Cet article est une merde sans nom : et d'une il mélange plusieurs sujets, en commençant (et le titre est correct) de parler d'une fuite massive d'information, puis bascule sur un tout autre sujet (le web scrapping et sa légalité). De deux, ça sent la traduction automatique d'un article US, avec "juste" à la fin une prise en compte de la réglementation française qui mentionne une seule fois le RGPD juste pour dire que la CNIL a un pouvoir de contrôle "en matière de RGPD", pour dire à quel point c'est écrit avec les pieds ! Le RGPD, c'est le Règlement Européen sur la Protection des Données, c'est pas juste le bandeau des cookies !
En particulier :
Par conséquent, un grand nombre des personnes aujourd'hui impliquées dans le recours collectif n'ont pas fourni leurs données personnelles à l'entreprise de leur plein gré. Pire encore, certaines victimes ne savent peut-être même pas qu'elles sont concernées. Il convient de noter qu'en raison du nombre de personnes touchées, les données proviennent probablement à la fois des États-Unis et d'autres pays. Les informations divulguées comprennent : noms et prénoms, adresses anciennes et actuelles, numéros de sécurité sociale ainsi que des informations liées aux membres de la famille et aux proches, vivants ou décédés.
National Public Data n'a pas encore réagi à la plainte, mais la société devra probablement publier une notification de violation de données prochainement, étant donné le désordre dans lequel l'a entraînée l'utilisation de sources non publiques pour obtenir des données. Les propriétaires de ces sources de données non publiques pourraient également décider de poursuivre National Public Data pour exploitation illégale de leurs bases de données et de collecte de données illégale.
Pour opérer dans l'espace européen, et traiter de la donnée d'européens (chose que cette raclure de bidet d'entreprise a probablement fait en toute impunité, car 3 milliards de personnes, je vois mal comment les 400 millions d'européens ne sont pas dedans), il faudrait :
1) Que les propriétaires de la donnée personnelle donnent leur consentement. Chose qui n'a pas été faite.
2) Que ceux-ci, même avec leur consentement, aient gardé leur droit de modification et de suppression de celle-ci.
3) L'article indique "des données judiciaires" : Ok, là, le RGPD l'interdit nommément :
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.
4) La communication au propriétaire des données personnelles ainsi qu'aux autorités de tout manquement dans la sécurisation des données. Là, visiblement, c'était openbar et les victimes n'ont pas été informées.
5) Et globalement impose des responsables sécurité et en particulier sécurité des données (RSSI et DPO). Truc demandé par le plaignant, donc visiblement ça n'existait pas.
En gros, un article sur un site avec un tld ".fr" n'aurai pas pu ne pas mentionner qu'en Europe, la totalité de ce que fait cette entreprise serait illégal (et l'est probablement). Et ce que demandent les plaignants US, c'est en gros pour une bonne partie l'application du cadre juridique qui est apporté par le RGPD :
Les plaignants accusent National Public Data de négligence, de manquement à l'obligation fiduciaire et au contrat de tiers bénéficiaire, et d'enrichissement sans cause. Hofman réclame une compensation financière et demande à l'entreprise de segmenter les données, d'analyser les bases de données, d'utiliser un système de gestion des menaces et de nommer un évaluateur tiers chargé de procéder à une évaluation de ses cadres de cybersécurité chaque année pendant dix ans.
Edit : le tld n'est pas ".fr", c'est "developpez.com", pardon ! Le nom du ndd est du français, je consière que mon point est toujours valide. Globalement, tout ce que je lis sur ce site depuis 10 ans, c'est qualitativement proche de l'excrément ! :/
