La CNIL n’a « pas une logique punitive », Free bat un record sur les plaintes
Le 09 décembre 2024 à 08h12
3 min
Droit
Droit
Nos confrères de Ouest France se sont entretenus avec Mathias Moulin, secrétaire général adjoint de la CNIL. Il commence par revenir sur la volumétrie des signalements : « Depuis janvier, nous avons enregistré 5 100 notifications au 26 septembre », contre 4 668 sur l’ensemble de l’année 2023.
Le secrétaire général parle d’un « mécanisme de sous-notification en France. Par exemple aux Pays-Bas, ils ont reçu plus de 25 000 signalements de violation de données en 2023 ». Il n’explique pas plus en détail ce phénomène.
Nos confrères posent la question des moyens : « On fait le maximum en fonction des moyens dont on dispose. Nous agissons aussi avec l’ANSSI, Cybermalveillance. gouv… Dans notre champ direct qui concerne la protection des données à caractère personnel, on est l’autorité référente. Systématiquement, on contrôle les aspects sécurité. Ainsi, l’an dernier, nous avons adopté 14 sanctions pour manquement à la sécurité. Nous avons aussi adressé 168 mises en demeure. En 2024, nous serons probablement sur une proportion de manquement équivalente ».
Concernant les fuites les plus importantes telles que celles de Viamedis, Almerys, Free et France Travail, des contrôles sont « en cours sur ces organismes ». Le temps de mener une enquête et d’établir un rapport, il faut compter entre 8 et 10 mois.
Concernant les sanctions, jugées trop faibles pour certains, la CNIL se défend : « Entre 2018 et 2024, nous avons changé de braquet. Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
Et sur les plaintes justement, la CNIL revendique en moyenne plus de 16 000 par an, « c’est beaucoup et c’est compliqué d’instruire de tels volumes dans des délais réduits ». Et Free est en train de battre des records : « plus de 2 000 à ce stade. C’est le record s’agissant d’une série de plaintes ». La CNIL a déjà ouverte une enquête. Pour rappel, des IBAN sont dans la liste des données dérobées par les pirates.
Le 09 décembre 2024 à 08h12
Commentaires (25)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 09/12/2024 à 09h07
Le constat est sans appel : la "mise en conformité" est un grand succès Peut-être qu'au bout de 10 plaintes, elle le privera de goûter ?
Punir pour punir, non, mais il faudrait quand même punir parfois, quand les mauvaises volontés et pratiques ne cessent pas. La CNIL française est bien ridicule face à certaines de ses homologues européennes.
Le 09/12/2024 à 09h28
Le 09/12/2024 à 09h20
Le 09/12/2024 à 09h36
Le 09/12/2024 à 10h21
Le 09/12/2024 à 10h44
Je ne dis pas qu'ils ont raison, je trouve aussi qu'ils ne sanctionnent pas assez, mais ils ont peut-être des indicateurs d'efficacité de l'accompagnement que l'on n'a pas.
En plus, les sanctions ne concernent qu'une toute petite partie des pouvoirs des autorités dans le RGPD.
Le 09/12/2024 à 11h10
Faire de l'accompagnement pour aider à la mise en conformité n'est pas dans sa mission. C'est très louable de sa part, mais je pointe juste qu'elle n'a pas les budgets pour le faire.
Le 09/12/2024 à 11h27
Le 09/12/2024 à 12h05
Sur la sécurisation des données, c'est plus une obligation de moyen. S'ils se sont fait trouer malgré une politique de sécurité à l'état de l'art, on ne va pas les sanctionner.
Par contre, je ne comprends pas pourquoi tu as mis conformité entre parenthèses à côté de moyens, donc je réponds peut-être à côté. Mon exemple sur la sécurité montre que l'on peut avoir mis les moyens sans résultat. Attention, on peut aussi se faire trouer parce que l'on n'a pas mis les moyens et je pense que les fuites de données récentes rentrent plutôt d'une absence de moyens mis sur la sécurité que l'exploitation d'un 0-day super difficile à détecter.
Par contre, sur tout un tas de choses, c'est une obligation de résultat (c'est ici que je mettrais conformité pour ma part). On doit respecter une des 5 conditions de licéité du traitement, on doit fournir des informations quand on récolte ou traite des données personnelles, etc.
Cela n'empêche pas que la CNIL peut choisir de sanctionner ou non un non respect du RGPD.
Le 09/12/2024 à 12h15
Le 09/12/2024 à 13h45
Le 09/12/2024 à 14h08
Le 10/12/2024 à 01h49
Le 10/12/2024 à 09h54
Modifié le 10/12/2024 à 15h41
Est ce que la CNIL ferait une enquête pour des chèques volés ? pourtant il y a les mêmes informations, même pire car il y a la signature manuscrite.
Ça me rappelle l'époque ancienne où sur les cartes bleues, il y avait la mention "signature obligatoire", je ne la mettais jamais, inutile personne ne vérifiait à l'époque joyeuse des fers à repasser, un employé de banque me l'avait même conseillé, en plus de la carte, le voleur avait la signature.
Je pense que l'esprit de la RGPD, c'est de lutter contre le commerce des informations, pas contre le vol, pour ça il y a d'autres lois.
D'un autre côté, si il y a vol, c'est qu'il y a commerce, donc valeur, sinon le vol est vraiment sans intérêt, car peu de gens ont la capacité et l'intérêt d'usurper une identité inconnue, en général ça n'est immédiatement utile que quand on connait la personne ou qu'on lui en veut personnellement.
Le 11/12/2024 à 09h14
Qui plus est, l'analyse de plusieurs juristes (donc la, pas moi) parle bien d'obligation de moyens, et non de résultats (lien 1, lien 2). Même la CNIL le reconnait à travers des délibérations.
Modifié le 11/12/2024 à 09h59
Donc leurs délibérations... Lol.
Et "niveau de sécurité adapté au risque" : donc bien une obligation de résultats, puisqu'il faut sécuriser correctement pour ne pas avoir de problèmes.
Le 11/12/2024 à 10h13
En cas de pépin, ton avis ne compte pas (sans vouloir t'offenser, le mien n'a pas plus de valeur). Celui de la CNIL par contre...
Le 11/12/2024 à 12h30
J'espère sincèrement pour ta boîte que tu ne bosses pas dans un service critique (et que ton poste n'a pas trop de responsabilités critiques non plus), avec un état d'esprit pareil, où de toute manière tout est OK, même quand rien n'est OK.
Le 11/12/2024 à 13h52
Le 12/12/2024 à 10h36
Le 12/12/2024 à 10h59
Tu as fait une affirmation, comme quoi l'obligation de sécurisation préconisée par le RGPD était être une obligation de résultat. Sauf que le RGPD ne précise rien là dessus (sinon, cite moi l'article en question).
Je t'ai montré que ce n'est pas le cas, que c'est une obligation de moyens, non seulement par des juristes, mais aussi par la CNIL.
Une violation de données, ce n'est jamais OK (je pense que la dessus, on sera d'accord). Mais le risque 0 n'existe pas. Tu peux mettre tout ce que tu veux en place, toutes les protections, tous les protocoles, etc. il y aura toujours des violations de données, y compris dans des organismes ultra sécurisé (Snowden, tu connais ? C'est une violation de données). Pourtant, je doute fortement que la NSA soit laxiste d'un point de vue sécurité.
La seule chose qui est faisable, c'est de réduire le risque à son minimum. C'est ce que l'on appelle... une obligation de moyen. Mais ce n'est pas pour autant prendre la sécurité à la légère.
Le 09/12/2024 à 11h34
Le 09/12/2024 à 13h46
Le 10/12/2024 à 09h08