GuiGui's Show

Délibération SAN-2026-001 et délibération SAN-2026-002

Arrêté du 31 décembre 2013 relatif aux factures des services de communications électroniques et à l'information du consommateur sur la consommation au sein de son offre.

Lignes directrices 9/2022 du CEPD sur la notification de violations de données à caractère personnel en vertu du RGPD

Première explicitation, dans une sanction CNIL, du contenu d'une notification de violation de données à caractère personnel.

Iliad (Free, Scaleway, etc.) est connue pour se torcher avec le RGPD.

En l'espèce : conservation excessive en base active car, étant donné la conservation 10 ans (des seules factures, mais bon…), Iliad ne l'a pas prévu dès le départ en pensait avoir le temps de s'en occuper… ; traçabilité perfectible dans l'outil central de gestion des clients ; pas de détection active des intrusions dans le réseau ; authentification faiblarde sur le VPN : et notification de la violation sans les infos essentielles.

La défense de Free devant la formation restreinte de la CNIL est lunaire : on est la première vraie sanction pour violation de données (ça se discute), on pouvait pas savoir les mesures à mettre en œuvre, blablabla. Principe de responsabilité, articles 5(2) et 24(1) du RGPD, hein…

Dommage que la CNIL soit plutôt diligente (violation fin 2024, décision début 2026) uniquement quand ça buzz. 🙁️ RGPD = droits individuels, mais tant que y a pas trouzemilles plaignants, ça bouge pas…

Ma crainte est qu'après cette prune conséquente, et celle d'Intersport, la CNIL retourne roupiller. Coup d'éclat, quoi.