Mise en demeure par la CNIL, l’École 42 rentre dans les clous du RGPD

Mise en demeure par la CNIL, l’École 42 rentre dans les clous du RGPD

Fakir

Avatar de l'auteur

Marc Rees

Publié dansDroit

23/07/2019
32
Mise en demeure par la CNIL, l’École 42 rentre dans les clous du RGPD

La CNIL vient de clôturer la procédure de mise en demeure qu’elle avait ouverte en octobre 2018. L’association derrière l’École 42 s’est conformée à la législation sur les données personnelles.

En février 2018, l’autorité réalisait un contrôle sur place au terme duquel elle constatait une série de manquements à la législation en vigueur, antérieure au RGPD.

En particulier, une série de caméras de vidéosurveillance filmait en continu plusieurs salles de cours, des lieux de vie et des postes de travail d’employés. Dans le règlement intérieur, les personnes concernées n’étaient informées ni des destinataires des données ni de la durée de conservation des images. Ce n’est pas tout, une application permettait aux étudiants d’avoir accès en temps réel à ces images.

L’école a finalement revu et corrigé ce système. « L’association a retiré ou réorienté les caméras filmant les espaces de travail, les lieux de détente des étudiants et les postes du personnel » constate aujourd’hui la CNIL, laquelle avait pourtant offert deux mois de délai à 42, le 8 octobre dernier.

De plus, note l’autorité, des mesures ont été prises « pour que les étudiants et le personnel non autorisé ne puissent plus avoir accès aux images issues de la vidéosurveillance ». Les informations complètes afférentes à ce dispositif sont également placardées sur des panneaux et dans les mentions légales du site.

L’association a de même revu sa politique de mot de passe. L’espace personnel des étudiants n’était protégé que par un mot de 8 caractères alphanumériques avec majuscules et minuscules. Or, selon la délibération de 2018, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».

 

32
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Trois consoles portables en quelques semaines

Et une nouvelle façon de concevoir le jeu se confirme

10:45 Hard 9
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

CSIRT vs ENISA, égalité balle au centre

08:27 DroitSécu 3

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 20

Sommaire de l'article

Introduction

Trois consoles portables en quelques semaines

Hard 9
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests AND 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 20
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

41
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 18
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 18
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 13
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub
Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion
livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 39
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12
Hubble mission maintenance

Il y a 30 ans, Hubble recevait sa première mission de maintenance

Science 11

Des menottes autour d'un rouleau de billets de banque

Les deux principaux responsables de l’agence de cybersécurité ukrainienne accusés de corruption

DroitÉcoSécu 7

Google Messages

Sur Android, Messages fête son milliard d’utilisateurs, de nouvelles fonctions en approche

WebSoft 7

Une femme en blouse blanche et portant des lunettes adaptées utilise un séquenceur à ADN

Tests ADN : 23andMe avoue que les infos d’un « nombre significatif » d’utilisateurs ont fuité

Sécu 6

Commentaires (32)


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 4 ans

Mot de passe de 8 caractères dans une école informatique <img data-src=" />


bilbonsacquet Abonné
Il y a 4 ans






darkbeast a écrit :

Mot de passe de 8 caractères dans une école informatique <img data-src=" />


Maintenant ce n’est plus “motdepasse” mais “motdepasse42”… <img data-src=" />



anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 4 ans






bilbonsacquet a écrit :

Maintenant ce n’est plus “motdepasse” mais “motdepasse42”… <img data-src=" />



non M0td3p4s$E pour faire hacker



Jarodd Abonné
Il y a 4 ans

C’était géré en interne ou par un presta ?


Toorist
Il y a 4 ans






bilbonsacquet a écrit :

Maintenant ce n’est plus “motdepasse” mais “motdepasse42”… <img data-src=" />



Il doit toujours être écrit sur le post it à l’entrée de toute façon <img data-src=" />



grsbdl Abonné
Il y a 4 ans

On rigole mais sur le site de l’urssaf c’est toujours “exactement 8 caractères simples”. Et leur réponse c’est “oui oui, on a prévu de changer cela”. Sauf que ça dure depuis des temps immémoriaux.


Vinzenz-o
Il y a 4 ans

Des mots de passe aussi peu sécurisés, il y a beaucoup de sites qui le font encore… Et même des sites qui obligent à avoir de tels mots de passes…

La CAF: seulement 8 chiffres…
Autoentrepreneur.urssaf.fr: 8 caractères MAXIMUM (lettres majuscules, minuscules et chiffres. Au moins 1 de chaque quand même^^)

EDIT: D’ailleur, pour le site des Autoentrepreneurs, c’est même pire. Lors de l’inscription, on ne choisi pas son mot de passe. On en reçoit un temporaire en clair par mail…
Il faut ensuite cliquer sur le lien du mail pour le modifier.
Mais, on peut tout de même auparavant se connecter, sans mot de passe, sans vérification de l’adresse mail, à la fin de l’inscription…


ArchangeBlandin Abonné
Il y a 4 ans

Les caméras qui filmaient les claviers de saisie des mots de passe trop simples ont été réorientées.

J’ai tout compris, ça va ?


SartMatt Abonné
Il y a 4 ans

Tu as des miniscules dans ton mot de passe URSSAF ? Parce que chez moi c’est que des chiffres et des majuscules, et c’était déjà le cas sur le mot de passe précédent. Donc j’ai l’impression que ça se limite à ça…

Et accessoirement, ils ont toujours pas été foutu de faire une redirection de urssaf.fr vers www.urssaf.fr…

Y a vraiment des baffes qui se perdent…


Jarodd Abonné
Il y a 4 ans

Le record c’est quand même Air France : un mot de passe de… 4 chiffres. Pourtant site assez sensible puisqu’ils ont des données personnelles (n° CNI/passeport, composition de la famille,…). Mais ça a peut-être changé depuis.


Elwyns
Il y a 4 ans

la CAF n’a peut être qu’un mdp de 8 chiffres mais utilise un pavé numérique aléatoire de plus il faut connaître le numéro de CAF , mois et année de naissance et code postal pour rentrer sur le compte


Elwyns
Il y a 4 ans

par aléatoire je disais pour les regards indiscret dans le dos


Totoxoros
Il y a 4 ans

Mon mot de passe sur le site des impôts pour ma société c’est que des chiffres. Ça date de plus de 15 ans je pense (mais je dis peut-être une sottise) et n’a jamais été changé.

D’un côté c’est rassurant parce que ça peut vouloir dire que comme c’est hashé comme il faut ils n’en savent rien.

Ou alors c’est juste un trou béant.


Crosty
Il y a 4 ans

L’école d’informatique dans laquelle je bosse, c’est 6 caractères alphanumériques (majuscules uniquement).
Et des failles de sécurité de partout, dûes à des économies de bouts de ficelle.
Ma plainte à la CNIL reste sans suite.


CUlater
Il y a 4 ans






darkbeast a écrit :

Mot de passe de 8 caractères dans une école informatique <img data-src=" />




Crosty a écrit :

L’école d’informatique dans laquelle je bosse, c’est 6 caractères alphanumériques (majuscules uniquement).
Et des failles de sécurité de partout, dûes à des économies de bouts de ficelle.
Ma plainte à la CNIL reste sans suite.


Exactement, il serait naïf de croire que seul 42 a une telle politique de mdp. C’est pareil voire pire dans la plupart des écoles d’ingé info, même celles qui ont une spé SSI.
42 n’est que l’arbre qui cache la forêt.
Pour la vidéosurveillance, filmer les salles contenant des postes pour la lutte contre le vol est malheureusement indispensable; par contre le fait que tout le monde ou presque puisse y accéder, ça non.



Tandhruil
Il y a 4 ans

8 caractères c’est suffisant si le compte est verrouillé après 3 essais infructueux.


gundz
Il y a 4 ans

C’est geré en interne avec LDAP, un des premiers exercice le premier jour de “Piscine” (les sélections) consiste a comprendre un peux comment fonctionne LDAP.
&nbsp;Et donc on trouve aussi comment changer le mdp. Vu qu’il sert aussi a déverrouiller la session les gens le changent très rapidement par le leur qui est plus simple a retenir.


Binamera
Il y a 4 ans

oui ils ont changé
“pour des raisons de sécurité, vous DEVEZ changer de mot passe” (tu m’étonnes 4 chiffres que tu tapais au milieu de l’aéroport avec ton nom sur ta valise…)

sympa quand la procédure à lieu quand tu es sur l’appli en train d’embarquer par contre…

et ils sont passé de 4 chiffres simples à une obligation chiffre minuscule majuscule Caractère spécial.

mais ils sont fort car ils ont quand même limité à 12 caractères, on sait pas pourquoi…


Tahiti_jul
Il y a 4 ans

D’ailleurs l’ancien directeur de l’école a été ‘victime’ de cette vidéosurveillance généralisée :p

La vidéo où il donne des fessées à une jeune femme quand les amphis sont vides traine encore sur la toile.


Jarodd Abonné
Il y a 4 ans

Ok, c’est (un peu) rassurant <img data-src=" />

Et comme toit je ne comprendrais jamais le besoin de limiter le nombre maximum de caractères. C’est débile pour la sécurité, et n’apporte rien à la boite (à part économiser un peu de stockage en base de données… Mais si elle râle ainsi les fonds de tiroir, il y a quelque chose qui cloche dans son fonctionnement)0


wanou Abonné
Il y a 4 ans

Si le mot de passe est hashé et salé, la place occupée en bdd est constante. Cela revient donc à un simple problème de champ sur le formulaire.


psn00ps Abonné
Il y a 4 ans

Sachant que tout le monde est au courant de l’existence de l’application,
pourquoi tout cadenasser ?

Il y a un dispositif sans mot de passe qui fait la meme chose:
ça s’appelle des yeux.


Cumbalero
Il y a 4 ans

“Clôturer”?
Par moment, j’ai l’impression d’être sur Clubic. :vomi:


Cumbalero
Il y a 4 ans

Tu dis des bêtises. Il n’y a rien de moins indispensable que de la vidéosurveillance.


CUlater
Il y a 4 ans






psn00ps a écrit :

Sachant que tout le monde est au courant de l’existence de l’application,
pourquoi tout cadenasser ?

Il y a un dispositif sans mot de passe qui fait la meme chose:
ça s’appelle des yeux.




Cumbalero a écrit :

Tu dis des bêtises. Il n’y a rien de moins indispensable que de la vidéosurveillance.


Bonne chance pour trouver des yeux abordables 247



Zulgrib Abonné
Il y a 4 ans

Tu considère ca comme une sécurité ?
On peut contourner le clavier pseudo aléatoire en passant par le formulaire pour de connexion pour les handicapés.


Cumbalero
Il y a 4 ans






CUlater a écrit :

Bonne chance pour trouver des yeux abordables 247



Ah, si, finalement: il y’a aussi peu indispensable que la vidéosurveillance: être ouvert 247.



Patch Abonné
Il y a 4 ans






CUlater a écrit :

Pour la vidéosurveillance, filmer les salles contenant des postes pour la lutte contre le vol est malheureusement indispensable

Lawl.
Mon boulot me prouve l’inverse. Tout est filmé hors partie administrative, et pourtant il est arrivé plusieurs fois qu’on retrouve dans les cellules de détenus des tables provenant de salles d’activité d’un autre étage (officiellement personne n’a jamais rien vu. Pourtant il y a eu au moins un surveillant pour ouvrir la salle d’activité, un pour ouvrir les grilles & portes qu’il peut voir visuellement et/ou via les caméras, et au moins un surveillant d’étage pour ouvrir la cellule. On doit certainement avoir des détenus passe-muraille, mais qui ne sont pas assez intelligents pour s’évader). Ou des ordis personnels de détenus qui changent de cellule sans que personne ne soit mis au courant (foutus passe-muraille incapables de s’évader correctement…).



CUlater
Il y a 4 ans






Cumbalero a écrit :

Ah, si, finalement: il y’a aussi peu indispensable que la vidéosurveillance: être ouvert 247.

D’où le “abordable” <img data-src=" />



Patch a écrit :

Lawl.
Mon boulot me prouve l’inverse. Tout est filmé hors partie administrative, et pourtant il est arrivé plusieurs fois qu’on retrouve dans les cellules de détenus des tables provenant de salles d’activité d’un autre étage (officiellement personne n’a jamais rien vu. Pourtant il y a eu au moins un surveillant pour ouvrir la salle d’activité, un pour ouvrir les grilles & portes qu’il peut voir visuellement et/ou via les caméras, et au moins un surveillant d’étage pour ouvrir la cellule. On doit certainement avoir des détenus passe-muraille, mais qui ne sont pas assez intelligents pour s’évader). Ou des ordis personnels de détenus qui changent de cellule sans que personne ne soit mis au courant (foutus passe-muraille incapables de s’évader correctement…).


Donc école = prison? Lawl pareil.



Patch Abonné
Il y a 4 ans






CUlater a écrit :

Donc école = prison? Lawl pareil.

Il n’y a que toi qui fais un raccourci pareil…



CUlater
Il y a 4 ans






Patch a écrit :

Il n’y a que toi qui fais un raccourci pareil…


Dit-il en disant que la vidéosurveillance dans les prisons est inefficace pour contre-argumenter mon avis qu’elle l’est dans les écoles (xp perso inside).&nbsp;