Newsletter ; l’actualité de la semaine | RGPD Express

Newsletter ; l’actualité de la semaine | RGPD Express

Découvrez et décryptez l’actualité de la semaine, les violations, les sanctions ou tout simplement les nouveautés juridiques ! Informez vous avec RGPD Express ! 

L’affaire Tik Tok

Vous vous demandez ce qu’est Tik Tok ?

C’est une application mobile, qui vous permet de créer et de partager des courtes vidéos, considérée comme un réseau social, qui a été développé en 2016 par une entreprise chinoise appelée ByteDance.

Depuis le premier confinement et toute cette crise sanitaire, celle-ci est d’autant plus utilisée, à travers le monde, notamment par des enfants ou jeunes adultes. Aujourd’hui, celle-ci compte 800 millions d’utilisateurs dans le monde.

Aujourd’hui Tik Tok se retrouve dans la tourmente mais il n’en est pas à son coup d’essai… La raison ? Comme les autres GAFA, Tik Tok se permet de ne pas être transparent sur l’utilisation des données, notamment car elles sont parties intégrantes de leurs business model.

En Février 2019, l’application avait déjà été condamnée aux Etats-Unis à une énorme amende de 5,7 millions de dollars pour collecte illégale et affichage public de données d’enfants de moins de 13 ans. Cette amende avait eu un impact assez important, notamment en termes d’image, et avait poussé l’entreprise à créer des processus limitant le risque.

Néanmoins, cela n’a pas été suffisant puisqu’ils ont été impliqués dans d’autres histoires de sécurité des comptes, des données, la collecte illégale de celles-ci, le non-respect des règles pour les enfants… Et ce, tant aux Etats-Unis, qu’en Europe, qu’en France ou ailleurs comme en Inde où ils se sont fait bannir.

Sur notre territoire français, en Août 2020, la CNIL  (Commission Nationale de l’ Informatique et des Libertés) a menée une enquête.  Se basant sur une plainte d’une personne concernée, qui n’arrivait pas à exercer ses droits, l’enquête se veut plus globale concernant le RGPD.

Il y a quelques jours, nous avons appris que c’est au Royaume-Uni cette fois que les lignes bougent. Inspirée des autres acteurs de la protection des données, une action en justice a été lancée mercredi sur le fondement de la collecte illégale des données personnelles d’enfants, de moins de 13 ans au Royaume-Uni et 16 ans dans l’EEE, en Europe et de la diffusion vers des tiers sans consentement. Ainsi, ce serait 3,5 millions d’enfants, qui auraient vus leurs données personnelles, comme leurs numéros de téléphone, leurs localisations ou autres exposées.

Quand bien même la réponse de Tik Tok semble assez claire sur la question, méfiez-vous de ces applications et soyez toujours informés !

L’affaire Facebook

Après le gros scandale concernant la fuite de données de comptes Facebook pour pas moins de 533 millions de comptes, Facebook est aujourd’hui encore dans le viseur.

Rappelez-vous, des données avaient fait surface sur un compte de hackers. Dans cette histoire, au fil de l’eau, nous avions appris que c’était une faille qui existe depuis 2 ans, que soi-disant Facebook avait corrigée et les utilisateurs laissés dans l’ombre.

L’autorité de la protection de la vie privée irlandaise avait alors décidé de s’activer en ouvrant une enquête pour déterminer la responsabilité de Facebook dans cette massive fuite de données.

De leur côté, Facebook a mené sa propre enquête interne, et sans surprise, s’est déclaré innocent. En effet, d’après eux, toutes les données concernées seraient des données trouvables sur les profils publics et ce serait donc juste du scrapping, une technique qui permet de récupérer en masse des données déjà rendues publiques.

Mine de rien, cela n’a pas l’air d’être suffisant et leur plus gros manquement à leurs obligations serait l’absence de notification aux personnes concernées, que ce soit 2 ans en arrière ou même maintenant.

Aujourd’hui, ils sont embêtés à cause d’un outil, Email Search v1.0 qui permet de créer une base de données d’utilisateurs à partir de leurs adresses mail, créant ainsi un lien entre un mail et une identité. Comme pour la faille précédente, cela pourrait avoir des conséquences néfastes pour les individus ; hacking,  phishing, usurpation d’identité… Facebook prend donc le risque d’exposer les données de ses utilisateurs, par une utilisation des données utilisateurs floue, même si depuis, notamment à cause des nombreuses critiques, ils ont dit avoir corrigé la faille, peut-être que le mal à été fait…

Leur stratégie n’est probablement pas la bonne, la cybersécurité c’est quelque chose de sérieux, n’attendez plus pour la mettre en place !

L’opinion de la CNIL sur le TousAntiCovid-Carnet

Lundi dernier, une nouvelle fonctionnalité, le Carnet Tous Anti Covid a vu le jour. Celle-ci est intégrée dans l’application permettant de stocker les certificats de résultats de tests, qu’importe lesquels, et la vaccination dans le futur pour nous permettre de nous déplacer.

Si cette fonction était mal utilisée ou était abusée, il pourrait en résulter de graves conséquences, il est donc important de rester vigilant et de garantir la sécurité et la confidentialité des données.

La CNIL s’est exprimée sur les garanties que le carnet doit respecter. Voici quelques une de ces recommandations ;

Le volontariat ; l’application et tout ce qu’elle englobe doit toujours rester sur la base du volontariat, vous avez le contrôle et cette application ne peut être LA condition pour se déplacer librement.  Vous pourrez ainsi toujours présenter des tests ou documents similaires version papiers sans que cela rentre sur l’application mobile. Cette fonctionnalité devra être seulement utilisée pour certains déplacements ; seulement les endroits qui veulent faire un contrôle sanitaire. Les données se trouvant sur cette fonctionnalité doivent être exactes, pour cela elles seront certifiées par une autorité afin de garantir leur intégrité. Seulement les données nécessaires seront présentes dans le certificat afin de respecter le principe de minimisation. Au vu de la nature des données concernées, aucune base centralisée de données devra être générée et les autorités ne devront pas avoir accès à plus que le certificat. Beaucoup de mesures de sécurité doivent être mises en place. Le système doit être temporaire, le temps de la crise sanitaire.

La CNIL surveillera les évolutions afin de toujours pouvoir proposer des recommandations, restez connecté avec nous pour en être informés.

C’est déjà fini pour cette semaine !

RGPD Express est la pour vous informer et vous former au RGPD ! Pour ce faire, il est de notre mission d’accompagner tous les organismes, que ce soit des TPE, PME ou associations, à faire votre mise en conformité.

N’attendez pas, contactez-nous et demandez une démonstration de la plateforme à l’une de nos expertes !