- Le blog et les actualités de Witik
- La revue des actualités RGPD – Octobre 2023
La revue des actualités RGPD – Octobre 2023
)
L'actualité récente en matière de cybersécurité et de protection des données personnelles montre un paysage en rapide mutation, avec des implications significatives pour les utilisateurs et les entreprises à l'échelle mondiale. De l'assouplissement des réglementations sur les transferts de données en Chine à l'intensification des mesures de protection des données utilisateur par des géants technologiques comme Google en Allemagne, chaque décision a un impact sur la manière dont la vie privée est perçue et protégée. Parallèlement, des incidents de violation de données chez des entreprises comme Sony et des sanctions financières imposées par les autorités de régulation, telles que la CNIL en France et son homologue norvégien, soulignent l'importance cruciale de la conformité au RGPD. Ces développements interviennent alors que des entités telles que la Californie adoptent des lois plus strictes sur les droits des consommateurs et que des instances comme la CNIL publient des directives pour une utilisation éthique de l'intelligence artificielle, témoignant de l'urgence croissante de naviguer avec prudence dans l'écosystème numérique actuel.
Découvrez toutes les actualités juridiques de ces dernières semaines !
Assouplissement des réglementations sur les transferts de données internationaux en Chine
La Chine manifeste une volonté d'assouplir sa réglementation sur les transferts de données internationaux, en réponse aux inquiétudes des entreprises étrangères. L'Administration Chinoise du Cyberespace (CAC) a proposé un nouveau règlement, visant à simplifier les contrôles sur les entreprises et à favoriser les échanges de données au-delà des frontières, dans un contexte économique national tendu. Ces démarches indiquent un changement notable dans la politique de gestion des données personnelles en Chine.
La CNIL rejette la vidéosurveillance algorithmique à Orléans
La CNIL a mis fin à un projet de vidéosurveillance algorithmique à Orléans, initié en collaboration avec la start-up Sensivic, suite à une plainte de la Quadrature du Net. L'expérimentation visait à détecter les bruits anormaux pour prévenir les incidents dans les espaces publics. Cependant, la CNIL a jugé que le système, combinant vidéosurveillance et captation sonore, enfreignait les règles de protection des données personnelles. L'expérimentation a été interrompue en octobre 2022, et la ville et la start-up ont reçu un rappel à l'ordre. Le tribunal administratif d'Orléans n'a pas encore statué sur cette affaire. Cette décision soulève des questions pour les dispositifs de sécurité prévus pour les Jeux Olympiques de Paris 2024, qui prévoient également l'utilisation de traitements algorithmiques.
Pour connaître les détails du rejet.
La sanction de 5,8 millions d’euros de la CNIL norvégienne contre Grindr confirmée
La Commission norvégienne de recours en matière de protection de la vie privée (Personvernnemnda) confirme l’amende de 5,8 millions d'euros que la CNIL norvégienne (la Datatilsynet) avait infligée en 2021 contre Grindr. Le Conseil norvégien des consommateurs avait déposé une plainte en 2020 pour violation du RGPD contre l’application de rencontres gay, bi, trans, et queer qui partageait des informations sur la localisation GPS, l'adresse IP, l'identifiant publicitaire du téléphone portable, l'âge et le sexe (en plus du fait qu'une personne est un utilisateur de Grindr) avec plusieurs tierces parties à des fins de marketing.
Renforcement de la protection des données utilisateur chez Google en Allemagne
L'article traite de la décision de l'autorité de la concurrence allemande d'imposer à Google la modification de ses pratiques en matière de traitement des données personnelles. Cette décision fait suite à une procédure lancée en 2021 par l'Office fédérale de lutte contre les cartels (Bundeskartellamt). Google a été critiqué pour le croisement des données entre ses nombreux services, y compris Gmail, Google News, Assistant, Contacts et Google TV. Suite à cette décision, les utilisateurs auront plus de contrôle sur l'utilisation de leurs données, et Google sera contraint de fournir des options claires et transparentes pour le consentement à l'utilisation des données. Ces changements visent à protéger les données personnelles des utilisateurs et à maintenir une concurrence équitable entre les entreprises.
Découvrir l’article en question.
Sony impacté par l'attaque de MOVEit : 7000 employés concernés
Sony a confirmé être une victime collatérale de l'attaque du logiciel MOVEit par les hackers russes Clop, révélant le vol des données personnelles de près de 7000 employés et ex-employés. Cette attaque, qui a eu lieu fin mai, a également touché plus de 2000 autres entités, principalement aux États-Unis, obligeant Sony à informer les victimes et les autorités en octobre. Le groupe Clop avait menacé de publier ou de vendre les données volées si une rançon n'était pas payée.
IA et respect de la vie privée : Les orientations de la CNIL
La CNIL publie ses premières lignes directrices pour une utilisation éthique de l'IA, mettant en avant la compatibilité entre innovation technologique et protection des données personnelles conformément au RGPD. Ces guides pratiques visent à accompagner les acteurs du secteur, soulignant l'importance de respecter les droits individuels tout en exploitant les opportunités offertes par l'IA dans divers domaines tels que la santé, les services publics et l'efficacité entrepreneuriale. La CNIL insiste sur l'importance de la sécurité juridique, clarifiant les règles applicables à l'IA en encourageant une approche responsable et respectueuse de la vie privée.
Pour en savoir plus sur ces guides.
Amende de 600 000 euros pour le GROUPE CANAL+ suite à des violations du RGPD
Le 12 octobre 2023, la CNIL a sanctionné le GROUPE CANAL+ d’une amende de 600 000 euros pour non-respect des règles de prospection commerciale et de protection des données personnelles. Des plaintes avaient été déposées par des utilisateurs ayant des difficultés à faire valoir leurs droits. L’enquête a révélé plusieurs violations du RGPD et du CPCE, notamment en matière de consentement pour la prospection commerciale, d’information des utilisateurs et de sécurité des données. Malgré la coopération de la société et ses efforts pour se conformer, la CNIL a décidé de rendre publique cette sanction financière conséquente.
Simplification majeure du droit à l'effacement en Californie avec le Delete Act
Adopté le 10 octobre, le Delete Act en Californie entrera en vigueur le 1er janvier 2026, permettant aux résidents de l'État de demander la suppression de leurs données personnelles auprès de tous les courtiers en données via un guichet unique. Géré par la California Privacy Protection Agency, ce processus simplifié renforce le droit à l'effacement déjà en place et impose des audits réguliers et des amendes de 200 dollars par jour pour non-conformité aux courtiers en données. Cette législation place la Californie en avant-garde de la protection des données personnelles.
Enquête sur Yango : Risques de violation de la vie privée sous scrutin
La CNIL néerlandaise a ouvert une enquête sur Yango, l'application VTC du groupe russe Yandex, pour évaluer les risques de violation de la vie privée des utilisateurs européens. Cette initiative fait suite à l'adoption d'une nouvelle législation en Russie, autorisant les services secrets à accéder aux données recueillies par les applications de taxis. L'enquête se concentre sur la possibilité que ces lois affectent également les trajets effectués hors de Russie. Malgré les inquiétudes initiales, la Finlande et la Norvège ont levé leur interdiction de transférer des données personnelles vers la Russie, mais la CNIL néerlandaise reste vigilante, la violation du RGPD pouvant entraîner de lourdes amendes.
Recherche en santé : la CNIL adopte deux méthodologies de référence permettant l’accès à la base principale du SNDS
Les deux nouvelles méthodologies de référence adoptées par la CNIL simplifient l’accès à la base principale du Système National des Données en Santé (SNDS). Elles concernent les organismes agissant dans le cadre de leurs missions d’intérêt public ou de leur intérêt légitime.
Quel objectif ? Permettre aux organismes publics (MR-007) et privés (MR-008), à l’exception des assureurs, de traiter les données de la base principale du Système National des Données de Santé (SNDS), au-delà du seul programme de médicalisation des systèmes d'information (PMSI).
Violation de données chez Shadow : Les informations personnelles des clients compromises
Shadow, entreprise de cloud gaming, a récemment subi une attaque sophistiquée résultant en la fuite de données personnelles de ses clients, incluant noms, adresses, et informations bancaires. L'attaque a été menée via ingénierie sociale, ciblant un employé via Discord. Heureusement, les mots de passe sont restés sécurisés. L'entreprise a réagi rapidement en renforçant ses mesures de sécurité et en alertant ses clients sur les risques de phishing, tout en continuant son expansion dans le secteur B2B.
Découvrir l’article en question.
Euro numérique : le CEPD se prononce !
Le CEPD adopte un avis sur le projet de règlement sur l’euro numérique et rappelle les mesures à prendre pour préserver la vie privée des citoyens européens. Les autorités de protection des données décident de conduire de manière coordonnée des vérifications sur le respect du droit d’accès.
Fuite massive chez 23andMe : Données génétiques de 14 millions d'utilisateurs menacées
Un hacker, se faisant appeler Golem, menace de vendre les données génétiques et personnelles de 14 millions d'utilisateurs de 23andMe, une plateforme américaine d'analyse ADN. Plus de 4 millions de ces données ont déjà été publiées sur un forum de pirates informatiques. Le pirate prétend posséder de "centaines de TB" de données incluant des informations génétiques, de santé et des liens de parenté, et invite les utilisateurs à effacer leur profil avant la mise en vente prévue dimanche. La société, qui avait déjà subi une fuite d'un million de comptes en octobre, nie tout incident de sécurité de ses systèmes et attribue la faille à l'utilisation de mots de passe volés. L'attaquant critique les pratiques de sécurité de l'entreprise et réclame une rançon de 100 000 dollars, tout en diffusant des propos antisémites et en ciblant des familles riches et influentes.
Deezer paralysé par une attaque DDoS d'Anonymous Sudan : la France à nouveau ciblée
Deezer, la plateforme française de streaming musical, a récemment subi une attaque par déni de service (DDoS) orchestrée par le groupe de hackers Anonymous Sudan, la rendant temporairement indisponible. Cette attaque s'inscrit dans une série d'actions similaires visant des institutions françaises, reflétant l'activité croissante d'Anonymous Sudan en France. Bien que la situation sur Deezer soit rapidement revenue à la normale, cette attaque soulève des questions sur la sécurité en ligne et la vulnérabilité des services numériques. Les experts en cybersécurité soulignent le lien potentiel du groupe avec la Russie et mettent en garde contre de futures attaques, appelant à une vigilance accrue et à un renforcement des mesures de protection.
Meta lance un abonnement sans pub pour Facebook et Instagram en Europe
En réponse aux exigences du RGPD, Meta introduit un abonnement payant pour Facebook et Instagram en Europe, permettant une navigation sans publicité à partir de 10 euros par mois. Disponible dans 31 pays européens dès novembre, l'abonnement coûte plus cher si souscrit via smartphone, en raison des commissions d'Apple et Google. Cette initiative vise à compenser la perte de revenus publicitaires tout en se conformant à la législation européenne sur la protection des données, après qu'une tentative précédente de modification des conditions d'utilisation ait été jugée illégale, entraînant une amende de 390 millions d'euros pour Meta.