Veille Juridique n°76 – octobre 2024.  

Cyberattaques : un risque accru et un cadre légal en évolution.

 On ne compte plus les cyberattaques ayant visé des entreprises ou des services publics en France cet automne.

Après Boulanger, Cultura, Truffaut ou encore Grosbill et SFR, c’est au tour de la société Free de subir une cyberattaque majeure, alors que se termine à peine le mois de la sensibilisation à la cybermalveillance.

Dans un email adressé à ses clients, la société précise que l’attaque a entrainé un accès non autorisé à une partie des données personnelles associées aux comptes des abonnés, comprenant leurs données d’identification, leurs coordonnées, les informations contractuelles, ainsi que dans certains cas leur IBAN. La fuite concernerait plus de 19 millions de clients.

Free a notifié la violation de données à la CNIL et à l’ANSSI.

Si l’on prend aussi en considération les attaques de grande ampleur ayant ciblé début 2024 deux importants organismes de tiers payant ainsi que France Travail, certains estiment qu’aujourd’hui, ce sont les données de plus de 40 millions de français qui seraient en vente sur le dark web.

La multiplication de ces attaques a conduit la CNIL à publier une fiche d’information afin d’aider les personnes concernées à se protéger.

Elle conseille notamment de vérifier les mouvements de ses comptes bancaires, d’être attentif aux risques d’usurpation d’identité et de phishing, de changer ses mots de passe et d’utiliser des procédures d’authentification multi facteur.

Jusqu’ici, la CNIL sanctionnait rarement les sociétés victimes de cyberattaques pour défaut de protection des données, contrairement à ses homologues européens.

Elle vient toutefois de sanctionner l’entreprise de sécurisation de cryptoactifs Ledger pour ne pas avoir suffisamment protégé les données de ses clients.

D’après La Lettre, qui a diffusé l’information le 23 octobre, le montant de l’amende infligée s’élèverait à 750 000 euros. La CNIL n’a pas confirmé ce montant.

La société avait subi plusieurs violations de données personnelles en 2020, ayant affecté de nombreux clients et prospects.

De nouvelles règles viennent aujourd’hui s’ajouter aux dispositions du RGPD enjoignant aux responsables de traitement de sécuriser les données.

Il s’agit des obligations de la directive européenne NIS2, entrée en vigueur le 17 octobre dernier.

Cette directive entend atténuer les menaces pesant sur les réseaux et les systèmes d’information qui fournissent des services essentiels dans des secteurs clés, afin de renforcer la sécurité de l’Union européenne.

Le texte élargit son champ d’application par rapport à la directive NIS1, et vise spécifiquement les infrastructures et entités essentielles au bon fonctionnement des activités économiques et sociétales dans le marché intérieur: administrations publiques, infrastructures de télécommunication, services de l’information et de la communication, fournisseurs de services numériques mais aussi secteurs de la fabrication de denrées alimentaires ou de produits chimiques, de la santé ou traitement des eaux usées.

Les exigences concernent en particulier la gouvernance et les mesures de gestion des risques cyber, le cloisonnement du SI d’administration, l’obligation de signalement de tout incident, et la sécurité des chaînes d’approvisionnement.

La directive prévoit, comme le RGPD, une notification des incidents et des sanctions financières.

Si une période de trois ans est prévue pour une mise en conformité complète, un minimum devra être mis en place rapidement, à savoir « l’enregistrement auprès de l’ANSSI de l’entité régulée sur le portail « monespaceNIS2 », les notifications des incidents et la démonstration d’ investissements dans des solutions de sécurité.

Indépendamment des règles et des sanctions, il est bon de rappeler les conséquences humaines des violations de sécurité.

C’est ce que vient de faire l’Information Commissioner britannique (ICO) dans une publication du 28 octobre.

L’autorité insiste dans une mise en garde adressée aux responsables de traitement sur les effets parfois dévastateurs des violations de données.

Elle mentionne que 55 % des adultes au Royaume-Uni ont vu leurs données perdues ou volées, ce qui représente près de 30 millions de personnes.

Les conséquences personnelles et émotionnelles de cette situation sont trop souvent négligées : 30% des victimes font état d’une détresse émotionnelle, alors que 25 % d’entre elles ne reçoivent aucune aide de la part des organisations responsables.

En outre, 32 % des personnes touchées l’apprennent par les médias plutôt que par l’organisation elle-même, ce qui accentue leur sentiment de trahison.

L’ICO souligne que trop d’organisations ne mesurent pas pleinement le préjudice et qu’elles négligent la protection des données personnelles.

« Lorsqu’une violation de données se produit, il ne s’agit pas d’une simple erreur administrative, mais d’une incapacité à protéger quelqu’un. »

 

        

La CNIL a infligé le 26 septembre deux amendes de 250 000 euros et 150 000 euros aux sociétés Cosmospace et Telemaque, fournisseurs de services de voyance, pour n’avoir pas obtenu le consentement explicite des personnes concernées avant le traitement de données sensibles dans le cadre de séances de consultation enregistrées.

Elle annonce également avoir prononcé onze nouvelles sanctions simplifiées depuis juin 2024, concernant des infractions relatives à la collecte excessive de données, l’absence de registre, le non-respect des droits des personnes ou le défaut de coopération.

Elle a enfin rappelé à l’ordre le 17 octobre 2024 le ministère de l’Intérieur et des Outre-mer et le ministère de la Justice pour leur mauvaise gestion du fichier de traitement d’antécédents judiciaires.

Le 19 novembre, la CNIL organise un événement « Air » consacré à la surveillance et à ses enjeux éthiques.

Les débats seront coorganisés avec la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Le Parquet de Paris a annoncé que le 18 octobre 2024, au cours d’une réunion Eurojust, les justices belge et française ont formé une équipe commune d’enquête (ECE) concernant les investigations sur Telegram.

En France, une enquête préliminaire avait été ouverte en février 2024, donnant lieu à une ouverture d’information judiciaire puis à l’interpellation de Pavel Durov cet été.

La section de lutte contre la cybercriminalité du Parquet de Paris avait au préalable consulté différents parquets et services d’enquête, ainsi que ses partenaires étrangers au sein d’Eurojust, sur la difficulté à obtenir des réponses aux réquisitions.

La Cour de cassation a cassé le 3 octobre un arrêt de la Cour d’appel de Caen, et rappelé qu’un tribunal doit respecter le principe de minimisation des données lorsqu’il ordonne à un employeur de produire des preuves d’une éventuelle discrimination salariale dans le cadre d’une procédure civile.

Les données personnelles demandées à titre de preuve doivent être limitées à ce qui est strictement nécessaire à la procédure.

Le 22 octobre, l’ONG Noyb a déposé plainte auprès de la CNIL contre la plateforme de médias sociaux Pinterest.

Noyb indique que malgré un arrêt de la Cour de justice de l’Union européenne (CJUE) du 4 juillet 2023 condamnant cette pratique, la plateforme utilise les données personnelles des utilisateurs sans leur demander leur consentement, sur la base de son intérêt légitime, et qu’elle active le suivi par défaut.

La plateforme est également mise en cause pour défaut d’information sur les tiers avec lesquels elle partage les données.

 

Institutions et organismes européens

La Commission européenne a publié le 9 octobre le rapport de son premier examen concernant la décision d’adéquation du cadre de protection des données (DPF) entre l’UE et les États-Unis.

La Commission conclut que les autorités américaines « ont mis en place tous les éléments constitutifs du cadre.

Il s’agit notamment de la mise en œuvre de garanties visant à limiter l’accès aux données à caractère personnel par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale, et de la mise en place d’un mécanisme de recours indépendant et impartial ».

Le rapport contient des recommandations visant à garantir que le cadre continue à fonctionner efficacement, comme l’élaboration d’orientations communes sur les principales exigences du DPF.

Lors de sa séance plénière des 8 et 9 octobre, le Comité européen de la protection des données (EDPB) a adopté un avis sur les sous-traitants et les sous-traitants ultérieurs, des lignes directrices sur l’intérêt légitime, une déclaration sur les règles de procédure supplémentaires pour l’application du RGPD et le programme de travail de l’EDPB pour la période 2024-2025.

Le 4 novembre, le Comité a également adopté son premier rapport sur le cadre UE-États-Unis de protection des données, ainsi qu’une déclaration sur l’accès aux données par les forces de l’ordre.

Il note les progrès accomplis et encourage les autorités américaines à élaborer de nouvelles orientations et la Commission européenne à surveiller le mécanisme de recours pour les citoyens de l’UE.

Dans son arrêt C-507/23 du 4 octobre, la CJUE a considéré que des excuses peuvent constituer une réparation appropriée d’un préjudice moral en vertu de l’article 82(1) du RGPD, notamment lorsque le retour à la situation antérieure au dommage est impossible, à condition que cette forme de réparation soit de nature à compenser pleinement le préjudice subi par la personne concernée

 

Actualité des pays membres de l’Union Européenne.

L’autorité de protection des données (APD) de Belgique a mis en ligne le 9 octobre les documents de sa journée d’étude sur les « smart cities ».

L’objectif était de fournir une plateforme de discussion où les acteurs concernés ont partagé leurs expériences, meilleures pratiques, défis, solutions et visions de l’avenir des « villes intelligentes ».

Le rapport de la journée d’étude, les interventions des participants et des séquences vidéo sont disponibles sur le site de l’APD.

Dans une décision du 11 octobre concernant RTL Belgique, l’APD rappelle également au responsable de traitement qu’il doit rendre aussi simple aux visiteurs de son site internet le fait de refuser le dépôt de cookies et le fait de l’accepter, ceci constituant une application concrète des conditions de validité́ du consentement.

L’APD sanctionne en outre le design des boutons présentés au visiteur et se réfère notamment aux travaux de l’EDPB sur ce sujet.

Dans le cas d’espèce, le bouton « Accepter et fermer », de couleur orange vif se distinguait particulièrement du reste de la bannière cookies, et pour l’APD « c’est ainsi sur ce bouton que va principalement graviter l’attention des utilisateurs. »

En réponse à l’argument de « liberté artistique » invoqué par RTL, l’APD rétorque que « les responsables de traitement doivent veiller à ce que l’usage d’une couleur n’incite manifestement pas les utilisateurs à consentir au dépôt des cookies sur leur navigateur.

En revanche, rien ne s’oppose à ce que les responsables de traitement fassent usage d’une couleur de bouton qui inciterait de la même manière les utilisateurs à refuser le dépôt des cookies. »

Notons que l’APD autrichienne a pris le 28 octobre une décision dans le même sens, concernant l’entreprise publique de radiodiffusion Österreichischer Rundfunk: elle lui a ordonné d’adapter la bannière relative aux cookies de son site web, car la mise en évidence graphique de l’option « accepter tous les cookies » invalide le consentement de la personne concernée en vertu de l’article 6(1)(a) du RGPD.

Ces deux affaires font partie d’une série de plaintes déposées par l’ONG Noyb dans plusieurs pays de l’UE, et l’on peut s’attendre prochainement à d’autres décisions sur ce sujet.

L’APD irlandaise a annoncé le 24 octobre sa décision finale à la suite d’une enquête sur LinkedIn, enquête lancée à la suite d’une plainte initialement déposée auprès de la CNIL par la Quadrature du net en 2018.

Elle a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs et concerne la légalité, la loyauté et la transparence de ce traitement.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros.

L’APD italienne a infligé une amende de 900 000 euros à Postel S.p.A., le service postal principal d’Italie, qui, pendant près d’un an, n’a pas réagi à une vulnérabilité connue et signalée de ses systèmes, ce qui a rendu possible une violation de données personnelles : en août 2023, l’entreprise a été la cible d’une attaque par ransomware qui a entraîné le blocage de ses serveurs et de certains postes de travail.

Les informations, publiées sur le dark web, concernaient des données d’identification et de contact, de paiement, ainsi que des données relatives à des condamnations pénales et à des infractions ainsi que des données de santé et révélant l’appartenance à un syndicat.

L’APD néerlandaise a annoncé le 23 octobre avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux, et constaté que tous ces parcs violaient les lois sur la protection de la vie privée, pour défaut d’information et absence de consentement valable.

Sous la pression de l’APD, sept des parcs ont modifié leurs méthodes de traitement de données.

 

Un fichier Excel a permis la divulgation des informations personnelles de 9 483 agents et employés de la police d’Irlande du Nord.

En réponse à deux demandes d’accès aux données, le service de police avait transmis le fichier en masquant les données sans les supprimer. Considéré comme responsable de cette fuite, la police a été sanctionnée par une amende record de 900 000 euros infligée par l’APD britannique.

Dans un contexte similaire, l’ICO a également sanctionné le conseil municipal de Southend on Sea : en réponse à une demande d’accès aux documents administratifs, le conseil a transmis une feuille de calcul qui contenait encore des données personnelles.

Les autorités chargées de la protection des données de 16 juridictions, dont l’Australie, le Canada, la Chine, l’Espagne et le Royaume-Uni, ont adopté une déclaration commune concernant les technologies de « scraping » en marge de la conférence internationale des autorités de protection des données.

La déclaration souligne que les organisations doivent se conformer aux lois sur la protection des données lorsqu’elles utilisent des informations personnelles, y compris celles provenant de leurs propres plateformes, pour développer des grands modèles de langage (LLM) d’IA.

La déclaration, publiée le 28 octobre, énonce d’autres attentes, notamment que les organisations :

• Déploient une combinaison de mesures de sauvegarde, les révisent et les mettent à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
• Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Mi-octobre, le G7 des autorités de protection des données s’est tenu en Italie, dans l’objectif de renforcer la collaboration entre les autorités au niveau mondial.

Une déclaration a été adoptée sur le rôle des autorités pour garantir que l’IA soit utilisée de manière responsable.

Un communiqué a également été publié, qui souligne l’importance d’un mécanisme robuste de flux transfrontaliers de données qui protège les données personnelles au niveau mondial.

Le 20 octobre, l’APD australienne a publié deux documents d’orientation sur la protection de la vie privée et l’intelligence artificielle :

• Un guide concernant l’utilisation des produits d’IA disponibles dans le commerce ;
• Un guide sur le développement et l’entraînement de modèles génératifs d’IA.

Parmi les points clés concernant le premier guide, l’APD souligne que

• Les obligations en matière de protection de la vie privée s’appliquent à toute information personnelle introduite dans un système d’IA, ainsi qu’aux données de sortie générées par l’IA (lorsqu’elles contiennent des informations personnelles).
• Si les systèmes d’IA sont utilisés pour générer ou déduire des informations personnelles, y compris des images, il s’agit d’une collecte d’informations personnelles qui doit être conforme aux principes de protection des données.

À titre de bonne pratique, l’APD recommande aux organisations de ne pas saisir d’informations personnelles, et en particulier d’informations sensibles, dans les outils d’IA générative accessibles au public, en raison des risques importants et complexes pour la vie privée que cela implique.

Des communications internes de TikTok ont été rendues publiques en octobre, qui montrent que l’entreprise ne se préoccupe pas des effets néfastes de l’application sur les adolescents américains, alors que ses propres recherches mettaient en évidence de nombreuses préoccupations.

Ces documents confidentiels font partie d’une enquête de plus de deux ans menée par 14 procureurs généraux des Etats-Unis.

L’action en justice allègue que TikTok a été conçu dans l’intention expresse de rendre les jeunes accros à l’application, et que l’entreprise a trompé le public sur les risques encourus.

Selon le media NPR, qui a eu accès aux documents, TikTok a déterminé le nombre précis de visionnages (260) nécessaires pour qu’une personne soit susceptible de devenir dépendant de la plateforme.

Selon les enquêteurs de l’État, « bien que cela puisse sembler important, les vidéos de TikTok peuvent durer seulement 8 secondes et sont lues par les spectateurs en succession rapide et automatique. (…) Ainsi, en moins de 35 minutes, un utilisateur moyen est susceptible de devenir dépendant de la plateforme. »

Internet Archive subit actuellement une vague de cyber attaques.

La première série d’attaques, rendue publique à la mi-octobre, a consisté en plusieurs attaques DDoS. Les pirates ont également révélé qu’ils avaient eu accès aux données de 31 millions d’utilisateurs.

Fin octobre, l’organisation a de nouveau été victime d’une intrusion, cette fois sur sa plateforme d’assistance par courrier électronique Zendesk, après avoir été avertie à plusieurs reprises d’un vol de jetons d’authentification.