[27 septembre 2018] Difficile de faire plus à jour de l’actualité de la CNIL. La sanction a été publiée ce 27 septembre 2018. Voyons (rapidement – car ce n’est pas une révolution) la délibération « CNIL 6 septembre 2018 association « x »
l’obligation de sécurité de l’article 32 RGPD ?
Si vous voulez vraiment creuser le sujet, commencez par cliquer sur ma présentations sur l’obligation de sécurité (art.32 GDPR) aux DSI du Club GUN en février 2018.
délibération CNIL 6 septembre 2018 association « x » : le problème technique ?
Les reproches faits (à juste titre, hélas) à l’association « x » sont tristement classiques. La gestion des habilitations pour accéder aux données des « users » n’était pas défaillante, elle était tout simplement inexistante ! Apparemment, le prestataire sous-traitant n’était pas très diligent (euphémisme). Mais l’association « x » ne s’est pas beaucoup agité suite aux deux contrôles à distance successifs de la CNIL… L’association avait bien plaidé que personne n’avait eu accès aux données. Au moins « l’informateur » (non nommé cette fois-ci) était effectivement arrivé à rentrer dans le système et (de manière là encore très classique) avait informé la CNIL… Oui, certes, pas de données bancaires, ni de données sensibles… La CNIL relève (et ce n’est pas une première dans les délibérations « sécurité » depuis 2017) que « l’exposition de données caractère personnel sans contrôle d’accès préalable est identifiée comme faisant partie des failles de sécurité les plus répandues et pour lesquelles une surveillance particulière s’impose« . Le minimum de l’état de l’art ? le contrôle d’accès préalable !!