Infos & brèves

Vous trouverez sur cette page des actualités ou des informations concernant la protection des données personnelles et celles de l’entreprise. Bonne lecture !  

Hier soir, avec mes camarades de l’association des dirigeants et décideurs du Tarn (ADDT), nous avons rejoint nos amis de l’association Face Aveyron-Tarn à Rodez pour célébrer l’anniversaire de l’association SisMic, qui fédère les acteurs du numérique sur les territoires Aveyron, Lot, Cantal, Lozère et Tarn depuis 14 ans.

Avant le dîner, nous avons assisté à de riches conférences notamment la présentation du patrimoine ruthénois par M. Jean-Philippe Savignoni (Rodez agglomération), les principes de numérisation 3D par M. Fabien Neyens (groupe Novatlas), la data science et la réalité virtuelle par Mme Caroline Togna (EDF Hydro Lot-Truyère), des travaux d’étude sur les perspectives et la contre-culture de la Tech dans la baie de San Francisco par Mme Julie Mommeja (Université de Lorraine) et la présentation d’exemples d’application de jumeau numérique par M. Vincent Picou (Dassault Systèmes).

L’occasion pour M. Boris Chang, président de SisMic, de rappeler que toute cette synergie oeuvre également en faveur du développement économique de nos territoires.

Légidata est fière de contribuer, à son niveau, à l’éthique numérique évoquée au cours de cette soirée, dont la protection des données est l’un des piliers !

Marie-Laure DENIS, présidente de la CNIL et candidate à sa réélection, a été auditionnée par la Commission des lois du Sénat ce mercredi 17 janvier 2024. Après avoir répondu à plusieurs questions de M. François-Noël BUFFET, Président de la Commission, Marie-Laure DENIS a présenté les 3 grands chantiers de la CNIL à moyen terme.

1er chantier : Concilier le développement de l’IA avec la protection des données. Il s’agit pour la CNIL d’accompagner cette évolution technologique afin de la rendre compatible avec le respect des droits et libertés des citoyens.

2ème chantier : Rechercher l’équilibre entre liberté et sécurité. Marie-Laure DENIS a rappelé que la CNIL doit éclairer les pouvoirs publics dans les choix des technologies utilisées, notamment en matière de sécurité des citoyens. A ce sujet, elle s’est félicitée de l’expérimentation concernant l’accompagnement par la CNIL des entreprises chargées de l’exploitation des caméras augmentées pour les JO de Paris 2024.

3ème chantier : Protéger les enfants et les adolescents dans leurs interactions avec le numérique, chantier le plus urgent et le plus complexe compte tenu des effets indésirables du numérique sur ce jeune public. Marie-Laure DENIS propose un accompagnement volontariste des mineurs et de leurs parents, une protection efficace de leurs données et l’implication des organismes du numérique pour prendre en compte les spécificités relatives aux mineurs.

A l’issue de son audition, la Commission a rendu un avis favorable à la réélection de Marie-Laure DENIS à la présidence de la CNIL.

Vous pouvez consulter l’audition complète de Marie-Laure DENIS sur le site du Sénat en cliquant sur ce lien :
https://videos.senat.fr/video.4299061_65a789d48c382.presidence-de-la-cnil–audition-de-la-candidate-ml-denis

Encore une belle réussite cette année ! Avec des intervenants de qualité, des conférences et des ateliers proposés autour de différents thèmes d’actualité tels que l’état de la menace cyber, les risques pour les entreprises, le rôle des CSIRT, les enjeux de sécurité dans l’industrie aéronautique ou encore les orientations des collectivités pour garantir la confiance numérique.

L’occasion de rappeler aussi que la protection des données participe pleinement à la sécurité des systèmes d’information, et qu’il existe un lien indissociable entre cybersécurité et RGPD.

Des exposants, toujours plus nombreux, étaient également venus présenter leurs toutes dernières innovations en matière de sécurité informatique, d’hébergement des données et d’outils collaboratifs.

Merci à l’accueil très chaleureux des experts cybersécurité de la société SonicWall, tout particulièrement son représentant tarnais, Monsieur Philippe Agnoux.

RDV à la prochaine édition en 2024 !

Mardi 20 juin, de 10h à 12h, la CCI du Tarn a organisé dans ses locaux albigeois un atelier RGPD intitulé «Mettre en place une démarche commerciale conforme au RGPD : La CNIL vous dit tout !».

Madame Sophie Nerbonne, directrice chargée de co-régulation économique à la CNIL, avait fait le déplacement pour s’adresser à un public assez hétérogène, composé notamment de dirigeants d’entreprise, de chargés de communication, de responsables informatiques et de consultants.

Après avoir dressé un bilan des 5 ans d’existence du RGPD, Madame Nerbonne a présenté les règles applicables en matière de prospection et plus largement en matière de relation commerciale, tout en rappelant certains principes fondamentaux du RGPD.

L’interactivité avec le public et la richesse des débats qui ont suivi démontrent l’intérêt croissant de nos entreprises tarnaises en matière de protection des données, ainsi que certaines préoccupations découlant notamment de l’invalidation du privacy shield, ayant des conséquences concrètes comme, par exemple, l’abandon de certains outils de mesure d’audience de site devenus non conformes.

Organisé par Mme Valérie Vinay, conseillère au pôle développement durable et ressources humaines de la CCI du Tarn, un atelier RH consacré au RGPD s’est tenu ce jeudi 20 avril matin à la CCI du Tarn, dans ses locaux albigeois.

Articulé en 3 parties, cet atelier abordait les points clés du RGPD dans les ressources humaines. La première partie se consacrait à un rappel des principes fondamentaux du RGPD (généralités sur la protection des données, adaptation à chaque structure, notion d’accountability), la seconde partie évoquait les particularités des ressources humaines (précision des finalités, durées de conservation adéquates, particularités du recrutement) et la dernière partie évoquait quelques points de vigilance (exercice des droits, gestion des données sensibles, gestion des violation des données).

23 participants, au profil diversifié, ont participé à cet atelier (entrepreneurs locaux, responsables RH, experts comptables, assistants de direction, référents RGPD et consultants).

Animé par Carole Roger (DPO, Crconseil) et David L’helgoualch (DPO, Légidata), les échanges ont permis de mettre en commun certains retours d’expérience sur la mise en place du RGPD au sein des organisations et de faire un point sur les évolutions à venir.

Etait également présent M. Philippe Agnoux (expert cybersécurité, Netwalker), ayant permis d’apporter certaines précisions techniques en ce qui concerne la sécurité des données.

La CCI du Tarn organise un atelier RH jeudi 20 Avril 2023, de 9h à 10h30, sur le thème : « Les points clés du RGPD dans les Ressources Humaines », sur son site d’Albi.

J’aurai le plaisir d’intervenir en compagnie de Carole ROGER, DPO au cabinet CR Conseil, pour évoquer les aspects du RGPD en matière de RH, notamment en ce qui concerne la gouvernance des données, le recrutement, l’exercice des droits, les données sensibles et les violations de données.

Pour y assister, l’inscription est gratuite mais obligatoire. Pour plus d’informations, rdv sur la page de l’événement : https://www.tarn.cci.fr/atelier-rh-les-points-cles-du-rgpd-dans-les-ressources-humaines

Bonne journée et à bientôt.

C’est une question souvent posée aux DPO : comment puis-je me mettre en conformité pour les données personnelles recueillies lors d’un recrutement dans mon entreprise ?

Il n’existe pas de solution universelle, hélas, car les modalités de recrutement diffèrent d’une entreprise à l’autre, ainsi que les outils utilisés. Toutefois, la collecte de ces données n’est possible que pour 2 finalités prévues à l’article L.1221-6 du code du travail :

→ pour apprécier la capacité du candidat à occuper l’emploi proposé

→ pour mesurer ses aptitudes professionnelles

Le RGPD précise que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Ainsi, toute information sans lien avec l’emploi proposé, comme par exemple l’état de santé du candidat ou son appartenance syndicale, n’est pas autorisée.

Au-delà des informations légales à lui communiquer et sa possibilité d’exercer les droits prévus par le RGPD, il est aussi nécessaire de prendre des mesures appropriées pour assurer la sécurité des données du candidat.

Pour plus d’informations à ce sujet, vous pouvez consulter le guide publié par la CNIL en cliquant sur le lien suivant : https://www.cnil.fr/fr/la-cnil-publie-un-guide-pour-les-recruteurs

Vous pouvez aussi vous rapprocher d’un DPO certifié, véritable partenaire de confiance, qui saura vous accompagner pour mettre en conformité vos traitements.

Dans un récent article publié sur son site, la CNIL a souhaité apporter des précisions sur cette possibilité introduite par l’article 33 de la loi n° 2022-52 du 24 janvier 2022. Cette procédure peut ainsi être engagée « si l’affaire ne présente pas de difficulté particulière », cela peut être le cas au regard de l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte ou de la simplicité des questions de fait et de droit qu’elle présente à trancher.

Si cette condition est respectée, la présidente de la CNIL peut alors désigner un rapporteur parmi les agents de la Commission et en informe le président de la formation restreinte. Celui-ci peut alors décicer de prendre l’affaire ou de la confier à un membre qu’il désigne. Le responsable de traitement ou le sous-traitant mis en cause en est ensuite informé. Il est à noter que le président de la formation restreinte est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause.

A l’issue de l’instruction, un rapport de sanction est rédigé si des manquements ont été constatés. Les sanctions possibles sont le rappel à l’ordre, l’injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard, et l’amende administrative d’un montant maximal de 20 000 €.

L’organisme mis en cause dispose d’un délai d’un mois à compter de la réception du rapport pour formuler des observations écrites et le rapporteur dispose, à son tour, d’un mois pour y répondre. Lorsque ce dernier estime le dossier prêt, l’instruction est close. L’organisme est alors informé de la date de la séance de la formation restreinte au moins quinze jours avant sa tenue.

La décision appartient alors au président de la formation restreinte ou, s’il est désigné par ce dernier, au membre de la formation restreinte.

Pour plus d’informations, cliquez ici pour consulter l’article de la CNIL.

En réponse aux premières orientations de la Banque centrale européenne, le CEPD a publié une nouvelle déclaration le 12 octobre dernier pour mieux encadrer l’usage du futur euro numérique en matière de protection des données.

Pour rappel, L’euro numérique est actuellement en phase d’expérimentation et la BCE devrait statuer sur sa création d’ici 2024. Cette nouvelle monnaie virtuelle pourrait devenir un outil efficace sur les marchés financiers et ainsi faire face à la concurrence d’autres monnaies numériques de banque centrale (MNBC), telles que le yuan numérique.

Le CEPD recommande que l’euro numérique soit disponible à la fois en ligne et hors ligne avec un seuil en dessous duquel aucun traçage n’est possible quel que soit le mode d’accès pour permettre une confidentialité totale des transactions quotidiennes. Il appelle par ailleurs à l’élaboration d’un cadre juridique européen spécifique à cette monnaie, couvrant à la fois la vie privée et la lutte anti-blanchiment. Enfin, le CEPD invite la BCE et la Commission européenne à renforcer le débat public sur le projet d’euro numérique afin de s’assurer qu’il réponde aux normes les plus élevées en matière de protection de la vie privée et des données.

De son côté, la BCE vient de faire savoir sur son site qu’elle venait de désigner les 5 entreprises chargées de développer les prototypes d’interface utilisateur et de simuler les premières transactions en euro numérique, il sagit de CaixaBank, Worldline, EPI, Nexi et Amazon.

(cliquez ici pour consulter l’article publié sur le site du CEPD le 12 octobre 2022)

(cliquez ici pour consulter l’article publié sur le site de la BCE le 16 septembre 2022)

De nos jours, de plus en plus d’entreprises délèguent une partie de la gestion de leurs infrastructures informatiques à des fournisseurs de cloud. Le stockage proposé est le plus souvent de type « objet », lequel se trouve placé dans des conteneurs (ou « buckets », en anglais). Cette technologie offre de nombreux avantages, notamment en terme de disponibilité des données et de gestion du trafic sur les serveurs.

Ces services sont, bien souvent, accompagnés de fonctionnalité de sécurité. Néanmoins, les configurations par défaut ne permettent pas toujours de répondre aux besoins de sécurité de chaque entreprise. Il peut arriver que des hackers parviennent à accéder aux conteneurs lorsqu’ils sont mal configurés. D’ailleurs, certaines URL peuvent parfois être devinées en raison de leur forme standardisée, comme par exemple :
– conteneurs S3 d’Amazon Web Services, de type : « http[s]://NOM_DU_CONTENEUR.s3-REGION.amazonaws.com/ »
– conteneurs d’Alibaba Cloud OSS, de type : « http[s]://NOM_DU_CONTENEUR.oss- REGION.aliyuncs.com/ »
– conteneurs d’Outscale Object Storage, de type : « https://NOM_DU_CONTENEUR.oos.REGION.outscale.com/ »

Recensées par la CNIL, certaines attaques ont démontré qu’une configuration de la sécurité des serveurs par défaut pouvait constituer une vulnérabilité et faire peser un risque sur la confidentialité des données.

Il importe donc de bien configurer la sécurité des serveurs, en fonction des besoins exprimés…

Par ailleurs, afin d’être en mesure de tracer les actions et comprendre les raisons d’un incident, une mesure est indispensable : la journalisation des accès.

Pour plus de renseignement, rdv à l’adresse suivante : cliquez ici

Bonne lecture.

Cette question, qui revient assez souvent, mérite quelques petites explications pour vous permettre d’y voir plus clair et d’adopter les bons réflexes. Ça tombe bien, c’est précisément ce que je vous propose d’aborder dans cette publication, m’efforçant d’être à la fois synthétique et suffisamment complet.

Tout d’abord, il faut distinguer 2 cas possibles : soit vous détenez un workphone, c’est à dire un téléphone portable uniquement dédié à votre activité professionnelle, soit vous détenez un smartphone que vous utilisez à la fois pour votre travail et vos besoins personnels (téléphone personnel, BYOD, COPE)

Le cas d’un smartphone à usage uniquement professionnel : souvent, ces téléphones ont des sécurités de base (code pin/touch id, verrouillage d’écran, chiffrement de données) qui garantissent un premier niveau de protection des données personnelles. De plus, le forfait professionnel souscrit permet de bénéficier de certaines options de cybersécurité (antivirus, anti-tracking, surveillance des bases de données) qui ajoutent une second niveau de protection. Enfin, certaines entreprises utilisent le cloud à l’aide d’applications mobiles sécurisées. Leurs prestataires de service ont souvent recours à des serveurs européens qui présentent des garanties RGPD suffisantes pour conserver les données.

Ainsi, les données personnelles des clients/prospects sont correctement protégées et cet usage respecte les exigences du RGPD. Ces données concernent le plus souvent des identités, adresses, moyens de contact et des notes relatives au suivi de la relation commerciale. Attention toutefois à ne pas utiliser des données sensibles telles que définies à l’article 9 & 10 du RGPD, (ex. données de santé, données de condamnation).

Quelques petits conseils :

  • le principe de minimisation prévu par le RGPD implique que les données utilisées doivent être « adéquates, pertinentes et limitées ». Ainsi, un smartphone ne peut contenir que des données nécessaires au but poursuivi. Indiquer, par exemple, la marque et l’immatriculation de la voiture du prospect dans sa fiche de contact est contraire à ce principe.
  • il faut être attentif aux clauses contractuelles concernant l’usage du cloud mobile, notamment en ce qui concerne la responsabilité du prestataire et de ses sous-traitants vis-à-vis des données personnelles qui leur sont communiquées.

Le cas d’un smartphone à usage professionnel & personnel : comme évoqué précédemment, la plupart des téléphones actuels proposent un premier niveau de protection des données personnelles (code pin/touch id, verrouillage d’écran, chiffrement). Il est aussi possible d’opter pour un antivirus additionnel, parfois même gratuit, ce qui permet d’ajouter un second niveau de protection des données détenues.

S’agissant du recours au cloud populaire pour conserver les données personnelles, ce n’est pas recommandé car les serveurs utilisés ne présentent pas suffisamment de garanties RGPD (ex. iCloud, Google drive, etc…), la confidentialité des données pourrait être compromise (pour approfondir, cf « cloud Act » et invalidation du « Privacy Shield »).

Alors comment faire dans ce cas ? Eh bien, il suffit de ne pas sauvegarder vos données personnelles détenues sur ce type de cloud. Parfois, malheureusement, l’option de sauvegarde sur le cloud est activée par défaut sur certains smartphones, il faut donc être vigilant…

Quelques petits conseils concernant le double usage des smartphones :

  • à défaut d’authentification biométrique (ex. touch id), utiliser un code pin long qui ne correspond ni à votre date de naissance ou celle d’un proche, ni à une série de chiffres logique (ex. 123456)
  • activer le verrouillage d’écran et limiter la durée avant la mise en veille
  • s’assurer que la fonction de chiffrement est active (dans les paramètres de sécurité)
  • installer un antivirus pour permettre un second niveau de protection des données personnelles
  • installer, sans tarder, les mises à jour du système d’exploitation et des applications pour éviter les vulnérabilités qui permettent parfois aux hackers d’accéder à certaines données
  • sauvegarder les données personnelles dans la mémoire du smartphone (éviter le recours au cloud, à moins d’avoir des garanties RGPD suffisantes)
  • faire des sauvegardes périodiques des données sur un support externe pour prévenir toute défaillance du smartphone (à l’aide d’un disque dur chiffré, par exemple)
  • si possible, utiliser un VPN pour éviter certaines attaques directes et conserver l’anonymat lors de votre navigation sur internet.

En suivant ces quelques recommandations, vous réduirez sérieusement les risques et limiterez votre responsabilité en cas de problème.

Il faut garder à l’esprit que la protection des données, c’est avant tout une question de méthodes !

Vous l’avez certainement remarqué, de nombreux sites web vous proposent d’accepter des cookies pour pouvoir les consulter, à défaut une contrepartie monétaire vous est demandée. Est-ce que tout ceci est bien légal ? Cette question a été posée à la CNIL, qui vient récemment de publier un article sur le sujet consultable ici.

Cette pratique, qui s’appelle dans le jargon le « paywall », n’est pas interdite puisque c’est une manière pour un éditeur de se rémunérer. Soit il se rémunère de façon indirecte à l’aide de cookies publicitaires, soit de façon directe par ce procédé considéré comme une alternative au consentement. Toutefois, la CNIL précise que le tarif demandé doit être raisonnable et que l’éditeur doit être en mesure de le justifier. Elle précise que l’évaluation du caractère raisonnable doit se faire au cas par cas.

Ainsi, une contrepartie monétaire démesurée au regard de l’offre proposée par l’éditeur peut être contestée. Pour plus de transparence, la CNIL encourage les éditeurs à publier leur analyse sur le recours à ce procédé, ceci permettant aux internautes d’avoir toutes les informations utiles pour faire leur choix.