Infos & brèves

Vous trouverez sur cette page des actualités et des informations utiles concernant la protection des données personnelles, ainsi que celles de l’entreprise. Bonne lecture.  

Encore une belle réussite cette année ! Avec des intervenants de qualité, des conférences et des ateliers proposés autour de différents thèmes d’actualité tels que l’état de la menace cyber, les risques pour les entreprises, le rôle des CSIRT, les enjeux de sécurité dans l’industrie aéronautique ou encore les orientations des collectivités pour garantir la confiance numérique.

L’occasion de rappeler aussi que la protection des données participe pleinement à la sécurité des systèmes d’information, et qu’il existe un lien indissociable entre cybersécurité et RGPD.

Des exposants, toujours plus nombreux, étaient également venus présenter leurs toutes dernières innovations en matière de sécurité informatique, d’hébergement des données et d’outils collaboratifs.

Merci à l’accueil très chaleureux des experts cybersécurité de la société SonicWall, tout particulièrement son représentant tarnais, Monsieur Philippe Agnoux.

RDV à la prochaine édition en 2024 !

Mardi 20 juin, de 10h à 12h, la CCI du Tarn a organisé dans ses locaux albigeois un atelier RGPD intitulé «Mettre en place une démarche commerciale conforme au RGPD : La CNIL vous dit tout !».

Madame Sophie Nerbonne, directrice chargée de co-régulation économique à la CNIL, avait fait le déplacement pour s’adresser à un public assez hétérogène, composé notamment de dirigeants d’entreprise, de chargés de communication, de responsables informatiques et de consultants.

Après avoir dressé un bilan des 5 ans d’existence du RGPD, Madame Nerbonne a présenté les règles applicables en matière de prospection et plus largement en matière de relation commerciale, tout en rappelant certains principes fondamentaux du RGPD.

L’interactivité avec le public et la richesse des débats qui ont suivi démontrent l’intérêt croissant de nos entreprises tarnaises en matière de protection des données, ainsi que certaines préoccupations découlant notamment de l’invalidation du privacy shield, ayant des conséquences concrètes comme, par exemple, l’abandon de certains outils de mesure d’audience de site devenus non conformes.

Organisé par Mme Valérie Vinay, conseillère au pôle développement durable et ressources humaines de la CCI du Tarn, un atelier RH consacré au RGPD s’est tenu ce jeudi 20 avril matin à la CCI du Tarn, dans ses locaux albigeois.

Articulé en 3 parties, cet atelier abordait les points clés du RGPD dans les ressources humaines. La première partie se consacrait à un rappel des principes fondamentaux du RGPD (généralités sur la protection des données, adaptation à chaque structure, notion d’accountability), la seconde partie évoquait les particularités des ressources humaines (précision des finalités, durées de conservation adéquates, particularités du recrutement) et la dernière partie évoquait quelques points de vigilance (exercice des droits, gestion des données sensibles, gestion des violation des données).

23 participants, au profil diversifié, ont participé à cet atelier (entrepreneurs locaux, responsables RH, experts comptables, assistants de direction, référents RGPD et consultants).

Animé par Carole Roger (DPO, Crconseil) et David L’helgoualch (DPO, Légidata), les échanges ont permis de mettre en commun certains retours d’expérience sur la mise en place du RGPD au sein des organisations et de faire un point sur les évolutions à venir.

Etait également présent M. Philippe Agnoux (expert cybersécurité, Netwalker), ayant permis d’apporter certaines précisions techniques en ce qui concerne la sécurité des données.

La CCI du Tarn organise un atelier RH jeudi 20 Avril 2023, de 9h à 10h30, sur le thème : « Les points clés du RGPD dans les Ressources Humaines », sur son site d’Albi.

J’aurai le plaisir d’intervenir en compagnie de Carole ROGER, DPO au cabinet CR Conseil, pour évoquer les aspects du RGPD en matière de RH, notamment en ce qui concerne la gouvernance des données, le recrutement, l’exercice des droits, les données sensibles et les violations de données.

Pour y assister, l’inscription est gratuite mais obligatoire. Pour plus d’informations, rdv sur la page de l’événement : https://www.tarn.cci.fr/atelier-rh-les-points-cles-du-rgpd-dans-les-ressources-humaines

Bonne journée et à bientôt.

C’est une question souvent posée aux DPO : comment puis-je me mettre en conformité pour les données personnelles recueillies lors d’un recrutement dans mon entreprise ?

Il n’existe pas de solution universelle, hélas, car les modalités de recrutement diffèrent d’une entreprise à l’autre, ainsi que les outils utilisés. Toutefois, la collecte de ces données n’est possible que pour 2 finalités prévues à l’article L.1221-6 du code du travail :

→ pour apprécier la capacité du candidat à occuper l’emploi proposé

→ pour mesurer ses aptitudes professionnelles

Le RGPD précise que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Ainsi, toute information sans lien avec l’emploi proposé, comme par exemple l’état de santé du candidat ou son appartenance syndicale, n’est pas autorisée.

Au-delà des informations légales à lui communiquer et sa possibilité d’exercer les droits prévus par le RGPD, il est aussi nécessaire de prendre des mesures appropriées pour assurer la sécurité des données du candidat.

Pour plus d’informations à ce sujet, vous pouvez consulter le guide publié par la CNIL en cliquant sur le lien suivant : https://www.cnil.fr/fr/la-cnil-publie-un-guide-pour-les-recruteurs

Vous pouvez aussi vous rapprocher d’un DPO certifié, véritable partenaire de confiance, qui saura vous accompagner pour mettre en conformité vos traitements.

Dans un récent article publié sur son site, la CNIL a souhaité apporter des précisions sur cette possibilité introduite par l’article 33 de la loi n° 2022-52 du 24 janvier 2022. Cette procédure peut ainsi être engagée « si l’affaire ne présente pas de difficulté particulière », cela peut être le cas au regard de l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte ou de la simplicité des questions de fait et de droit qu’elle présente à trancher.

Si cette condition est respectée, la présidente de la CNIL peut alors désigner un rapporteur parmi les agents de la Commission et en informe le président de la formation restreinte. Celui-ci peut alors décicer de prendre l’affaire ou de la confier à un membre qu’il désigne. Le responsable de traitement ou le sous-traitant mis en cause en est ensuite informé. Il est à noter que le président de la formation restreinte est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause.

A l’issue de l’instruction, un rapport de sanction est rédigé si des manquements ont été constatés. Les sanctions possibles sont le rappel à l’ordre, l’injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard, et l’amende administrative d’un montant maximal de 20 000 €.

L’organisme mis en cause dispose d’un délai d’un mois à compter de la réception du rapport pour formuler des observations écrites et le rapporteur dispose, à son tour, d’un mois pour y répondre. Lorsque ce dernier estime le dossier prêt, l’instruction est close. L’organisme est alors informé de la date de la séance de la formation restreinte au moins quinze jours avant sa tenue.

La décision appartient alors au président de la formation restreinte ou, s’il est désigné par ce dernier, au membre de la formation restreinte.

Pour plus d’informations, cliquez ici pour consulter l’article de la CNIL.

En réponse aux premières orientations de la Banque centrale européenne, le CEPD a publié une nouvelle déclaration le 12 octobre dernier pour mieux encadrer l’usage du futur euro numérique en matière de protection des données.

Pour rappel, L’euro numérique est actuellement en phase d’expérimentation et la BCE devrait statuer sur sa création d’ici 2024. Cette nouvelle monnaie virtuelle pourrait devenir un outil efficace sur les marchés financiers et ainsi faire face à la concurrence d’autres monnaies numériques de banque centrale (MNBC), telles que le yuan numérique.

Le CEPD recommande que l’euro numérique soit disponible à la fois en ligne et hors ligne avec un seuil en dessous duquel aucun traçage n’est possible quel que soit le mode d’accès pour permettre une confidentialité totale des transactions quotidiennes. Il appelle par ailleurs à l’élaboration d’un cadre juridique européen spécifique à cette monnaie, couvrant à la fois la vie privée et la lutte anti-blanchiment. Enfin, le CEPD invite la BCE et la Commission européenne à renforcer le débat public sur le projet d’euro numérique afin de s’assurer qu’il réponde aux normes les plus élevées en matière de protection de la vie privée et des données.

De son côté, la BCE vient de faire savoir sur son site qu’elle venait de désigner les 5 entreprises chargées de développer les prototypes d’interface utilisateur et de simuler les premières transactions en euro numérique, il sagit de CaixaBank, Worldline, EPI, Nexi et Amazon.

(cliquez ici pour consulter l’article publié sur le site du CEPD le 12 octobre 2022)

(cliquez ici pour consulter l’article publié sur le site de la BCE le 16 septembre 2022)

De nos jours, de plus en plus d’entreprises délèguent une partie de la gestion de leurs infrastructures informatiques à des fournisseurs de cloud. Le stockage proposé est le plus souvent de type « objet », lequel se trouve placé dans des conteneurs (ou « buckets », en anglais). Cette technologie offre de nombreux avantages, notamment en terme de disponibilité des données et de gestion du trafic sur les serveurs.

Ces services sont, bien souvent, accompagnés de fonctionnalité de sécurité. Néanmoins, les configurations par défaut ne permettent pas toujours de répondre aux besoins de sécurité de chaque entreprise. Il peut arriver que des hackers parviennent à accéder aux conteneurs lorsqu’ils sont mal configurés. D’ailleurs, certaines URL peuvent parfois être devinées en raison de leur forme standardisée, comme par exemple :
– conteneurs S3 d’Amazon Web Services, de type : « http[s]://NOM_DU_CONTENEUR.s3-REGION.amazonaws.com/ »
– conteneurs d’Alibaba Cloud OSS, de type : « http[s]://NOM_DU_CONTENEUR.oss- REGION.aliyuncs.com/ »
– conteneurs d’Outscale Object Storage, de type : « https://NOM_DU_CONTENEUR.oos.REGION.outscale.com/ »

Recensées par la CNIL, certaines attaques ont démontré qu’une configuration de la sécurité des serveurs par défaut pouvait constituer une vulnérabilité et faire peser un risque sur la confidentialité des données.

Il importe donc de bien configurer la sécurité des serveurs, en fonction des besoins exprimés…

Par ailleurs, afin d’être en mesure de tracer les actions et comprendre les raisons d’un incident, une mesure est indispensable : la journalisation des accès.

Pour plus de renseignement, rdv à l’adresse suivante : cliquez ici

Bonne lecture.

Cette question, qui revient assez souvent, mérite quelques petites explications pour vous permettre d’y voir plus clair et d’adopter les bons réflexes. Ça tombe bien, c’est précisément ce que je vous propose d’aborder dans cette publication, m’efforçant d’être à la fois synthétique et assez complet.

Tout d’abord, il faut distinguer 2 cas possibles : soit vous détenez un workphone, c’est à dire un téléphone portable uniquement dédié à votre activité professionnelle, soit vous détenez un smartphone que vous utilisez à la fois pour votre travail et vos besoins personnels (téléphone personnel, BYOD, COPE)

Le cas d’un smartphone à usage uniquement professionnel : souvent, ces téléphones ont des sécurités de base (code pin/touch id, verrouillage d’écran, chiffrement de données) qui garantissent un premier niveau de protection des données personnelles. De plus, le forfait professionnel souscrit permet de bénéficier de certaines options de cybersécurité (antivirus, anti-tracking, surveillance des bases de données) qui ajoutent une second niveau de protection. Enfin, certaines entreprises utilisent le cloud à l’aide d’applications mobiles sécurisées. Leurs prestataires de service ont souvent recours à des serveurs européens qui présentent des garanties RGPD suffisantes pour conserver les données.

Ainsi, les données personnelles des clients/prospects sont correctement protégées et cet usage respecte les exigences du RGPD. Ces données concernent le plus souvent des identités, adresses, moyens de contact et des notes relatives au suivi de la relation commerciale. Attention toutefois à ne pas utiliser des données sensibles telles que définies à l’article 9 & 10 du RGPD, (ex. données de santé, données de condamnation).

Quelques petits conseils :

  • le principe de minimisation prévu par le RGPD implique que les données utilisées doivent être « adéquates, pertinentes et limitées ». Ainsi, un smartphone ne peut contenir que des données nécessaires au but poursuivi. Indiquer, par exemple, la marque et l’immatriculation de la voiture du prospect dans sa fiche de contact est contraire à ce principe.
  • il faut être attentif aux clauses contractuelles concernant l’usage du cloud mobile, notamment en ce qui concerne la responsabilité du prestataire et de ses sous-traitants vis-à-vis des données personnelles qui leur sont communiquées.

Le cas d’un smartphone à usage professionnel & personnel : comme évoqué précédemment, la plupart des téléphones actuels proposent un premier niveau de protection des données personnelles (code pin/touch id, verrouillage d’écran, chiffrement). Il est aussi possible d’opter pour un antivirus additionnel, parfois même gratuit, ce qui permet d’ajouter un second niveau de protection des données détenues.

S’agissant du recours au cloud populaire pour conserver les données personnelles, ce n’est pas recommandé car les serveurs utilisés ne présentent pas suffisamment de garanties RGPD (ex. iCloud, Google drive, etc…), la confidentialité des données pourrait être compromise (pour approfondir, cf « cloud Act » et invalidation du « Privacy Shield »).

Alors comment faire dans ce cas ? Eh bien, il suffit de ne pas sauvegarder vos données personnelles détenues sur ce type de cloud. Parfois, malheureusement, l’option de sauvegarde sur le cloud est activée par défaut sur certains smartphones, il faut donc être vigilant…

Quelques petits conseils concernant le double usage des smartphones :

  • à défaut d’authentification biométrique (ex. touch id), utiliser un code pin long qui ne correspond ni à votre date de naissance ou celle d’un proche, ni à une série de chiffres logique (ex. 123456)
  • activer le verrouillage d’écran et limiter la durée avant la mise en veille
  • s’assurer que la fonction de chiffrement est active (dans les paramètres de sécurité)
  • installer un antivirus pour permettre un second niveau de protection des données personnelles
  • installer, sans tarder, les mises à jour du système d’exploitation et des applications pour éviter les vulnérabilités qui permettent parfois aux hackers d’accéder à certaines données
  • sauvegarder les données personnelles dans la mémoire du smartphone (éviter le recours au cloud, à moins d’avoir des garanties RGPD suffisantes)
  • faire des sauvegardes périodiques des données sur un support externe pour prévenir toute défaillance du smartphone (à l’aide d’un disque dur chiffré, par exemple)
  • si possible, utiliser un VPN pour éviter certaines attaques directes et conserver l’anonymat lors de votre navigation sur internet.

En suivant ces quelques recommandations, vous réduirez sérieusement les risques et limiterez votre responsabilité en cas de problème.

Il faut garder à l’esprit que la protection des données, c’est avant tout une question de méthodes !

Vous l’avez certainement remarqué, de nombreux sites web vous proposent d’accepter des cookies pour pouvoir les consulter, à défaut une contrepartie monétaire vous est demandée. Est-ce que tout ceci est bien légal ? Cette question a été posée à la CNIL, qui vient récemment de publier un article sur le sujet consultable ici.

Cette pratique, qui s’appelle dans le jargon le « paywall », n’est pas interdite puisque c’est une manière pour un éditeur de se rémunérer. Soit il se rémunère de façon indirecte à l’aide de cookies publicitaires, soit de façon directe par ce procédé considéré comme une alternative au consentement. Toutefois, la CNIL précise que le tarif demandé doit être raisonnable et que l’éditeur doit être en mesure de le justifier. Elle précise que l’évaluation du caractère raisonnable doit se faire au cas par cas.

Ainsi, une contrepartie monétaire démesurée au regard de l’offre proposée par l’éditeur peut être contestée. Pour plus de transparence, la CNIL encourage les éditeurs à publier leur analyse sur le recours à ce procédé, ceci permettant aux internautes d’avoir toutes les informations utiles pour faire leur choix.

Sensibles aux modalités de déploiement du RGPD au sein de leur infrastructure, des dirigeants tarnais et référents locaux à la protection des données avaient fait le déplacement Mardi 19 avril 2022, de 9h30 à 11h30, dans les locaux de la CCI à Castres pour participer à cet événement.

C’est dans une ambiance conviviale qu’ont été abordés les thèmes proposés, alternant des connaissances théoriques et pratiques.

Des questions ont été soulevées, notamment liées aux inquiétudes après l’invalidation du « privacy shield » par la Cour de justice de l’Union européenne qui a entrainé des répercussions sur des entreprises locales. Le récent accord politique conclu entre l’UE et les USA pourra peut être faire évoluer la situation, espérons-le.

Légidata a collaboré avec la CCI du Tarn pour animer cet événement, l’occasion d’évoquer le métier de DPO externalisé.

Un grand merci à tous les participants. L’événement devrait être reconduit prochainement.

En partenariat avec la Chambre de Commerce et d’Industrie du Tarn, Légidata interviendra dans le cadre d’un atelier sur le thème « RGPD : Comprendre la protection des données personnelles ».

Cet atelier est organisé Mardi 19 Avril 2022, de 9h30 à 11h30, sur le site de la CCI du Tarn situé 40 Allée Alphonse Juin à Castres. Il s’adresse à toute personne utilisant des données personnelles dans le cadre de ses fonctions (en collectivité locale, entreprise ou association), et qui souhaite avoir des informations concrètes sur le RGPD pour s’y conformer.

Pour plus d’informations, rdv sur le site de la CCI du Tarn (cliquez ici).

A noter : Pour participer à cet atelier, votre inscription est nécessaire.