La formation restreinte de la CNIL a décidé de rendre publique la sanction de 250 000 euros qu'elle a prononcé à l’encontre du site des greffes des tribunaux de commerce français infogreffe.fr. Elle évoque deux manquements : une « négligence grave » pour le premier, d'une « particulière gravité » pour le second.
Le Groupement d'intérêt Economique (GIE) INFOGREFFE, qui se qualifie de « première LegalTech française », avait lancé 3615 Infogreffe en 1987, et infogreffe.fr en 2001, afin de mettre à disposition du public les données juridiques et économiques collectées auprès de chacun des 141 greffes des Tribunaux de commerce :
« Dans le prolongement de la mission de service public des greffiers, Infogreffe a pour priorité de faciliter l'accès à ses services et permet de dématérialiser les principales démarches auprès des greffes. L'information délivrée a une valeur légale. »
Or, un contrôle en ligne effectué par la CNIL a permis de révéler un certain nombre de problèmes et manquements que le simple respect du RGPD, mais également de la loi Informatique et libertés, aurait pu et dû permettre d'éviter.
Récupérer un mot de passe sur un simple coup de fil
Dans sa délibération, la CNIL explique avoir été saisie d’une plainte le 12 décembre 2020 d’une personne déplorant qu'infogreffe.fr conservait les mots de passe de ses utilisateurs en clair et qu’elle a été « capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique ».
En réponse à un contrôle en ligne effectué le 4 mars 2021 et notifié par courrier recommandé, le GIE adressait plusieurs courriers afin de transmettre les éléments sollicités par la CNIL et répondre à ses demandes de complément d’informations.
Si la CNIL détaille les formalités administratives de son contrôle, elle ne précise pas, cela dit, le contenu du procès-verbal qu'elle avait alors adressé à Infogreffe. Tout juste apprend-on qu'au cours de l’année 2020, son site avait été « consulté par plus de 24 millions de personnes dans le monde et que, sur les 3,7 millions de personnes disposant d’un compte, plus de 8 000 comptes européens n’étaient pas français ».
Conformément à l’article 56 du RGPD, la CNIL a dès lors informé l’ensemble des autorités de contrôle européennes, les informant de sa compétence à agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par Infogreffe, « résultant de ce que l’établissement unique du groupement se trouve en France ».
François Pellegrini, désigné en qualité de rapporteur le 26 octobre 2021, réclamait au GIE le 2 décembre ses trois derniers bilans comptables, que l’organisme lui transmettait par courrier daté du 15 décembre 2021. Le 16 février 2022, il notifiait à l’organisme un rapport détaillant les manquements constatés au RGPD, accompagné d’une convocation à une séance de la formation restreinte le 21 avril 2022.
Le 22 février, Infogreffe sollicitait un délai d'un mois pour produire des observations en réponse au rapport de sanction (ce que la CNIL accepta), ainsi qu'un huis clos (refusé, le rapporteur ayant proposé de rendre la décision publique).
Près d'un million d'utilisateurs concernés
Aucune des autorités de contrôle européennes n’ayant « formulé d’objection pertinente et motivée » en réponse au projet de décision qui leur avait été envoyée, et après avoir entendu les observations orales d'Infogreffe lors de la séance de la formation restreinte, la délibération de la CNIL détaille les griefs finalement retenus.
En premier lieu, elle relève un manquement à la charte RGPD d'Infogreffe, qui prévoit une durée de conservation des données personnelles de ses utilisateurs de 36 mois « à compter de la dernière commande de prestations et/ou Documents effectuée par l'Utilisateur via le Site, date aux termes de laquelle les données à caractère personnel ne sont plus conservées ».
Or, un tableur transmis à la CNIL par le GIE révéla qu’au 1er mai 2021, il conservait encore les données à caractère personnel (nom, prénom, adresses postale et électronique, téléphone fixe ou portable, choix d’une question secrète et de sa réponse, ainsi que, pour les abonnés, leurs données bancaires, IBAN et BIC) de 946 023 membres et de 17 558 abonnées dont les dernières interactions dataient de plus de 36 mois, et « sans que l’organisme soit en mesure de justifier d’un contact récent avec lesdits membres ou abonnés ».
Le rapporteur relève en outre qu’aucune procédure de suppression automatique des données à caractère personnel n’avait été mise en place, mais également que « les données étaient conservées pour des durées excessives par rapport à leur finalité et la propre politique fixée par l’organisme ».
En défense, Infogreffe contestait le fait que la durée indiquée dans cette Charte soit prise comme seule référence « alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois ».
Infogreffe admettait en outre que « 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés », ainsi que le retard pris dans l’automatisation de l’anonymisation, mais contestait le fait qu’il n’y aurait eu aucune anonymisation des comptes.
La formation restreinte lui rétorqua « qu’aucune procédure d’anonymisation automatique n’était mise en œuvre au jour du contrôle en ligne », déplorant qu'Infogreffe conservait dès lors des données identifiantes « sans limitation de durée en l’absence de demande d’anonymisation de la part des utilisateurs ».
Infogreffe avait certes purgé les comptes inactifs depuis plus de 36 mois suite au contrôle, mais « le manquement structurel à l’article 5, paragraphe 1, e) du RGPD [...] reste caractérisé pour le passé ».
Des mots de passe (8 caractères max.) stockés et transmis en clair
Plus grave, eu égard aux recommandations, bonnes pratiques et état de l'art en matière de phrases de passe, la formation restreinte a constaté que « les mots de passe de connexion des utilisateurs à leurs comptes, accessibles depuis le site web de l’organisme, sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire » :
« En outre, le rapporteur relève qu’au jour des constats, il était impossible pour l’ensemble des utilisateurs ou des abonnés du site web " infogreffe.fr ", soit pour plus de 3,7 millions de comptes, de saisir un mot de passe sécurisé en raison de la limitation de leur taille à 8 caractères maximum. »
Infogreffe transmettait au surplus « en clair par courriel des mots de passe non temporaires permettant l’accès aux comptes », et conservait « également en clair dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs ».
Cerise sur le gâteau, « en dernier lieu, le rapporteur relève que l’organisme ne confirme pas non plus à l’utilisateur la modification de son mot de passe » :
« Le rapporteur considère que l’utilisateur qui n’est pas alerté en cas de modification non autorisée, n’est donc à ce titre pas protégé contre les tentatives d’usurpation de son compte. »
Usurpation d'identité et vol de données
Pour sa défense, Infogreffe enfila les perles, plutôt que d'avaler ses couleuvres en reconnaissant platement ses nombreux torts.
Il fit en effet d'abord valoir que « l’obligation de sécurité est une obligation de moyens qui doit être appréciée in concreto et que son inexécution doit être constatée par un constat de l’inefficacité des mesures mises en œuvre, ayant conduit à un accès non autorisé, ce qui n’est pas le cas en l’espèce » :
« Il souligne que la recommandation relative aux mots de passe évoquée par le rapporteur constitue du droit souple, qu’il ne s’agit pas de règles impératives, applicables in abstracto, indépendamment de tout contexte et dont le non-respect serait, en lui-même, de nature à justifier une sanction administrative. »
En outre, souligne la délibération, Infogreffe rétorqua également que « l’analyse d’impact relative à la protection des données a révélé un risque faible pour les données à caractère personnel en cas d’accès non autorisé » à mesure que les comptes membres, « représentant la majorité des comptes », n'enregistrent pas leurs données bancaires, contrairement aux comptes abonnés.
Infogreffe estimait dès lors qu’ « un tiers non autorisé ne pourra effectuer d’autres démarches que l’achat de documents et l’envoi de formalités à la place du titulaire du compte », reconnaissant ainsi qu'il était possible d'usurper une identité et de s'en servir pour voler des données.
Infogreffe opposa également à la formation restreinte que « les informations accessibles en se connectant sur le compte d’un utilisateur sont pour l’essentiel des données à caractère personnel présentes dans les extraits K ou KBIS », mais sans s'expliquer sur la faiblesse manifeste de sa mauvaise politique de gestion des mots de passe.
Aucune mesure de sécurité complémentaire
Pour rappel, la protection des données dès la conception, ainsi que la protection des données par défaut (« privacy by design & by default ») constituent le mantra et b.a.-ba du RGPD, adopté en 2016 et en vigueur depuis 2018.
Ce pourquoi la formation restreinte rappelle que, en application de l’article 32 du RGPD, pour assurer la protection des données à caractère personnel, il incombe au responsable de traitement de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » :
« La formation restreinte considère que l’utilisation d’un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire, peut conduire à des attaques par des tiers non autorisés, telles que des attaques par "force brute" ou "par dictionnaire". »
Elle relève à cet égard que la nécessité d’un mot de passe fort est recommandée tant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) que par la Commission dans sa délibération n° 2017-012 du 19 janvier 2017.
Or, les mots de passe étant limités à huit caractères seulement, mais également « sans aucun critère de complexité », et n'étant par ailleurs « associés à aucune mesure de sécurité complémentaire » de type authentification multi-facteurs, la formation restreinte « considère que le risque encouru par les personnes concernées est réel » :
« un tiers ayant eu accès au mot de passe pourrait non seulement accéder à toutes les données à caractère personnel présentes dans le compte de la personne concernée, mais également consulter l’historique de ses commandes, télécharger ses factures et/ou changer le mot de passe du compte et les informations de contact à l’insu de l’utilisateur. »
Aucune notification du changement de mot de passe
En outre, « la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient », précise la délibération.
La formation restreinte considère au surplus que « l’utilisateur qui n’est pas alerté en cas de modification non autorisée n’est donc pas protégé contre les tentatives d’usurpation de son compte », et conclut que « les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes » :
« si la délibération n° 2017-012 du 19 janvier 2017, le guide de la CNIL relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe cités dans les écrits du rapporteur n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art. »
La CNIL, se référant à deux délibérations datant de juin et juillet 2019, rappelle par ailleurs qu'au-delà de ces recommandations, elle a déjà, « à plusieurs reprises », prononcé des sanctions pécuniaires visant notamment « l’insuffisante robustesse des mots de passe ainsi que leur transmission aux clients de l’organisme par courriel, en clair, après la création du compte » :
« Dans ces conditions, eu égard aux risques encourus par les personnes, rappelés ci-dessus, ainsi qu’au volume et à la nature des données à caractère personnel qui peuvent être contenues dans plus de 3,7 millions de comptes (données bancaires des comptes abonnés, nom, prénom, adresse postale et électronique, numéros de téléphone fixe ou portable, question secrète et sa réponse de l’ensemble des comptes), la formation restreinte considère que l’organisme a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD. »
Élément central du RGPD, l'article 32 oblige en effet responsables et sous-traitants à « garantir un niveau de sécurité adapté au risque », en optant pour une série de techniques de protection comme la pseudonymisation et le chiffrement des données à caractère personnel, et « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
La formation restreinte reconnaît qu'Infogreffe « a pris certaines mesures pour assurer la sécurité des données traitées » dans le cadre de la procédure initiée suite à la plainte de 2020. Elle n'en considère pas moins que, « depuis la mise en œuvre de sa politique de mots de passe en 2002 et jusqu’au mois de juin 2021, les mesures de sécurité mises en place par l’organisme ne lui permettaient pas d’assurer un niveau de sécurité suffisant des données à caractère personnel traitées et que, partant, un manquement aux obligations de l’article 32 du Règlement est constitué ».
La faute au sous-traitant (spoiler : non)
Pour sa défense, Infogreffe avait par ailleurs insisté sur la « responsabilité contractuelle de son sous-traitant au regard des instructions qui lui avaient été données concernant la sécurité et l’anonymisation des données à caractère personnel ».
À quoi la formation restreinte répliqua qu'il apparaît surtout qu’Infogreffe « n’a pas suivi l’exécution de ces instructions et n’a pas exercé un contrôle satisfaisant et régulier sur les mesures techniques et organisationnelles mise en œuvre par son sous-traitant pour assurer la conformité au RGPD ».
Elle prend également en compte la nature de l’acteur concerné, à savoir les greffiers des tribunaux de commerce, « qui sont des officiers publics et ministériels chargés de l’exécution de missions de service public » : « À ce titre, la formation restreinte considère que l’organisme aurait dû, dès lors, faire preuve d’une particulière rigueur dans le respect de l’ensemble de ses obligations légales et réglementaires. »
Or, « il résulte des débats que l’organisme a reporté la mise en œuvre des chantiers relatifs à l’anonymisation et à la sécurité des données à caractère personnel afin de répondre, sans accroître ses moyens disponibles, à d’autres obligations de mise en conformité qui n’étaient pas liées à la protection des données ».
De plus, les manquements reprochés renvoient certes à des principes clés du RGPD, mais ils préexistaient déjà dans la loi Informatique et Libertés de 1978.
La formation restreinte souligne enfin que « ces manquements ne sauraient être regardés comme un incident isolé » :
- « S’agissant du manquement relatif à la durée de conservation, la formation restreinte rappelle que l’organisme avait lui-même fixé une durée de conservation des données à caractère personnel qu’il n’a pas respectée et que ce manquement concerne plus d’un million de comptes utilisateurs, membres et abonnés.
- S’agissant du manquement relatif à la sécurité des données, la formation restreinte considère que la faiblesse extrême des règles de complexité des mots de passe, ainsi que les mesures de sécurité en matière de communication, conservation et renouvellement des mots de passe, en vigueur depuis 2002, rendaient l’ensemble des comptes vulnérables. »
Des manquements structurels d'une particulière gravité
Cherchant à minorer le montant de l'amende qui lui serait infligée, Infogreffe plaida « le caractère isolé de la plainte à l’origine du contrôle et l’absence de gain financier tiré des manquements ».
À quoi la formation restreinte rétorqua que cette seule plainte « ne saurait minimiser la gravité des manquements qui au demeurant se sont révélés structurels ».
Évoquant une « négligence grave » pour ce qui de la durée de conservation des données, elle souligne également la « particulière gravité, d’autant plus qu’ils ont rendu l’ensemble des comptes vulnérables » des manquements relatifs à la sécurité des mots de passe.
Ce pourquoi elle a décidé de prononcer une amende administrative d’un montant de 250 000 euros, et de rendre publique sa délibération, « qui n’identifiera plus nommément l’organisme à l’expiration d’un délai de deux ans à compter de sa publication ».
Commentaires (35)
#1
Ah ben quand même !!
Il y a quelques années, j’avais été choqué quand en changeant de mot de passe, mon nouveau mot de passe était refusé car… faisant plus de 8 caractères ! A mes yeux, une telle contrainte ne pouvait signifier qu’une seule chose : un stockage en clair du mot de passe dans une colonne de 8 caractères maximum. A la lecture de cet article, mes soupçons étaient donc bien confirmés.
Au passage, j’avais aussi notifié la CNIL de cet état de fait (cela me semblait tellement incroyable il y a 4 ans…).
Une variante concernant Intermarché en 2020 : l’Impossibilité de saisir des caractères spéciaux
#2
Sauf erreur de ma part, le Kbis est nécessaire dans des démarches administratives car il permet d’identifier l’entreprise. Donc, même si un malfrat arrive à obtenir ton KBIS pour nuire à ton entreprise c’est assez problématique.
Et tu as le système qui va bien pour mesurer une intrusion et vol de données ?? C’est facile de dire qu’il n’y a pas d’accès non autorisé, si il n’y a pas de moyens de les mesurer.
#3
Question bête : les 3⁄4 des banques qui obligent à choisir un mot de passe de taille fixe avec des chiffres uniquement (Société générale, HelloBank, Boursorama, BforBank , …) pourquoi ne se font-elles pas épingler ?
#3.1
Plusieurs raisons :
#3.5
Pour Boursorama c’est pire, ils utilisent un clavier visuel sur 8 chiffres, donc non seulement totalement visible à l’écran mais les Trojans en raffole : screenshot au clique pour bien avoir le code.
Ils compensent avec la “validation des nouveaux appareils” par SMS et e-mail mais quand même
Après tu peux utiliser une clef de sécurité, donc bon point là mais le “défaut” fait un peu peur
#3.2
Je suis client de Boursorama Banque. Il y a le mot de passe en chiffres, mais aussi la double authentification et aléatoirement la clé de chiffrement du PC du client…
#3.3
Ah Boursorama et leurs bonnes priorités, ça a chauffé il y a deux ans.
https://pixeldetracking.com/fr/boursorama-fuite-connexion
https://observatory.mozilla.org/analyze/clients.boursorama.com
Leur CSP est daubée, mais au moins ils en ont une, contrairement à la plupart des banques (et des autres sites).
On notera également le header HSTS preload alors que le site n’est pas preload… Serait-ce un copier coller de quelqu’un qui n’aurait pas lu la doc ?
#3.4
Un smartphone est verrouillé par une simple série de chiffre et il faut passer par des solutions hardware pour accéder aux données, la complexité d’un mot de passe ne fait pas tout…
#3.7
C’est toi qui a décidé de faire comme ça, personne t’y a forcé.
Aucun appareil est sans failles, ça se récupère des données.
#3.8
Ca ne remet pas en cause mon propos
Oups ! Désolé je n’avais pas vu ton message
#3.6
L’authentification client est régie par le dispositif DSP2 en Europe qui oblige les établissements à mettre en place une authentification forte.
En très simple ça oblige à avoir un appareil couplé à un mot de passe que seul l’usager peut avoir en sa possession.
Par exemple, un téléphone déjà enregistré sur le compte qui reçoit un OTP (sms avec code), ou le fait de passer par l’appli mobile avec une première identification qui demande un secur’pass en plus.
Oui le mot de passe en soit n’offre aucune résistance au brute force, c’est le combo personne ayant physiquement accès à un appareil + mot de passe personnel qui porte la sécurité.
Bien évidemment, c’est faillible, ça a tendance à vouloir se renforcer avec la biométrie ou la reconnaissance faciale, même si là aussi ça pose de nombreux problème et technologiques et réglementaires (perso mes données bio chez des brokers de données : non merci)
#4
Je me suis effectivement posé plusieurs fois la question ! C’est un non sens pour moi. Heureusement, la mienne ne le fait pas
Il y en a encore un paquets où tous les caractères ne sont pas acceptés, style les espaces… Dommage quand tu as l’habitude de faire une phrase de passe.
Par ailleurs, il y a des sites d’organismes publics qui n’étaient pas bons il y a encore quelques mois… Je m’étais plain, on m’avait répondu : c’est en cours… la prochaine fois, j’envoie à la CNIL, ça mettra peut-être un coup de pression, l’amende n’a pas trop de sens pour un tel cas.
#5
Est-ce que ce serait possible d’avoir un petit résumé des articles lorsqu’ils dépassent 5 minutes de lecture ?
#5.1
#5.2
Il suffit d’aller lire le communiqué de presse de la CNIL ;)
#5.3
CNIL pas contente. Infogreffe payer beaucoup.
#6
Ça c’est pratique : si tu connais le numéro de compte de quelqu’un, tu peux monter une attaque DoS en 5 minutes.
#7
Tiens, sur le site d’Infogreffe il y a Google Analytics et Google Tag, qui sont tous deux contraires au RGPD.
Va-t-il falloir signaler ça à la CNIL à part et attendre encore 2 ans pour que quelque chose bouge ?
#7.1
Je me demande toujours comment informer la CNIL des manquements de certains sites. Apparemment certains y arrivent avec une simple plainte, d’après l’actu :
J’ai essayé plusieurs fois, et à chaque fois on me répond que la plainte n’est pas recevable car je n’ai pas fait une demande explicite d’exercice de mes droits, et attendu un mois avant de déclarer la plainte. Je me demande bien ce qu’a fait cette personne pour que son dossier puisse être instruit ainsi, a-t-elle fait une demande pour que les mots de passe ne soient plus stockés en clair ?
#7.2
Le process de base est d’abord de contacter le DPO de l’organisme visé, puis si absence de réponse dans le délai d’un mois imparti par le RGPD, ou si réponse non acceptable, escalader à la CNIL avec les échanges envoyés.
Personnellement j’ai soumis plusieurs fois des plaintes à la CNIL et n’ai jamais eu de retour disant qu’elle n’était pas recevable. Parfois j’ai pu obtenir les coordonnées email du DPO comme ça, car certains se contentaient de ne donner qu’une adresse de courrier. Quand j’avais porté plainte contre SFR-Numericable (pour cause de démarchage alors que j’avais explicitement demandé la suppression de mes données dans le courrier de résiliation - transmis à la CNIL) j’ai eu quelques mois après un courrier de la CNIL indiquant que SFR a confirmé avoir supprimé les éléments.
D’ordre général de mon expérience, un échange avec le DPO suffit à résoudre le problème.
La procédure est indiquée ici : https://www.cnil.fr/fr/adresser-une-plainte
Anecdote amusante : j’avais constaté un manquement dans le traitement de mes données personnelles de la part d’une entreprise … qui était un de mes clients. Contacter le DPO ne fut pas bien compliqué dans le cas présent, il était deux bureaux à côté du mien
#7.7
Mais dans mon cas précis, je veux faire un signalerment, pas me lancer dans un dossier de plainte : je ne veux pas contacter le DPO, j’estime que la pratique est irrégulière (pour ne pas dire illégale). Écrire au DPO ne servira à rien, une pratique n’est pas changée parce qu’un utilisateur ne l’apprécie pas.
Pour reprendre le cas de l’actu, je doute que l’utilisateur ait fait une demande “je veux que vous sécurisiez mieux les mots de passe”, puis une plainte au bout d’un mois : quand on voit les réponses WTF faites à la CNIL, on peut facilement imaginer les réactions en interne face à une telle demande, ça doit plutôt être un cas de rigolade à la machine à café. Hé bien je suis dans le même cas : je voudrais que la CNIL enquête, ou me dise a minima si la pratique est autorisée ou pas.
#7.8
La plainte à la CNIL n’est pas une plainte au sens pénal, c’est justement un signalement pour leur demander d’enquêter. Elle n’a pas de valeur judiciaire, c’est rappelé en bas de la page. Si tu estimes devoir leur adresser directement ton sujet, dans ce cas tu détailles la pratique qui te semble litigieuse, et tu leur envoie par courrier ou via leur formulaire en ligne.
#7.9
Je n’ai jamais dit que c’était au sens pénal… Sur la page des plaintes (https://www.cnil.fr/action/422?thematique=Internet&titre=Autre+type+de+site+internet&tid=133), il est clairement indiqué :
Vous pouvez adresser une plainte à la CNIL si votre demande a plus d’1 mois (délai de réponse prévu pour le responsable du site).
Cela concerne principalement l’exercice de ses droits, pas le fait d’alerter sur une possible négligence (comme la non sécurisation des données, pour reprendre l’exemple de l’actu).
J’ai envoyé un message sur leur site, je verrai bien la réponse, si j’en reçois une.
#7.10
C’est normal que le DPO soit mis en frontal, c’est le RGPD qui veut ça. C’est son rôle de contrôler le respect de la réglementation en matière de protection des données (et donc de traiter les cas de négligence, avec l’aide de la CNIL au besoin). Tel qu’il est défini, c’est un rôle indépendant du responsable du traitement automatisé des données pour empêcher le conflit d’intérêt justement.
Personnellement je n’ai jamais eu un seul cas de non réponse de leur part.
Si tu estimes avoir vu un dysfonctionnement, il faut leur signaler, c’est ça qui permet de faire valoir ses droits. Mais si ça te semble grave, le notifier à la CNIL en parallèle n’est pas inutile je pense. Il suffit de préciser que le DPO a également été alerté.
#7.3
J’ai les mêmes questions 👍
#7.4
Avant que tu n’acceptes les cookies, leur contenu est nul. Ils sont de plus explicités lorsque tu cliques sur “gérer les cookies”, donc ça semble OK.
#7.5
Est ce que les requêtes sur les sites de Google (googletagmanager.com et google-analytics.com) ne sont pas déjà problématiques du point de vue de la CNIL ?
#7.6
Ce n’était pas le problème, de plus ils ont depuis corrigé. Mais ça montre leur priorité de l’époque : tracer leurs clients, qui pourtant paient, quitte à mettre en danger la sécurité de leur compte (on parle d’une banque en plus…).
Si, ce sont des services US, ce qui les rend automatiquement contraires au RGPD (Schrems II).
#8
Merci pr cet article bien détaillé @manhack !
Quel plaisir cette condamnation tant attendue.
En fait c’est triste de devoir en arriver là pr que ça bouge. Et même si ce qui m’outrait le plus était leur politique de mot de passe, finalement je ne suis pas étonné de tous les autres pb relatifs aux données personnelles qui sont soulevés… La face cachée de l’iceberg.
Bref un bon gros “cheh” pr ce manque de respect envers nous, les administrés.
#9
Qui cherche un job de RSSI ? J’imagine qu’une offre d’emploi doit être en ligne à l’heure actuelle.
#10
Passer du système minitel sécurisé par défaut à du web de l’an 2020 n’a pas été simple visiblement :)
#10.1
À quel moment c’est sécurisé le minitel ?
#10.2
Sur la partie paiements c’était centralisé au niveau de l’opérateur téléphonique avec à ma connaissance assez peu de pb durant les 20 et quelques années d’exploitation.
#11
Tu as mal compris, il voulait dire que malgré l’apparente faible sécurité du mot de passe d’un smartphone composé uniquement de chiffres, ça suffit à sécuriser fortement les données de part la manière dont est utilisé ce mot de passe. Et donc que la sécurité des données ne se résume pas à la force du mot de passe.
C’est toujours une question de moyens, mais bonne chance avec une clé de chiffrement située dans une puce sécurisé, même protégée par un pauvre code à 4 chiffres. Le fer à souder et le brute-force ne t’aideront pas, la fraiseuse et le microscope électronique non plus si c’est bien fait, tu peux toujours parasiter l’alimentation ou espérer trouver un gros bug ou backdoor de la puce ou de l’algo de cryptage mais ça reste très spéculatif.
#12
Dans le genre sécurité pourlingue j’ai Free… ils m’ont toujours envoyé mes MDP en clair pour le mobile ou le fixe et je n’ai jamais compris pourquoi ils faisaient ça…