Newsletter ; l’actualité de la semaine du 1 au 7 mai | RGPD Express

Bonjour à tous chers lecteurs ! 
Vous commencez à avoir l’habitude, aujourd’hui nous sommes là pour vous informer ! Nous allons passer en revue les grands évènements liés au RGPD de la semaine.  N’hésitez pas à interagir avec nous sur nos différents réseaux sociaux !  Bonne lecture…

Les clôtures de procédures menées par la CNIL.

Cette semaine, ce sont deux clôtures de procédures qui ont eu lieu.

La première était la clôture de l’injonction qui avait été prononcée contre Google LLC et Google Ireland Limited le 7 décembre dernier.  

Rappelez-vous, à cette date, la formation restreinte de la CNIL avait sanctionné les deux sociétés à des amendes de 60 et 40 millions d’euros. En plus de cela, elle leur avait laissé un délai de 3 mois pour se rendre conforme au RGPD, soit informer toutes les personnes concernées de manière de manière claire et complète notamment par le bandeau de cookies. Auparavant, ce qui leur avait valu cette sanction, les cookies étaient automatiquement validés sans aucune action de l’internaute, sans aucune possibilité de s’opposer et sans aucune information. 

Si elles ne se rendaient pas conforme dans le délai imposé, c’était 100 000 € supplémentaire d’amende par jour de retard. Les deux sociétés ont respecté le délai de 3 mois, leur permettant ainsi de voir la procédure se clore. Cependant, attention,  ils sont conformes aux obligations légales concernant les cookies mais pas les dernières en date. Effectivement, vous n’avez pas pu passer à côté, le 1er avril, les nouvelles recommandations de la CNIL sur les cookies ont pris effet. Il n’est donc pas incertain de voir la CNIL contrôler Google sur ces nouvelles règles.

Google est soi-disant dans une démarche user-friendly, pour augmenter la confidentialité des internautes. En janvier 2020, ils annoncent la suppression des cookies tiers dans le navigateur et la mise en place de traçages publicitaires moins intrusifs. 

Mais au vu de la position dominante, on est légitime de se demander si cela va bien être réalisé…

La deuxième clôture est celle de la mise en demeure de la société Engie qui avait été faite le 31 décembre 2019 et notifiée à la CNIL 3 mois plus tard. 

Rappel sur les faits, en février 2020, la présidente de la CNIL avait rendu publique la mise en demeure envers Engie a propos des traitements de données de consommation d’électricité collectées par la société par le biais des compteurs communicants Linky. 

La CNIL avait réalisé un contrôle physique chez Engie, et avait pu constaté que les utilisateurs n’avaient pas assez d’informations claires et spécifiques pour donner un consentement éclairé sur la collecte de données de consommation à la demi-heure. De plus, ces données là étaient conservées beaucoup trop longtemps au regard de leur utilité et finalité. 

Ils avaient donc été mis en demeure pour avoir un délai de 3 mois leur permettant de se rendre conforme. Ce délai, malheureusement à cause de la crise sanitaire, avait été prolongé. 

Engie a su rebondir et faire cesser ses manquements à ses obligations légales notamment par une nouvelle procédure pour demander le consentement de manière claire et éclairée ainsi qu’une nouvelle politique de conservation des données de consommation. De ce fait, la mise en demeure à été clôturée.  

Le but de la CNIL est aussi de permettre aux entreprises de redresser le tir et de se rendre conforme au RGPD.

Et si on allait faire un tour chez nos voisins les Belges ?

Faire un tour d’horizon chez nos voisins Européens permet aussi de suivre l’évolution du RGPD et de son application. Direction le pays des gaufres pour en savoir plus !

Au cours de la semaine, le réseau de Belnet a subi une cyberattaque. 

Le réseau de Belnet est un réseau qui connecte les établissements d’enseignement supérieur et universitaires, centres de recherche, administrations publiques. hôpitaux… Ils ont malheureusement été victime d’une attaque DDoS. 

Qu’est ce qu’une attaque DDoS  ? l’attaque Denial of Service est un outil prisé des cyberattaques, le but est de saturer le réseau en envoyant plus de demandes que ce que le réseau peut supporter. Une fois fait, le réseau ne fonctionne plus rendant indisponible toutes ses fonctionnalités. La finalité d’une telle attaque peut être juste de bloquer les organismes visés pendant x temps, de demander une rançon, ou alors d’être un écran de fumée pour aller faire du vol de données, faire de l’espionnage, installer un malware…. 

Dans notre cas, l’origine de l’attaque n’était pas très claire et d’autant plus difficile à déterminer qu’il s’agit d’une attaque à grande ampleur. Tous les clients du réseau, soit environ 200 organisations, sont touchés même si l’impact varie d’un organisme à un autre. Quoiqu’il en soit, l’accès à Internet était très lent et difficile voire impossible. En conséquence, des sessions parlementaires ont été annulées, le parquet fédéral a lui aussi été interrompu,  les sites de réservation du vaccin en ligne ont été affectés… Dans ce cas-la, il existe des procédures de secours notamment le basculement vers un opérateur pour éviter d’être opérationnellement bloqué. 

Le premier ministre a trouvé cette attaque assez interpellant. En Belgique, 3 entreprises sur 4 auraient déjà été victime d’infiltrations dans le système.  Le 20 Mai, le Conseil National de Sécurité se réunira pour tenter de construire une nouvelle stratégie de cyberattaque. Cette réunion a été accélérée par l’attaque. 

Dans un esprit un peu moins alarmiste, la Belgique a pris une autre décision ;  de ne plus rendre publiques les données de contact de la puce d’un animal de compagnie.

Tous les propriétaires devront manuellement autoriser ces données à être visible, dans un esprit de renforcement du RGPD. 

Pour donner leur consentement de manière explicite, les responsables des chiens et chats devront se connecter aux plateformes officielles d’enregistrement de ces animaux. Ils pourront ainsi choisir de passer la puce en mode privé ou en mode public. 

Concrètement, si un chien ou un chat est égaré, seulement dans le cas où la puce est en mode public, n’importe quelle personne en possession d’un détecteur de puce pourra identifier le propriétaire. Dans le cas contraire, seulement les vétérinaires et refuges le pourront. 

Ferons-nous la même chose en France ? 

La guerre des réseaux sociaux ; la confidentialité au cœur de débat

Encore une fois, nous ne pouvons pas ignorer le fait que Facebook soit dans l’actualité, à son grand regret.

Et cette fois, ce n’est pas dû à une violation de données personnelles mais plutôt à une “guerre” avec Signal, un autre réseau social.  Vous ne connaissez pas Signal ? pas de panique ! Signal c’est une messagerie  mais à la différence de WhatsApp qui récolte beaucoup de données et les partage avec sa maison-mère, Facebook, elle est chiffrée et se veut de respecter la sécurité et confidentialité des données. De ce fait, en 2021 elle est passée application numéro 1. 

Il y a peu, Signal a voulu profiter de l’occasion d’une campagne publicitaire pour dénoncer les pratiques de Facebook en termes d’utilisation et récolte de données. Pour ce fait, le réseau social exploite une fonctionnalité d’Instagram permettant de faire du ciblage publicitaire. Par conséquent, des annonces ultra ciblées et uniques en fonction de l’individu en face ont été publiées. Toujours d’après Signal, Facebook n’aurait  pas eu l’air d’apprécier cette pratique puisque ils auraient supprimé le compte publicitaire. 

Ce à quoi Facebook s’est exprimé et a démenti les accusations. Signal n’a jamais tenté de publier ces publicités, c’est juste un coup de communication. S’ ils avaient réellement tenté de diffuser ces contenus publicitaires, certains auraient été rejetés car les outils marketing de Facebook interdisent les publicités qui communiquent sur les problèmes médicaux ou les orientations sexuelles. 

Pour prouver ces dires, Signal a donc mis en avant des Screenshot montrant “ votre compte à été désactivé”.

Encore une fois, le porte parole de Facebook n’en démord pas, les captures d’écran datent de début mars et leur compte avait été désactivé pour une autre raison que celle énoncée ainsi que les annoncent n’ont jamais été paramétrées pour être diffusées. 

Chacun se renvoyant la balle, il est difficile de savoir qui dit la vérité. Néanmoins, une chose est sûre, les festivités ne font que commencer…

C’est déjà fini pour cette semaine ! On vous laisse avec le chiffre de la semaine…

RGPD Express est là pour vous informer et vous former au RGPD ! Pour ce faire, il est de notre mission d’accompagner tous les organismes, que ce soit des TPE, PME ou associations, à faire votre mise en conformité.

N’attendez pas, contactez-nous et demandez une démonstration de la plateforme à l’une de nos expertes !