Actu des DPO & Data Privacy #29 : numéro du 21 au 25 octobre 2024
Quelle est la jurisprudence de la CNIL en matière de ransomwares, alors que son homologue italienne vient de condamner à 900 000 euros d'amende un sous-traitant cyberattaqué ? Un centre de vacances peut-il utiliser la reconnaissance faciale pour ouvrir les portes de sa piscine à ses seuls clients ? Qu'a fait LinkedIn pour mériter 310 millions d'euros d'amende ? Vos bannières de consentement aux cookies sont-elles bien conformes au RGPD ?
Voici les questions que j'aborde cette semaine dans votre traditionnelle newsletter du vendredi qui, j'en suis désolé, prend encore des tournures de coup de gueule (dites moi en commentaire si selon vous je dois continuer à critiquer son manque d'actions, ou si je suis trop sévère avec la CNIL). Pour mémoire, je réalise cette revue en interne dans le cadre de mon travail pour Olympe.legal , qui me permet de la partager avec vous. Merci à toutes celles et tous ceux d'entre vous qui la soutiennent et qui la partagent.
Bonne lecture et à la semaine prochaine !
900 000 euros d'amende pour un ransomware en Italie. Quid en France ?
Cette semaine, à l'occasion du Cybermois dédié à la cybersécurité, la CNIL a communiqué sur le fait que 22% des notifications de violations de données qu'elle a reçues l'an dernier concernaient des rançongiciels, aussi appelés "ransomwares" en bon anglais. Sachant qu'elle a reçu en tout 4668 notifications au total, cela veut dire grosso modo qu'en moyenne, la CNIL a reçu chaque jour 3 notifications de fuites et/ou inaccessibilités de données liées à un ransomware. C'est énorme, et ce n'est que la partie notifiée de l'iceberg.
Et pourtant, j'ai recherché... et je n'ai trouvé aucune - je dis bien aucune - décision de la CNIL condamnant le moindre responsable de traitement ou sous-traitant pour avoir, du fait de mauvaises pratiques de sécurisation des données contraires aux articles 32 et et 5(1)(f) du RGPD, permis que des pirates pénètrent le système de données, le prennent en otage et fassent fuiter des données. Je n'ai rien trouvé, ni dans les décisions publiées par la CNIL sur son site et référencées sur Légifrance, ni même dans les Tables Informatique et Libertés qui donnent quelques précisions sur des décisions non publiées. Les mots "rançongiciel" ou "ransomware" sont absents du document de 292 pages. Tout juste trouve-t-on une mise en demeure à une société anonymisée de mettre un logiciel à jour de ses correctifs de sécurité, sans que l'on sache de quel type de logiciel il s'agit et donc si ça a un possible lien avec un risque d'attaquer par ransomware (n°MED-2023-019).
Or, cette abstention n'est pas partagée par ses homologues. Cette semaine, l'autorité italienne a ainsi condamné à 900 000 euros d'amende un sous-traitant, Postel, qui n'avait pas appliqué deux correctifs de Microsoft Exchange dans son système d'informations, et qui a ainsi permis un an plus tard une attaque par ransomware qui a abouti à l'indisponibilité et à la publication sur le dark web des données de 25 000 personnes. Le Garante Privacy n'a pas traité Postel comme une victime du ransomware, mais bien comme un coupable. Et le niveau de l'amende encourage l'investissement préventif dans la sécurité informatique, et une meilleure écoute de son DPO et de son RSSI.
Je pourrais aussi rappeler des décisions tombées ces derniers mois en Pologne, en Grande-Bretagne, en Espagne, ou encore en Grèce, qui systématiquement condamnent l'organise qui a permis, par ses défaillances, qu'un ransomware s'empare des données.
Plus globalement en matière de sécurité, on ne peut pas dire que l'autorité administrative française soit très soucieuse d'utiliser le bâton pour convaincre de sécuriser. Si mes comptes sont bons, depuis le début de l'année elle a prononcé 9 décisions qui incluent une violation de l'obligation de sécuriser le traitement de données. Sur ces 9 décisions, une seule a été rendue publique (contre PAP.fr, accusé d'avoir stocké des mots de passe en clair). Les 8 autres ont toutes été rendues en procédure simplifiée, donc avec l'assurance d'une discrétion totale et une amende maximale de 20 000 euros.
Dans ces conditions, peut-on s'étonner d'avoir cette semaine encore une fuite des données de 4,3 millions de personnes, qui concernent cette fois les clients de l'auto-école Ornikar (sans parler du piratage revendiqué de 5 millions d'IBAN de Free, que l'opérateur n'a ni confirmé ni infimé) ? Cela fait des mois que les données personnelles fuitent de partout par millions, sans que cela ne déclenche le moindre plan ORSEC. Peut-être la CNIL préfère-t-elle laisser l'ANSSI user de ses futurs pouvoirs de sanction issus de la directive NIS2 lorsqu'il s'agit d'atteintes à la sécurité, mais il me semble que l'ANSSI a elle-même dit qu'elle ne passerait aux sanctions que dans trois ans... Nous voilà bien.
Pays-Bas : des parcs de vacances sommés de ne plus imposer la reconnaissance faciale
Les bracelets, badges et autres clés, c'est bien, mais ça se perd, ça se vole, et ça se prête. C'est sans doute pour cela qu'aux Pays-Bas, des parcs de vacances ont cru judicieux de conditionner l'accès à des loisirs payants au scan du visage du client autorisé à y pénétrer. Mais est-ce légal ? Sans donner le nom des parcs en question, l'autorité néerlandaise de protection des données (AP) indique dans un communiqué qu'elle a enquête sur huit parc de vacances qui utilisaient ainsi la reconnaissance faciale pour conditionner l'accès aux piscines et aux aires de jeux, et conclut que tous violaient la réglementation sur la protection des données.
L'AP rappelle qu'en tant que traitement de données biométriques, la reconnaissance faciale n'est autorisée que dans le cadre d'un usage purement personnel ou domestique (par exemple pour déverrouiller un téléphone mobile), lorsqu'elle est nécessaire pour atteindre un objectif d'intérêt public impérieux (par exemple sécuriser l'accès à une centrale nucléaire) ou enfin, si la personne donne son consentement dans des conditions conformes à celles imposées par le RGPD.
Recommandé par LinkedIn
En l'espèce, les parcs de vacances ne pouvaient faire reposer leur utilisation de la reconnaissance faciale que sur le consentement, mais celui-ci n'était pas obtenu de façon conforme :
L'ensemble des parcs se sont mis en conformité suite au contrôle, à l'exception d'un seul qui fait l'objet d'une mise en demeure jusqu'à décembre. En cas de défaillance continue, le parc risquera une amende.
LinkedIn condamné à 310 millions d'euros pour nous avoir ciblé sans nous demander notre accord
La décision n'est pas encore publiée, mais l'autorité irlandaise de protection des données (DPC) a d'ores et déjà annoncé dans un communiqué qu'elle a décidé d'infliger à LinkedIn une amende de 310 millions d'euros pour des violations du RGPD dans ses traitements de données personnelles de ses utilisateurs à des fins d'analyse comportementale et de publicité ciblée. Il est reproché au réseau social une absence de base légale conforme, et une violation des principes de loyauté et de transparence. Il aura fallu du temps, puisque la procédure est née d'une plainte déposée il y a déjà six ans, en 2018, par La Quadrature du Net . Déposée auprès de la CNIL, la plainte est logiquement remontée ensuite au niveau de la DPC qui est l'autorité cheffe de file chargée de contrôler les activités de la filiale irlandaise du réseau social, qui en a fait son siège européen. La décision de la DPC avait été notifiée aux autres autorités européennes en juillet 2024, conformément aux prescriptions de l'article 60 du RGPD, et aucuce d'entre elles n'a soulevé d'objection. La décision est donc devenue finale, sous réserve de recours.
Nous attendrons que la décision soit publiée pour en comprendre mieux les faits déterminants et l'analyse juridique appliquée. Tout juste sait-on à ce stade que LinkedIn est jugé coupable d'avoir violé les articles 6, 5(1)(a), 13(1)(c) et 14(1)(c) du RGPD.
RTL Belgium condamné pour une bannière de cookies non conforme
En Belgique, l'autorité de protection des données (APD) veut voir des bannières de cookies conformes au RGPD, qui mettent au même niveau de visibilité le bouton "J'accepte" et un bouton "Je refuse", pour que le consentement au traçage à des fins publicitaires soit un véritablement consentement. C'est ce qu'elle a rappelé à RTL Belgium, à la demande de l'association noyb.eu qui agissant en qualité de mandataire. Si vous l'avez manqué, j'ai publié lundi un hors-série à cette newsletter consacré exclusivement à cette décision qui se montre plus exigeante que les recommandations formulées en France par la CNIL, et je vous y renvoie donc pour davantage de détails.
À noter que, contrairement à la décision 112/2024 du 6 septembre 2024 dont je vous avais fait par, par laquelle la chambre contentieuse de l'APD avait rejeté la recevabilité du mandat confié à Noyb, cette fois-ci, dans la décision 131/2024, l'APD a validé ce mandat. Dans le premier cas, l'APD avait conclu que Noyb avait artificiellement orchestré la plainte, la plaignante étant une stagiaire de l'association et ayant provoqué la situation pour générer un grief. Cela avait mené l'APD à considérer la plainte comme un abus de procédure, en violation de l'article 80(1) du RGPD, qui impose que le mandat provienne d'une personne ayant subi une violation spontanée de ses droits. À l'inverse, dans cette décision 131/2024, l'APD a jugé le mandat valide car la plaignante avait elle-même subi directement une violation en visitant le site de RTL Belgium. Elle a estimé que l'intérêt personnel et réel de la plaignante était établi, alors que dans l'affaire 112/2024 la plainte servait principalement les objectifs de Noyb.
Et aussi cette semaine sur Olympe.legal (accès sur abonnement) :
Fondateur associé de SYSGUARD, DPO déclaré à la CNIL (DPO-139111) : j'accompagne les entreprises dans les domaines du RGPD, de la cybersécurité, du web, et en stratégie d'entreprises.
1 moisBonjour Guillaume, Question à propos de la décision de la "CNIL" italienne : La CNIL enquête t-elle réellement après des violations de données ? Prenons l'exemple de la violation de données subies par la filiale RED by #SFR. La CNIL a été informée et doit mener une enquête pour savoir ce qui s'est passé et sanctionner SFR si des défaillances et négligences sont avérées. Depuis aucun retour médiatique... Une seul certitude : aucune sanction de prononcée de la part de la CNIL suite à des violations de données. SFR est-elle "responsable mais pas coupable " ? SFR n'est pas la seule. Qu'en est-il des affaires CULTURA, TRUFFAUD etc. ? C'est à se demander s'il n'y a pas une collusion frauduleuse entre la CNIL et les grands groupes pour des raisons politiques... (Ouh la on ressort la théorie du complot... 😁 ) Et pourtant on recherche 60 milliards d'euros pour nos finances publiques. Bref... Et pourtant vue les catégories de données prises par le ou les pirates (Rappelons qu'il y a des IBAN et des numéros de carte SIM en plus des données d'identification, de contact et de localisation !) Les clients subissent un lourd préjudice moral. Il y de quoi engager une action de groupe contre SFR, qui, probablement a perdu des clients.