La CNIL surarmée pour constater les fuites de données personnelles

La CNIL surarmée pour constater les fuites de données personnelles

Piratage informatique légal

Avatar de l'auteur

Marc Rees

Publié dansDroit

29/06/2013
14
La CNIL surarmée pour constater les fuites de données personnelles

Lors de l’examen du projet de loi sur la consommation, la CNIL s’est vue armer de nouvelles capacités d’enquêtes, notamment dans le cadre d’une fuite de données personnelles. Elle pourra ainsi mettre son nez dans des serveurs en ligne, sans pouvoir être accusée de piratage. Explications.

undefined

 

Une disposition a été ajoutée par les députés dans le projet de loi sur la Consommation. Elle vient modifier la loi Informatique et Libertés de 1978 pour doter les agents de la CNIL de nouvelles capacités dans leurs enquêtes.


À ce jour, quand une fuite de données personnelles est soupçonnée chez un opérateur, comme ce fut le cas chez TMG le prestataire des ayants droit pour Hadopi, les membres et les agents de la CNIL peuvent se voir délivrer tous documents utiles. Ils peuvent se rendre sur place ou convoquer les responsables du traitement ou encore « accéder aux programmes informatiques et aux données » etc. Toutes ces opérations se font contradictoirement comme le spécifie l’article 44 de la loi de 1978.


Une disposition du projet de loi sur la consommation va muscler considérablement ses pouvoirs. En plus des contrôles sur place, elle autorise ses membres à faire des constats en ligne. « Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles » explique l’article 48 du projet de loi Consommation, déjà voté par les députés.

Constatation et piratage informatique

Le texte est généreux puisqu’il autorise la CNIL à scruter toutes les données, mêmes celles « rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ». En clair, en cas de problème de cookies ou de fuite de données personnelles en ligne, la CNIL sera autorisée à mettre son nez même au plus profond des serveurs non sécurisés pour y effectuer les constats qui s’imposent. Le tout, à distance.


Une fois dans ces serveurs, les agents de la CNIL pourront « retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle». Ces mesures se font alors sans contradictoire, lequel n’est réservé qu’aux vérifications et visites effectuées sur place ou sur convocation.

Obligation de notifier les failles de sécurité

Cet ajout par les députés intervient au moment même où est publié un règlement européen important en matière de sécurité. Programmé pour le 25 août prochain, le texte oblige les responsables de traitement à notifier les violations de données à caractère personnel aux CNIL nationales. Cette alerte doit intervenir si possible dans les 24 heures. Dans les cas les plus graves (risque de vol, d’usurpation d’identité, d’atteinte à l’intégrité physique, etc.) le particulier doit lui-même être informé sauf… si le responsable de traitement a colmaté la brèche avec des mesures de protection appropriées.

 

Dans tous les cas, les pouvoirs accordés à la CNIL dans le projet de loi Consommation s’imbriqueront parfaitement avec cette obligation de notification ou pour constater les brèches d’une entreprise installée hors Union Européenne, par exemple.

14
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 1
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 DroitSécu 9

En ligne, les promos foireuses restent d’actualité

-80 % sur la sincérité de nos promotions

11:09 DroitWeb 10

Sommaire de l'article

Introduction

Constatation et piratage informatique

Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 1
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 9

En ligne, les promos foireuses restent d’actualité

DroitWeb 10

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 23
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 65

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 19

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 91
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Station spatiale internationale 1998

Il y a 25 ans, l’assemblage de la Station spatiale internationale débutait

Science 2

Fusée Vega : Avio perd deux réservoirs et les retrouve… dans une décharge

Science 14

Drapeaux de l’Union européenne

RGPD : la Cour de justice de l‘UE précise les modalités des amendes

Droit 6

Amazon re:Invent

Les gênantes hallucinations et fuites d’information de Q, le chatbot d’Amazon

IA 2

Une table ronde de la réserve cyber de la gendarmerie consacrée aux cybermenaces pour le secteur agroalimentaire et les agriculteurs

Une exploitation agricole sur cinq victime d’une cyberattaque

ÉcoSécu 3

Commentaires (14)


tAran
Il y a 10 ans

J’ai du louper un épisode, quand les données personnelles sont “à l’air libre” sur google ou autre, ce n’est pourtant ni du piratage, ni une intrusion, donc qu’est ce qui change ? <img data-src=" />


Bejarid
Il y a 10 ans

Pour l’instant il n’y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d’une erreur, mais qui était configuré pour, est potentiellement condanable.

J’vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d’attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu’elle fasse son boulot sereinement.


tAran
Il y a 10 ans






Bejarid a écrit :

Pour l’instant il n’y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d’une erreur, mais qui était configuré pour, est potentiellement condanable.

J’vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d’attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu’elle fasse son boulot sereinement.


Il y a des jurisprudences..

Autre exemple



Bejarid
Il y a 10 ans






tAran a écrit :

Il y a des jurisprudences..

Autre exemple


Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d’une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l’entreprise :p).

Ces jurisprudences ne sont pas applicable telles quelles, d’ou la clarification.



tAran
Il y a 10 ans






Bejarid a écrit :

Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d’une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l’entreprise :p).

Ces jurisprudences ne sont pas applicable telles quelles, d’ou la clarification.


En gros ce serait ballot qu’un organisme d’état ait moins de possibilités de recours qu’un particulier.

Si c’est ça je comprends mieux ce que tu veux dire <img data-src=" />



Bejarid
Il y a 10 ans






tAran a écrit :

En gros ce serait ballot qu’un organisme d’état ait moins de possibilités de recours qu’un particulier.

Si c’est ça je comprends mieux ce que tu veux dire <img data-src=" />


Qu’un particulier qui fait ça de façon désintéressé, c’est ça qui sauve notre ami de Zataz.



matroska
Il y a 10 ans

“la CNIL s’est vue armée”

J’ai comme un doute sur l’orthographe là ! Lol


luxian Abonné
Il y a 10 ans






tAran a écrit :

J’ai du louper un épisode, quand les données personnelles sont “à l’air libre” sur google ou autre, ce n’est pourtant ni du piratage, ni une intrusion, donc qu’est ce qui change ? <img data-src=" />



Si elle sont sur google, elle ne sont plus trop personnelles tes données …



sybylle
Il y a 10 ans

Mouarf.

J’attends qu’ils accèdent au serveurs Google/FB aux US XD


Kisscooler
Il y a 10 ans

La CNIL sera autorisé à rentrer dans les serveurs privés ou publics pour constater une intrusion possible, le temps nécessaire pour la constatation et … et de traités les dites données, WAOOOUH !

Il s’agit d’une carte blanche au piratage d’état ?

Il n’avait pas parlé de regrouper CNIL et CSADOPI ?

CNIL + CSADOPI = Méga structure de surveillance du net avec autorisation d’intrusion donc de piratage des vils pirates du net.

Dites cette loi sur ce piratage légal peut être détourné de sa vocation première (s’il y en avait une) ? <img data-src=" />


panda09
Il y a 10 ans






Kisscooler a écrit :

La CNIL sera autorisé à rentrer dans les serveurs privés ou publics pour constater une intrusion possible, le temps nécessaire pour la constatation et … et de traités les dites données, WAOOOUH !

Il s’agit d’une carte blanche au piratage d’état ?

Il n’avait pas parlé de regrouper CNIL et CSADOPI ?

CNIL + CSADOPI = Méga structure de surveillance du net avec autorisation d’intrusion donc de piratage des vils pirates du net.

Dites cette loi sur ce piratage légal peut être détourné de sa vocation première (s’il y en avait une) ? <img data-src=" />


Un certain Estrosi souhaitait que le Net soit plus bridé/encadré à cause de possibles rumeurs qui pouvaient mettre mal à l’aise des politiciens ou autres MAGOUILLEURS.

Est-ce que cela n’irait pas un peu dans ce sens ? Surveiller le journaliste ou le citoyen lambda trop curieux en piratant son PC puis, éventuellement, le “paralyser” avant qu’il ne révèle des affaires gênantes ?

Après, on fait comme pour le fondateur de Wikileaks, on lui “colle” une accusation de viol ou autre chose afin de l’emprisonner “légalement” pour le faire taire…



Kisscooler
Il y a 10 ans






panda09 a écrit :

Un certain Estrosi souhaitait que le Net soit plus bridé/encadré à cause de possibles rumeurs qui pouvaient mettre mal à l’aise des politiciens ou autres MAGOUILLEURS.

Est-ce que cela n’irait pas un peu dans ce sens ? Surveiller le journaliste ou le citoyen lambda trop curieux en piratant son PC puis, éventuellement, le “paralyser” avant qu’il ne révèle des affaires gênantes ?

Après, on fait comme pour le fondateur de Wikileaks, on lui “colle” une accusation de viol ou autre chose afin de l’emprisonner “légalement” pour le faire taire…



CSA(DOPI) (volonté de surveillance/contrôle d’Internet)
CNIL (Outils pour un Piratage légal et d’État)
DGCCRF (Blocage sans juge et sans moratoire)

La Gauche décomplexée et Internet Français made in China ?



matroska
Il y a 10 ans






matroska a écrit :

“la CNIL s’est vue armée”

J’ai comme un doute sur l’orthographe là ! Lol
Edit : J’ai rien dit, en fait c’était bien -er ! <img data-src=" />




NonMais
Il y a 10 ans

Ben c’est cool, ça te fait un audit de sécurité aux frais du contribuable. C’est sympa non? <img data-src=" />