Infos & brèves

Vous trouverez sur cette page des actualités et des informations utiles concernant la protection des données personnelles, ainsi que celles de l’entreprise. Bonne lecture.  

En réponse aux premières orientations de la Banque centrale européenne, le CEPD a publié une nouvelle déclaration le 12 octobre dernier pour mieux encadrer l’usage du futur euro numérique en matière de protection des données.

Pour rappel, L’euro numérique est actuellement en phase d’expérimentation et la BCE devrait statuer sur sa création d’ici 2024. Cette nouvelle monnaie virtuelle pourrait devenir un outil efficace sur les marchés financiers et ainsi faire face à la concurrence d’autres monnaies numériques de banque centrale (MNBC), telles que le yuan numérique.

Le CEPD recommande que l’euro numérique soit disponible à la fois en ligne et hors ligne avec un seuil en dessous duquel aucun traçage n’est possible quel que soit le mode d’accès pour permettre une confidentialité totale des transactions quotidiennes. Il appelle par ailleurs à l’élaboration d’un cadre juridique européen spécifique à cette monnaie, couvrant à la fois la vie privée et la lutte anti-blanchiment. Enfin, le CEPD invite la BCE et la Commission européenne à renforcer le débat public sur le projet d’euro numérique afin de s’assurer qu’il réponde aux normes les plus élevées en matière de protection de la vie privée et des données.

De son côté, la BCE vient de faire savoir sur son site qu’elle venait de désigner les 5 entreprises chargées de développer les prototypes d’interface utilisateur et de simuler les premières transactions en euro numérique, il sagit de CaixaBank, Worldline, EPI, Nexi et Amazon.

(cliquez ici pour consulter l’article publié sur le site du CEPD le 12 octobre 2022)

(cliquez ici pour consulter l’article publié sur le site de la BCE le 16 septembre 2022)

De nos jours, de plus en plus d’entreprises délèguent une partie de la gestion de leurs infrastructures informatiques à des fournisseurs de cloud. Le stockage proposé est le plus souvent de type « objet », lequel se trouve placé dans des conteneurs (ou « buckets », en anglais). Cette technologie offre de nombreux avantages, notamment en terme de disponibilité des données et de gestion du trafic sur les serveurs.

Ces services sont, bien souvent, accompagnés de fonctionnalité de sécurité. Néanmoins, les configurations par défaut ne permettent pas toujours de répondre aux besoins de sécurité de chaque entreprise. Il peut arriver que des hackers parviennent à accéder aux conteneurs lorsqu’ils sont mal configurés. D’ailleurs, certaines URL peuvent parfois être devinées en raison de leur forme standardisée, comme par exemple :
– conteneurs S3 d’Amazon Web Services, de type : « http[s]://NOM_DU_CONTENEUR.s3-REGION.amazonaws.com/ »
– conteneurs d’Alibaba Cloud OSS, de type : « http[s]://NOM_DU_CONTENEUR.oss- REGION.aliyuncs.com/ »
– conteneurs d’Outscale Object Storage, de type : « https://NOM_DU_CONTENEUR.oos.REGION.outscale.com/ »

Recensées par la CNIL, certaines attaques ont démontré qu’une configuration de la sécurité des serveurs par défaut pouvait constituer une vulnérabilité et faire peser un risque sur la confidentialité des données.

Il importe donc de bien configurer la sécurité des serveurs, en fonction des besoins exprimés…

Par ailleurs, afin d’être en mesure de tracer les actions et comprendre les raisons d’un incident, une mesure est indispensable : la journalisation des accès.

Pour plus de renseignement, rdv à l’adresse suivante : cliquez ici

Bonne lecture.

Cette question, qui revient assez souvent, mérite quelques petites explications pour vous permettre d’y voir plus clair et d’adopter les bons réflexes. Ça tombe bien, c’est précisément ce que je vous propose d’aborder dans cette publication, m’efforçant d’être à la fois synthétique et assez complet.

Tout d’abord, il faut distinguer 2 cas possibles : soit vous détenez un workphone, c’est à dire un téléphone portable uniquement dédié à votre activité professionnelle, soit vous détenez un smartphone que vous utilisez à la fois pour votre travail et vos besoins personnels (téléphone personnel, BYOD, COPE)

Le cas d’un smartphone à usage uniquement professionnel : souvent, ces téléphones ont des sécurités de base (code pin/touch id, verrouillage d’écran, chiffrement de données) qui garantissent un premier niveau de protection des données personnelles. De plus, le forfait professionnel souscrit permet de bénéficier de certaines options de cybersécurité (antivirus, anti-tracking, surveillance des bases de données) qui ajoutent une second niveau de protection. Enfin, certaines entreprises utilisent le cloud à l’aide d’applications mobiles sécurisées. Leurs prestataires de service ont souvent recours à des serveurs européens qui présentent des garanties RGPD suffisantes pour conserver les données.

Ainsi, les données personnelles des clients/prospects sont correctement protégées et cet usage respecte les exigences du RGPD. Ces données concernent le plus souvent des identités, adresses, moyens de contact et des notes relatives au suivi de la relation commerciale. Attention toutefois à ne pas utiliser des données sensibles telles que définies à l’article 9 & 10 du RGPD, (ex. données de santé, données de condamnation).

Quelques petits conseils :

  • le principe de minimisation prévu par le RGPD implique que les données utilisées doivent être « adéquates, pertinentes et limitées ». Ainsi, un smartphone ne peut contenir que des données nécessaires au but poursuivi. Indiquer, par exemple, la marque et l’immatriculation de la voiture du prospect dans sa fiche de contact est contraire à ce principe.
  • il faut être attentif aux clauses contractuelles concernant l’usage du cloud mobile, notamment en ce qui concerne la responsabilité du prestataire et de ses sous-traitants vis-à-vis des données personnelles qui leur sont communiquées.

Le cas d’un smartphone à usage professionnel & personnel : comme évoqué précédemment, la plupart des téléphones actuels proposent un premier niveau de protection des données personnelles (code pin/touch id, verrouillage d’écran, chiffrement). Il est aussi possible d’opter pour un antivirus additionnel, parfois même gratuit, ce qui permet d’ajouter un second niveau de protection des données détenues.

S’agissant du recours au cloud populaire pour conserver les données personnelles, ce n’est pas recommandé car les serveurs utilisés ne présentent pas suffisamment de garanties RGPD (ex. iCloud, Google drive, etc…), la confidentialité des données pourrait être compromise (pour approfondir, cf « cloud Act » et invalidation du « Privacy Shield »).

Alors comment faire dans ce cas ? Eh bien, il suffit de ne pas sauvegarder vos données personnelles détenues sur ce type de cloud. Parfois, malheureusement, l’option de sauvegarde sur le cloud est activée par défaut sur certains smartphones, il faut donc être vigilant…

Quelques petits conseils concernant le double usage des smartphones :

  • à défaut d’authentification biométrique (ex. touch id), utiliser un code pin long qui ne correspond ni à votre date de naissance ou celle d’un proche, ni à une série de chiffres logique (ex. 123456)
  • activer le verrouillage d’écran et limiter la durée avant la mise en veille
  • s’assurer que la fonction de chiffrement est active (dans les paramètres de sécurité)
  • installer un antivirus pour permettre un second niveau de protection des données personnelles
  • installer, sans tarder, les mises à jour du système d’exploitation et des applications pour éviter les vulnérabilités qui permettent parfois aux hackers d’accéder à certaines données
  • sauvegarder les données personnelles dans la mémoire du smartphone (éviter le recours au cloud, à moins d’avoir des garanties RGPD suffisantes)
  • faire des sauvegardes périodiques des données sur un support externe pour prévenir toute défaillance du smartphone (à l’aide d’un disque dur chiffré, par exemple)
  • si possible, utiliser un VPN pour éviter certaines attaques directes et conserver l’anonymat lors de votre navigation sur internet.

En suivant ces quelques recommandations, vous réduirez sérieusement les risques et limiterez votre responsabilité en cas de problème.

Il faut garder à l’esprit que la protection des données, c’est avant tout une question de méthodes !

Vous l’avez certainement remarqué, de nombreux sites web vous proposent d’accepter des cookies pour pouvoir les consulter, à défaut une contrepartie monétaire vous est demandée. Est-ce que tout ceci est bien légal ? Cette question a été posée à la CNIL, qui vient récemment de publier un article sur le sujet consultable ici.

Cette pratique, qui s’appelle dans le jargon le « paywall », n’est pas interdite puisque c’est une manière pour un éditeur de se rémunérer. Soit il se rémunère de façon indirecte à l’aide de cookies publicitaires, soit de façon directe par ce procédé considéré comme une alternative au consentement. Toutefois, la CNIL précise que le tarif demandé doit être raisonnable et que l’éditeur doit être en mesure de le justifier. Elle précise que l’évaluation du caractère raisonnable doit se faire au cas par cas.

Ainsi, une contrepartie monétaire démesurée au regard de l’offre proposée par l’éditeur peut être contestée. Pour plus de transparence, la CNIL encourage les éditeurs à publier leur analyse sur le recours à ce procédé, ceci permettant aux internautes d’avoir toutes les informations utiles pour faire leur choix.

Sensibles aux modalités de déploiement du RGPD au sein de leur infrastructure, des dirigeants tarnais et référents locaux à la protection des données avaient fait le déplacement Mardi 19 avril 2022, de 9h30 à 11h30, dans les locaux de la CCI à Castres pour participer à cet événement.

C’est dans une ambiance conviviale qu’ont été abordés les thèmes proposés, alternant des connaissances théoriques et pratiques.

Des questions ont été soulevées, notamment liées aux inquiétudes après l’invalidation du « privacy shield » par la Cour de justice de l’Union européenne qui a entrainé des répercussions sur des entreprises locales. Le récent accord politique conclu entre l’UE et les USA pourra peut être faire évoluer la situation, espérons-le.

Légidata a collaboré avec la CCI du Tarn pour animer cet événement, l’occasion d’évoquer le métier de DPO externalisé.

Un grand merci à tous les participants. L’événement devrait être reconduit prochainement.

En partenariat avec la Chambre de Commerce et d’Industrie du Tarn, Légidata interviendra dans le cadre d’un atelier sur le thème « RGPD : Comprendre la protection des données personnelles ».

Cet atelier est organisé Mardi 19 Avril 2022, de 9h30 à 11h30, sur le site de la CCI du Tarn situé 40 Allée Alphonse Juin à Castres. Il s’adresse à toute personne utilisant des données personnelles dans le cadre de ses fonctions (en collectivité locale, entreprise ou association), et qui souhaite avoir des informations concrètes sur le RGPD pour s’y conformer.

Pour plus d’informations, rdv sur le site de la CCI du Tarn (cliquez ici).

A noter : Pour participer à cet atelier, votre inscription est nécessaire.

Légidata a récemment constaté que certains prestataires n’hésitaient pas à proposer des formules de cloud computing à des entreprises locales en prétextant qu’elles étaient la solution pour se mettre en conformité avec le RGPD.

Pour rappel, si certains types de cloud computing permettent effectivement d’améliorer le niveau de sécurité, ce n’est pas forcément le cas de toutes les solutions proposées sur le marché et il ne s’agit pas non plus d’une solution ultime pour se conformer au RGPD, comme parfois évoquée par des commerciaux mal informés.

En effet, il faut considérer que le recours à ce type d’infrastructure peut parfois générer de nouveaux risques, notamment en ce qui concerne la pérennité des données. Il convient donc de bien se renseigner avant de faire son choix de prestation.

S’étant penchée sur le sujet à plusieurs reprises, la CNIL conseille aux entreprises de mener une analyse de risques et d’être rigoureux dans le choix du prestataire. En effet, les responsabilités du client et du prestataire doivent être clairement définies dans les clauses contractuelles dédiées à cet effet.

Pour aller plus loin sur le sujet, vous pouvez consulter le fascicule de recommandations ayant été publié par la CNIL en cliquant ici.

Déclinaison concrète du projet de Loi « 3DS » présenté par Mme Jacqueline GOURAULT, Ministre de la cohésion des territoires et des relations avec les collectivités (projet de Loi anciennement intitulé Loi « 4D »), l’article 33 de la loi n° 2022-52 du 24 janvier 2022 se consacre à la simplification des procédures et la modernisation des outils de la CNIL.

Ainsi, la CNIL dispose de nouveaux pouvoirs de sanction dits « simplifiés ». En effet, le Président de la formation restreinte, ou de l’un de ses membres désigné à cet effet, aura désormais la possibilité de statuer seul sur 3 types de décision : Le rappel à l’ordre, l’amende administrative dont le montant maximum est fixé à 20.000 euros et l’injonction sous astreinte dont le montant maximum est fixé à 100 euros par jour.

Cette nouvelle disposition législative a pour ambition de réduire les délais d’instruction des dossiers. Il s’agit donc d’une nouvelle étape et d’un marqueur fort pour inciter tous les acteurs concernés, publics ou privés, à poursuivre leur mise en conformité au RGPD.

Rapide, clair et précis, ce diagnostic vous permettra de déterminer votre niveau de protection concernant vos données personnelles afin de connaître les mesures à prendre, le cas échéant, pour être efficace et conforme aux exigences du RGPD.

Ce diagnostic concerne 4 aspects de la protection des données : la gestion des données informatisées, la gestion des données manuscrites, le droit des personnes concernées et l’évaluation des mesures de sécurité en place.

A l’issue de notre intervention, vous obtiendrez un compte-rendu vous résumant les observations faites pour vous permettre d’apprécier les marges de manoeuvre existantes. Ce compte-rendu est confidentiel, vous en êtes seul destinataire.

Ce diagnostic initial a pour but de refléter votre état de protection à un instant précis, il ne remplace toutefois pas un audit qui, lui, s’attache à en détailler tous les aspects, point par point.

Pour les petites à moyennes structures, il se réalise rapidement et ne représente qu’un coût modique (ex. pour une TPE, 2h en moyenne pour l’intervention et le compte-rendu, soit 160€ ht). N’hésitez donc plus à nous contacter !

Face à l’augmentation significative des dispositifs de vidéo augmentée dans l’espace public, c’est à dire des caméras couplées à des logiciels de traitement automatisé d’images, la CNIL a décidé de lancer une consultation publique concernant son projet de position (avis sur le sujet) afin de tenir compte de tous les aspects.

Ces nouveaux dispositifs suscitant des questions à la fois éthiques et juridiques, la CNIL souligne que la protection des droits et libertés fondamentales des personnes filmées, notamment la protection de leurs données personnelles, doit rester une priorité.

Le projet de position est consultable à l’adresse suivante : cliquez ici.

Il est à noter que cette consultation publique ne concerne pas les dispositifs de reconnaissance biométrique et certains usages avec ce type de vidéo (notamment concernant les lieux non ouverts au public, ou dans un cadre strictement privé ou encore à des fins de recherche scientifique).

Pour participer à cette consultation publique, il suffit de compléter le formulaire mis en ligne à l’adresse suivante : cliquez ici.

Le contrôle de l’activité des salariés en télétravail est encadré par la loi et doit respecter des règles précises, notamment en ce qui concerne les données personnelles. S’étant penchée sur le sujet, la CNIL rappelle que cette surveillance doit se faire de façon pertinente, proportionnée et ne pas porter atteinte au respect des droits et libertés individuelles.

L’employeur est ainsi tenu à une obligation de loyauté : Il doit informer au préalable les salariés de la mise en place d’un dispositif de contrôle de leurs activités et consulter les représentants du personnel.

Si le dispositif concerné présente un risque élevé sur les droits et libertés des salariés, une analyse d’impact relative à la protection des données (AIPD) est alors nécessaire. Toutefois, il est à noter que certaines technologies sont à proscrire car elles permettent une surveillance permanente des télétravailleurs, ce qui est incompatible avec la législation en vigueur.

Par conséquent, l’employeur doit correctement s’informer avant de recourir à des outils de contrôle et d’analyse de la performance des télétravailleurs pour ne pas se retrouver en difficulté.

Le projet de Loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale, dit « Loi 4D », prévoit notamment la simplification des procédures et la modernisation des outils de la CNIL.

Ainsi, les procédures de mise en demeure et de sanction pourront être accélérées et les pouvoirs du président de la formation restreinte seront renforcés.

Ce dernier pourra directement prononcer des sanctions d’un montant limité pour les affaires simples et de faible gravité.

Adopté en première lecture le 21 Juillet dernier, le texte devrait bientôt être promulgué.