Newsletter de NeoTech
Adoption du règlement européen par le Parlement européen : un grand pas pour la protection des données en Europe 14 avril 2016
Protection des données personnelles - vie privée - réglement européen
Source : CNIL - 14 avril 2016
Adoption du règlement européen par le Parlement européen : un grand pas pour la protection des données en Europe - 14 avril 2016
 
Le Parlement européen a adopté le 14 avril le règlement européen sur la protection des données. Il sera applicable en 2018 dans tous les pays membres de l’Union européenne. 
 
L’adoption du règlement européen sur la protection des données personnelles par le Parlement européen le 14 avril constitue l’aboutissement de quatre années de travail et de négociations intenses et marque un tournant majeur dans la régulation des données personnelles.
 
Le règlement renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié.
 
Le règlement européen permet :
 
cheeky Pour le citoyen, un renforcement des droits existants, notamment en lui permettant de disposer d’informations complémentaires sur le traitement de ses données mais également de les obtenir sous une forme claire, accessible et compréhensible. Le droit à l’oubli est conforté et un nouveau droit, le droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne. Les mineurs font également l’objet d’une protection particulière.

cheeky Pour les entreprises, une simplification des formalités, la possibilité d’un interlocuteur unique pour toutes les autorités de protection des données européennes et d’une mise à disposition d’une boite à outils de conformité dont certains seront nouveaux (ex : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes. (ex : tenue d’un registre, consultation des autorités de protection, notification des failles de sécurité).

cheeky Pour les autorités de protection, une affirmation de leurs compétences dès lors qu’il existe un établissement sur le territoire de l’Union ou que leurs citoyens sont affectés par le traitement, mais également un renforcement de leurs pouvoirs, notamment répressifs avec la possibilité de prononcer des sanctions administratives pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise concernée. Surtout, les « CNIL » européennes pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d’un organisme que pour prononcer une sanction. Cette intégration européenne renforcera ainsi la protection des personnes et la sécurité juridique pour les entreprises.

cheeky Une nouvelle architecture de coopération entre les autorités de protection avec un nouvel organe européen : le Comité Européen de la Protection des Données (CEPD) en charge d’arbitrer les différends entre les autorités et également d’élaborer une doctrine « européenne ». Cette entité, qui prend la suite du G29, verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanctions.
Cette adoption signifie aussi le début d’un compte à rebours qui va durer deux ans, jusqu’à la mise en œuvre effective du règlement en 2018.
 
Le G29, qui réunit les CNIL européennes est déjà en ordre de marche pour accompagner les entreprises à se préparer pour être prêtes en 2018. Il travaille aussi à la mise en place du prochain European Data Protection Board qui prendra la suite du G29. Des consultations avec les parties prenantes sont prévues avant l’été.
 
Le règlement sera publié dans les prochaines semaines au Journal officiel de l’Union européenne.
Piratage LinkedIn : 167 millions de victimes ?
cyber sécurité - Cyber criminalité
source : Clément Bohic, 19 mai 2016 - www.itespresso.fr
Piratage LinkedIn : 167 millions de victimes ?
 
Bilan revu à la hausse pour le vol de données subi il y a 4 ans par LinkedIn : l’ensemble des utilisateurs inscrits auraient été touchés, à divers degrés.
 
Stupeur et tremblements dans la maison LinkedIn.
 
Le réseau social BtoB se rappelle au souvenir d’un épisode que l’on croyait clos : une attaque informatique subie au printemps 2012 avec, à la clé, un piratage qualifié de « massif »*.
 
On en était resté, au bilan officiel, à 6,5 millions de mots de passe exfiltrés.
 
Les estimations viennent d’être revues à la hausse… et pas qu’un peu : 167 millions de comptes seraient en fait touchés, c’est-à-dire l’intégralité de la base d’utilisateurs revendiquée par LinkedIn à l’époque des faits.
 
C’est tout du moins ce que suggère le dénommé Troy Hunt.
 
Ce chercheur en sécurité, à l’origine du site « Have I been pwned ? », a pu prendre connaissance, via le moteur spécialisé LeakedSource, d’une partie des données volées. Les adresses e-mail lui ont permis de prendre contact avec plusieurs personnes qui ont confirmé que le mot de passe associé était bien celui qu’elles utilisaient en 2012.
 
L’alerte avait été lancée en début de semaine après la mise en vente, sur « The Real Deal » (place de marché du darkweb), de ce jeu de données, pour 5 bitcoins, soit environ 2 000 euros.
 
Le vendeur, qui se présente sous le pseudo « peace_of_mind », a fourni quelques détails à Vice. Sur les 167 millions d’adresses e-mail qui ont fuité, 117 millions sont liées à un mot de passe.
 
D’après l’analyse de Troy Hunt, ces mots de passe sont chiffrés, mais avec l’algorithme SHA1, aujourd’hui considéré comme offrant une protection insuffisante.
 
On notera par ailleurs l’absence de salage (ajout de chiffres aléatoires à la fin des hashs). Assez pour permettre à LeakedSource de craquer 90 % des mots de passe en l’espace de 72 heures.
 
LinkedIn ne confirme pas ces différents chiffres. L’entreprise américaine précise toutefois avoir, par mesure de précaution, commencé à invalider des mots de passe. En l’occurrence, ceux qui n’ont pas été modifiés depuis la date du piratage.
 
Les utilisateurs concernés seront avertis et invités à procéder à une réinitialisation. LinkedIn songe, en parallèle, à lancer des poursuites contre l’individu qui a mis les données en vente. Tout en rappelant que des mesures complémentaires sont disponibles, comme la double authentification.
 
* Les investigations menées dans la continuité de l’attaque auraient coûté, au bas mot, entre 500 000 et 1 million de dollars. Sans compter les frais inhérents aux divers procès intentés à LinkedIn – dont une class action en Californie.

Lire l'article sur ITESPRESSO

 
 
Référencement : l’obligation de résultat justifie la résiliation unilatérale
Obligation de résultat - obligation contractuelle - résiliation
Source : Brêve 13 mai 2016 - Legalis.net
Par un arrêt du 13 mai 2016, la cour d’appel de Paris a confirmé la résiliation unilatérale par le client d’un contrat de référencement car le prestataire n’avait pas respecté l’obligation de résultat de faire progresser le positionnement du site sur les moteurs de recherche. Bien que le client n’ait pas respecté le délai de deux mois pour mettre fin à leurs relations contractuelles, la cour a jugé qu’il avait justifié de l’urgence à résilier le contrat afin de retrouver rapidement un autre prestataire.
La cour a pris en compte le fait que l’activité et la prospection de nouveaux clients du client provenait quasiment exclusivement des moteurs de recherche.
 
La société Mapaye qui édite un site de gestion de paie à distance a passé commande d’une prestation auprès de Maquinay pour améliorer le référencement naturel, faire de l’audit de son site, la mise en place de son positionnement et le suivi statistique.

Or, rapidement elle a constaté une forte baisse de son positionnement. Elle a donc demandé à Maquinay de cesser son intervention et de lui rembourser le montant versé, l’informant qu’elle résiliait le contrat pour non-respect de son obligation de résultat.

Dans les conditions générales de vente annexées au bon de commande, Maquinay avait, en effet, souscrit une obligation de résultat de faire progresser le positionnement du site sur une année, les premiers signes de progrès devant être visibles « sous 1 à 3 mois » pour « atteindre un positionnement sur 50 % des expressions clés […] dans les deux premières pages des moteurs de recherche […] à la fin de l’année de prestation ».

La cour a rejeté l’argument de la transformation de l’obligation de résultat en obligation de moyen, prévue par le contrat pour non-respect par le client de ses obligations. Maquinay n’invoque qu’un cas des cinq cas listés pour que l’obligation de résultat se transforme en obligation de moyen. La cour a donc confirmé la restitution des 3 900 € versés pour le contrat par Mapaye et a condamné Maquinay aux dépens d’appel et à verser à son ex-client 3 500 € au titre des frais qu’il a avancés pour se défendre.
 
Lire l'article sur legalis.net

Lire la décsiion sur legalis.net
Authorization
?0ff \/\/3? $|-|311 1.0
Password: