Cet été, la Cnil n’a pas pris de va­cances

L'Informaticien - - L’ACTU DU MOIS -

Le gen­darme des don­nées per­son­nelles n’a pas chô­mé du­rant l’été. D’abord avec la mise en de­meure de Tee­mo et Fid­zup. Ces deux so­cié­tés per­mettent à des édi­teurs de mo­né­ti­ser leurs ap­pli­ca­tions mo­biles en y in­té­grant leurs SDK. Ces der­niers col­lectent di­verses don­nées : iden­ti­fiants pu­bli­ci­taires du mo­bile, adresses MAC et don­nées de géo­lo­ca­li­sa­tion. Les­quelles sont en­suite uti­li­sées pour ci­bler de la pu­bli­ci­té. Rien d’illé­gal dans la pra­tique, mais en­core au­rait- il fal­lu cor­rec­te­ment in­for­mer l’uti­li­sa­teur et re­cueillir son consen­te­ment éclai­ré. Dans le cas de Tee­mo, les uti­li­sa­teurs ne sont pas in­for­més lors du té­lé­char­ge­ment d’une « ap­pli­ca­tion par­te­naire » qu’un SDK y est ni­ché. Quant à Fid­zup, l’uti­li­sa­teur n’est in­for­mé « ni de la fi­na­li­té de ci­blage pu­bli­ci­taire du trai­te­ment mis en oeuvre, ni de l’iden­ti­té du res­pon­sable de ce trai­te­ment » . Ajou­tons à ce­la qu’il n’est pas pos­sible de té­lé­char­ger les ap­pli­ca­tions en ques­tion sans ce SDK. Et si les ap­pli­ca­tions, à l’ins­tar de celles du Fi­ga­ro ou de Closer, de­mandent bel et bien le consen­te­ment au trai­te­ment des don­nées, ce­la ne concerne que l’édi­teur et l’uti­li­sa­tion de ces don­nées par l’ap­pli­ca­tion, et non par un tiers. En­fin, Tee­mo conserve les don­nées collectées pen­dant 13 mois, ce qui est bien trop long au re­gard de la fi­na­li­té du trai­te­ment, se­lon la Cnil. Les deux en­tre­prises sont donc ins­tam­ment priées de se mettre en confor­mi­té avec la loi. Dai­ly­mo­tion, pour sa part, écope d’une amende de 50 000 eu­ros suite à la fuite de don­nées que la plate- forme avait connue en 2016 : 83 mil­lions de comptes avaient été com­pro­mis. La Cnil a me­né son en­quête et a dé­ter­mi­né que l’en­tre­prise n’avait pas suf­fi­sam­ment sé­cu­ri­sé les ac­cès à son système d’in­for­ma­tion. À l’ori­gine de cette at­taque, une vul­né­ra­bi­li­té dans le code source de Dai­ly­mo­tion pu­blié sur GitHub, à sa­voir la pré­sence en clair des iden­ti­fiants et mots de passe d’un compte ad­min de la base de don­nées de la pla­te­forme. D’au­tant que le site au­to­ri­sait les ac­cès ex­terne à son ré­seau in­terne, de sorte à per­mettre aux par­te­naires de Dai­ly­mo­tion de mo­di­fier ou sup­pri­mer du conte­nu. Une nou­velle faille ex­ploi­tée pour dé­ro­ber les don­nées de la pla­te­forme, dont le manque de sé­cu­ri­sa­tion mé­con­naît la loi et lui vaut cette amende. Fin juin, c’est l’Adef, une as­so­cia­tion d’aide au lo­ge­ment, qui a été condam­née là en­core pour dé­faut de sé­cu­ri­sa­tion des don­nées per­son­nelles des de­man­deurs. Une fois n’est pas cou­tume, leurs in­for­ma­tions ( avis d’im­po­si­tion, pas­se­ports, cartes d’iden­ti­té, titres de sé­jour, bul­le­tins de sa­laires, at­tes­ta­tions de paie­ment de la CAF… 42 652 do­cu­ments en tout) étaient li­bre­ment ac­ces­sibles sur In­ter­net, en mo­di­fiant sim­ple­ment le che­min de l’URL, sans qu’au­cune au­then­ti­fi­ca­tion soit de­man­dé. Il en coû­te­ra 75 000 eu­ros à l’as­so­cia­tion. Tou­jours dans le do­maine du lo­ge­ment, l’Of­fice pu­blic de l’ha­bi­tat ( OPH) de Rennes a lui aus­si été épin­glé par la Cnil. En cause, une uti­li­sa­tion du fi­chier des lo­ca­taires de lo­ge­ments so­ciaux de l’OPH dans une fi­na­li­té non pré­vue lors de la col­lecte des don­nées. À sa­voir l’en­voi d’un cour­rier fus­ti­geant la baisse des APL, cour­rier qui ne re­lève pas de la mis­sion d’in­for­ma­tion de l’OPH. « L’uti­li­sa­tion des don­nées per­son­nelles is­sues du fi­chier des lo­ca­taires de l’OPH pour adres­ser ce cour­rier était in­com­pa­tible avec la fi­na­li­té ini­tiale de la col­lecte de ces don­nées » , écrit la Cnil, avant d’énon­cer le ver­dict : une dou­lou­reuse de quelque 30 000 eu­ros.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.