S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

IDMerit, spécialiste du KYC, aurait exposé 1 milliard d’enregistrements, dont 52 millions relatifs à la France

La vie privée, ça se mérite

IDMerit, spécialiste du KYC, aurait exposé 1 milliard d’enregistrements, dont 52 millions relatifs à la France

Illustration : Flock

IDMerit, entreprise californienne spécialisée dans les processus de vérification de l’identité du client, est accusée d’avoir laissé en accès libre un jeu de bases de données contenant les données personnelles d’environ un milliard de personnes, dont 52 millions de Français.

Le 20 février à 08h50

Peut-on encore parler d’intrusion dans un système informatique quand la porte d’entrée est laissée béante ? Une enquête de Cybernews, publiée le 18 février, affirme qu’une entreprise spécialisée dans les processus de vérification d’identité du client (ou KYC, pour know your customer) avait laissé en accès libre une instance MongoDB d’environ 1 To.

Cette dernière hébergeait plusieurs bases de données qui, dans leur ensemble, représentaient environ 3 milliards d’enregistrements. Dans le lot figuraient environ 2 milliards de lignes correspondant à des logs (un historique d’activité), et 1 milliard d’informations considérées comme des données personnelles.

1 milliard de données personnelles exposées

« Plusieurs bases de données semblaient contenir des données redondantes pour un même pays. Cependant, notre équipe estime que la plupart des enregistrements étaient uniques », affirme Cybernews. Au total, les informations couvriraient un échantillon significatif de la population de 26 pays différents, avec 52 millions d’enregistrements qui émaneraient d’internautes français.

26 pays seraient concernés par cet ensemble de bases de données – crédit Cybernews

Outre le volume, la nature des données exposées est également particulièrement problématique. Selon Cybernews, l’instance contenait en effet des informations personnelles détaillées, avec coordonnées complètes, date de naissance et pièces d’identité. Dans certains jeux de données apparaissaient aussi des métadonnées liées à la ligne téléphonique ou d’autres critères que les auteurs de la découverte n’explicitent pas tels que des « annotations de profil social ».

« À cette échelle, les risques en aval comprennent la prise de contrôle de comptes, le phishing ciblé, la fraude à la carte de crédit, l’échange de cartes SIM et les atteintes à la vie privée à long terme », alerte Cybernews. Le média souligne par ailleurs le caractère très structuré des différentes bases de données exposées, qui facilite selon lui une exploitation à l’échelle industrielle, notamment grâce à des outils d’IA.

Exposées, mais téléchargées ?

Cybernews affirme que ses chercheurs ont découvert l’instance en question le 11 novembre dernier. Ces derniers ont dans la foulée contacté l’entreprise IDMerit qui a immédiatement sécurisé l’accès aux fichiers concernés. Un temps trop tard ? « Bien qu’il n’existe actuellement aucune preuve d’utilisation malveillante, des robots d’exploration automatisés mis en place par des acteurs malveillants parcourent constamment le web à la recherche d’instances exposées, les téléchargeant presque instantanément dès leur apparition », redoute Cybernews.

L’hypothèse de pirates capables de littéralement scanner Internet à la recherche de bases de données accessibles est pour mémoire tout à fait sérieuse, a minima pour les adresses IPv4.

Exigences de conformité

Inconnue du grand public, IDMerit est une entreprise californienne qui fournit des services de vérification d’identité à des banques, des émetteurs de services financiers, mais aussi des e-commerçants, des mutuelles, des assurances, des opérateurs téléphoniques ou des acteurs du jeu d’argent en ligne.

Tous ces secteurs ont en effet besoin, à des niveaux divers, de contrôler l’identité précise de la personne qui souscrit un service, notamment à des fins de conformité : une banque doit par exemple pouvoir justifier qu’elle connait ses clients (au sens vérification d’identité) dans le cadre des lois contre le blanchiment d’argent.

Les outils de vérification nécessaires sont généralement implémentés en marque blanche (le nom du prestataire n’apparait pas). À cette première brique très opérationnelle, IDMerit ajoute la promesse d’une capacité à enrichir les données, en croisant les différentes sources d’information à sa disposition, pour aider par exemple un établissement financier à déterminer le profil de risque du client qui cherche à souscrire un crédit.

« Nous intégrons des informations détaillées issues de sources de données officielles pour une analyse de données plus poussée. L’intégration de données démographiques telles que la situation géographique, le statut socio-économique, le sexe et l’âge nous permet d’améliorer considérablement notre capacité à identifier et à signaler les facteurs de risque et à optimiser la détection des fraudes », vante par exemple l’entreprise.

Ces intermédiaires, dont le métier consiste finalement à agréger un maximum de contexte autour de données personnelles, constituent de ce fait une cible de choix pour les pirates.

IDMerit n’a pas, à ce stade, commenté publiquement les informations révélées par Cybernews, et pourra peut-être se permettre de rester silencieuse si aucune action malveillante ne peut être rattachée aux informations issues de cette instance mal sécurisée.

Sumsub alerte sur une intrusion

Sumsub, un autre prestataire de KYC très utilisé par les plateformes spécialisés dans les cryptomonnaies (mais aussi par Duolingo) n’a pas eu cette chance. Début février, l’entreprise (basée à Londres) a communiqué au sujet d’une intrusion survenue dans son système en juillet 2024. L’incident a été découvert a posteriori, à l’occasion d’un audit de sécurité conduit en janvier dernier.

« D’après les informations actuellement disponibles, l’enquête de Sumsub indique qu’en juillet 2024, un acteur malveillant externe a soumis une pièce jointe malveillante via une plateforme de gestion de tickets d’assistance tierce, ce qui a permis un accès non autorisé limité à un environnement interne lié à l’assistance. », décrit Sumsub.

L’entreprise affirme que les données exposées consistaient principalement en une série de noms, mais elle indique aussi qu’une partie des enregistrements contenait des adresses email et des numéros de téléphone. Dans ce cas précis, aucune pièce d’identité, information biométrique ou information bancaire n’aurait été exposée ou compromise.

Sumsub comme IDMerit revendiquent sur leurs sites les certifications courantes de type ISO 27001 ou SOC2, ainsi qu’une totale conformité aux règlements européens ou états-uniens encadrant l’exploitation de données personnelles.

IDmerit vante la sécurité de ses services sur la page d’accueil de son site – capture d’écran

Commentaires (43)

votre avatar
Encore un MongoDB ouvert aux quatres vents... c'est pas le premier et sûrement pas le dernier !

Même après de multiples fuites, ils n'ont semble-t-il toujours pas changé la config par défaut qui écoute sur toutes les adresses IP (0.0.0.0) et n'a pas d'authentification activée.

Quid du RGPD dans tout ça ?

52M de français dans cette base, on doit pas être loin de l'ensemble de la population majeure, mais je ne connaissait même pas cette entreprise qui détient très probablement des données perso me concernant.
votre avatar
on parle de bancaire, donc plutôt quid de PCI-DSS (v4) :)
votre avatar
PCI-DSS c'est spécifiquement pour les cartes de paiement, pas pour le bancaire en général.
votre avatar
ok un iban n'est pas noté donnée confidentielle au sens pci-dss
votre avatar
PCI c'est le numéro de carte principalement, et les données associées CVV, DDV (validité) etc ...

Le reste c'est hors scope PCI-DSS, mais ça reste dans le cadre RGPD.

l'ISO27001 c'est bien, mais la certif peut se faire sur un périmètre limité.
Si la certif est mise en avant en grand, il faut regarder si c'est bien tout le périmètre qui est pris en compte où une petite portion.
De plus, la 27001 c'est un système de management, pas une règle absolue, c'est fait pour s'améliorer au fil du temps sur le périmètre audité.

Est-ce que l'accès aux chiotes est ISO270001 ? possible, mais possible que la gestion du SI le plus sensible ne le soit pas lui.
votre avatar
J'avoue que je suis choqué qu'il y ai tant de données (à priori uniques) de français dans cette base.
Elles viennent d'où ?
votre avatar
Récoltées par l'implémentation en marque blanche de leurs solutions au sein de nos application bancaire, si j'ai bien compris.
votre avatar
pas grand chose de détaillé
« Nous intégrons des informations détaillées issues de sources de données officielles pour une analyse de données plus poussée. L’intégration de données démographiques telles que la situation géographique, le statut socio-économique, le sexe et l’âge (...)
votre avatar
Pas 52 millions de personnes, mais 52 millions de lignes dans la base :cap:
votre avatar
J'ai fait une demande récemment à l'équipe de Pihole pour avoir la possibilité de n'écouter que sur une liste d'adresses précises et pas sur toutes les adresses de la machine.

Les mainteneurs m'ont donné des conseils de configuration avancée permettant de faire cette sécurisation mais m'ont dit qu'ils n'envisagent pas de modifier l'UI car ce n'est pas une demande courante.

Dans le fil de discussion de ma demande d'ajout de fonctionnalités, une personne en dehors de l'équipe de dev, s'est étonnée de ma demande en me disant: « mais tous les services écoutent sur toutes les adresses de tous les ports ».

Je lui ai répondu que la sécurité n'était pas une option et que l'écoute sur toutes les adresses représentait un danger mais il m'a expliqué qu'il n'avait pas le choix car faire autrement posait un problème technique.

La raison invoquée se tient: quand on débranche un câble Ethernet momentanément, toutes les écoutes ciblant expressément une adresse sur ce port, sont fermés. Du coup, on perd en autre ssh et la seule solution est de redémarrer la machine de force pour en retrouver l'accès. Avec l'écoute générique, pas de problème.

La solution que j'ai proposée est toute simple: autoriser l'écoute sur les adresses que le noyau n'a pas, ou pas encore via une configuration de sysctl:
net.ipv6.ip_nonlocal_bind = 1
net.ipv4.ip_nonlocal_bind = 1

L'écoute sur toutes les adresses est de fait une mauvaise habitude généralisée et peu de gens ont la volonté et la capacité de faire autrement.

La plus part des admins gèrent la problématique via le firewall, quand ils y pensent, et seuls les gens qui ont plusieurs services identiques tournant en parallèle, se posent vraiment la question de faire autrement.

On en revient donc à : « la nécessité rend intelligent ».

Si on en revient au cas présent qui a pour point commun avec beaucoup d'autres fuites de concerner un sous-traitant, on peut se demander : qui a validé leurs compétences et leur organisation ? Ont-il été audités de manière indépendante pour valider leurs processus et leurs compétences ? Je ne pense pas et c'est là que réside, je pense, la principale solution pour mettre fin à ces fuites.

De fait, soit le donneur d'ordre est en mesure d'auditer lui même ses sous-traitants et c'est ce que j'attendrais d'une banque, d'une assurance ou de l'état, soit le donneur d'ordre s'en remet à une certification indépendante comme pourraient le faire les fédérations sportives ou les petites collectivités locales qui n'ont de fait pas la capacité d'auditer ces prestataires par eux-même. Il va sans dire qu'audit ou certification implique des vérifications régulières et pas juste pour la signature initiale du contrat.

Dans un cas comme dans un autre, les prestataires devraient être validés par audit ou par certification pour que la décharge de responsabilité puisse être actée. Sans cela, les donneurs d'ordre sont coresponsables au sens du RGPD.
votre avatar
Le souci c'est qu'avec des problèmes de configuration comme celui-là, les entreprises vont toujours pouvoir arguer qu'il existe des besoins business derrière ces pratiques et que modifier la configuration par défaut serait mauvais sur le point. Quand les directions entendent qu'un changement pourrait faire fuir des clients, rare sont ceux qui l'acceptent.

Tu parles des certifications mais ce n'est pas vraiment fait pour la sécurité (à part celles qui sont très rigides et qui ne sont pas d'utilisation large mais spécifiques). Très souvent, c'est fait pour le commercial et les entreprises vont tenter de juste cocher les cases. La sécurité est toujours une questions de point de vue car Le risque ne peut jamais être nul, c'est un équilibre entre la facilité d'utilisation et la friction, un curseur quoi.

Je le vois chaque jour avec l'ISO 27001 qui n'est pas vraiment compris et appliqué avec la sécurité en ligne de mire puisque c'est un système de gestion d'un système d'information plutôt.
votre avatar
C’est quand même en train d’évoluer avec le CRA. La norme doit maintenant être fermé par défaut, et il faut ouvrir uniquement ce qui est nécessaire.

Donc typiquement, écouter sur 0.0.0.0 serait une mauvaise pratique au sens du CRA. Et pas de mot de passe, je n’en parle même pas.

Après on part de tellement loin…
votre avatar
C'était cra-cra ce qu'ils font

Si c'est fait à la va-vite ils ne vont laisser la configuration par défaut
votre avatar
@swiper

La 27001 vise à certifier qu'on est capable de gérer correctement un SMSI (système de management de la sécurité de l'information). Elle ne témoigne en effet pas directement de la mise en place de bonnes mesures de sécurité, ce qui serait plutôt le rôle d'une 27005, ou d'autres certifications du même genre.

Mais en principe, si on est capable de valider une 27001 et une 27005, on est déjà bien au dessus du niveau de sécurité d'une large partie des entreprises françaises, qui ne parviennent pas à atteindre un niveau correct vis-à-vis du Guide d'hygiène de l'ANSSI...
votre avatar
Le guide de l'anssi devrait être obligatoire dans beaucoup de boites à mon avis. J'ai déjà bossé avec des boites ISO 27001, certes elles sont généralement plus mature sur ces sujets mais je peux t'assurer que la certif ça peut être beaucoup de mise sous le tapis de ce que tu ne veux pas montrer à tes auditeurs. J'aime beaucoup l'EBIOS RM pour la gestion des risques qui contrairement à la 27005, dit explicitement que le socle de base est primordial, avant même l'analyse de risques.
votre avatar
Donc mode d'emploi de la vie privée en ligne :

  • ne rien laisser s'identifiable en ligne

  • se faire quand même fuiter car un aggregateur a de toute façon tout récupéré via des sources indirectes voire administratives



C'est moi ou on va devoir partir de principe que c'est de toute façon foutu ? 😓
votre avatar
Je repense à l'édito de Next de la semaine dernière affirmant qu'il ne faut pas abandonner sur les données privées.........

Il ne faut pas expliquer par la malveillance ce qui relève de l'incompétence... mais à ce stade mon côté paranoïaque en vient à penser qu'il s'agit d'une stratégie. S'il n'existe plus de données privées à force des fuites, on habitue la population à bien vouloir donner ces informations d'elle-même au lieu de devoir procéder à des opérations de récupération plus ou moins coûteuses, puisque de toute façon c'est forcément déjà dans la nature.
votre avatar
Mon avis (opinion) : oui, c'est déjà foutu, parce que techniquement il n'est plus possible de maîtriser ses données. C'est un énorme problème de l'informatique actuelle, à l'ère de l'intelligence artificielle (qui n'est que du traitement informatique très lourd sur une base monumentale de données) : qui peut dire aujourd'hui que l'usage des données (personnelles ou pas) est maîtrisé ? Objectivement : personne. Même en retirant l'IA on était déjà dans le caca dur.
votre avatar
Si on veut protéger nos données à 100% afin que rien ne fuite du tout, c'est en effet mort de nos jours... A moins de vivre en ermite dans les montagnes.
Reste toujours la possibilité de limiter au possible ce qu'on partage, ça diminuera sans doute les croisements possibles de données et le "dossier" associé à notre nom sera plus fin.
C'est quand même désolant...
votre avatar
Ca s'appelle pas le dossier Epstein ? Ok, je sors........ :bocul:

Ah, et le "We take your security privacy seriously", ça me fait penser à un tee-shirt que j'ai vu et que je voudrais reproduire où c'était marqué :

GAFAM take your privacy seriously
votre avatar
Faites péter les demandes d'information au titre du RGPD sur legal@idmerit.com

Il y a 95 % de chance risque que vous soyez dedans !
votre avatar
To legal@idmerit.com

Objet GDPR Erasure Request – Data Exposure

Dear Sir or Madam,

Following the recent report of a large-scale data exposure involving IDMerit, I request confirmation as to whether my personal data has been processed or included in the exposed database.

Pursuant to Articles 15 and 17 of the EU GDPR, I formally request:

  1. Confirmation whether you process my personal data and a copy of such data.

  2. Immediate erasure of all personal data relating to me, unless you can demonstrate a lawful basis for its retention.


Please confirm in writing within the statutory one-month period required under the GDPR.

Sincerely,
[Full Name]
[Email Address]

Note : pas trop top le CSS...
votre avatar
Question naïve, ils font la jointure comment entre la demande et les infos concernées par la fuite ?
L'adresse mail je suppose, a condition de leur donner la bonne. 1 Milliard de comptes, ça doit faire quelques homonymes ...
l’instance contenait en effet des informations personnelles détaillées, avec coordonnées complètes, date de naissance et pièces d’identité.
Pour la demande de copie du contenu, vu le genre d'infos, je sais pas si je préfère pas encore qu'ils s'abstiennent de les refaire circuler si on est vraiment dans la liste.
votre avatar
Comment ils font la jointure ? Aucune idée. C'est à eux de me le dire et de demander ce qu'il faut pour discriminer les enregs (genre nom+prénom+date de naissance, ça fait déjà un bon tri). Et pour avoir la copie, j'espère qu'ils enverront (si par hasard ils répondaient) un zip chiffré, ou qqch du genre. En respectant le RGPD, bien sûr.
votre avatar
Autre point non abordé par l'article: le croisement des données sans le consentement des personnes concernées.

Croiser des données des européens sans leur consentement est juste interdit dans toute l'Europe. Quand ces données sont croisées hors Europe, le résultat de ces traitement illégaux devrait être également illégal.

Pourquoi laisse-t-on les société Européennes utiliser des services basés sur des traitement illégaux ?
votre avatar
Quel article du RGPD interdit cela ?
Merci de citer la partie pertinente de l'article.

Pour rappel, il y a 6 conditions de licéité du traitement dans le RGPD (article 6) et le consentement n'est qu'une des 6.

Par contre, l'article 14 me semble non respecté.
votre avatar
Merci pour ce rappel,

Article 6:
| Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
|
| a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
|
| b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
|
| c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
|
| d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
|
| e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
|
| f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

La société IDMerit se vante de réunir des informations de sources différentes donc elle croise des données qui peuvent individuellement lui avoir été confiées dans un cadre légal (le cas a), mais croiser ces données avec celles confiées par d'autres acteurs ne fait pas partie de ce cadre.

Pour moi, aucun des 6 cas de l'article 6 ne sont valables dès lors qu'une entreprise privée mélange des données collectées dans des buts distincts, par des collecteurs distincts :

cas a) : il faudrait que les personnes aient donné un accord valable sur une constellation de sociétés, ce qui serait contestable car l'accord doit être donné pour chaque société, nommément (les données confiées à Fessebouc ne doivent pas être utilisées par whatsapp par exemple),

cas b) : il faudrait qu'un contrat concerne en même temps toutes les sociétés donc les données sont mise en commun. Là encore, même META n'y est pas parvenu. ;

cas c) : les traitement légaux concernent une conservation et une mise à disposition aux autorités, pas une fusion à ce que je sache ;

cas d) : aucun intérêt vital de la personne n'est en jeux quand il s'agit de noter un risque d'assurer un prêt ou d'accepter un contrat de mutuelle. C'est même tout l'inverse car une personne atteinte d'une maladie incurable à toutes les chances de se faire lâcher.

cas e) : non applicable à une société privée telle que IDMerit

cas f): je ne pense pas qu'il puisse être démontré que la fusions de données soit un cas légitime.

Bref, la fusion des données opérée par IDMerit est selon moi illégale. J'estime donc qu'il est tout autant illégal de faire appel à des services basés sur ces traitement illégaux. Exemple: obtenir une note de risque en fournissant juste le prénom et le nom d'une personnes.
votre avatar
Pour moi, l'intérêt légitime (f)) est ici ce qui permet de le faire et je suis plutôt frileux sur cette justification d'habitude.

La seule raison d'être de cette société est de fournir des informations sur des personnes à d'autres sociétés, en particulier des banques qui sont soumises par la loi à connaître leurs clients (KYC). Les traitements faits par les banques sur ce point sont justifiées par le c) obligation légales. Je me demande si l'obligation sur les banques ne rendrait pas ce traitement par cette société aussi légal de façon indirecte puisqu'elle contribue au respect du KYC par les banques.

Sans la possibilité de faire des croisements de fichiers, cette société disparaît quasiment. Il lui reste peut-être une ou deux activités annexes. C'est donc bien un intérêt légitime pour cette société de traiter ces données.

Par contre, l'avantage de l'intérêt légitime est que l'on peut demander la suppression de nos données personnelles et surtout s'opposer au traitement.

Il reste que l'article 14 du RGPD n'est probablement pas respecté (informer la personne lors du transfert de données personnelles au maximum un mois plus tard)

Il faut aussi voir si les données ont été collectées sur des bases légales, mais je crains qu'hélas, ça soit le cas dans plein de cas où les gens acceptent le transfert de leurs données à des partenaires de celui qui les récolte pour des buts divers qu'ils ne lisent pas.

Attention, pour le cas a), ton exemple de Facebook et Whatsapp est mauvais parce que lors du rachat du second par la première, le fait de ne pas transmettre les données personnelles entre ces deux activités a été imposé par l'autorité de la concurrence de l'UE pour autoriser le rachat. Ce n'est pas le RGPD qui l'interdit.
C'est pour cela que je pense que la collecte des données a dû être faite sur des bases légales.

Nota : ta lecture du cas c) me semble trop restreinte.
votre avatar
Je ne suis pas d'accord avec ta vision sur la justification de la fusion de données pour des traitement légaux.
Les banques, par exemple, doivent collecter elle-mêmes toutes les données leur permettant de connaître leur clients. Le meilleur exemple est le questionnaire permettant d'évaluer et de ré-évaluer régulièrement, le niveau de risque acceptable par les clients pour savoir quels produits financiers peuvent leur être proposé.

De mon point de vue, aucune législation Européenne ne peut servir de base à une société de droit Européen, pour faire fusionner par un acteur privé les données fournies par leurs clients à des données qui ne leur ont pas été communiquées directement par ces clients.

Rien à voir avec les obligations de communication à TRACFIN qui sont quand à elles bien dans le cas c.

Je ne partage pas non plus ton point de vue sur la possibilité d'invoquer l'intérêt légitime:

| Sans la possibilité de faire des croisements de fichiers, cette société disparaît quasiment. Il lui reste peut-être une ou deux activités annexes. C'est donc bien un intérêt légitime pour cette société de traiter ces données.

J'imagine que ce serait leur défense mais, on peut évacuer cet argument via un raisonnement par l'absurde: le dealer à vraiment besoin de vendre de la drogue car sinon, son business tombe à l'eau. Son activité peut-elle être considérée comme légale car constituant un intérêt légitime ?

IDMerit ne devrait pas avoir le droit de vendre ses services de fusions de données à des sociétés soumises au droit européen.
votre avatar
Tu confonds tout.

KYC n'est pas lié au risque acceptable lors des placements financiers. Ça, c'est une autre obligation.
C'est au contraire très proche des obligations TRACFIN puisque cela doit permettre aux organismes financiers de détecter des mouvements suspects par exemple s'ils ne sont pas cohérents avec tes revenus ou ta fortune personnelle. Ça fait partie des mesures anti-blanchiment et lutte contre le financement du terrorisme. Ça devient très difficile pour un établissement financier de savoir le gérer tout seul, d'où l'apparition de ce genre de sociétés.

Et comme les sanctions peuvent être très lourdes pour les banques en cas de manquement, elles sont quasi obligées de faire appel à leurs services, internaliser le traitement sortirait de leur métier.
votre avatar
Je ne confond pas. Quand je cite TRACFIN, c'est le volet activités illégales donc le volet légal. C'est juste un exemple de traitement dans le cadre du cas C. Une banque doit signaler les transfert importants par exemple.

Le risque acceptable dont je parle est un risque de non remboursement. Une banque a le droit de te demander de prouver que tu n'a pas un comportement problématique comme jouer aux courses ou faire des pari en ligne, qui pourrait te rendre incapable de rembourser un prêt. Pour cela, la banque n'a pas le droit d'obtenir ces informations via des société privées comme IDMerit, à ma connaissance.

En revanche, une banque ou une assurance n'a pas le droit, à ma connaissance, de demander des informations médicales.

KYC n'a donc rien à voir avec la lutte contre le blanchiment et surtout pas aux obligations légales. C'est purement du business et du profilage via des données fusionnées sans base légale selon moi.
votre avatar
une assurance n'a pas le droit, à ma connaissance, de demander des informations médicales
Si, lors de la souscription d'une assurance décès-invalidité, il faut remplir un questionnaire avec sincérité (sous peine de nullité en cas d'affection volontairement cachée).
votre avatar
J'imagine que ce serait leur défense mais, on peut évacuer cet argument via un raisonnement par l'absurde: le dealer à vraiment besoin de vendre de la drogue car sinon, son business tombe à l'eau. Son activité peut-elle être considérée comme légale car constituant un intérêt légitime ?
Si la loi disait "il est interdit de vendre de la drogue, sauf intérêt légitime", le raisonnement tiendrait la route. Or aucune exception de ce type n'est prévue pour la vente de drogue, tandis que pour le RGPD oui.
votre avatar
En effet et c'est une brèche que des juges vont devoir traiter un jour ou l'autre via une jurisprudence car c'est la porte ouverte pour faire n'importe quoi.

En quoi la survie d'une entreprise peut-elle constituer une justification pour faire un usage détourné de données personnelles détenues ?
votre avatar
vous pourriez faire une feuille de style d'impression ? actuellement je dois passer par le mode simplifié de firefox
votre avatar
C'était pas particulièrement prévu mais je note l'idée. En attendant, utiliser ce code (dans la console du navigateur) améliore pas mal l'impression par défaut :

document.querySelector('header')?.remove();document.querySelector('.next-header')?.remove();document.getElementById('share-mobile')?.remove();
votre avatar
merci là il tient sur 2 pages pas le temps de faire propre

à la prévisualisation l'affichage est bon en mettant chaque ligne en citation mais en postant ça foire

pastebin
votre avatar
De mieux en mieux ...
votre avatar
Merci pour cet article qui fait encore monter le merdomètre.
J'aurais bien aimé en savoir un peu plus sur les "annotations de profil social"...
votre avatar
C'est nouveau que certains articles ne soient que dans le bandeau en haut et non dans la liste des articles ?
votre avatar
Non, ça a toujours été comme ça depuis le rachat et ça peut faire rater des articles, même si comme ça change, on les retrouve assez vite dans la liste.
votre avatar
OK. Merci pour la réponse. J'ai du louper plein plein d'articles alors car je masque ce bandeau qui est beaucoup trop grand et trop flashy à mon goût.
votre avatar
Cela n'en finit plus. C'est incroyable, voilà une base de données qui contient probablement mes identifiants, il y a 52 millions de français, sans que je le sache, et alors que je n'ai aucun lien avec cette société, et qui a laissé ouvert aux 4 vents sa base de données. Désespérant. Et là, que peut faire la CNIL, pour une société basée aux États-Unis ? Comment une telle chose est-elle possible ? Comment peut-on communiquer mes informations à une société étrangère sans que je sois informé ?