Connexion
Abonnez-vous

La CNIL surarmée pour constater les fuites de données personnelles

Piratage informatique légal

La CNIL surarmée pour constater les fuites de données personnelles

Le 29 juin 2013 à 10h00

Lors de l’examen du projet de loi sur la consommation, la CNIL s’est vue armer de nouvelles capacités d’enquêtes, notamment dans le cadre d’une fuite de données personnelles. Elle pourra ainsi mettre son nez dans des serveurs en ligne, sans pouvoir être accusée de piratage. Explications.

undefined

 

Une disposition a été ajoutée par les députés dans le projet de loi sur la Consommation. Elle vient modifier la loi Informatique et Libertés de 1978 pour doter les agents de la CNIL de nouvelles capacités dans leurs enquêtes.

À ce jour, quand une fuite de données personnelles est soupçonnée chez un opérateur, comme ce fut le cas chez TMG le prestataire des ayants droit pour Hadopi, les membres et les agents de la CNIL peuvent se voir délivrer tous documents utiles. Ils peuvent se rendre sur place ou convoquer les responsables du traitement ou encore « accéder aux programmes informatiques et aux données » etc. Toutes ces opérations se font contradictoirement comme le spécifie l’article 44 de la loi de 1978.

Une disposition du projet de loi sur la consommation va muscler considérablement ses pouvoirs. En plus des contrôles sur place, elle autorise ses membres à faire des constats en ligne. « Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles » explique l’article 48 du projet de loi Consommation, déjà voté par les députés.

Constatation et piratage informatique

Le texte est généreux puisqu’il autorise la CNIL à scruter toutes les données, mêmes celles « rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ». En clair, en cas de problème de cookies ou de fuite de données personnelles en ligne, la CNIL sera autorisée à mettre son nez même au plus profond des serveurs non sécurisés pour y effectuer les constats qui s’imposent. Le tout, à distance.

Une fois dans ces serveurs, les agents de la CNIL pourront « retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle». Ces mesures se font alors sans contradictoire, lequel n’est réservé qu’aux vérifications et visites effectuées sur place ou sur convocation.

Obligation de notifier les failles de sécurité

Cet ajout par les députés intervient au moment même où est publié un règlement européen important en matière de sécurité. Programmé pour le 25 août prochain, le texte oblige les responsables de traitement à notifier les violations de données à caractère personnel aux CNIL nationales. Cette alerte doit intervenir si possible dans les 24 heures. Dans les cas les plus graves (risque de vol, d’usurpation d’identité, d’atteinte à l’intégrité physique, etc.) le particulier doit lui-même être informé sauf… si le responsable de traitement a colmaté la brèche avec des mesures de protection appropriées.

 

Dans tous les cas, les pouvoirs accordés à la CNIL dans le projet de loi Consommation s’imbriqueront parfaitement avec cette obligation de notification ou pour constater les brèches d’une entreprise installée hors Union Européenne, par exemple.

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai du louper un épisode, quand les données personnelles sont “à l’air libre” sur google ou autre, ce n’est pourtant ni du piratage, ni une intrusion, donc qu’est ce qui change ? <img data-src=" />

votre avatar

Pour l’instant il n’y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d’une erreur, mais qui était configuré pour, est potentiellement condanable.



J’vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d’attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu’elle fasse son boulot sereinement.

votre avatar







Bejarid a écrit :



Pour l’instant il n’y a pas de jurisprudence à ce sujet, donc accéder à un serveur non sécurisé à cause d’une erreur, mais qui était configuré pour, est potentiellement condanable.



J’vois mal un juge rendre une décision dans ce sens, mais y a des entreprises qui ont essayé d’attaquer la dessus (avant de se rétracter), donc je suppose que le gouvernement blinde la CNIL pour qu’elle fasse son boulot sereinement.





Il y a des jurisprudences..



Autre exemple


votre avatar







tAran a écrit :



Il y a des jurisprudences..



Autre exemple





Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d’une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l’entreprise :p).



Ces jurisprudences ne sont pas applicable telles quelles, d’ou la clarification.


votre avatar







Bejarid a écrit :



Notons que ces jugements se sont fait sur un particulier qui faisait ça pour la gloire, pas dans le cadre d’une structure qui est là pour sanctionner (enfin normalement, ce qui en pose niveau animosité envers l’entreprise :p).



Ces jurisprudences ne sont pas applicable telles quelles, d’ou la clarification.





En gros ce serait ballot qu’un organisme d’état ait moins de possibilités de recours qu’un particulier.



Si c’est ça je comprends mieux ce que tu veux dire <img data-src=" />


votre avatar







tAran a écrit :



En gros ce serait ballot qu’un organisme d’état ait moins de possibilités de recours qu’un particulier.



Si c’est ça je comprends mieux ce que tu veux dire <img data-src=" />





Qu’un particulier qui fait ça de façon désintéressé, c’est ça qui sauve notre ami de Zataz.


votre avatar

“la CNIL s’est vue armée”



J’ai comme un doute sur l’orthographe là ! Lol


votre avatar







tAran a écrit :



J’ai du louper un épisode, quand les données personnelles sont “à l’air libre” sur google ou autre, ce n’est pourtant ni du piratage, ni une intrusion, donc qu’est ce qui change ? <img data-src=" />







Si elle sont sur google, elle ne sont plus trop personnelles tes données …


votre avatar

Mouarf.



J’attends qu’ils accèdent au serveurs Google/FB aux US XD

votre avatar

La CNIL sera autorisé à rentrer dans les serveurs privés ou publics pour constater une intrusion possible, le temps nécessaire pour la constatation et … et de traités les dites données, WAOOOUH !



Il s’agit d’une carte blanche au piratage d’état ?



Il n’avait pas parlé de regrouper CNIL et CSADOPI ?



CNIL + CSADOPI = Méga structure de surveillance du net avec autorisation d’intrusion donc de piratage des vils pirates du net.



Dites cette loi sur ce piratage légal peut être détourné de sa vocation première (s’il y en avait une) ? <img data-src=" />

votre avatar







Kisscooler a écrit :



La CNIL sera autorisé à rentrer dans les serveurs privés ou publics pour constater une intrusion possible, le temps nécessaire pour la constatation et … et de traités les dites données, WAOOOUH !



Il s’agit d’une carte blanche au piratage d’état ?



Il n’avait pas parlé de regrouper CNIL et CSADOPI ?



CNIL + CSADOPI = Méga structure de surveillance du net avec autorisation d’intrusion donc de piratage des vils pirates du net.



Dites cette loi sur ce piratage légal peut être détourné de sa vocation première (s’il y en avait une) ? <img data-src=" />





Un certain Estrosi souhaitait que le Net soit plus bridé/encadré à cause de possibles rumeurs qui pouvaient mettre mal à l’aise des politiciens ou autres MAGOUILLEURS.



Est-ce que cela n’irait pas un peu dans ce sens ? Surveiller le journaliste ou le citoyen lambda trop curieux en piratant son PC puis, éventuellement, le “paralyser” avant qu’il ne révèle des affaires gênantes ?



Après, on fait comme pour le fondateur de Wikileaks, on lui “colle” une accusation de viol ou autre chose afin de l’emprisonner “légalement” pour le faire taire…


votre avatar







panda09 a écrit :



Un certain Estrosi souhaitait que le Net soit plus bridé/encadré à cause de possibles rumeurs qui pouvaient mettre mal à l’aise des politiciens ou autres MAGOUILLEURS.



Est-ce que cela n’irait pas un peu dans ce sens ? Surveiller le journaliste ou le citoyen lambda trop curieux en piratant son PC puis, éventuellement, le “paralyser” avant qu’il ne révèle des affaires gênantes ?



Après, on fait comme pour le fondateur de Wikileaks, on lui “colle” une accusation de viol ou autre chose afin de l’emprisonner “légalement” pour le faire taire…







CSA(DOPI) (volonté de surveillance/contrôle d’Internet)

CNIL (Outils pour un Piratage légal et d’État)

DGCCRF (Blocage sans juge et sans moratoire)



La Gauche décomplexée et Internet Français made in China ?


votre avatar







matroska a écrit :



“la CNIL s’est vue armée”



J’ai comme un doute sur l’orthographe là ! Lol

Edit : J’ai rien dit, en fait c’était bien -er ! <img data-src=" />





votre avatar

Ben c’est cool, ça te fait un audit de sécurité aux frais du contribuable. C’est sympa non? <img data-src=" />

La CNIL surarmée pour constater les fuites de données personnelles

  • Constatation et piratage informatique

Fermer