Newsletter ; l’actualité de la semaine du 12 au 21 juin | RGPD Express

Bonjour lecteurs !

Que de rebondissements en ce mois de juin… si la météo ne nous convient pas, nous avons au moins de quoi nous occuper… Restez avec nous pour qu’on puisse tout vous expliquer ! 

Bonne lecture à tous !

Brico Privé sanctionné de manière publique !

La société Brico Privé, un site de ventes privées d’outils de bricolage, de jardinage et d’aménagement, exerçant en France, Espagne, Italie et Portugal, s’est vu sanctionnée au cours de la semaine dernière par la formation restreinte de la CNIL.

La raison ? Entre autres, avoir envoyé des emails à but de prospection sans avoir le consentement de leurs destinataires, ce qui n’est conforme au RGDP, ainsi que d’autres manquements notamment à la LIL ( Loi Informatique et Libertés). 

Plus en détails, voici un petit aperçu des différents manquements ;

  • durée de conservation et d’archivage des données. Normalement, vous ne pouvez pas garder les données indéfiniment, il y a des durées égales. Or, il s’est avéré que l’entreprise ne les respectait pas, en effet, plus de 16 000 clients ont ainsi vu leurs données conservées par l’entreprise même sans avoir passer de commandes depuis 5 ans. Il en va de même pour les 130 000 usagers qui ne s’étaient pas connectés à leurs comptes clients depuis 5 ans. 
  • obligation d’information des personnes ; aucune information, ce qui est normalement obligatoire, ne figurait que ce soit dans les CGV, mentions légales ou PPDP ( Politique de protection des données personnelles). 
  • sécurité des données personnelles  ; tant au niveau des mots de passe, qu’au niveau des accès…
  • demandes de droit à l’effacement ; pas de suite aux demandes des usagers, les données personnelles du client n’étaient pas supprimées, seulement l’accès au compte était désactivé. 
  • prospection commerciale et cookies.

Brico Privé aurait pu se douter qu’à un moment ou un autre, cela risquait de lui retomber dessus. En effet, elle a déjà été contrôlée trois fois par la CNIL depuis l’entrée en vigueur du RGPD. 

Comme la société exerce dans différents pays de l’UE, la formation restreinte de la CNIL (l’organisme qui s’occupe des sanctions), à évidemment coopéré avec les autres autorités de contrôles. De ce fait, une amende de 500 000 €  a été prononcée ainsi que le verdict rendu public. Comme lors de la procédure habituelle, ils ont un délai de 3 mois pour se mettre en conformité au risque, sinon, d’être pénalisés de 500 € par jour de retard. 

Panique à Pôle Emploi….

La semaine dernière, Pole Emploi a été victime d’une fuite de données.

Depuis que cette fuite est sortie, plusieurs éléments se sont précisés !

Initialement, l’organisme public pensait, à la suite des déclarations du hacker, que cela concernait 1,2 millions d’utilisateurs. En réalité, lors d’une enquête interne, il a été constaté que ce sont 10 fois moins de données qui sont concernées soit “uniquement” 120 000 personnes. 

Mais revenons sur les faits. 

Une base de données qui contient les coordonnées, les diplômes et expériences professionnelles, qui sont des éléments « classiques » pour un organisme tel que Pôle  Emploi, a été proposée sur le darknet. Cependant, le pirate a décidé de le retirer de la vente. Une preuve d’empathie de sa part, qu’il explique par le fait que les personnes concernées sont des chômeurs et que Pôle Emploi est un organisme très utile pour la société et par conséquent, il serait bien dommage d’affecter leur réputation.

Mais comment a-t- il eu accès à ces fichiers ? Lors de l’enquête, les premières pistes sont menées à une “source humaine” et non du piratage même si il est difficile de le dire avec certitude.  Cette fuite aurait eu lieu de la nuit du vendredi au samedi lors d’une mise à jour du logiciel Pôle Emploi, rendant le système plus vulnérable. 

Les données sont donc quelque part dans la nature et risquent de ressortir un jour ou l’autre. 

De telles données impliquent forcément un haut risque ou impact pour les personnes concernées, de ce fait celles-ci ont toutes été alertées de la situation. Le plus grand risque est notamment l’hameçonnage ou, comme disent les anglophones le phishing. C’est à dire que les “victimes” pourraient recevoir des mails, SMS ou autres outils de communication ciblés et très précis venant de hackers usurpant l’identité de Pôle Emploi et ainsi avoir d’autres données dérobées, de l’argent volé…

Chez les Belges, ça chauffe !

Après la CNIL irlandaise, c’est la CNIL Belge qui est dans la tourmente.

En effet, la Commission Européenne juge que ses membres manquent d’indépendances quant aux fonctions qu’ils exercent, notamment par le fait que certaines fonctions sont incompatibles entre elles. A partir de maintenant, elle a 2 mois pour redresser le tir et se rendre conforme au RGPD. 

Mais que veut dire incompatibles ? C’est-à-dire qu’ils ne peuvent être totalement hermétiques à la pression autant qu’ils le devraient. En effet, ils ne sont pas à l’abri d’une influence extérieure notamment parce que certains participent à des projets gouvernementaux, d’autres sont membre du comité de la sécurité de l’information…

Conflits d’intérêt ? effectivement ! 

Or, l’article 52 le dit ; “ chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement. Dans l’exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque. Le ou les membres de chaque autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non.« 

Par conséquent, ils ont deux mois pour garantir cette fameuse indépendance sinon ils risquent que la Commission Européenne sévisse et saisisse la CJUE (Cour de Justice de l’Union Européenne). 

C’est déjà fini pour cette semaine ! On vous laisse avec le chiffre de la semaine…

RGPD Express est là pour vous informer et vous former au RGPD ! Pour ce faire, il est de notre mission d’accompagner tous les organismes, que ce soit des TPE, PME ou associations, à faire votre mise en conformité.

N’attendez pas, contactez-nous et demandez une démonstration de la plateforme à l’une de nos expertes !