Archives par mot-clé : cnil

Exposition de données : la CNIL alerte !

Si les autorités ont tout mis en place pour restreindre au mieux l’accès à l’information sur les tests et les vaccinations au niveau de l’application officielle de vérification qui a été lancé le mercredi dernier sur l’ensemble du territoire français, certaines observations plus démontrer que les maisons de sécurité pour être contournées.

Du côté de la Commission Nationale de l’Informatique et des Libertés, certaines informations peuvent bien évidemment être conservé dans des code-barres. Cependant, l’autorité administrative indépendante interpelle le gouvernement sur la nécessité d’informer les utilisateurs les sensibiliser ces derniers à ce qu’ils n’exposent pas leur passe au sanitaire dans un cadre qui n’est pas approprié.

Cet article va aussi vous intéresser : Le site internet Doctissimo, dans le collimateur de la CNIL pour violation du règlement européen de la protection des données personnelles

« Un simple signal « rouge » ou « vert » pour vérifier le faible risque de contagiosité au SARS-CoV-2 des visiteurs à l’entrée des rassemblements de plus de 1 000 personnes : depuis la présentation de la passe sanitaire, lancé en France mercredi 9 juin, le gouvernement s’est engagé à réduire au minimum les informations accessibles lors du contrôle du document pour limiter le risque d’utilisation malveillante de données personnelles. Inaugurée dès mardi lors de la rencontre amicale de football entre la France et la Bulgarie, à laquelle ont assisté 5 000 personnes au Stade de France, l’application officielle TousAntiCovid Verif n’autorise l’affichage, lors de la vérification du passe sanitaire (test virologique négatif de moins de soixante-douze heures, attestation de vaccination complète ou certificat de rétablissement), que d’une indication « valide » ou « non valide », expliquait Pascal Guyot de l’AFP. Les données récolter ou afficher dans ce cadre sont notamment nominatives à savoir les noms et prénoms. La date de naissance de l’utilisateur est aussi utilisée. Ces informations sont comparées alors au ticket d’entrée qui est nominatif aussi ou tout autre document présentant un caractère d’identité.

Cependant, la question se pose de savoir quelle est l’utilité d’un tel dispositif véritablement ?

Dans certaines mesures lorsqu’on fréquente quelqu’un, il est facile de savoir si cette personne détient déjà un test négatif ou positif à la maladie à coronavirus. Ce qui signifie que le dispositif dans le cadre se présente alors comme nécessaire. Il constituerait alors : « une rupture du secret médical ne respectant pas les droits des usagers », avait signifié, à partir de 20 avril, le comité de liaison et d’information Covid-19, l’organisme qui conseille le gouvernement sur la portée technologique de la pandémie à coronavirus. Pour cette agence, il faut s’assurer des bons réflexes, surtout dans l’agrégation des données on respecte on ensemble des règles établies et surveillées par la Commission Nationale de l’Informatique et des libertés en France ainsi que le règlement général de la protection des données sur le plan européen.

Conserver les données dans les codes-barres ne semble pas être une bonne idée pour certains spécialistes de la sécurité informatique. En effet selon ces derniers, il serait très simple le pouvoir avoir accès à ses données avec des simples applications ou outils qui permet de lire des codes-barres de manière générique. En d’autres termes des informations de santé sont disponible pour toute personne ayant ses appareils ou ces outils numériques.

« La commission relève que les données relatives aux preuves sont conservées en clair [de manière non chiffrée] au sein des codes-barres », précise aussi la Commission Nationale de l’Informatique et des libertés, ce 7 juin lors d’une délibération. L’autorité administrative précise qu’une telle pratique pourrait bien être « admise compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs ». Mais elle conditionne cela à l’information et à la sensibilisation préalable utilisateurs.

Pour ce qui concerne en le décret qui détaille les modalités utilisation du nouveau dispositif qui a été publié ce 7 juin au journal officiel : « la lecture des justificatifs est réalisée au moyen d’une application mobile dénommée TousAntiCovid Verif ». L’acte administratif rend illégale toute autre méthode de vérification – « conserver [ces] documents et les réutiliser à d’autres fins », en cas de violation de la norme, la fonction sera à hauteur de 1 ans d’emprisonnement accompagné de 45 000 € d’amende.

Selon le gouvernement, bien encadré légalement ce dispositif permettrait d’éviter tout dévoiement. De ce fait un registre « détaillant les personnes ainsi habilitées et la date de leur habilitation, ainsi que les jours et horaires des contrôles effectués par ces personnes devra être constitué par tous les exploitants de lieux et les organisateurs des événements concernés. La liste en est elle aussi précisée : stades, chapiteaux, salles de conférences, casinos accueillant plus de 1 000 personnes sont notamment mentionnés. Les parcs zoologiques, d’attractions ou à thème en sont exemptés, comme les transports publics, les cinémas et les théâtres. » comme le précise l’autorité.

Dans le même contexte le secrétaire d’État chargé de la transition numérique Cédric O, « Je ne doute pas que s’il y avait des abus, par exemple de restaurateurs qui tenteraient de l’imposer à leurs clients, nous serions rapidement au courant, ne serait-ce que grâce aux réseaux sociaux. Et des sanctions sont prévues ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rançongiciel : la menace informatique la plus répandue de ces dernières années

Selon le bilan fourni par la Commission Nationale de l’Informatique et des Libertés, cette dernière aurait reçu près de 500 notifications qui portait sur des questions d’attaques informatiques par rançongiciel.

Ce chiffre est littéralement un record, de sorte a poussé l’autorité administrative de qualifier les rançongiciels comme les cybers menace la plus répandue.

En pratique c’est bien évidemment de bonne guerre. Et peu importe les médias spécialisés dans le secteur de l’informatique, il n’est pas rare de voir une notification portant sur une attaque au rançongiciel. Cela s’explique aussi par le guide considérable que récoltent des cybercriminels à chaque fois qu’ils réussissent leur coup. Bien sûr le procédé est simple.

Cet article va aussi vous intéresser : Rançongiciels : les entreprises préfèrent payer

« Il suffit de parcourir les colonnes de Cyberguerre pour s’en rendre compte : les attaques par rançongiciel (ransomware, en anglais) ont la cote dans la cybercriminalité. Il faut dire que les opportunités de gains sont considérables : le logiciel malveillant prend en effet des documents et des fichiers en otage et exige le versement d’une rançon pour, peut-être, les libérer. Mais ce dénouement ne survient pas toujours. » explique, Julien Lausson, Journaliste IT.

En 2020, les rançongiciels ont été sans conteste, la menace informatique la plus populaire. Et on ne va pas le nier, des cybercriminels gagnent beaucoup d’argent par ce procédé. La rançon pour aujourd’hui des millions d’euros. Et avec la police d’assurance qui permet de garantir le paiement, les Cybercriminels ont clairement trouvé leur secteur d’activité. De son côté, la Commission Nationale de l’Informatique et des libertés : « constate une nette progression des notifications liées à une perte d’intégrité (données modifiées illégitimement) et de disponibilité (données inaccessibles pendant un certain temps). Cette évolution est notamment due à la progression des violations résultant d’une attaque par rançongiciel ».

« Il faut dire que pour les assaillants, le rançongiciel permet de gagner facilement de l’argent : les montants demandés s’adaptent à la cible (cela peut aller de quelques ta soirée centaines d’euros pour le particulier à des millions d’euros pour les grandes structures) et la couverture par une assurance fait qu’il est tentant de régler l’incident par un virement et d’attendre une indemnisation. » précise le journaliste Julien Lausson.

La Commission Nationale de l’Informatique et des libertés avait souligné avoir reçu en 2020, près de 2 825 notifications, pour des litiges impliquant les données personnelles. Ce qui constitue une augmentation de près de 24 % par rapport à 2019. Bien évidemment dans cette statistique, Il est inclus, les rançongiciels.

« Les organismes de taille moyenne souvent insuffisamment équipés en matière de sécurité informatique ont été particulièrement touchés par la vague de rançongiciels qui frappe l’ensemble des entreprises et administrations depuis quelques années », précise la Commission Nationale de l’Informatique et des libertés, qui signale de plus « de nombreux manquements y compris pour « des règles élémentaires de protection et de sécurité ».

La menace est donc bel et bien réelle et elle continue de grandir. Il est donc demandé aux entreprises en particulier de faire très attention et de se protéger au maximum.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Facebook face à la justice européenne

La justice européenne dans quelques semaines devra se prononcer sur le caractère légal de certaines actions du plus grand réseau social au monde.

En l’occurrence des partages de données personnelles des utilisateurs entre la société américaine et ses filiales.

Cet article va aussi vous intéresser : Facebook : une fuite de données expose des centaines de millions de numéros de téléphone

Cette saisine de la cour de justice de l’Union européenne a été suite à une demande de la cour provinciale de Düsseldorf en Allemagne. La saisine avait pour but de demander à l’instance européenne de trancher sur des questions concernant les interprétations du règlement général des données personnelles à propos des actions de partage de données d’utilisateurs de Facebook avec d’autres plateformes qui lui sont affiliées tels que WhatsApp et Instagram. Une question qui semble notamment intéressées plusieurs organismes étatiques tel que l’organisme équivalent de la CNIL en Irlande.

« C’est un nouvel épisode qui s’ouvre sur le partage des données personnelles des utilisateurs entre Facebook et ses filiales, WhatsApp et Instagram. La Cour provinciale de Düsseldorf, en Allemagne, vient finalement de décider de renvoyer la question de la légalité de ce partage à la Cour de justice de l’Union européenne » précise Alice Vitard, journaliste IT

Les enjeux liés à cette affaire au monde depuis le mois de février 2019. C’est d’ailleurs à cette date, que l’Office fédéral de lutte contre les cartels connus sous la dénomination originale de Bundeskartellamt, institution qui équivaut à l’autorité de la concurrence en France, a estimé que le plus grand réseau social au monde, Facebook n’importe est pas suffisamment d’informations à ces utilisateurs sur la portée des croisements de données que Facebook effectuera avec les autres branches à de son groupe dont Instagram et WhatsApp.

Vu que le processus ainsi que la portée de ce croisement de traitement des données n’ont pas été bien spécifié par le réseau social Facebook, le faire valider par la station de simples conditions générales d’utilisation sur l’ouverture d’un seul compte sur l’une des applications n’est pas envisageable dans ce certain sens. L’autorité allemande a estimé à l’heure que cela peut constituer une autorité de position dominante de la part de Facebook, car le réseau social à leur mettre sur pied un service de publicité ciblée de manière assez efficace à mettre à la traîne sa concurrence.

Dans ce contexte, l’autorité anti concurrence allemande à exiger de la part de réseau social de revoir le contenu de ces conditions générales d’utilisation en faisant en sorte que cela convienne aux dispositions développées dans le règlement général de la protection des données. Facebook de son côté a donc fait appel près de la cour provinciale de Düsseldorf. La problématique ainsi présentée à la juridiction allemande a infirmé la première décision de l’autorité anti concurrence. Saisie par un pourvoi de l’autorité allemande de la concurrence, la cour suprême de son côté donne raison à cette dernière, qui renvoie alors l’affaire près des juges de la cour provinciale de Düsseldorf. Face à cette situation, les jugements alors demandé à la cour de justice de l’Union européenne de trancher cette affaire son point de vue sur l’interprétation du règlement général de la protection des données. « La question de savoir si Facebook abuse de sa position dominante en tant que fournisseur sur le marché allemand des réseaux sociaux, parce qu’il collecte et utilise les données de ses utilisateurs en violation du RGPD, ne peut être tranchée sans en référer à la CJUE » a signifié le tribunal.

Cette situation semble réjouir pour autant Facebook, même si rien n’a encore été décidé, surtout que rien n’est encore en son avantage. « Aujourd’hui, le tribunal de Düsseldorf a exprimé des doutes quant à la légalité de l’ordonnance du Bundeskartellamt et a décidé de transmettre les questions à la CJUE », a déclaré un porte-parole de Facebook. « Nous pensons que l’Office fédérale des cartels a mal appliqué le droit européen ».

Une chose est certaine, vu les circonstances et vu la portée de la chose, les dépressions des juges de la cour européenne de justice auront bien sûr un effet de jurisprudence.

Par ailleurs, il faut mentionner que plusieurs autres institutions à travers le monde tiennent à cœur de pouvoir eux aussi prendre cette situation et la comparer à leur législation en matière de protection des données personnelles d’utilisateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le guide de la Commission Nationale de l’Informatique et des Libertés sur l’appariement de données avec le SNDS utilisant le NIR

L’autorité administrative indépendante chargée de veiller à la protection des données personnelles des Français, a publié récemment un guide portant sur l’appariement des données personnelles avec un système national de données de santé.

Un système qui utilise en particulier le numéro d’inscription au répertoire encore appeler le numéro de sécurité sociale. Le guide a été publié depuis le 8 janvier dernier.

L’objectif de l’autorité administrative est « d’aider les chercheurs désirant travailler avec les données du SNDS à mettre en œuvre un circuit d’appariement conforme aux exigences de sécurité » et « accompagner les responsables de traitement ». La Commission Nationale de l’Informatique et des libertés décrit le guide comme un document qui « présente les circuits [de circulation du NIR] les plus classiques, conformes aux obligations légales et validés » par la commission. De ce fait, il devra contenir « les critères devant conduire à recourir à un tiers indépendant afin de cloisonner les données d’appariement [et ainsi d’éviter que le responsable de traitement ne dispose de données identifiants], ainsi que les critères permettant de s’assurer de l’indépendance de ce tiers » comme l’explique l’autorité administrative.

L’indépendance mis en évidence ici concernant morceau demande et dépendance économique, mais aussi l’indépendance juridique. Par ailleurs la personne tierce concernée ne doit pas être dans une situation dans laquelle il serait dans un certain conflit, d’intérêt, car c’est de ça qu’il s’agit, avec les responsables du traitement.

« Les traitements prévoyant l’usage du NIR comme identifiant pivot pour réaliser des appariements déterministes de données de santé avec le SNDS nécessitent une attention particulière » a expliqué la Commission Nationale de l’Informatique et des libertés. L’autorité administrative a par ce fait « identifié plusieurs écueils fréquents dans le cadre du traitement des demandes d’autorisation » qui lui ont envoyé « une circulation inutile du NIR et/ou des données de santé ». De plus, « le recours superflu à un tiers alors que le NIR est déjà connu du responsable de traitement ou du centre investigateur qui participe au projet de recherche » ou bien « l’implication d’une entité faisant en réalité partie du même organisme que le responsable de traitement et ne pouvant donc pas être considérée comme un ‘tiers’. ».

En définitive, le guide fourni par l’agence est de faire en sorte que la collecte de données ainsi que leur traitement dans un grand ensemble soient totalement conformité avec les règles produites dans le règlement général des données personnelles. Le nouveau guide est beaucoup plus à l’attention des organisations de santé ainsi que tout organisme ayant un intérêt quelconque ou pas ce type de collecte de données. Pour ce qui concerne dans les sanctions rien n’a été prévu dans le guide fourni par la Commission nationale de la Liberté. C’est qui en effet légitime en ce sens que c’est un guide. Mais pour cet ensemble est organisé et bien évidemment encadré par des règles qui sont présentes dans la RGPD.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Données personnelles : la Commission Nationale de l’Informatique et des Libertés veut rassurer à propos du fichier vaccin COVID

On se rappelle, il y avait une polémique à propos du fichier électronique que le gouvernement devrait mettre en place dans le but de mieux suivre et gérer la vaccination anti CoVid.

Du côté de la Commission Nationale de l’Informatique et des libertés, la structure apporte son accréditation pour la mise en place de l’initiative. Pour se faire, quelques recommandations ont été apportées par l’autorité administrative indépendante pour avoir une meilleure maîtrise de la chose.

La question de la transparence est essentielle. Surtout dans une situation où le scepticisme règne en maître. Les données personnelles qui vont en découler à travers la mise en place du fichier de suivi doit être explicite et au mieux pour permettre de lever tout amalgame. Et comme on le sait ce genre de sujet est sensible.

Cet article va aussi vous intéresser : Vaccin de Covid-19 et le piratage informatique

Le 25 décembre dernier, le gouvernement français prends un décret pour autoriser la création de fichier qui suivra le traitement du vaccin. Ce traitement a porté le nom de SI vaccin COVID. Le fichier dont il est question ici est censé correspondre aux informations recueillies sur les personnes qui ont été vaccinées ou qui sont programmées pour être vaccinées. L’objectif est de pouvoir mieux organiser la campagne de vaccination ainsi que de pouvoir bien suivre les procédures d’approvisionnement du vaccin. Il y a aussi un intérêt au niveau de recherche et du suivi en pharmacovigilance.

Sollicité de son côté, la Commission Nationale de l’Informatique et des libertés à répondu à un courrier qui lui a été adressée par le ministère de la santé et des solidarités. L’idée était d’avoir le maximum d’informations sur cette initiative et la portée au niveau des données personnelles. L’autorité administrative indépendante de son côté n’a pas manqué de fournir certaines recommandations et elle a rappelé sur plusieurs notamment, l’aspect législatif. L’institution a mis en évidence la distinction fondamentale entre données personnelles et données de santé. Les données personnelles sont entre autres ces informations qui ont trait à l’identité, coordonnées de la personne et au numéro de sécurité sociale. Les données personnelles incluent aussi les données de santé qui peuvent être les critères pour être éligible au vaccin. Des critères qui sont déterminés par le ministère de la santé. La Commission Nationale de l’Informatique et des libertés a voulu rappeler que : « ces données sont protégées par le secret médical et ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel ».

Selon les informations sur le fichier, les informations qui y seront contenues auront une durée de conservation de 10 ans. Dans la mesure où des personnes se feraient vacciner un nouveau, la durée de conservation pourra atteindre 30 ans.

Les personnes qui auront droit à ces informations sont entre autres :

– Les professionnels chargés de faire les vaccins

– La CNAM

– L’Agence nationale de sécurité du médicament et les produits des santés

– Les médecins traitants lorsqu’ils ont le consentement du patient.

Les informations qui seront récoltées seront rendus anonymes de sorte à ne pas à te joindre des identités à des données particulières. Comme le précise la CNIL, ces données seront bel et bien disponibles pour : « certains personnels de l’agence nationale de santé publique (ANSP) et des agences régionales de santé (ARS) afin de suivre la couverture vaccinale et organiser la campagne de vaccination. Ces données peuvent également être communiquées à la direction de la recherche, des études, de l’évaluation et des statistiques (DREES) du ministère chargé de la santé afin d’établir des statistiques ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage