Archives de catégorie : loi

Entreprise, loi

Recours collectif contre Playstation par des gamers Russes

Vingt-huit gamers Russes lancent une action collective devant les tribunaux, ils ne peuvent plus jouer !

Des utilisateurs Russes de PlayStation ont déposé un recours collectif pour un montant de 280 millions de roubles, soit un peu plus de 450 000€. 28 plaignants qui ne peuvent plus, depuis l’entrée en guerre de leur pays contre l’Ukraine, accéder et acheter sur le PlayStation Store. Les conditions d’utilisation des programmes Sony et la législation russe ne prévoient pas de refus de fournir un service « en rapport avec la politique intérieure et étrangère de l’État de localisation et de résidence des utilisateurs« , déclarent les plaignants. En mars 2022, Sony a suspendu les livraisons de jeux et d’appareils en Russie. Le jeu japonais a également fermé le PlayStation Store.

loi, Mise à jour

Droit au déréférencement

Le 6 décembre 2019, le Conseil d’État a rendu d’importantes décisions relatives à des demandes de déréférencement de résultats faisant apparaître des données sensibles.

Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite sur ses nom et prénom. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source.

Le 24 septembre 2019, la Cour de justice de l’Union européenne (CJUE) avait rendu un arrêt apportant des précisions sur les conditions dans lesquelles les personnes peuvent obtenir le déréférencement d’un lien apparaissant dans un résultat de recherche lorsque la page auquel le lien renvoie contient des informations relatives à des données sensibles (par exemple, leur religion, leur opinion politique) ou à une condamnation pénale.

Sur cette base, le Conseil d’État a, par 13 décisions rendues le 6 décembre 2019, apporté d’importantes précisions sur la mise en œuvre du droit au déréférencement. Le Conseil d’État indique que pour chaque demande de déréférencement, l’intérêt du public à avoir accès à cette information doit être mis en balance avec trois grandes catégories de critères :

les caractéristiques des données en cause : contenu des informations, leur date de mise en ligne, leur source, etc. ;
la notoriété et la fonction de la personne concernée ;

les conditions d’accès à l’information en cause : la possibilité pour le public d’y accéder par d’autres recherches, le fait que l’information ait été manifestement rendue publique par la personne concernée, etc.

Si les informations publiées sont des données dites « sensibles » (religion, orientation sexuelle, santé, etc.), elles doivent faire l’objet d’une protection particulière et donc, dans la mise en balance, d’une pondération plus importante. Le déréférencement ne pourra être refusé que si ces informations sont « strictement nécessaires » à l’information du public. En revanche, si ces données ont été manifestement rendues publiques par la personne concernée, leur protection particulière disparaît.

Par ailleurs, s’agissant des données relatives à une procédure pénale, comme la CJUE, le Conseil d’État indique que l’exploitant d’un moteur de recherche peut être tenu d’aménager la liste des résultats en vue d’assurer que le premier de ces résultats au moins mène à des informations à jour pour tenir compte de l’évolution de la procédure (par exemple, dans l’hypothèse où, après avoir été condamnée en première instance, une personne bénéficie d’une relaxe en appel).

La CNIL prend acte de ces précisions dans les informations publiées sur son site internet, notamment dans la FAQ décrivant les conséquences pratiques de ces décisions sur les personnes concernées, ainsi que dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans.

Les textes de référence
Arrêt de la Cour de justice de l’Union européenne du 24 septembre 2019 dans l’affaire C-136/17
13 décisions relatives au droit à l’oubli prises par le Conseil d’État le 6 décembre 2019

Communiqué de presse, Cybersécurité, Justice, loi

L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des .fr

L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des noms de domaine en .fr. Des démarches simples, en 2 clics, directement depuis le site de l’Afnic.

Depuis 2017, l’Afnic a recensé 102 plaintes d’usurpation d’identité de personnes physiques relatives à l’enregistrement d’un nom de domaine en .fr. L’usurpation d’identité survient lorsqu’une personne enregistre un ou des noms de domaine sous l’identité d’un tiers (personne physique). Dans la majorité des cas, il s’agit là d’un acte de malveillance à des fins de cybercriminalité : escroquerie, vente de produits contrefaits, arnaques aux entreprises, diffamation, etc.

Si le nombre de plaintes recensées est relativement faible au regard des 3,4 millions de noms de domaine enregistrés en .fr, ces pratiques peuvent avoir des impacts lourds de conséquences pour les victimes. Malheureusement, ces faits sont portés à leur connaissance de manière souvent brutale, par lettre recommandée émanant d’un cabinet d’avocat, une plainte ou une assignation signifiée par un huissier de justice…

Pour lutter contre ces usurpations d’identité, l’Afnic a édité une fiche pratique « Lutter contre l’usurpation d’identité » et a mis en place une procédure simple en deux étapes :

  • 1ère étape « La demande d’accès à ses informations dans la base Whois », qui recense l’ensemble des noms de domaine gérés par l’Afnic (.fr, .pm, .re, .tf, .wf et .yt.).
    Si cette étape est facultative, elle est vivement conseillée : elle permet en effet de connaître le ou les nom(s) de domaine enregistré(s) avec les informations personnelles des victimes.

Fort de ces informations, il faudra alors déposer une plainte auprès du commissariat de police ou de la gendarmerie les plus proches.

Dès réception de cette demande, l’Afnic agit dans les meilleurs délais pour que le bureau d’enregistrement en charge du ou des nom(s) de domaine concerné(s) supprime les informations personnelles ainsi que le nom de domaine frauduleusement enregistré. Ces deux démarches sont directement accessibles depuis le site de l’Afnic, à la rubrique « Actions et procédures ».

Rappelons que l’usurpation d’identité est un délit pénalement sanctionné par un an d’emprisonnement et d’une amende de 15 000 euros.

Base de données, Chiffrement, Cybersécurité, Entreprise, Justice, loi, Securite informatique

Amende CNIL pour vidéosurveillance excessive

Mardi 18 juin 2019, la CNIL annonce une amende à l’encontre d’une entreprise. Motif : vidéosurveillance excessive des salariés.

La formation restreinte de la CNIL a prononcé en ce mois de juin 2019 une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY. Motif ? L’entreprise a mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.

La Commission Nationale Informatique et des Libertés a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.

Contrôle mené dans les locaux de la société en février 2018

Un contrôle effectué par les agents assermentés de la CNIL a permis de constater que la caméra présente dans le bureau des six traducteurs les filmait à leur poste de travail sans interruption ; aucune information satisfaisante n’avait été délivrée aux salariés ; les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique (sic!).

En juillet 2018, la Présidente de la CNIL mettait en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de : déplacer la caméra pour ne plus filmer les salariés de manière constante ; procéder à l’information des salariés sur la présence des caméras ; mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.

20 000€

En l’absence de mesures satisfaisantes à l’issue du délai fixé dans la mise en demeure, la CNIL a effectué un second contrôle en octobre 2018 qui a confirmé la persistance des manquements malgré les affirmations contraires de la société. Une procédure de sanction a donc été engagée par la Présidente de la CNIL.

Bilan, amende de 20 000€ !

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)

Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

L’arnaque à la mise en conformité RGPD toujours en pleine forme !

Je vous faisais écouter, voilà bientôt un an, un interlocuteur proposant de vendre une mise en conformité RGPD. Une arnaque qu’avait dénoncé la CNIL dans un avertissement à destination des entreprises françaises. L’arnaque ne cesse pas !

Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises. Le blog ZATAZ avait été l’un des premier à alerter sur ce sujet [1] [2]. Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque par Vade Secure, entreprise basée dans les Hauts de France, à Hem (59).

Un premier contact par courrier

Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD. La technique est efficace. Des couleurs qui font officielles et des qui font peur.

« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76) » indique Sébastien Gest, Tech Évangéliste de Vade Secure.

L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone indiqué dans le but de traiter cette plainte. La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés.

Le paiement demandé par mail

Suite à cet appel un email contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction. D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».

Nous retrouvons dans cet email l’email présent dans le document papier mais ici en tant qu’expéditeur. Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support. Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.

En signature de cet email apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer.

Une arnaque ressemblant fortement à l’arnaque au support téléphonique

L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin. Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.

Porter plainte et faire un signalement aux autorités ? Clairement oui ! Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte. À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

RGPD : la protection des données reste un enjeu majeur

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.

Parmi les principaux chiffres à retenir, 1 200 à 1 300 notifications de violation de données ont été reçues par la commission. Ces chiffres déjà impressionnants ne sont que la partie visible de l’iceberg.

Pour Tanguy de Coatpont, Directeur général Kaspersky Lab France : « Il ne fait aucun doute que le nombre de violations de données en France est bien plus élevé. Malgré les efforts combinés de la CNIL et de l’ANSSI pour sensibiliser les entreprises, elles sont encore nombreuses à ignorer ce qu’est une violation de données et méconnaître les obligations que leur impose le RGPD. Pour les petites et moyennes entreprises notamment, c’est un véritable casse-tête car elles ne disposent souvent pas des compétences juridiques et informatiques nécessaires. Les utilisateurs sont les premiers pénalisés par cette situation, car leurs données personnelles exposées sont à la merci de personnes mal intentionnées qui souhaiteraient les monnayer d’une façon ou d’une autre. »

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.

Une difficile mise en conformité, face à des menaces qui ne faiblissent pas

Une étude réalisée en novembre 2018 sur les mesures de sécurité et de protection prises par les PME depuis la mise en application du RGPD. Réalisée auprès de 700 décideurs en fin d’année 2018, elle révèle que près de 50% des PME n’ont pas renforcé leurs mesures de sécurité ; près de 77% n’ont pas réalisé d’audit de sécurité ; 1 PME sur 2 ne forme pas ses salariés aux questions de protection de données personnelles et de cybersécurité.

Pourtant, les menaces ne faiblissent pas

En 2018, 30,1% des utilisateurs de produits de l’éditeur de solutions commerciales de cybersécurité ont été confrontés à une attaque web de type malware, contre 29,4% en 2017. En 2018, 554 159 621 URLs uniques ont été reconnus comme malveillantes, contre 199 455 606 en 2017 (+178%). 1 876 998 691 attaques lancées repoussées, depuis des ressources en ligne, contre 1 188 728 338 en 2017.

Base de données, Cybersécurité, Entreprise, Justice, loi, Mise à jour, RGPD, Securite informatique, Social engineering

Prudence au site SCPI-Gouv.fr

Vous souhaitez simuler un investissement ? Vous souhaitez passer par le site gouvernemental SCPI-Gouv.fr ? Prudence !

Le portail web SCPI-Gouv*fr vous propose de simuler le montant que vous pourriez gagner via des Sociétés civiles de placement immobilier (SCPI). Le site est rapide, réclame quelques informations afin de vous permettre d’en savoir plus et d’acquérir des parts de SCPI. Le site indique être « indépendant« , et la simulation proposée est « non contractuelle« . Le logo de l’AMF, l’Autorité des marchés financiers est affiché plusieurs fois. Le domaine affiche un Gouv.fr rassurant.

Stop, rangez vos quelques économies

Ce site n’est aucunement de confiance. D’abord, il sauvegarde les informations. Le site explique que cette sauvegarde est réalisée pour « des raisons de sécurité […] elles ne seront jamais divulguées à des tiers« . Ce n’est malheureusement pas ce que nous a affiché notre navigateur en fournissant des numéros de téléphones, au hasard. Le site nous affiche bien la présence de certains numéros !

Second problème, l’utilisation du « Gouv », dans le nom de domaine. Clairement une envie de perturber l’utilisateur du portail et du nom de domaine. Un site du gouvernement ? Non ! Pour rappel, les sites gouvernementaux français sont sous la nomenclature xxxx.gouv.fr.

Ensuite, l’utilisation du logo de l’AMF. L’Autorité des marchés financiers a d’ailleurs mis en garde le public à l’encontre du site scpi-gouv.fr « utilisant abusivement son nom et son logo » explique l’AMF. « Les sites internet www.lascpi*fr et www.scpi-gouv*fr indiquent proposer aux épargnants des simulateurs de placement ainsi que des guides relatifs à l’investissement dans des sociétés civiles de placement immobilier (SCPI). L’association du nom et du logo de l’AMF à ces sites peut faire croire aux internautes que l’AMF en cautionne le contenu. Or, l’Autorité des marchés financiers ne produit ni ne supervise aucun simulateur de placement dans des sociétés civiles de placement immobilier (SCPI). » indiquait le 10 avril 2019 l’AMF. Un mois plus tard, logos et manipulations d’url sont toujours effectifs.

Banque, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

Equifax : le piratage à plus de 1,4 milliard de perte

Le piratage informatique a un vrai coût qu’il est difficile de quantifier tant les ramifications venant s’y greffer ne se découvrent pas du jour au lendemain. Un exemple avec le piratage de 2017 de la compagnie Equifax. Deux ans après l’intrusion, la facture ne cesse de gonfler.

Le piratage informatique est déjà psychologiquement difficile à vivre pour toute personne et entreprise impactée par cette malveillance. L’aspect financier l’est encore plus, d’autant que la facture peut continuer à gonfler durant des mois, des années. La banque Equifax en fait les frais depuis 2017. Entre mai et juillet 2017, un pirate s’est invité dans ses informations. Quelques mois plus tard, la société américaine spécialisée dans les crédits à la consommation, révélait une infiltration informatique et le vol des données personnelles d’environ 150 millions de clients.

Elle ne s’était même pas rendue compte du vol. C’est le Department of Homeland Security (DHS) qui informait la société d’une vulnérabilité logicielle ayant permis la ponction.

1,4 milliard de perte depuis 2017

Le dernier Comité d’Entreprise a annoncé une perte de 1.4 milliard de dollars. Perte liée à ce piratage. Cerise sur le gâteau, la société de crédit doit faire face à plusieurs centaines de procès devant des tribunaux Américains, canadiens, Anglais, sans oublier le FTC de l’Oncle sam. Le CEO a tenté de rassurer les actionnaires en indiquant, par la bouche du directeur général, Mark Begor, que plusieurs plaintes avaient été levée via des accords de règlement avec certains recours collectifs et enquêteurs du gouvernement.

Bref, l’assureur a payé ! Il reste encore 2 500 plaintes de consommateurs, des recours collectifs internationaux et nationaux, des litiges entre actionnaires et des actions en justice intentées par des gouvernements et des villes américaines (clientes Equifax). A noter que l’enquête sur ce piratage est toujours en cours aux USA et à l’étranger.

Plus de 2 500 plaintes

Début mai, un groupe de membres du Congrès a présenté un nouveau projet de loi proposant certaines modifications réglementaires qui imposeraient des peines plus lourdes pour toutes les infractions futures liées aux données des américains. Cette modification exige aussi des inspections de cybersécurité et une obligation d’indemnisation des consommateurs en cas de vol de données. La loi propose qu’un bureau de la cybersécurité soit mis en place à la FTC.

Il aurait pour mission d’inspecter et superviser la cybersécurité des structures telles que les agences de notation. Du côté des pénalités, imposer des sanctions obligatoires en matière de responsabilité pour les violations impliquant des données. Une pénalité de base de 100 dollars pour chaque consommateur pour lequel un élément personnel (PII) compromis. 50$ pour chaque PII supplémentaire.

En vertu de ce projet de loi, Equifax aurait payé une amende d’au moins 1,5 milliard de dollars.

backdoor, Cybersécurité, Justice, loi, Mise à jour, Securite informatique

Vulnerability Disclosure : Une loi Européenne en préparation pour protéger les lanceurs d’alerte ?

Vulnerability Disclosure – Le podcast spécial FIC 2019 « La french connexion » a interviewé un chercheur du CNRS, Afonso Ferreira, qui confirme que l’Europe se penchera bientôt sur une loi dédiée aux lanceurs d’alerte.

C’est dans le podcast La French Connexion, sous le micro de Damien Bancal et Nicolas-Loïc Fortin, qu’Afonso Ferreira chercheur au CNRS, enseignant à l’école informatique de Toulouse est venu expliquer son rapport écrit pour le CEPS Task Force. Un scientifique qui a déjà participé à l’élaboration du RGPD, le Règlement Général de la Protection des Données.

Baptisé « Software Vulnerability Disclosure in Europe Technology, Policies and Legal Challenges » l’étude revient sur l’importance des lanceurs d’alerte en informatique.

D’abord, comment la loi doit protéger ces cybercitoyens lanceur d’alerte ?

Ensuite, pourquoi protéger ceux qui tentent d’alerter d’une faille, d’une fuite…

Pour conclure, le rapport est à télécharger ici.