La CNIL présente son rapport d’activité 2018 et le programme des contrôles 2019
-
Sujets :
- rgpd,
- CNIL,
- GDPR,
- cloud computing
La CNIL a plusieurs fois communiqué sur ses principales actions et décisions depuis le 25 mai 2018, mais son premier rapport d’activité de l’ère du Règlement Général sur la Protection des Données (RGPD) était particulièrement attendu, tout comme l’annonce de ses priorités pour 2019.
Le bilan de 2018
La CNIL a toujours été la source d’information de référence pour les citoyens et les professionnels en matière de protection des données personnelles, en particulier via les ressources mises à disposition sur son site web.
La médiatisation de l’entrée en application du RGPD a permis une sensibilisation accrue de la population, se manifestant par l’augmentation considérable des nombres de visites sur le site et de plaintes (respectivement 80% et 32,5% par rapport à 2017). Les trois quarts de ces plaintes sont liées aux difficultés que rencontrent les personnes pour exercer leurs droits et garder la maîtrise de la diffusion de leurs données sur Internet.
Les enjeux de 2019
Dans la continuité naturelle de son rôle d’accompagnement de la conformité, la CNIL poursuivra ses actions de pédagogie et dissuasion visant à assurer la crédibilité du RGPD sur le long terme.
Elle a ainsi publié récemment un règlement type sur la biométrie au travail (cf. notre article « La CNIL publie son règlement biométrie ») et proposera d’ici l’été un guide de sensibilisation à destination des collectivités.
La CNIL a par ailleurs choisi d’inscrire à son programme des contrôles 2019 des thèmes directement liés aux principes du RGPD : l’exercice des droits des personnes, les responsabilités des sous-traitants et le respect des droits des mineurs.
Marie-Laure Denis, présidente de la CNIL depuis le 1er février 2019, a à ce sujet annoncé « la fin d’une certaine forme de tolérance qui a accompagné la transition » [1].
Mme Denis fait également de l’accroissement de l’expertise de la CNIL dans les usages du numérique une priorité, avec des approfondissements particuliers des études dédiées aux assistants vocaux et au cloud computing.
Pour en savoir plus :
Article de presse : « Protection des données : pour la présidente de la CNIL, il y a une prise de conscience mondiale » (article payant)
[1] Marie-Laure Denis, présidente de la CNIL, revient en vidéo sur le bilan 2018 et les perspectives 2019 (Linkedin)
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?