Dernières actualités en matière de sécurité des données 🚨

Bienvenue dans cette nouvelle édition de #SynXplore, notre Newsletter qui explore pour vous - toutes les deux semaines - un thème de la #cybersécurité, à travers l’actualité, pour vous apporter un éclairage sur ses enjeux, ses risques et ses évolutions.

L’objectif ? Vous aidez à dompter cet écosystème en perpétuel mouvement 🛡️

La protection des données est cruciale pour garantir la confidentialité, l’intégrité et la sécurité des informations personnelles.

Dans un environnement en constante évolution, où les menaces cyber et les vols d’identité sont en constante augmentation, sécuriser l’identité numérique permet aux individus de contrôler leur présence en ligne et aux entreprises de renforcer la confiance avec leurs utilisateurs. Un outil essentiel pour préserver les droits et la vie privée des utilisateurs dans un monde ultra connecté.

Au programme :

• L’usurpation d’identité en ligne : l’identité numérique comme réponse forte et coordonnée au niveau européen
• Fichier sur les antécédents judiciaires : la Cnil tance l'Intérieur et la Justice
• Une banque mécontente ! Pas de négligence grave pour des clients arnaqués suite à un appel de spoofing
• Sanction contre LinkedIn : "La bataille est la validité du consentement", Ariane Mole (Bird & Bird)
• Besoin de récupérer votre compte Facebook ou Instagram ? Meta a une nouvelle astuce pour cela

L’usurpation d’identité en ligne : l’identité numérique comme réponse forte et coordonnée au niveau européen

L’usurpation d’identité est un problème majeur à l’échelle européenne, exacerbé par l’essor du numérique. En 2022, en France, plus de 210 000 citoyens ont été victimes de cette fraude, entraînant des pertes économiques de plus de 6 milliards d’euros. Ce phénomène est également en forte croissance dans d’autres pays européens, comme le Royaume-Uni, l’Allemagne et l’Italie. Les techniques utilisées pour commettre ces fraudes, telles que les deepfakes et le phishing, sont de plus en plus sophistiquées, rendant leur détection et leur prévention difficiles. L’impact sur les victimes est considérable, avec une moyenne de 200 heures et jusqu’à 1 200 euros nécessaires pour récupérer son identité, une situation qui affecte également la confiance des citoyens dans les services numériques.

Le problème de l’usurpation d’identité est d’autant plus complexe à traiter au niveau européen en raison des disparités législatives entre les pays membres. Tandis que des pays comme la Suède disposent de lois strictes et de systèmes de protection robustes, d’autres nations sont encore en phase de développement législatif. Cette hétérogénéité des régulations complique la coopération transfrontalière et freine les efforts de lutte contre ce phénomène.

L’identité numérique pourrait offrir une solution innovante. Elle permettrait de sécuriser l’identité des citoyens et des entreprises contre les actes frauduleux. Toutefois, pour que cette technologie soit pleinement efficace, une harmonisation des réglementations à l'échelle européenne est nécessaire, ainsi qu’une adoption plus large des solutions d’identification numérique.

Découvrez ici, l’article complet ➕

Fichier sur les antécédents judiciaires : la Cnil tance l'Intérieur et la Justice

La CNIL a récemment adressé un avertissement aux ministères de l'Intérieur et de la Justice concernant des manquements relatifs au fichier de traitement des antécédents judiciaires (TAJ), un fichier centralisé qui recense des données sur les victimes, les prévenus et les personnes impliquées dans des enquêtes pénales. Ce fichier est utilisé par les forces de l’ordre et les magistrats dans le cadre d’enquêtes judiciaires et administratives.

Lors d’une procédure de contrôle, la CNIL a identifié plusieurs violations des règles de protection des données personnelles, notamment l’absence de mesures suffisantes pour garantir l’exactitude des informations, l’information des personnes concernées, et le respect des droits d’accès, de rectification et d’effacement des données. Parmi les problèmes relevés : les données des personnes acquittées, relaxées ou faisant l’objet d’un non-lieu ou classement sans suite ne sont pas systématiquement mises à jour ou effacées ; certaines personnes ignorent même l’existence du traitement de leurs données. De plus, les ministères ne respectent pas les délais de traitement des demandes d'accès, de rectification et d’effacement des données.

En conséquence, la CNIL a formulé deux injonctions : 

1. Mettre en conformité les traitements avec les articles de la loi Informatique et Libertés relatifs à l’exactitude des données, l’information des personnes et le respect de leurs droits ;
2. Prendre les mesures nécessaires pour rectifier ou effacer les données inexactes, incomplètes ou obsolètes et garantir l’exercice des droits des personnes.

Les ministères concernés ont jusqu’au 31 octobre 2026 pour se conformer à ces exigences.

Découvrez ici, l’article complet ➕

Une banque mécontente ! Pas de négligence grave pour des clients arnaqués suite à un appel de spoofing

La Cour de cassation a rendu un arrêt le 23 octobre 2024, statuant que les victimes d’escroqueries au faux conseiller bancaire ne peuvent être considérées comme responsables de négligence grave.

Lors d’une récente affaire, un client de BNP Paribas avait perdu 54 500 euros après avoir été trompé par un faux conseiller, utilisant le spoofing pour masquer son numéro. La banque avait alors refusé de rembourser le client, arguant de la négligence de celui-ci. Cependant, la Cour de cassation a estimé que la banque avait la responsabilité de prouver cette négligence grave, et a conclu que le client ne pouvait être tenu responsable. Par conséquent, la banque est tenue de rembourser les sommes volées.

Cette décision souligne l’augmentation des fraudes liées au spoofing et au phishing, qui ont causé un préjudice de 379 millions d’euros en 2023, en France. Face à cette menace, un nouveau mécanisme a été mis en place au 1er octobre 2024, obligeant les opérateurs télécoms à bloquer les appels ne pouvant justifier de leur authentification.

Découvrez ici, l’article complet ➕

Sanction contre LinkedIn : « La bataille est la validité du consentement », Ariane Mole (Bird & Bird)

L’autorité irlandaise de protection des données, la Data Protection Commission (DPC), a infligé une amende de 310 millions d’euros à LinkedIn, une filiale de Microsoft, pour non-respect du Règlement général sur la protection des données (RGPD). Cette sanction fait suite à une plainte collective déposée par l’association française Quadrature du Net, qui défend les droits numériques.

L’enquête a mis en lumière le fait que LinkedIn utilisait les données personnelles de ses utilisateurs pour réaliser des analyses comportementales et proposer des publicités ciblées. La DPC a conclu que LinkedIn ne pouvait justifier ce traitement de données que par le consentement explicite de ses utilisateurs.

Découvrez ici, l’article complet ➕

Besoin de récupérer votre compte Facebook ou Instagram ? Meta a une nouvelle astuce pour cela

Meta a introduit un nouvel outil utilisant la reconnaissance faciale pour simplifier et sécuriser l’accès aux comptes Facebook et Instagram. Par le passé, Meta avait abandonné cette technologie pour des raisons de confidentialité, jugeant que son utilisation, comme le marquage automatique des photos, ne compensait pas les risques potentiels d’abus. Aujourd’hui, la reconnaissance faciale revient, mais exclusivement pour renforcer la sécurité d'accès aux comptes. 

Ce nouveau système repose sur des selfies vidéo que les utilisateurs peuvent envoyer s’ils perdent l’accès à leur compte. Meta garantit que le selfie est chiffré, stocké en toute sécurité, et supprimé après vérification, assurant que les données ne seront jamais visibles sur les réseaux sociaux. 

Découvrez ici, l’article complet ➕

En savoir plus 💡

• Les obligations en matière de protection des données personnelles (RGPD) ;
• La sécurité des données.