RGPD : la CNIL multiplie les actions

Exécutoire depuis le 25 mai dernier, le RGPD oblige les entreprises à revoir leurs pratiques en matière de traitement et de sécurisation des données à caractère personnel. La Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure plusieurs entreprises dans différents secteurs d’activité. Les premières condamnations sont attendues pour la fin de cette année.

 

 

90 jours après l’entrée en application du RGPD, la CNIL a dressé un premier bilan. Entre le 25 mai et le 1er octobre, elle a reçu 742 notifications de violations qui concerneraient les données de 33,7 millions de personnes situées en France ou ailleurs. La majorité (695) sont des atteintes portées à la confidentialité des données personnelles. Les autres peuvent être des indisponibilités des données (infection par un Ransomware qui chiffre tous les fichiers partagés dans l’entreprise), ou d’intégrité (altération).

 

Dans le détail, on apprend que :

  • 421 fuites de données sont liées à des piratages informatiques.
  • 62 sont dues à l’envoi involontaire des données à un mauvais destinataire.
  • 47 ont été provoquées par la perte ou le vol d’un équipement contenant des données.
  • 42 par une publication involontaire.

 

Les erreurs humaines restent donc la cause principale de fuites de données derrière la cybercriminalité. La sensibilisation par des formations de tous les collaborateurs est donc essentielle. Elle permet de mieux appréhender les enjeux du RGPD (et de manière générale, de la sécurité informatique) et de découvrir les méthodes employées par les pirates.

 

 

Ciblage publicitaire

 

Par ailleurs, la CNIL a mis en demeure plusieurs entreprises pour non-respect de la vie privée. C’est le cas de deux start-ups de ciblage publicitaire, Singlespot et TEEMO, pour avoir exploité les données de géolocalisation d’utilisateurs de smartphones sans leur consentement.

Récupérées au travers d’applications mobiles, des données (situation socioprofessionnelle, quartiers fréquentés, magasins privilégiés…) permettent aux enseignes de cibler de potentiels clients à proximité de leurs établissements et de les attirer avec des offres personnalisées.

Problème, ces données des utilisateurs ont été transmises sans que les personnes n’en soient informées et sans que leur consentement ne soit recueilli.

Au terme du contrôle effectué, la CNIL a constaté que plus de 14 millions d’identifiants publicitaires étaient présents dans les bases de données dont plus de 5 millions associés à des données de géolocalisation.

La CNIL a ordonné l’effacement de toutes les données collectées par l’entreprise sans consentement des personnes. Singlespot a trois mois pour mettre en place les recommandations de la CNIL, c’est-à-dire :

  • Recueillir le consentement des utilisateurs dans les conditions prévues par la loi.
  • Définir une durée de conservation adéquate.
  • Assurer la sécurité des données pour que leur activité soit pleinement conforme aux textes.

Concernant Teemo, la procédure de mise en demeure a été clôturée, car elle s’est depuis conformée à la loi « Informatique et Libertés », telle que modifiée par le règlement européen sur la protection des données (RGPD).

 

 

Des sociétés d’assurances ont aussi été mises en demeure par la CNIL pour détournement de finalité des données des assurés. Les groupes Humanis et Malakoff-Médéric ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite. Mais la CNIL a constaté que ces groupes utilisaient ces données personnelles pour de faire de la prospection commerciale de leurs produits et services.

 

 

400 000 € d’amende

 

Suite à un contrôle effectué en février 2018 dans les locaux L’École 42 de Xavier Niel, la CNIL a annoncé sa mise en demeure pour des manquements importants :

  • Des espaces personnels des étudiants pas suffisamment sécurisés avec des mots de passe composés que de huit caractères et envoyés aux élèves par email en clair (sans chiffrement).
  • Un dispositif de vidéosurveillance trop intrusif avec 60 caméras filmant en permanence les espaces de travail des étudiants, les lieux de vie et les bureaux dédiés au personnel administratif.

 

 

Enfin, les entreprises françaises ne sont pas seules à être impactées par le RGPD. La CNPD (la CNIL portugaise) a infligé une amende de 400 000 euros à un hôpital. Parmi les fautes constatées :

  • Des comptes de médecins sans activité à l’hôpital depuis 24 mois, mais qui demeure actif.
  • Une absence de politique de gestion des comptes : « la création d’un compte de test a permis d’accéder à des données médicales nominatives. Le niveau d’habilitation ne prenait pas en considération le profil des personnels et, manifestement, les comptes d’accès au DPI n’étaient pas reliés à l’annuaire RH », explique le magazine DISH.
  • L’absence de gestion des profils d’accès au DPI. Résultat, les personnels « techniques » (techniciens de laboratoire, de biomédicaux, etc. selon le magazine DISH) avaient le même niveau d’habilitation au DPI que les médecins.

 

 

Quelle conclusion faut-il en tirer ?

  • Tous les secteurs d’activité sont concernés par le RGPD.
  • Toutes les entreprises, quelle que soit leur taille, peuvent être contrôlées et mises en demeure.
  • Les violations de dionées privées s’expliquent principalement par un faible niveau de sécurité informatique des entreprises.
  • La sensibilisation par des formations est indispensable pour limiter les risques de fuites de données, qu’elles soient d’ailleurs à caractère personnel ou confidentielles.