Rappel de la CNIL sur la réutilisation des données publiques
La CNIL rappelle les conditions dans lesquelles des données publiquement accessibles en ligne peuvent être réutilisées à des fins commerciales
La CNIL n’a pas encore publié son dernier rapport d’activité (le rapport pour l’exercice 2018 était paru mi-avril 2019), mais elle révèle d’ores et déjà que les plaintes reçues et les contrôles réalisés en 2019 ont souvent fait état de pratiques commerciales consistant en une exploitation illégale de données personnelles publiquement accessibles sur des sites web (annonces ou annuaires en ligne, par exemple).
La CNIL rappelle que de telles données, bien qu’effectivement consultables par tout internaute dans des conditions définies par la personne concernée et le responsable de traitement initial, doivent néanmoins toujours bénéficier de la protection conférée par les principes du Règlement Général sur la Protection des Données (RGPD) en cas de traitement ultérieur par un tiers.
Parmi les principes dont le respect n’est pas systématiquement observé par les sociétés en question, notons deux points sur la réutilisation des données publiques :
- licéité : une personne ayant mis en ligne certaines données en vue de la réalisation d’une finalité initiale n’a vraisemblablement pas consenti à un traitement ultérieur par un tiers. Ce défaut de consentement prive le traitement ultérieur de base légale, et le rend illicite.
- loyauté et transparence : toute personne dont les données font l’objet d’un traitement doit être informée des caractéristiques du traitement et des modalités d’exercice des droits dont elle bénéficie. En outre, en cas de collecte indirecte des données, le responsable de traitement doit informer les personnes des sources employées.
La CNIL insiste sur la nécessité de respecter le droit d’opposition des personnes, qui peut notamment se manifester via leur inscription sur des listes anti- prospection ou au dispositif Bloctel. Elle énonce enfin les bons réflexes qui pourraient permettre aux sociétés utilisant un logiciel d’aspiration de données de traiter licitement les données publiquement accessibles sur les sites web.
Pour en savoir plus sur la réutilisation des données publiques, consultez l’article paru sur le site web de la CNIL intitulé « La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial » (30 avril 2020)
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?