La CNIL surarmée pour constater les fuites de données personnelles

La CNIL surarmée pour constater les fuites de données personnelles

Piratage informatique légal

Avatar de l'auteur

Marc Rees

Publié dansDroit

29/06/2013
14
La CNIL surarmée pour constater les fuites de données personnelles

Lors de l’examen du projet de loi sur la consommation, la CNIL s’est vue armer de nouvelles capacités d’enquêtes, notamment dans le cadre d’une fuite de données personnelles. Elle pourra ainsi mettre son nez dans des serveurs en ligne, sans pouvoir être accusée de piratage. Explications.

undefined

 

Une disposition a été ajoutée par les députés dans le projet de loi sur la Consommation. Elle vient modifier la loi Informatique et Libertés de 1978 pour doter les agents de la CNIL de nouvelles capacités dans leurs enquêtes.


À ce jour, quand une fuite de données personnelles est soupçonnée chez un opérateur, comme ce fut le cas chez TMG le prestataire des ayants droit pour Hadopi, les membres et les agents de la CNIL peuvent se voir délivrer tous documents utiles. Ils peuvent se rendre sur place ou convoquer les responsables du traitement ou encore « accéder aux programmes informatiques et aux données » etc. Toutes ces opérations se font contradictoirement comme le spécifie l’article 44 de la loi de 1978.


Une disposition du projet de loi sur la consommation va muscler considérablement ses pouvoirs. En plus des contrôles sur place, elle autorise ses membres à faire des constats en ligne. « Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles » explique l’article 48 du projet de loi Consommation, déjà voté par les députés.

Constatation et piratage informatique

Le texte est généreux puisqu’il autorise la CNIL à scruter toutes les données, mêmes celles « rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ». En clair, en cas de problème de cookies ou de fuite de données personnelles en ligne, la CNIL sera autorisée à mettre son nez même au plus profond des serveurs non sécurisés pour y effectuer les constats qui s’imposent. Le tout, à distance.


Une fois dans ces serveurs, les agents de la CNIL pourront « retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle». Ces mesures se font alors sans contradictoire, lequel n’est réservé qu’aux vérifications et visites effectuées sur place ou sur convocation.

Obligation de notifier les failles de sécurité

Cet ajout par les députés intervient au moment même où est publié un règlement européen important en matière de sécurité. Programmé pour le 25 août prochain, le texte oblige les responsables de traitement à notifier les violations de données à caractère personnel aux CNIL nationales. Cette alerte doit intervenir si possible dans les 24 heures. Dans les cas les plus graves (risque de vol, d’usurpation d’identité, d’atteinte à l’intégrité physique, etc.) le particulier doit lui-même être informé sauf… si le responsable de traitement a colmaté la brèche avec des mesures de protection appropriées.

 

Dans tous les cas, les pouvoirs accordés à la CNIL dans le projet de loi Consommation s’imbriqueront parfaitement avec cette obligation de notification ou pour constater les brèches d’une entreprise installée hors Union Européenne, par exemple.

14
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

C’est comme CVSS 5.0 mais en moins bien

18:17 Sécu 0
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Géotechnopolitique

16:37 Web 17
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Il faudrait déjà généraliser la fibre

16:03 HardWeb 12

Sommaire de l'article

Introduction

Constatation et piratage informatique

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 0
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 17
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 12
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 7
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 6

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 5
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 33
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 5
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 148

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécu 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécu 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

Puces en silicium

Apple ne paierait que peu de royalties à Arm pour ses puces

Hard 43

Des logiciels libres scientifiques français à l’honneur

SoftScience 4

Une femme dont le visage se reflète en morceaux dans une série de miroirs.

Pourquoi inclure des femmes si on peut les fabriquer ?

Société 24

Logo de Google sur un ordinateur portable

Google commencera son ménage dans les comptes non utilisés le 1er décembre

Web 7

Commentaires (14)


tAran
Il y a 10 ans

J’ai du louper un épisode, quand les données personnelles sont “à l’air libre” sur google ou autre, ce n’est pourtant ni du piratage, ni une intrusion, donc qu’est ce qui change ? <img data-src=" />


Bejarid
Il y a 10 ans

Pour l’instant il n’y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d’une erreur, mais qui était configuré pour, est potentiellement condanable.

J’vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d’attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu’elle fasse son boulot sereinement.


tAran
Il y a 10 ans






Bejarid a écrit :

Pour l’instant il n’y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d’une erreur, mais qui était configuré pour, est potentiellement condanable.

J’vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d’attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu’elle fasse son boulot sereinement.


Il y a des jurisprudences..

Autre exemple



Bejarid
Il y a 10 ans






tAran a écrit :

Il y a des jurisprudences..

Autre exemple


Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d’une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l’entreprise :p).

Ces jurisprudences ne sont pas applicable telles quelles, d’ou la clarification.



tAran
Il y a 10 ans






Bejarid a écrit :

Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d’une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l’entreprise :p).

Ces jurisprudences ne sont pas applicable telles quelles, d’ou la clarification.


En gros ce serait ballot qu’un organisme d’état ait moins de possibilités de recours qu’un particulier.

Si c’est ça je comprends mieux ce que tu veux dire <img data-src=" />



Bejarid
Il y a 10 ans






tAran a écrit :

En gros ce serait ballot qu’un organisme d’état ait moins de possibilités de recours qu’un particulier.

Si c’est ça je comprends mieux ce que tu veux dire <img data-src=" />


Qu’un particulier qui fait ça de façon désintéressé, c’est ça qui sauve notre ami de Zataz.



matroska
Il y a 10 ans

“la CNIL s’est vue armée”

J’ai comme un doute sur l’orthographe là ! Lol


luxian Abonné
Il y a 10 ans






tAran a écrit :

J’ai du louper un épisode, quand les données personnelles sont “à l’air libre” sur google ou autre, ce n’est pourtant ni du piratage, ni une intrusion, donc qu’est ce qui change ? <img data-src=" />



Si elle sont sur google, elle ne sont plus trop personnelles tes données …



sybylle
Il y a 10 ans

Mouarf.

J’attends qu’ils accèdent au serveurs Google/FB aux US XD


Kisscooler
Il y a 10 ans

La CNIL sera autorisé à rentrer dans les serveurs privés ou publics pour constater une intrusion possible, le temps nécessaire pour la constatation et … et de traités les dites données, WAOOOUH !

Il s’agit d’une carte blanche au piratage d’état ?

Il n’avait pas parlé de regrouper CNIL et CSADOPI ?

CNIL + CSADOPI = Méga structure de surveillance du net avec autorisation d’intrusion donc de piratage des vils pirates du net.

Dites cette loi sur ce piratage légal peut être détourné de sa vocation première (s’il y en avait une) ? <img data-src=" />


panda09
Il y a 10 ans






Kisscooler a écrit :

La CNIL sera autorisé à rentrer dans les serveurs privés ou publics pour constater une intrusion possible, le temps nécessaire pour la constatation et … et de traités les dites données, WAOOOUH !

Il s’agit d’une carte blanche au piratage d’état ?

Il n’avait pas parlé de regrouper CNIL et CSADOPI ?

CNIL + CSADOPI = Méga structure de surveillance du net avec autorisation d’intrusion donc de piratage des vils pirates du net.

Dites cette loi sur ce piratage légal peut être détourné de sa vocation première (s’il y en avait une) ? <img data-src=" />


Un certain Estrosi souhaitait que le Net soit plus bridé/encadré à cause de possibles rumeurs qui pouvaient mettre mal à l’aise des politiciens ou autres MAGOUILLEURS.

Est-ce que cela n’irait pas un peu dans ce sens ? Surveiller le journaliste ou le citoyen lambda trop curieux en piratant son PC puis, éventuellement, le “paralyser” avant qu’il ne révèle des affaires gênantes ?

Après, on fait comme pour le fondateur de Wikileaks, on lui “colle” une accusation de viol ou autre chose afin de l’emprisonner “légalement” pour le faire taire…



Kisscooler
Il y a 10 ans






panda09 a écrit :

Un certain Estrosi souhaitait que le Net soit plus bridé/encadré à cause de possibles rumeurs qui pouvaient mettre mal à l’aise des politiciens ou autres MAGOUILLEURS.

Est-ce que cela n’irait pas un peu dans ce sens ? Surveiller le journaliste ou le citoyen lambda trop curieux en piratant son PC puis, éventuellement, le “paralyser” avant qu’il ne révèle des affaires gênantes ?

Après, on fait comme pour le fondateur de Wikileaks, on lui “colle” une accusation de viol ou autre chose afin de l’emprisonner “légalement” pour le faire taire…



CSA(DOPI) (volonté de surveillance/contrôle d’Internet)
CNIL (Outils pour un Piratage légal et d’État)
DGCCRF (Blocage sans juge et sans moratoire)

La Gauche décomplexée et Internet Français made in China ?



matroska
Il y a 10 ans






matroska a écrit :

“la CNIL s’est vue armée”

J’ai comme un doute sur l’orthographe là ! Lol
Edit : J’ai rien dit, en fait c’était bien -er ! <img data-src=" />




NonMais
Il y a 10 ans

Ben c’est cool, ça te fait un audit de sécurité aux frais du contribuable. C’est sympa non? <img data-src=" />