Newsletter ; l’actualité de la semaine du 20 au 26 juillet | RGPD Express

Avant dernière semaine de juillet bien riche en actualité ! Il n’est pas trop tard pour lire l’actualité et vous allez voir c’est du sérieux…

Pegasus n’est pas un nom de mythologie ! 🦄

Pegasus c’est un logiciel espion construit et commercialisé par l’entreprise israélienne NSO Groupe. Son fonctionnement ? Une fois introduit dans un téléphone, il peut écouter les appels et récupérer tout le contenu du téléphone. Et le tout sans aucun indice qui laisserait envisager une menace pour le propriétaire.

Il est normalement vendu seulement à destination des états. Et est censé aider à lutter contre le terrorisme et la criminalité. Toutes ces activités se sont rendues publiques seulement quelques années auparavant, vers 2016, et il semblerait que son usage ait été dépassé.

En effet, un consortium de médias internationaux, notamment formé par Forbidden Stories, Amnesty International ou encore Le Monde a révélé le détournement de l’application par les États pour cibler des opposants, des politiques ou encore des journalistes.  Actuellement, une liste de 50 000 numéros de téléphone victimes du logiciel a été établie.  

Au niveau français, nous sommes impactés puisque c’est plus de 1 000 personnes concernées. Dont des grands noms de la presse, de la politique et surtout des membres du gouvernement dont le président ! 

Bien que la plupart des hautes personnalités politiques aient des règles plus strictes en termes de sécurité informatique, ils ne sont pas invincibles.

Alors qui est le responsable de ces écoutes ? Le Maroc est désigné coupable pour tantôt des raisons politiques, tantôt des raisons qui restent sombres. 

La semaine dernière avait lieu un conseil de défense exceptionnel. Celui-ci était pour faire un point sur l’enquête en cours et notamment réactiver la sécurité et les protocoles. L’ANSSI a aussi proposé son aide à toutes les personnes ciblées et précise aussi le besoin de prêter attention à d’autres menaces bien présentes.  

Du côté de l’Israël, le parlement a mis en place une commission pour enquêter sur ces accusations. En effet, ce qui se passe est très grave ; on parle d’espionnage de personnalités et de l’utilisation à mauvais escient de l’outil Pegasus.  Le représentant se rendra aussi en France pour faire un point…

Au vu de sa fonctionnalité, cet outil est dans une démarche offensive ce qui le rend aussi dangereux qu’une arme. Normalement, pour être vendu à des pays tiers il doit obtenir le feu vert de l’agence qui s’occupe des exportations militaires. 

Tous les jours de nouvelles déclarations sortent, c’est donc une affaire à suivre de très près…d’autant plus qu’elles impliquent des préoccupations des plus sérieuses !

La CNIL n’est plus clémente ! 🙅‍♂️

Après la quarantaine de mises en demeures de la part de la CNIL sur le volet des cookies, c’est d’autres sanctions qui tombent ! 

C’est l’AG2R la Mondiale qui a été sanctionnée d’un montant de 1 750 000 € pour manquements graves à ses obligations. 

Notamment deux obligations du RGPD considérées comme fondamentales; les durées de conservation et d’archivage ainsi que l’information des personnes concernées. 

Pour le premier fait, on le sait, l’entreprise ne peut pas garder ad vitam eternam les données. Notamment celles des prospects, qui après 3 ans sans réponses aux sollicitations, doivent être supprimées. Or, lors d’un contrôle, la CNIL s’est aperçue que ses données sont conservées par l’entreprise bien plus que raison sans motif légitime.

Deuxième point ; l’information aux personnes concernées ; notamment les prospects. Normalement, vous ne pouvez pas prospecter sans avoir eu le consentement de la personne en face et notamment sans explication. Le prospect doit savoir qui vous êtes et d’où vous venez. 

Bien que pendant la durée du contrôle, l’entreprise a su démontrer une “repentance”, il était trop tard pour la CNIL, d’autant plus que leurs pratiques ne respectaient pas leurs engagements dans leurs registres d’activité. 

Et une autre sanction pour Monsanto ! 

De 400 000 € cette fois pour manquement d’information aux personnes concernées. 

Revenons sur les faits…

Il y a maintenant presque 2 ans, des médias ont mis la lumière sur la pratique de Monsanto. Cette entreprise avait en sa possession des données personnelles de personnes publiques qui pourrait influencer un débat sur l’utilisation d’un composant chimique. 

Les personnes concernées ont déposé plainte auprès de la CNIL quand elles ont pris connaissance des faits. 

Lors d’un contrôle, il est révélé que ces données avaient été récoltées par diverses entreprises spécialisées dans le lobbying pour une campagne de lobbying.  Dans ce fichier, était présente des données personnelles et aussi professionnelles ; telles que la société, la fonction… ainsi qu’une note pour évaluer la crédibilité et l’influence de la personne pour ainsi déterminer quel soutien elle pourrait apporter à Monsanto.

La sanction est donc facilement explicable par le fait que les personnes concernées n’étaient même pas au courant de l’enregistrement de leurs données dans ce dossier, ce qui est une obligation. Ainsi que le fait que Monsanto n’ait pas encadré la relation contractuelle avec ses prestataires en termes de RGPD. C’est-à-dire qu’aucun document à valeur juridique apportait la preuve d’une vigilance envers un niveau de garantie suffisante notamment en termes de sécurité des données. 

La société avait corrigé ses manquements mais quelques années plus tard contrairement aux 6 mois normalement accordés à la suite d’une mise en demeure. 

Cependant pour finir sur une touche un peu plus positive, la CNIL a clôturé la mise en demeure d’amazon, qui concernait la non-conformité des cookies. A savoir que maintenant Amazon est conforme aux précédentes préconisations mais rien n’empêche la CNIL de contrôler concernant les mises à jour des cookies applicables depuis le 1er avril. 

Que d’actualité de la part de la CNIL !

Des fuites… de données évidemment 🔢

Plusieurs fuites de données personnelles sont à déplorer !

Notamment chez ClubHouse le nouveau réseau social… C’est 3,8 milliards d’identifiants ont fuité et sont en vente !

Ainsi que chez l’assurance Américaine Humana, une des plus grosses entreprises des Etats-Unis. Pour le dernier cas, les données qui auraient fuités datent de 2019…

Il est important de se protéger et de tout mettre en place pour éviter cette situation !

C’est déjà fini pour cette semaine ! On vous laisse avec le chiffre de la semaine…

RGPD Express est là pour vous informer et vous former au RGPD ! Pour ce faire, il est de notre mission d’accompagner tous les organismes, que ce soit des TPE, PME ou associations, à faire votre mise en conformité.

N’attendez pas, contactez-nous et demandez une démonstration de la plateforme à l’une de nos expertes !