Orange sanctionné pour défaut de sécurité sur les données de plus d'un million de clients "Avertissement public" à l'encontre d'Orange. Dans une délibération du 7 août, la Commission nationale de l'informatique et des libertés (Cnil) a sanctionné le groupe télécoms français suite à une faille de sécurité concernant les données de plus d'un million de clients. C'est le premier grade des sanctions prononcées par l'autorité, avant la sanction pécuniaire. Dans son communiqué, la Cnil explique qu'Orange lui a signifié, en avril dernier, une violation de données personnelles de près d'1,3 million de clients (nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile) suite à une défaillance technique de l'un de ses prestataires.
CNIL Bug Facebook : La CNIL enquête toujours, mais évoque une confusion des utilisateurs L’affaire du supposé bug de Facebook qui aurait conduit à la diffusion de messages privés sur le journal (Timeline) de certains membres n’est toujours pas éclaircie. L’audition hier par la Cnil des représentants de Facebook France n’a semble-t-il pas permis de faire la lumière sur le problème. En effet, dans un communiqué diffusé le 25 septembre en début de soirée, la commission fait savoir qu’ « à ce stade des échanges, il ressort que des investigations complémentaires doivent être menées afin de déterminer si des messages privés ont effectivement été rendus publics ».
Cybersurveillance - La méconnaissance de la Charte informatique constitue une faute grave (Cass soc 5 juillet 2011 n°10-14.685) Bref rappel : l’employeur a la faculté de mettre en place une Charte d'utilisation du matériel informatique. L’intérêt de rédiger une telle charte est en effet de permettre de fixer des règles d'utilisation de l’outil informatique (opérations interdites, règles de confidentialité etc..), d’informer le salarié concernant la mise en place éventuelle de moyens de surveillance de leur activité professionnelle, de prévenir des pratiques illégales voire illicites etc.. Si le défaut de mise en garde sur l'utilisation répréhensible des outils informatiques dans le Règlement Intérieur ou la Charte informatique n'interdit pas de retenir en cas de licenciement la faute grave (Cass. soc., 16 mai 2007, no 05-43.455, Eve c/ Sté Info Mag), a contrario l’existence d’une telle Charte permet à l’employeur de la caractériser plus aisément. Or l’enjeu est de taille. C’est l’illustration de l’arrêt commenté.
Le système de paiement des hôtels Hyatt touchés par un malware Après les Hilton en novembre dernier, c'est au tour des Hyatt d'être victime d'un piratage de données bancaires. (crédit : Wikipedia/Ville Miettinen) Hyatt s'ajoute à la liste des hôtels piratés. Après avoir découvert un malware dans son système de paiement, la chaîne conseille à ses clients de vérifier leurs relevés de cartes de crédit. Le groupe d'hôtels Hyatt a demandé à ses clients de vérifier soigneusement leurs relevés de carte de crédit à la suite de la détection, il y a trois semaines, d’un malware sur les ordinateurs utilisés pour les paiements dans ses établissements. Selon Reuters, Haytt a demandé à la firme de sécurité FireEye de l'aider à enquêter. Il s'agit du dernier en date d'une série de groupes hôteliers ayant subi un piratage de leurs systèmes informatiques.
En quête d’une identité unique, en ligne et hors ligne Des chercheurs britanniques mènent une étude sur une « super-identité », qui serait valide dans les univers numériques comme dans le monde réel. Des chercheurs de l’université de Southampton, au Royaume-Uni, conduisent un effort international pour étudier l’identité, et en particulier la façon dont l’existence de multiples identités numériques et dans le monde réel affecte la sécurité. Cette étude sur trois ans met l’accent sur la notion d’une « super-identité », autrement dit une identité unique et définitive. Après tout, nous sommes des personnes uniques, et tôt ou tard tous ces alias (en ligne ou dans la vraie vie) reviennent à une entité « centrale » unique. Le problème est que le manque de fiabilité de l’identification, sujette aux falsifications, représente une menace pour tout système de sécurité, depuis un compte de messagerie électronique d’entreprise jusqu’à l’Administration pour la sécurité des transports des États-Unis. À lire aussi
Protection des données à caractère personnel Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs]. La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels). La directive ne s'applique pas au traitement de données: effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques; mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État. Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés.
Identité personnelle et identité numérique Un article de JurisPedia, le droit partagé. Clara.B, Contributions L’explosion des réseaux sociaux et plus globalement, d’internet, a favorisé la multiplication des données personnelles sur internet et leur circulation sur la toile. Tout utilisateur dispose aujourd’hui d’une identité à plusieurs dimensions : à la fois personnelle, et fait tout récent, d’une identité numérique qu’il doit savoir et pouvoir gérer et protéger pour ne pas se laisser dépasser par la collecte et le stockage de données personnelles. L’identité personnelle peut se définir comme l’ensemble des informations qui font qu’une personne est un être singulier. Cette notion aux contours flous difficilement définissable fait l’objet de réflexions depuis cinq ans. Ce terme est lié à la notion même d’identité. La maîtrise de son identité numérique est notamment apparue avec l’émergence des réseaux sociaux. La position française sur la protection des données personnelles Le rôle de la CNIL Charte du 30 septembre 2010
Comment une société pétrolière a été piratée à cause de la vulnérabilité du fournisseur de son restaurant d’entreprise Piratage des grandes entreprises : le maillon faible reste l’humain et … les PME de leur écosystème ! Le piratage récent d’une grande société pétrolière et gazière a exposé de précieuses données. Comment une entreprise dotée d’une sécurité renforcée peut-elle être piratée ? Facilement. Dans le cas présent, les pirates ont exploité la faiblesse de la sécurité informatique d’un traiteur local qui prenait les commandes en ligne des déjeuners du personnel de la compagnie pétrolière, et s’en sont servis comme point d’entrée dans son réseau. Cela met en évidence deux problèmes de la sécurité d’aujourd’hui : les humains comme maillon le plus faible et les petites entreprises qui ne prennent pas la sécurité suffisamment au sérieux. Les petites et moyennes entreprises pensent encore qu’elles sont à l’abri face à la cybercriminalité et croient que leurs données n’ont aucune valeur pour les pirates. Les PME doivent adopter une nouvelle approche de la sécurité informatique…
Témoignages : ils ont été recrutés grâce à leur présence en ligne On parle beaucoup de présence en ligne, d’identité numérique, d’e-réputation… comme facteurs pouvant faciliter la recherche d’emploi. Mais qu’en est-il exactement ? Nous avons posé des questions à plusieurs personnes ayant été contactées par des recruteurs suite à leur présence en ligne, dans le cadre de notre débat du mois sur l’identité numérique. L’occasion de voir comment, concrètement, son activité en ligne peut mener à une embauche. Nos interviewés ont également de très bons conseils à vous apporter, si vous souhaitez suivre leurs traces ! Un grand merci à toutes les personnes ayant gentiment accepté de témoigner ! Les secteurs et les outils concernés Ce n’est pas un grand scoop : lorsque l’on recherche un travail dans la communication, particulièrement dans le Web, avoir une bonne présence en ligne se révèle efficace. La présence en ligne : un allié pour la recherche d’emploi Visibilité accrue et mise en relation simplifiée La mise en avant de ses compétences Etre cohérent Échanger
GESTION DES DONNEES PERSONNELLES Le cabinet Forrester pense que la délégation de gestion des données personnelles sera un marché prometteur. Deux tendances fortes s'opposent depuis des années. D'un côté, les consommateurs ne veulent plus être harcelés par des propositions commerciales incessantes et donc ne plus transmettre d'informations sur eux permettant de les solliciter. Le cabinet Forrester vient de publier une étude baptisée « Personal Identity Management ». Mutualiser les systèmes d'identification Il existe déjà des systèmes d'identification mutualisés qui permettent à des individus de se connecter à de multiples services avec un seul couple identifiant/mot de passe : Google ID, Twitter Sign In, Yahoo Identity, Facebook Connect... Or, après l'Europe et ses directive sur la protection de la vie privée, les Etats-Unis envisagent sérieusement de légiférer à leur tour sur le droit des consommateurs à voir leurs données collectées avec respect de leur vie privée et de leur volonté. Partage mais contrôle des accès
Starwood : une cyberattaque, ayant débuté il y a un an, a touché une cinquantaine d’hôtels Il aura fallu 1 an pour s’en apercevoir… Starwood, un important groupe hôtelier et de loisirs avec plus de 1 200 sites dans plus de 100 pays et 180 400 salariés, a annoncé ce vendredi 20 novembre une attaque de son système informatique en Amérique du nord visant à obtenir les données bancaires de clients. 54 lieux sont affectés, et à regarder de près, la trace de la première infection remonte au 5 novembre 2014, la dernière se finissant le 23 octobre. Les pirates ont pénétré le système informatique d’un « nombre limité » d’hôtels du groupe en y installant un logiciel malveillant, ce qui leur a permis de voler des informations sur des cartes bancaires de clients, indique Starwood dans un communiqué. Des restaurants, des boutiques de souvenirs et des points de ventes d’hôtels Starwood ont été particulièrement visés. Outre les marques Sheraton et W, Starwood exploite notamment le St Regis, le Westin et Le Méridien. Auteur : Juliette Paoli avec AFP Auteur : Juliette Paoli
Vers un cadre européen de l’identité numérique 01net. le 06/09/13 à 10h07 Après notre série d’analyses sur le projet de règlement européen de protection des données personnelles (*), voici une nouvelle série consacrée au projet de réglement sur l'identité numérique. Le projet de règlement, qui sera discuté au Parlement européen, vise à remplacer et à compléter la directive européenne de 1999 sur la signature électronique, qui constitue aujourd’hui le cadre juridique de l’Union sur ce sujet. Le projet de règlement créera donc des règles communes à tous les Etats membres pour l’authentification forte ainsi que pour la signature électronique des personnes physiques et (ce qui est nouveau) morales. Qu’est-ce que l’identité numérique ? L’identité numérique (ou électronique) est ici entendue comme un moyen de prouver sur internet sa véritable identité. Cette preuve de l’identité dans le monde numérique (réseaux, internet) s’effectue techniquement en deux temps :1. La création d’un cadre européen d’interopérabilité