• Français -fr 

Piratage

Obligation de sécurisation des données personnelles : nouvelle sanction infligée par la CNIL

Après la sanction infligée à UBER le 19 décembre dernier à hauteur de 400 000€ d’amende, la formation restreinte de la CNIL a prononcé une nouvelle sanction de 250 000 € à l’encontre de la société BOUYGUES TELECOM pour avoir insuffisamment protégé les données de ses clients B&You.

La formation restreinte a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les besoins de ces tests.  Elle a estimé  qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesures de sécurité complémentaires. A cette occasion, la CNIL considère que la revue manuelle du code source lié à l’authentification du site web aurait dû être effectuée.

La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences.

Cybersécurité au niveau européen

La Commission européenne propose la création d’une nouvelle Agence de cybersécurité de l’UE, qui assistera les États membres dans la gestion des cyberattaques, ainsi qu’un nouveau système européen de certification, qui permettra de garantir la sécurité d’utilisation des produits et services dans l’environnement numérique.

« Pokémon Uranium, AM2R, Dragon Ball vs Street Fighter … la dure vie des jeux de fans »

Retrouvez cet article intéressant dans le journal Le Monde, pour lequel j’avais été sollicitée : http://www.lemonde.fr/pixels/article/2016/08/24/pokemon-uranium-ar2m-dragon-ball-vs-street-fighter-la-dure-vie-des-jeux-de-fans_4987144_4408996.html#dVwKbgJyOWX4IkrR.99

Euratch’Days Summer. 5 et 6 juillet 2016. Euratechnologies

J’aurai le plaisir de participer aux Euratch’Days Summer. Un incontournable Demo Day qui permettra de découvrir les stars de demain, mais aussi plusieurs demi-journées thématiques pour aller au coeur des hits du digital et du numérique: IoT, Data.

J’interviendrai le mercredi 6 juillet  sur le thème de la Cybersécurité

Programme

Itinéraire

Sécurité des données des entreprises et Données personnelles, Cité des échanges, 05/11/2015

Nous aurons le plaisir de participer à la 3ème journée des spécialistes organisée par l’Ordre des Avocats de Lille.

Nous animerons deux ateliers sur les thèmes suivants :

-« La sécurité des données de l’entreprise: quelles sont les obligations de l’entreprise et comment la protéger sur le plan juridique » ;

« Données personnelles : se préparer au règlement européen. La question du traitement des données personnelles dans l’entreprise ».

Cette rencontre se déroulera à Marcq en Baroeul dans les locaux de la Cité des Echanges, 40 rue Eugène Jacquet.

Consulter le programme

Les cartes bancaires sans contact

De plus en plus de transactions quotidiennes se font désormais par le biais de cartes bancaires sans contact équipées de la technologie NFC (communication sans fil à courte distance). Au moyen de payer, le commerçant appose votre carte sur le terminal de paiement et… voilà. Vous n’avez plus à composer votre code confidentiel.

Ce moyen de paiement peut être utilisé pour les transactions d’un montant inférieur à 20 euros. Son utilisation est en principe plafonné à un montant cumulé des transactions effectuées, au delà duquel la saisie du code sera demandée.

Les établissements bancaires doivent informer leurs clients de cette fonctionnalité et leur permettre de la refuser, soit lors de la délivrance de la carte soit postérieurement. En cas de refus ou de coût associé facturé par l’établissement bancaire, il conviendra de saisir la CNIL d’une plainte ou le médiateur de la banque.

Cette fonctionnalité soulève des interrogations quant au respect de la vie privée des porteurs et à la sécurité de leurs données bancaires. En effet, les premières cartes sans contact émises en 2012 permettait, par l’intermédiaire de l’interface sans contact de la carte, de connaître le numéro de la carte, sa date d’expiration, le nom du porteur et l’historique des transactions. La CNIL avait recommandé de limiter les informations disponibles. Elle a été partiellement entendue puisque ne sont désormais plus accessibles le nom du porteur et l’historique des transactions. La CNIL continue néanmoins à réclamer, à l’instar de la Commission Européenne, que soit réalisée une analyse de l’impact de ces dispositifs sur la vie privée et que soit mis en place un mécanisme de chiffrement des échanges, de manière à rendre tout accès aux données impossible. 

En effet, à l’heure actuelle, les informations contenues dans la carte peuvent être récupérées très facilement grâce à un smartphone équipé de l’application adéquate et approché de la carte bancaire, à l’insu de son porteur : en quelques secondes sont récupérés le numéro de la carte, la date d’expiration et le nom de la banque.

En attendant le chiffrement, il est possible de s’équiper d’un étui isolant, bloquant l’accès à la technologie NFC qui équipe ces cartes sans contact.

vgelles@jurisexpert.net

Quelques conseils pour éviter l’usurpation d’identité sur les réseaux sociaux

Nous sommes souvent interrogées par des personnes victimes d’usurpation sur les réseaux sociaux.

Un des cas les plus fréquents en ce moment : la personne se lasse des réseaux sociaux et souhaite donc supprimer son compte. Elle découvre alors qu’elle est tenue, dans un premier temps, de le désactiver, avant de pouvoir, plusieurs mois après, obtenir une suppression définitive. C’est dans cet intervalle qu’elle reçoit un message semblant provenir du réseau social et qui vient en réalité d’un tiers mal intentionné qui accède, ce faisant, à son profil et change les codes d’accès.

Le pirate dispose désormais de la main sur le profil de la personne, peut créer d’autres profils sur d’autres réseaux grâce aux photos et données récupérées etc.

Les risques sont nombreux pour la victime : extorsion, usurpation d’identité en vue de commettre des infractions, atteinte à la réputation etc.

Mes conseils : supprimer vos données avant de désactiver votre profil, avertissez sans délai vos proches et le réseau social concerné et…déposez plainte.

vgelles@jurisexpert.net