CNIL – Association RsynC

06/02/2025

La CNIL alerte sur l’explosion des violations de données et rappelle les bonnes pratiques

Cybersécurité : la CNIL alerte sur l’explosion des violations de données et rappelle les bonnes pratiques

Avec 5 629 violations de données personnelles signalées en 2024, soit 20 % de plus qu’en 2023, la CNIL met en garde contre l’ampleur croissante des cyberattaques. Le nombre d’incidents affectant plus d’un million de personnes a doublé en un an, illustrant la vulnérabilité persistante des systèmes d’information face aux cybercriminels.

Des attaques ciblant les accès et les identifiants

Les incidents les plus fréquents exploitent des méthodes bien connues :

Hameçonnage : l’utilisateur saisit ses identifiants sur un faux site.
Malware : un logiciel espion capte les données de connexion.
Fuites antérieures : des identifiants compromis sont revendus sur le dark web.
Comptes partagés : l’usage de credentials génériques facilite les intrusions.
Complicité interne : certains utilisateurs revendent leurs accès.

La majorité des violations surviennent faute de détection rapide : les intrusions ne sont souvent identifiées qu’après la mise en vente des données. De plus, un nombre significatif d’incidents implique des sous-traitants, illustrant la nécessité d’une vigilance accrue sur la chaîne d’accès aux données sensibles.

Les recommandations de la CNIL

Pour faire face à cette menace, la CNIL publie un document le 28 janvier 2025, s’inscrivant dans son plan stratégique 2025-2028, qui fait de la cybersécurité une priorité. Parmi ses recommandations :
✅ Authentification multi facteurs et comptes individuels nominatifs pour limiter les accès non autorisés.
✅ Contrôle strict des droits d’accès selon les besoins métiers et usage limité aux équipements authentifiés.
✅ Surveillance en temps réel des flux réseaux et des logs pour détecter les intrusions plus rapidement.
✅ Veille proactive sur les fuites de données dans le respect du RGPD et du Code pénal.

19/01/202321/01/2023

La CNIL organise une consultation publique autour de la collecte des données sur smartphones

La Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé le 18 janvier 2023, le lancement d’une consultation publique. Son objectif consiste à « mieux comprendre les enjeux économiques associés à la collecte et au traitement des données dans les applications mobiles ».

La CNIL utilisera les contributions pour élaborer sa politique sur la collecte des données

En novembre 2022, la CNIL présentait dans un communiqué, son nouveau plan d’action dans le but de protéger la vie privée des utilisateurs de smartphones. La première étape de son programme consistait à faire une veille et à enclencher un dialogue avec toutes les parties prenantes de la collecte de données sur les smartphones. C’est pour cette raison que l’autorité régulatrice a décidé de mettre en place une consultation publique.

De ce fait, la CNIL invite toute personne ou entreprise capable d’apporter des éléments de réponse sur les aspects économiques liés à la collecte de ces données, à remplir ce questionnaire. La commission attend de ces personnes des expertises, des informations sur les positions des groupes d’intérêts actifs dans ce domaine, des analyses autour des business models utilisés dans le secteur des applications mobiles. Elle invite également les particuliers à donner leur avis si celui-ci a un rapport avec les enjeux économiques de la collecte et du traitement de données sur les applications mobiles. […]

Lire l’article complet sur siecledigital.fr

Crédit photo Adobe Stock

10/07/2022

La Cnil contrôle sur le niveau de cybersécurité des sites web français

La Commission nationale de l’informatique et des libertés (Cnil) a pour mission, entre autres, de vérifier le respect du b.a.-ba de la sécurité informatique par les sites web. En 2021, sur 21 sites contrôlés, soigneusement sélectionnés, 15 ont été mis en demeure de prendre dans les 3 mois, toutes les mesures permettant d’atteindre un niveau de sécurité acceptable.

Article à retrouver depuis le site usine-digitale.fr

Avis de l’équipe RsynC : Dans le domaine de la cybersécurité, le risque zéro n’existe pas. Dès 2018, la CNIL publiait sur les problèmes de sécurité les plus fréquemment rencontrées sur les sites web. Il semble que les mauvaises habitudes sont ancrées et que les choses évoluent lentement.

Le respect de certaines règles de base permettrait d’éviter un grand nombre de compromissions de systèmes et d’atteintes aux données personnelles. Ainsi nous recommandons le renforcement du mécanisme d’authentification et l’utilisation d’un mot de passe complexe, et lorsque cela est possible, l’emploi d’un mécanisme supplémentaire de double authentifications. A cela, il est conseillé d’empêcher qu’un compte client puisse être accessible depuis une URL incrémentale (technique permettant d’accéder au compte d’un client en changeant un ou plusieurs caractères dans une URL d’un autre compte client), et enfin nous recommandons que le site prévoit le chiffrement des données de bout en bout afin de garantir l’authenticité et l’intégrité des documents ou informations échangées.

06/05/2022

Le rançongiciel, ransomware ou malware de rançonnage : définition, protection et sanctions juridiques

Les entreprises privées, les établissements de santé, les collectivités locales et les professionnels du droit en sont les principales victimes. Comment définir ces attaques en terme de droit ? Comment réagir ? Quelles sont nos obligations légales ?

Une vision claire et synthétique d’Anthony Bem à retrouver depuis le site legavox.fr

02/11/202102/11/2021

RGPD : enjeux et sanctions

Entre son vaste champ d’application, les sanctions RGPD records et les divers débats juridiques autour de législations controversées, il est indéniable que le RGPD a fait bouger les lignes en matière de protection de la vie privée. Quels sont les enjeux et les sanctions RGPD ? (lien vers carte interactive des sanctions).

Article à lire sur datalegaldrive.com

07/10/2021

La Cnil veut s’imposer comme régulateur sur le sujet du paiement

La gardienne des données personnelles cherche à trouver sa place comme régulateur depuis l’entrée en vigueur du règlement sur la protection des données en 2016. [..] En la matière, la Cnil, prudente, entend se positionner comme guide, plutôt qu’en mettant en avant ses pouvoirs de sanction.

Article à retrouver depuis www.agefi.fr

21/08/202121/08/2021

Données personnelles : quelles informations ma banque peut-elle vraiment me demander ?

Ouverture de compte de dépôt, demande de prêt, fichage abusif sur les incidents de crédit… A chaque étape du processus bancaire, la loi sur nos données personnelles est stricte. Nous faisons le point sur les abus avec la Cnil. […]

Lire l’article sur le Journal de Saône-et-Loire

23/06/2021

Le droit à l’oubli : comment ça marche ?

Des informations sensibles sur vous sont disponibles sur le web ? Certaines de vos anciennes publications sur les réseaux vous nuisent aujourd’hui? Découvrez tout ce qu’il y a à savoir sur le droit à l’oubli.

Lire l’article sur femmeactuelle.fr

18/06/202117/06/2021

La CNIL alerte sur l’augmentation des violations de données

Pour faire face à l’augmentation croissante du nombre de signalements, la CNIL répond présent en accompagnant les entreprises et en sanctionnant si nécessaire.

Retrouvez l’article complet d’Anne MOREAU sur lessor42.fr

16/06/2021

Données personnelles : pourquoi la CNIL pourrait devenir plus puissante face à Facebook

La Cour de justice de l’Union européenne renforce les pouvoirs des autorités en charge de la protection des données personnelles des utilisateurs des grandes plateformes en ligne.

Lire la suite sur bfmtv.com