background preloader

La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing

La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing
En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

http://www.cnil.fr/linstitution/actualite/article/article/la-societe-orange-sanctionnee-pour-defaut-de-securite-des-donnees-dans-le-cadre-de-campagnes/

Related:  Administrateur système et réseauxResponsabilité de l'administrateur réseauVeille juridique BTS SIO 2015-2016Veille juridique BTS SIO session 2014-2016exemples de cas

Affaire Snowden : comment contrôler les droits d'administration Edward Snowden, auteur des révélations faites sur les programmes d'espionnage de la NSA, avait pu accéder simplement aux informations critiques de l'agence grâce à ses droits administrateurs. Si les administrateurs des systèmes d'informations se doivent de posséder un accès étendu aux machines, leurs droits d'entrée doivent être impérativement contrôlés et régulés. Une leçon mise en évidence par l'affaire Snowden. L'affaire Snowden est pleine de leçons pour les responsables de la sécurité des systèmes d'information. 20% des organisations ne connaissent pas le nombre de compte administrateurs ouverts

L'obligation de l'employeur d'assurer la sécurité des données Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Comment les administrateurs réseau peuvent survivre au SDN - Actualités RT Réseaux le 13/02/2015, par Jim Duffy IDG NS, adaptation Didier Barathon, Réseaux, 1120 mots Dans un monde centré sur le logiciel, les administrateurs réseaux sont menacés par l'arrivée du SDN et des DevOps. A moins que l'acquisition de nouvelles compétences et leur connaissance de l'architecture réseau existante ne leur permette de démontrer leur valeur. Avec l'avènement du SDN, beaucoup de spéculations éclatent sur l'avenir du métier d'administrateur réseau.

Diffamation sur Internet : la responsabilité du « producteur » - Juritravail Dans un arrêt du 30 octobre 2012, la Chambre criminelle de la Cour de cassation a jugé que le producteur d’un site de communication au public en ligne, qui propose un forum de discussion, ne peut voir sa responsabilité pénale engagéepour diffamation en raison du contenu des messages des internautes, que s’il est établi qu’il en avait connaissance avant leur mise en ligne ou que, dans le cas contraire, il s’est abstenu d’agir promptement pour les retirer dès le moment où il en a eu connaissance. Il s’agit de l’application de la loi du 29 juillet 1982 modifiée, telle qu’interprétée d’ailleurs par le Conseil Constitutionnel (décision QPC du 16 septembre 2011). L’idée est donc de limiter la responsabilité pénale du "producteur", c’est-à-dire celui qui, sur Internet, met en place un site ou forum de discussion. En effet, en principe, pour toute infraction pénale, au niveau délictuel, il faut prouver l’élément intentionnel, c’est-à-dire la conscience de violer une règle de loi.

Une charte de l'administrateur de système et de réseau Complexité en expansion, risques multipliés La multiplication de questions de plus en plus complexes liées à la sécurité des systèmes et des réseaux, l’imbrication de plus en plus intime des aspects techniques et juridiques de ces questions et le risque accru de conséquences judiciaires en cas d’erreur incitent à la rédaction, au sein de chaque entreprise ou organisation, d’une charte de l’administrateur de système et de réseau qui rappelle les devoirs, les pouvoirs et les droits des ingénieurs et des techniciens qui administrent la sécurité des réseaux, des ordinateurs et en fin de compte du système d’information. Cette activité d’administration de la passerelle de messagerie de l’entreprise lui permet de détecter les usages contraires à la loi qui pourraient en être faits par des employés indélicats, dont les exemples les plus courants sont, non limitativement : Règles de conduite Secret professionnel

L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit. L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance.

Cadre juridique des administrateurs réseaux Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique de leur employeur. Ils sont susceptibles d’avoir accès, dans l’exercice de cette mission, à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). L’accès par les administrateurs aux données enregistrées par les salariés dans le système d’information est justifié par le bon fonctionnement dudit système, dès lors qu’aucun autre moyen moins intrusif ne peut être mis en place. Ils doivent dès lors s’abstenir de toute divulgation d’informations qu’ils auraient été amenés à connaître dans le cadre de l’exercice de leur mission, et en particulier les informations relevant de la vie privée des employés ou couvertes par le secret des correspondances, dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou encore l’intérêt de l’employeur.

Un ingénieur réseau poursuivi pour sabotage risque 10 ans de prison Aujourd'hui en charge de la sécurité IT chez The Home Depot, Ricky Joe Mitchell encourt une peine de 10 ans de prison pour sabotage. Crédit D.R. Quand il a appris que son employeur EnerVest était sur le point de le licencier, l'ingénieur réseau Ricky Joe Mitchell a supprimé les comptes téléphoniques et certaines données de sauvegarde de l'entreprise. Il a admis les faits et risque jusqu'à 10 ans de prison. Ricky Joe Mitchell, ancien ingénieur réseau de la société pétrolière et gazière EnerVest, en Virginie occidentale aux États-Unis, est accusé d'avoir saboté les systèmes de l'entreprise au point de perturber ses activités pendant un mois. Lors de l'audience qui s'est tenue cette semaine, Ricky Joe Mitchell (voir son profil Linkedin) a plaidé coupable.

L’administrateur réseau a le pouvoir de lire les messages personnels La Cour de Cassation, dans un arrêt du 17 juin 2009 rappelle qu’un administrateur de réseau, qui est tenu par une clause de confidentialité, a la possibilité d’accéder aux messages personnels des salariés dans le cadre de sa mission de sécurité du réseau informatique. La jurisprudence a eu l’occasion de rappeler à plusieurs reprises que la protection de la vie privée des salariés interdit aux employeurs d’ouvrir les messages qualifiés de personnel sauf risque ou événement particulier (Cf. Cass.

4 conseils pour éviter une affaire Snowden dans votre entreprise - Les Echos Social Pénibilité : Manuel Valls prêt à tout changer Mardi un rapport sur la mise en œuvre du compte pénibilité est remis à Manuel Valls. La plupart des critères de pénibilité seront forfaitisés en fonction... Tourisme - Transport

Related:  Veille Juridique