage quant à la sécurisation de ces données, sachant que certaines peuvent être considérées comme des données personnelles. A l’heure où le RGPD a été mis en place il y a déjà plusieurs mois, l’information revêt une importance tout particulière. Un numéro de commande tout sauf sécurisé La faille était des plus simples à exploiter. Comme nous l’explique Damien Bancal, journaliste spécialisé en cybersécurité, lorsque l’on procédait à l’achat d’un acte sur le site InfoGreffe, on recevait une adresse correspondant à l’achat en question. Seulement, dans cette adresse URL apparaissait aussi le numéro de notre commande. Il […]

« Pognon de dingue » : la boutique de l’Elysée est sous le coup d’une enquête de la Cnil

19 septembre 2018 Adrien Pittore 1

La Cnil a ouvert, le 17 septembre dernier, une enquête qui vise la boutique officielle de l’Elysée. Plusieurs points montrent que la boutique ne serait pas en règle avec le nouveau RGPD et les données personnelles des utilisateurs en ligne ne seraient pas assez bien protégées. L’instruction déterminera si des sanctions doivent être prononcées. La boutique officielle de l’Elysée n’en finit plus de faire parler d’elle. D’abord parce que les chiffres de ventes en seulement trois jours sont tout bonnement exceptionnels. On parle de plus de 7 000 goodies vendus du vendredi 14 au dimanche 16 pour une somme de 347 000€. Mais plusieurs couacs sont venus perturber la tenue de cette boutique. D’abord avec l’histoire de la « fausse porcelaine«  de Limoges dont étaient composées plusieurs objets alors même qu’ils portaient cette mention. De même, les opposants de LaREM parlent de culte de l’image avec la vente d’objets à l’effigie du Président de la République. Enfin, plus récemment, nous apprenons que la Cnil, la Commission nationale de l’informatique et des libertés, mènent actuellement une enquête sur la boutique. Cette dernière est accusée de ne pas respecter les obligations en vigueur nouvellement instaurées par le RGPD, le Règlement Général relatif à […]

RGPD : le Japon rejoint l’Europe sur les lois pour la protection des données

19 juillet 2018 Adrien Pittore 0

L’Union Européenne et le Japon se sont accordés sur un accord économique historique. parmi les volets étudiés, on retrouve un alignement de la législation japonaise au RGPD. Les Etats-Unis sont-ils en train de durablement perdre de leur superbe ? Dans le contexte actuel, la question n’est plus si saugrenue tant Donald Trump déchaîne ses détracteurs. Mais surtout, mercredi 18 juillet, l’Europe et le Japon signaient un accord économique historique. Cet accord commercial crée la plus grande zone mondiale de libre-échange. De nombreuses taxes et droits de douane vont ainsi être abaissés. En Europe, ceux qui concernent l’importation de voitures japonaises diminuera de 10%. En retour, le Japon supprime les taxes sur le fromage et le vin européen. Parmi les volets de cet échange, il faut aussi noter le rattachement du Japon au RGPD européen. Tokyo a ainsi accepté d’aligner sa législation sur le nouveau Règlement général de protection des données personnelles. 127 millions de consommateurs japonais concernés En Europe, le RGPD est entré en vigueur le 25 mai dernier. Ce dernier déploie un nouvel arsenal pour permettre à l’utilisateur de reprendre le contrôle des données personnelles dont disposent les entreprises. Pour les représentants européens qui ont défendu ce projet, c’est […]

En période de vacances, les données personnelles des clients de Selectour fuitent sur le net

19 juillet 2018 Adrien Pittore 1

En quelques clics, il était facile pour des pirates d’accéder aux données personnelles des clients et vendeurs de l’agence de voyage en ligne Selectour. Une faille qui aurait été corrigée.  La période est particulièrement critique. En plein mois de juillet, nombreux sont ceux qui cherchent le bon plan pour partir en vacances. Dans ce cas, plusieurs opérateurs proposent des « bons plans » et autres « deals éclairs ». Pour autant, certains ne sont pas encore au fait du RGPD dont l’entrée en vigueur était le 28 mai dernier. C’est le cas de « Selectour », coopérative qui regroupe plus de 1 200 agences de voyages et qui propose des « voyages pas cher ». Une API qui laisse filtrer nom, prénom, adresse physique, mail et téléphone Là encore, pas besoin d’être un génie de l’informatique pour avoir accès aux données personnelles des clients enregistrés sur la plateforme. Comme le confie Damien Bancal, journaliste spécialisé en cyber-sécurité, « la fuite était conséquente et concernait l’API du site. » [Après l’inscription], mon prénom est apparu dans un URL. Accolé à ce prénom, l’intégralité des informations … des voyages des autres clients prénommés Damien ! Autant dire que mettre un autre prénom dans l’url n’était qu’un jeu d’enfant. Damien Bancal, journaliste En […]

Insolite : une mutuelle demande un consentement RGPD … par papier

11 juillet 2018 Adrien Pittore 1

Garance Mutuelle a envoyé à ses adhérents un formulaire pour recueillir leur consentement pour le traitement de leurs données personnelles. Seulement, ce dernier apparaît comme ayant de nombreuses failles. « C’est pas très RGPD tout ça… » L’entrée en vigueur du RGPD fait frémir les entreprises mais aussi les médecins ou encore quelques particuliers. Depuis, on assiste à la course au consentement. Chaque acteur qui traite des données sensibles use de toutes ses ressources pour recueillir l’accord des consommateurs. Et si ce consentement se donne généralement sur le net, certains n’oublient pas que des consommateurs ont encore quelques difficultés avec les nouvelles technologies. C’est de cette façon que Garance Mutuelle a envoyé à ses assurés un recueil de consentement…sur papier. Au passage, on note une fuite de données personnelles… La situation est plus cocasse, voire carrément ubuesque. Garance Mutuelle a donc envoyé un formulaire papier qui vise à obtenir le consentement de l’adhérent afin qu’il reçoive les newsletter et propositions commerciales par mail ou par SMS. Rempli, le formulaire est alors à retourner à la Mutuelle. Seulement, plusieurs problèmes majeurs apparaissent. D’abord, l’adresse du DPO est inscrite sur le même formulaire. Ce qui veut dire que si vous voulez faire une réclamation, […]

Droits sur vos données : soyez prêts à prouver votre identité

9 juillet 2018 Leo Guittet 1

Depuis l’entrée en vigueur du Règlement général relatif à la protection des données (RGPD), qui n’a pas reçu une flopée de mails provenant de sites internet plus ou moins oubliés indiquant que vos données personnelles font l’objet d’un traitement ? Ce nouveau Règlement oblige tous les responsables de traitement à délivrer une information claire et intelligible sur ce qu’ils font des données personnelles. Surtout, les individus ont tous des droits sur ces données (on parle de Data Subjects Rights). Nos lecteurs le savent, ces droits sont au nombre de six (tous détaillés ici) : il y a un droit d’accès, un droit de rectification, un droit à l’oubli, un droit à la limitation du traitement, un droit à la portabilité des données, et un droit d’opposition au traitement. Cependant, l’exercice de ces droits n’est pas automatique et peut être soumis à une étape préalable importante : la preuve de son identité. Cette étape pourrait être un prérequis quasi-systématique dans bien des cas. Explications. La preuve d’identité pour l’exercice des droits sur ses données : de l’exception à la généralisation ? Tous les individus doivent pouvoir solliciter l’exercice de leurs droits conférés par le RGPD auprès des responsables de traitement. L’article […]

Avec le RGPD, un salarié pourrait potentiellement consulter les mails de son employeur

26 juin 2018 Adrien Pittore 0

L’information lâchée par le très sérieux Guardian avait de quoi surprendre. Outre la théorie et les fantasmes, en pratique, le RGPD ne permet pas tout.  Le 24 avril dernier, l’article du Guardian faisait passer quelques frissons chez le patronat. Le quotidien britannique affirmait qu’avec l’entrée en vigueur du RGPD, il deviendrait possible pour n’importe quel salarié d’avoir accès aux courriels de leur employeur.  Ce ne sera pourtant pas aussi facile et cette information est à nuancer. Surtout sur le territoire français. Le droit britannique renforcé par le RGPD Que les patrons hexagonaux se rassurent, leurs courriels ne devraient pas être consultables par leurs salariés. En tous cas, pour l’instant. L’article du Guardian met cependant en lumière une particularité du droit des salariés britanniques. En cas de conflit avec leur employeur, ces derniers sont en droit de faire « une demande d’accès par sujet ».  L’employeur disposait alors de 40 jours « pour rassembler une mémoire cache de toutes les informations stockées sur cette personne. Cela comprend tout courriel qui fait référence au travailleur, ainsi que les examens de rendement, les entrevues d’emploi, les dossiers de paie, les dossiers d’absence, les dossiers disciplinaires, les registres d’accès à l’ordinateur, les séquences de vidéosurveillance et les enregistrements […]

1 2 3 6