Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La CNIL n’a « pas une logique punitive », Free bat un record sur les plaintes

Le 09 décembre à 08h12

Nos confrères de Ouest France se sont entretenus avec Mathias Moulin, secrétaire général adjoint de la CNIL. Il commence par revenir sur la volumétrie des signalements : « Depuis janvier, nous avons enregistré 5 100 notifications au 26 septembre », contre 4 668 sur l’ensemble de l’année 2023.

Le secrétaire général parle d’un « mécanisme de sous-notification en France. Par exemple aux Pays-Bas, ils ont reçu plus de 25 000 signalements de violation de données en 2023 ». Il n’explique pas plus en détail ce phénomène.

Nos confrères posent la question des moyens : « On fait le maximum en fonction des moyens dont on dispose. Nous agissons aussi avec l’ANSSI, Cybermalveillance. gouv… Dans notre champ direct qui concerne la protection des données à caractère personnel, on est l’autorité référente. Systématiquement, on contrôle les aspects sécurité. Ainsi, l’an dernier, nous avons adopté 14 sanctions pour manquement à la sécurité. Nous avons aussi adressé 168 mises en demeure. En 2024, nous serons probablement sur une proportion de manquement équivalente ».

Dessin d'un homme invisible, lunettes noires, avec une tapette RGPD
Flock

Concernant les fuites les plus importantes telles que celles de Viamedis, Almerys, Free et France Travail, des contrôles sont « en cours sur ces organismes ». Le temps de mener une enquête et d’établir un rapport, il faut compter entre 8 et 10 mois.

Concernant les sanctions, jugées trop faibles pour certains, la CNIL se défend : « Entre 2018 et 2024, nous avons changé de braquet. Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».

Et sur les plaintes justement, la CNIL revendique en moyenne plus de 16 000 par an, « c’est beaucoup et c’est compliqué d’instruire de tels volumes dans des délais réduits ». Et Free est en train de battre des records : « plus de 2 000 à ce stade. C’est le record s’agissant d’une série de plaintes ». La CNIL a déjà ouverte une enquête. Pour rappel, des IBAN sont dans la liste des données dérobées par les pirates.

Le 09 décembre à 08h12

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
« Entre 2018 et 2024, nous avons changé de braquet. Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
Marrant : je suis en train de saisir ma 3e plainte en 18 mois contre le même organisme, qui continue ses mauvaises pratiques malgré les "rappels à l'ordre" de la CNIL, qui clôture la plainte dès qu'elle a fait les gros yeux.

Le constat est sans appel : la "mise en conformité" est un grand succès :roll: Peut-être qu'au bout de 10 plaintes, elle le privera de goûter ?

Punir pour punir, non, mais il faudrait quand même punir parfois, quand les mauvaises volontés et pratiques ne cessent pas. La CNIL française est bien ridicule face à certaines de ses homologues européennes.
votre avatar
Le sentiment d'impunité qui règne en ce moment en France n'aide pas à la mise en conformité... Il suffit de voir ce qu'il se passe avec l'accessibilité où tout le monde s'en fiche car il n'y a pas ou peu de sanctions.
votre avatar
Il devrait revoir leur barème d'amende avec une progressivité plus importante , ça ferait moins de plainte à instruire..
votre avatar
Pour Free, c'est logique : contrairement à Viamedis et Almerys, la CNIL a refusé d'ouvrir une plainte collective, donc chacun doit ouvrir sa propre plainte soi-même. Sans la plainte collective, je pense que c'est ces deux entreprises qui auraient eu le record.
votre avatar
La France n'a pas les moyens de ses ambitions... épisode 2471
votre avatar
Ce n'est même pas ça. La CNIL juge plus efficace d'accompagner pour être conforme que de sanctionner.

Je ne dis pas qu'ils ont raison, je trouve aussi qu'ils ne sanctionnent pas assez, mais ils ont peut-être des indicateurs d'efficacité de l'accompagnement que l'on n'a pas.
En plus, les sanctions ne concernent qu'une toute petite partie des pouvoirs des autorités dans le RGPD.
votre avatar
La CNIL est une autorité de contrôle. Comme tu le pointes, elle a le pouvoir d'enquêter, d'adopter des mesures correctrices, d'autoriser et de répondre aux consultations.

Faire de l'accompagnement pour aider à la mise en conformité n'est pas dans sa mission. C'est très louable de sa part, mais je pointe juste qu'elle n'a pas les budgets pour le faire.
votre avatar
Vraie question : les détenteurs de données personnelles sont ils soumis à une obligation de moyens (conformité) ou à une obligation de résultat ?
votre avatar
Ça dépend du sujet je pense.
Sur la sécurisation des données, c'est plus une obligation de moyen. S'ils se sont fait trouer malgré une politique de sécurité à l'état de l'art, on ne va pas les sanctionner.
Par contre, je ne comprends pas pourquoi tu as mis conformité entre parenthèses à côté de moyens, donc je réponds peut-être à côté. Mon exemple sur la sécurité montre que l'on peut avoir mis les moyens sans résultat. Attention, on peut aussi se faire trouer parce que l'on n'a pas mis les moyens et je pense que les fuites de données récentes rentrent plutôt d'une absence de moyens mis sur la sécurité que l'exploitation d'un 0-day super difficile à détecter.

Par contre, sur tout un tas de choses, c'est une obligation de résultat (c'est ici que je mettrais conformité pour ma part). On doit respecter une des 5 conditions de licéité du traitement, on doit fournir des informations quand on récolte ou traite des données personnelles, etc.

Cela n'empêche pas que la CNIL peut choisir de sanctionner ou non un non respect du RGPD.
votre avatar
Pour moi, la conformité se fait par rapport à des normes/directives/état de l'art. Sauf que les attaques bougent bien plus vite que les normes et autres textes. Donc tu peux être conforme mais néanmoins avoir un trou dans ta raquette. C'est plus une question sémantique, je le reconnais.
votre avatar
Résultat. Peu importe les moyens mis en oeuvre, il faut que les données soient protégées.
votre avatar
C'est aussi ce que je me disais.
votre avatar
Je ne vois pas pourquoi ce serait résultat, à partir du moment où ça n'est pas le produit qu'ils vendent, ça reste une obligation accessoire, pas leur fond de commerce, ils ne sont pas vendeurs de coffre forts.
votre avatar
Free n'est pas vendeur de coffres-forts. SFR n'est pas vendeur de coffres-forts. Boulanger n'est pas vendeur de coffres-forts. France Travail n'est pas vendeur de coffres-forts. Aucun des organismes qui ont des fuites de données personnelles ou quasiment ne sont vendeur de coffres-forts. Ca change quoi? Littéralement rien : ils ont toujours en tort pour avoir mal sécurisé leurs données, parce que s'ils gardent des données personnelles, ils ont obligation de les sécurité (obligation de résultat, peu importe les moyens). Le RGPD ne transige pas sur ce point, quand bien même la CNIL fait n'imp.
votre avatar
ça change que pour moi, et pour d'autres j'espère, l'obligation de résultat ne peut s'appliquer qu'à l'objet du contrat, pas à ses conséquences marginales.
Est ce que la CNIL ferait une enquête pour des chèques volés ? pourtant il y a les mêmes informations, même pire car il y a la signature manuscrite.
Ça me rappelle l'époque ancienne où sur les cartes bleues, il y avait la mention "signature obligatoire", je ne la mettais jamais, inutile personne ne vérifiait à l'époque joyeuse des fers à repasser, un employé de banque me l'avait même conseillé, en plus de la carte, le voleur avait la signature.
Je pense que l'esprit de la RGPD, c'est de lutter contre le commerce des informations, pas contre le vol, pour ça il y a d'autres lois.
D'un autre côté, si il y a vol, c'est qu'il y a commerce, donc valeur, sinon le vol est vraiment sans intérêt, car peu de gens ont la capacité et l'intérêt d'usurper une identité inconnue, en général ça n'est immédiatement utile que quand on connait la personne ou qu'on lui en veut personnellement.
votre avatar
ils ont toujours en tort pour avoir mal sécurisé leurs données, parce que s'ils gardent des données personnelles, ils ont obligation de les sécurité (obligation de résultat, peu importe les moyens). Le RGPD ne transige pas sur ce point, quand bien même la CNIL fait n'imp.
Non. Le RGPD n'impose pas une obligation de résultat, ni même une obligation de moyen. Elle parle d'obligations de "sécurisation du traitement par des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque." (cf. article 32)

Qui plus est, l'analyse de plusieurs juristes (donc la, pas moi) parle bien d'obligation de moyens, et non de résultats (lien 1, lien 2). Même la CNIL le reconnait à travers des délibérations.
votre avatar
La CNIL est devenue une vaste blague. Tu peux faire les pires exactions au niveau données, s'ils ne sont VRAIMENT pas contents, ils vont froncer un sourcil et baisser les lunettes au lieu de se limiter aux gros yeux.
Donc leurs délibérations... Lol.
Et "niveau de sécurité adapté au risque" : donc bien une obligation de résultats, puisqu'il faut sécuriser correctement pour ne pas avoir de problèmes.
votre avatar
Penses ce que tu veux. Pour l'instant, je retiens juste que ton argumentaire c'est "lol" et "moi je dis que".

En cas de pépin, ton avis ne compte pas (sans vouloir t'offenser, le mien n'a pas plus de valeur). Celui de la CNIL par contre...
votre avatar
Ah parce que la CNIL peut être prise au sérieux quand on voit l'absence quasi-totale de sanctions (et quand il y en a, elles sont totalement dérisoires), même quand prendre 4% du CA mondial serait largement justifié? :roll:
J'espère sincèrement pour ta boîte que tu ne bosses pas dans un service critique (et que ton poste n'a pas trop de responsabilités critiques non plus), avec un état d'esprit pareil, où de toute manière tout est OK, même quand rien n'est OK.
votre avatar
Tu as de vrai arguments à opposer ou tu veux te contenter d'attaque ad hominem ?
votre avatar
Je pense que s'il punissait sévèrement depuis quelques années plutôt que de faire semblant, les entreprises auraient eu un peu plus peur et se seraient bougées. À la place tout le monde s'en cogne et il y a pleins de plaintes à instruire
votre avatar
En effet, pourquoi faire des efforts quand les risques de se faire attraper sont faibles, et qu'en prime quand on se fait attraper on a droit aux gros yeux et rien d'autre?
votre avatar
Parfois, la CNIL se fend d'un index agité avec sourcil gauche froncé. Là, ça ne rigole plus !

La CNIL n’a « pas une logique punitive », Free bat un record sur les plaintes

Fermer