Actu RGPD

sanctions cnil

Sanctions : La CNIL n’était pas en vacances cet été !

Sanctions : La CNIL n’était pas en vacances cet été ! 960 639 Optimex Data

Optimex Data revient sur les sanctions de la CNIL à l’été 2021 pour non respect du RGPD.

Dernières sanctions CNIL – RGPD

Comme chacun le sait, la CNIL a le pouvoir sanctionner tout responsable de traitement qui ne prendrait pas les mesures nécessaires au respect de la loi Informatique et Libertés et au Règlement Général sur la Protection des Données – RGPD.

La CNIL sévit : multiplication des sanctions et des mises en demeure

Dans une volonté d’appliquer une plus grande sévérité sur l’année 2021, la CNIL a récemment prononcé de lourdes sanctions à l’encontre de différentes entités.

Le Figaro

Sanction de 50 000 euros à l’encontre de la société du FIGARO : Lors de la visite sur le site lefigaro.fr des cookies publicitaires étaient automatiquement déposés par des partenaires de la société sur l’ordinateur de l’internaute sans consentement ou en cas de refus de sa part. La CNIL a donc sanctionné la société du FIGARO au motif qu’elle ne respectait ni l’obligation de recueil systématique du consentement ni le refus des utilisateurs avant tout dépôt de cookies.

Monsanto

Sanction de 400 000 euros à l’encontre de la société MONSANTO : Des médias ont révélé que la société MONSANTO tenait à jour un fichier regroupant les données personnelles de plus de 200 personnalités politique ou appartenant à la société civile sans les en informer. La CNIL l’a sanctionné pour non-respect de l’obligation d’information qui est l’une des mesures centrales au sein du RGPD, d’autant plus qu’elle a mis plusieurs années avant de mettre fin à ce manquement.

AG2R La Mondiale

Sanction de 1.75 million d’euros à l’encontre de AG2R LA MONDIALE : Dans le cadre de ses campagnes de phoning, AG2R LA MONDIALE conservait les données personnelles de millions de personnes pendant une durée excessive et sans respecter son obligation d’information. En effet, elle a été sanctionnée par la CNIL car elle ne respectait pas les durées maximales de conservation et ne fournissait pas aux personnes concernées une information suffisante au sens du RGPD.

De même, au sein de l’Union européenne, les autorités de contrôle semblent être dans la même dynamique que la CNIL. La Commission Nationale pour la Protection des Données luxembourgeoise, en collaboration avec la CNIL, a d’ailleurs prononcé une amende de 746 millions d’euros à l’encontre d’Amazon Europe Core. Ce n’est pas la première fois que cette société est rappelée à l’ordre puisqu’elle a déjà fait l’objet d’une sanction en décembre 2020.

La CNIL ne s’est cependant pas arrêtée là puis qu’elle a adressé une deuxième série de mise en demeure suite à celle de mai 2021 portant sur le refus des cookies.

En effet, la CNIL a rappelé à de nombreuses reprises l’importance pour les internautes de pouvoir facilement refuser les cookies. Néanmoins, de nombreux sites internet ne semblent pas avoir saisi l’importance de cette obligation.

La CNIL a donc voulu frapper un grand coup en sanctionnant pas moins d’une quarantaine d’organismes ne permettant pas aux internautes de refuser les cookies aussi simplement que de les accepter. Les organismes ont jusqu’au 6 septembre pour se mettre en conformité.

Ainsi, la politique de contrôle et de sanctions de la CNIL s’inscrit dans la durée. D’autres campagnes de vérification et de mesures correctrices seront menées prochainement afin d’assurer le respect des obligations du RGPD ainsi que la vie privée des personnes concernées.

chine brexit décision d'adéquation

Brexit décision d’adéquation et Chine

Brexit décision d’adéquation et Chine 960 640 Optimex Data

Le Royaume Uni compte assouplir sa loi sur la Protection des Données, la Chine vote sa la Pipl… Brexit, Chine et décisions d’adéquation, Optimex Data vous dit tout !

Brexit, Chine et décisions d’adéquation

Comme vous le savez, les transferts de données en dehors de l’Union Européenne font l’objet d’une règlementation bien particulière. En effet, les Responsables de traitement et les sous-traitants ne peuvent transférer des données hors de l’Union européenne, qu’à condition d’assurer un niveau de protection des données suffisant et approprié de ces données. Pour plus d’information concernant les transferts de données hors UE, veuillez consulter directement le site de la CNIL sur ce lien.

Pour cela, plusieurs solutions sont possibles :

  • L’Etat où sont transférées les données fait l’objet d’une décision d’adéquation délivrée par la Commission Européenne. Sa législation est donc considérée comme présentant un niveau de garantie équivalent au RGPD.
  • A défaut de décision d’adéquation, il convient de mettre en place des garanties appropriées, conformément à l’article 46 du RGPD, telles que des Clauses contractuelles types ou des Règles d’entreprises contraignantes – BCR par exemple.

La nouvelle décision d’adéquation de la Commission Européenne : le Royaume-Uni

Comme évoqué dans une précédente Newsletter, à la suite du BREXIT, le Royaume-Uni était sorti de l’UE le 31 janvier 2021. Toutefois, il avait été convenu que le RGPD resterait applicable au sein de ce dernier pour une durée de 6 mois maximum.

Se posait alors la question de savoir quelles garanties devraient être mises en place afin de garantir ces transferts. Le 28 juin 2021, la Commission Européenne a répondu à cette question en adoptant une décision d’adéquation du Royaume-Uni au RGPD. Elle considère en effet que le Royaume-Uni présente un niveau de protection équivalent à celui garanti par le RGPD. Les transferts de données personnelles vers le Royaume-Uni peuvent donc se faire sans encadrement spécifique.

Toutefois, il semblerait que le pays soit en phase de modifier sa loi sur la protection des données. En effet, le Royaume-Uni a exprimé, le 26 août sa volonté de modifier sa loi sur la protection des données, dans le sens d’un assouplissement de celle-ci par rapport au RGPD. Si actuellement la décision d’adéquation vaut jusqu’au 27 juin 2025, elle peut toutefois faire l’objet d’une annulation par la Commission au cas où cette nouvelle loi n’apporterait pas de garanties équivalentes en matière de protection des données. A suivre …

Vers une nouvelle décision d’adéquation : la Chine ?

Le 20 août dernier, le Comité de l’Assemblée populaire nationale – organe législatif suprême de Chine, a voté une loi sur la protection des données dite PIPL : Personal Information Protection Law. Cette loi présente de nombreuses similitudes avec le RGPD et se veut stricte et encadrante, dans le but de limiter les pratiques de certains géants du numérique Chinois, comme l’évoque la presse digitale.

A la lecture de cette loi, de nombreuses dispositions ne sont pas sans rappeler notre Règlement Européen :

  • Un traitement de données licite: fondé sur une base légale, telle que le consentement, l’exécution d’u contrat ou le respect d’une obligation légale.
  • Une importance notable donnée au consentement des personnes qui est érigé en principe de la protection des données.
  • Des relations entre Responsables conjoints de traitement ou Responsables de traitement/Sous-traitants encadrées.
  • Respect et exercice des droits des personnes: droit à l’information, droit d’accès, droit de rectification, d’effacement, de limitation, d’opposition et droit de suppression des données après sa mort.
  • Un encadrement renforcé en cas de traitement de données sensibles (données de santé, religieuses, …)
  • Obligation de réaliser des AIPD (Analyses d’Impact) en cas de traitements à risques.
  • Un encadrement des transferts de données en dehors des frontières Chinoises.

Par ailleurs, la Chine pose des sanctions très sévères en cas de non-respect de cette législation, pouvant aller jusqu’à 50 millions de yuans ou 5% du CA.

Cette loi, applicable à compter du 1er novembre 2021 pourrait-elle faire entrer la Chine dans la liste restrictive des pays faisant l’objet d’une décision d’adéquation ? Affaire à suivre !

pass sanitaire et cnil

Pass Sanitaire : la CNIL donne son avis !

Pass Sanitaire : la CNIL donne son avis ! 960 640 Optimex Data

Loi sur la gestion de la crise Covid, TousAntiCovid et Pass Sanitaire, Optimex Data revient les recommandations et avis de la CNIL.

Pass Sanitaire et CNIL

Dans notre précédente Newsletter du mois de juin, nous rappelions les recommandations de la CNIL relatives à la mise en place de l’application TousAntiCovid, des cahiers de rappel, des QR codes ou encore du Pass Sanitaire.

Suite à la publication de la loi relative à la gestion de la crise sanitaire et de plusieurs de ses décrets d’application du 7 août 2021 prévoyant notamment une extension du Pass Sanitairerestaurants, débits de boissons, transports publics… et les projets en cours sur le sujet, la CNIL est venue donner ses recommandations.

Des recommandations pour garantir le respect de la protection des données

Afin de garantir le respect du RGPD, la CNIL recommande, concernant le Pass Sanitaire :

  • Un contrôle strict des dispositifs de lecture alternatifs de l’application TousAntiCovid Verif ; via notamment la vérification de l’absence de transferts de données illicite en dehors de l’UE, d’un niveau adéquat de sécurité et de la transparence du dispositif.
  • Une conservation temporaire des données, limitée au résultat de la lecture du Pass.
  • Une sécurisation des envois d’information nécessaires à la génération du certificat au format européen ; via un portail web sécurisé notamment.

Concernant le contrôle de l’obligation vaccinale des professionnels de santé par les ARS, elle recommande :

  • Une gestion stricte des habilitations d’accès des agents des ARS ; aux seules données des professionnels de leur territoire de compétence et aux seuls agents ARS habilités
  • Une liste précise et limitée des catégories de données accessibles qui doit être précisée dans le décret
  • De garantir le respect de l’obligation d’information des personnes concernées
  • La mise en place de la possibilité pour les personnes concernées d’exercer leurs droits
  • La mise en place de durées de conservation limitées, jusqu’à la fin de l’obligation vaccinale notamment.

Un projet de diffusion de liste de patients non vaccinés à leurs médecins

Afin d’encourager la vaccination, le Gouvernement souhaite mettre en place une campagne de sensibilisation, visant les personnes non vaccinées. Cette action serait menée par les médecins traitants et la Caisse Nationale d’Assurance Maladie – CNAM ; après que leur soit envoyé une liste de leurs patients non vaccinés. Le Gouvernement a sollicité l’avis de la CNIL sur le sujet.

Dans un avis du 1er juillet 2021, la CNIL considère que des actions de sensibilisation peuvent : Légitimement être mises en place, à condition d’être entourées de garanties fortes. Selon elle, la transmission de la liste des patients non vaccinés aux médecins traitants est donc possible, sous réserve que :

  • La transmission ne soit réalisée qu’à la demande du médecin-traitant ; et non de façon systématique à l’ensemble des médecins traitants
  • La liste soit supprimée par le médecin dès la fin de l’action de sensibilisation
  • Les sollicitations n’aient pour seul objet l’information et la sensibilisation des personnes ; et non d’essayer de les convaincre lorsqu’elles indiquent ne pas souhaiter se faire vacciner.

Quid de la constitution de Registres de personnel vaccinal par les entreprises ?

Afin de gérer la conformité des Pass Sanitaires par le personnel, les entreprises peuvent être tentées de tenir un Registre de ce dernier. Sur le sujet, la CNIL nous a informé par téléphone que, si la constitution d’un tel Registre était en soit possible et conforme avec le RGPD, elle devait toutefois respecter le principe de minimisationArticle 5 du RGPD.

En effet, pour garantir le respect de ce principe, seules les données strictement nécessaires à la réalisation de l’objectif poursuivies doivent être collectées. Dès lors, le Registre ne doit contenir que les informations suivantes :

  • Noms et prénoms
  • Pass conforme ou non conforme

La CNIL devrait prochainement rendre un avis officiel sur le sujet.

cyberattaques messageries

Cyberattaques sur les messageries : Adoptez les bons réflexes !

Cyberattaques sur les messageries : Adoptez les bons réflexes ! 960 640 Optimex Data

Optimex Data revient sur le sujet cher à la CNIL de la cybersécurité et vous présente les bons reflexes face aux cyberattaques sur les messageries.

Cyberattaques sur les messageries : Adoptez les bons réflexes !

 La cybersécurité fait partie des grands enjeux prioritaires sur lesquelles la CNIL a décidé de renforcer son contrôle durant l’année 2021.  Récemment de nombreuses attaques sur les messageries en ligne ont été détectées. Comment réagir face à ces cyberattaques ?

L’importance de la cybersécurité : focus sur les cyberattaques sur les messageries

Lors du rendez-vous d’information périodique portant sur les incidents de sécurité appelé la violation du trimestre, la CNIL a décidé de se focaliser sur les attaques des systèmes de messagerie. Tous les organismes sont susceptibles d’être la cible de ces cyberattaques et doivent faire preuve de vigilance.

Comment se déroule la cyberattaque ?

  1. La compromission d’une messagerie en ligne :

La messagerie est compromise lorsque l’attaquant récupère l’identifiant et le mot de passe de l’utilisateur. Cela peut arriver quand l’utilisateur reçoit un e-mail d’hameçonnage le poussant à se réauthentifier.

  1. L’exploitation de la messagerie attaquée :
  • L’attaquant peut récupérer les données personnelles des salariés et/ou clients issues de la messagerie de l’utilisateur afin de lancer une campagne de courriels d’hameçonnage ciblée.
  • L’attaquant peut également usurper l’identité de l’utilisateur afin d’exploiter son carnet d’adresses ou encore faire de faux ordres de virement.

Comment s’en prémunir ?

  • Sensibiliser les utilisateurs, par exemple :
    • Ne pas ouvrir les pièces jointes ;
    • Vérifier les noms de domaine des mails reçus ;
    • Éviter les sites non surs ou illicites ;
    • Ne pas installer d’application/programme dont l’origine est inconnue.
  • Mettre en place des mesures de sécurité techniques, par exemple :
    • Se tenir informé et suivre les informations diffusées par le CERT-FR ;
    • Mettre régulièrement à jour les antivirus et les serveurs de messagerie ;
    • Mettre en place une adresse de messagerie interne réservée au signalement de mails malveillants ;
    • Utiliser des mots de passe complexes.

Que faire en cas de cyberattaque ?

  • Prendre contact avec le DPO / Référent RGPD et alerter le responsable informatique
  • Comprendre l’origine de l’attaque pour limiter ses effets
  • Informer les personnes concernées
  • Documenter la violation et la notifier à la CNIL dans un délai de 72 heures

Serez-vous plus vigilant dans l’utilisation de votre messagerie en ligne ? Des campagnes de Phishing peuvent être organisées pour sensibiliser le personnel.

intérêt légitime rgpd

Comment savoir si les traitements de données reposent sur l’intérêt légitime ?

Comment savoir si les traitements de données reposent sur l’intérêt légitime ? 960 640 Optimex Data

Le Royaume Uni compte assouplir sa loi sur la Protection des Données, la Chine vote sa la Pipl… Brexit, Chine et décisions d’adéquation, Optimex Data vous dit tout !

Brexit, Chine et décisions d’adéquation

Il peut parfois être évident de choisir parmi les bases légales – consentement, obligation légale, contrat, mission d’intérêt public ou intérêt légitime… celle qui est la plus adaptée au traitement de données personnelles. En revanche, concernant l’intérêt légitime, le choix de cette base légale n’est pas souvent facile à justifier. En effet, le recours à l’intérêt légitime suppose que les intérêts poursuivis ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées, comme le précise la CNIL. Voici une infographie pour vous guider :

Comment remédier à ce déséquilibre ?

  • Mesures compensatoires :
    • Mise en place de tableaux de bord permettant aux personnes de gérer leurs préférences et d’exercer leurs droits
    • Pseudonymisation ou anonymisation en cas de données fines et nombreuses non strictement nécessaires
    • Comité d’éthique pour contrôler les éventuels effets négatifs de l’utilisation d’algorithmes ou en matière de recherche médicale (en dehors des obligations prévues par les textes)
  • Préconisations générales :
    • Obligation d’information préalable renforcée
    • Durée de conservation adéquate et proportionnée aux finalités poursuivies
    • Respect des conditions d’exercice des droits des personnes
    • Réaliser une analyse d’impact et renforcer le principe de minimisation, encore plus nécessaire en l’absence de recueil préalable du consentement et a fortiori en présence de mineurs
    • Mise en place d’un droit d’opposition spécifique et renforcé

Si l’équilibre est atteint entre l’intérêt légitime du responsable de traitement et les droits et intérêts des personnes concernées par le traitement, le traitement peut être fondé sur la base légale de l’intérêt légitime

Dans le cas contraire, une autre base légale, comme le consentement, devra être recherchée

pass sanitaire et rgpd

Pass sanitaire et RGPD

Pass sanitaire et RGPD 960 640 Optimex Data

Avec la réouverture des commerces et restaurants ; Optimex Data revient sur les recommandations de la CNIL aux employeurs ; et notamment le cahiers de rappel, le pass sanitaire et le RGPD.

pass sanitaire et RGPD

Lors de notre newsletter du mois de novembre 2020, nous vous faisions part des recommandations RGPD face à la COVID-19 en tant qu’employeur.

Ce mois-ci et pour donner suite à la réouverture des restaurants, la CNIL est venue apporter des précisions quant à l’application TousAntiCovid, cahiers de rappel, codes QR ou encore le pass sanitaire pour les ERP dont le protocole sanitaire impose un dispositif d’enregistrement des visites de leurs clients. Deux options se présenteront aux ERP : une version papier du cahier de rappel et une version numérique sous forme de QR Code à scanner.

Mais quelles garanties doivent être mises en place pour garantir la protection des données personnelles ?

Le cahier de rappel papier

Pour rappel, son objectif est de permettre d’alerter les personnes qui ont fréquenté un lieu où elles ont pu être exposées à la COVID-19 afin qu’elles puissent s’isoler et se faire tester. Nous vous rappelons que la CNIL recommande une destruction des informations contenues dans le cahier de rappel et/ou application « TousAntiCovid » 15 jours après leur collecte.

Voici les recommandations de la CNIL en la matière :

  • Les données collectées doivent être limitées à l’identité du client, son numéro de téléphone et la date et l’heure de son arrivée. La CNIL interdit de collecter davantage d’information.
  • Seules les autorités sanitaires compétentes peuvent demander la communication du cahier de rappel ;
  • Les clients doivent être clairement informés de l’objectif du cahier de rappel. Pour cela, la CNIL propose des modèles de mentions d’information afin d’être transparent ;
  • Le cahier de rappel ne doit pas être laissé à la vue de tous les clients. Il est préférable de mettre en place des formulaires individuel par tablée.

Bien évidemment, le cahier de rappel n’a pas vocation à être utilisé pour de la prospection commerciale.

La fonctionnalité TousAntiCovid Signal

La CNIL précise que des garanties ont été mises en place notamment une absence de recours à la géolocalisation permettant de suivre les déplacements d’un utilisateur et la conservation, sur le téléphone de l’utilisateur, de l’historique des lieux visités.

Le pass sanitaire : TousAntiCovid Carnet

Pour rappel, l’objectif du Pass Sanitaire est de permettre de limiter le risque de contamination en conditionnant certains déplacements ainsi que l’accès à certains lieux, établissements et évènements à la présentation d’un résultat de test négatif, une attestation de vaccination, une attestation de rétablissement à la COVID-19.

Le 12 mai 2021, la CNIL a eu l’occasion de se prononcer sur le principe du Pass Sanitaire et le 7 juin 2021 elle a également rendu un avis sur les modalités de mises en œuvre du Pass Sanitaire.

Cette dernière précise que plusieurs points permettent de garantir le respect des droits et libertés des personnes notamment :

  • Le caractère temporaire du dispositif avec une fin prévisionnelle en septembre 2021 ;
  • Une limitation des usages aux évènements les plus à risques rassemblant un grand nombre de personnes (exclusion des restaurants, lieux de travail, etc…)
  • Une possibilité de présenter un Pass sanitaire au format papier ;
  • Une minimisation des données rendues accessibles lors de la vérification des justificatifs ;
  • Une absence de conservation des données après la vérification des justificatifs et une absence de réutilisation pour d’autres objectifs.

Pour en savoir plus : TousAntiCovid, cahiers de rappel, codes QR, Pass Sanitaire, protocole sanitaire pour les bars, restaurants et restaurants d’hôtel, fonctionnalité TousAntiCovid Signal, les recommandations de la CNIL pour les cahiers de rappel papier.

clauses contractuelles type rgpd

Transfert de données hors UE : la Commission européenne se prononce enfin !

Transfert de données hors UE : la Commission européenne se prononce enfin ! 960 640 Optimex Data

Optimex Data revient sur l’adoption par la Commission européenne de la décision introduisant les nouvelles Clauses Contractuelles type RGPD.

Clauses Contractuelles type RGPD

Comme vous le savez déjà, le Privacy Shieldl’accord qui permettait depuis 2016 de transférer des données personnelles entre les Etats-Unis et l’Union européenne ; fut invalidé par la CJUE l’année dernière. De nouvelles règles encadrant les transferts de données vers des pays tiers étaient alors très attendues et aujourd’hui nous pouvons vous l’affirmer : les nouvelles clauses contractuelles types – CCT sont arrivées !

En effet, le 4 juin 2021 la Commission européenne a adopté une décision d’exécution introduisant de nouvelles CCT pour le transfert de données à caractère personnel vers des pays tiers. L’objectif de ces dernières est d’offrir des garanties appropriées en matière de protection des données pour les transferts internationaux de données. En ce sens, il en tient de la responsabilité des exportateurs de donnéesEx : société française, et des importateurs de donnéesEx : société américaine, d’inclure au sein des contrats les liant, des CCT comme celles énoncées par la Commission européenne ; et d’en ajouter des supplémentaires s’ils le souhaitent, pourvu qu’elles ne se contredisent pas.

La décision d’exécution rendue par la Commission européenne…

…vise donc à moderniser les clauses contractuelles types déjà existantes au 15 juin 2001 et au 5 février 2010 de manière à être adaptées aux nouvelles exigences du RGPD et à l’évolution de l’économie numérique.

En ce sens, vous pouvez (en tant que responsable de traitement ou sous-traitant) utiliser ces nouvelles CCT présentes dans l’annexe de cette décision. Il conviendra de choisir le module adapté à votre situation :

  1. Transfert de responsable du traitement à responsable du traitement
  2. Transfert de responsable du traitement à sous-traitant
  3. Transfert de sous-traitant à sous-traitant
  4. Transfert de sous-traitant à responsable de traitement

En réponse à l’invalidation du Privacy Shield…

… et lorsque la législation du pays tiers ne permet pas le respect du niveau de protection requis par l’Union Européenne – par exemple les Etats autorisant les autorités publiques à prendre connaissance des données personnelles traitées, la Commission prévoit de nouvelles contraintes :

  • Une évaluation de la législation du pays tiers en matière de divulgation et d’accès aux données par des autorités publiques ;
  • Une obligation de notification pour l’importateur en cas d’accès ou demande d’accès juridiquement contraignantes par les autorités publiques ;
  • Une obligation pour l’importateur de contrôler la légalité de la demande de divulgation.

Mais de combien de temps disposez-vous pour mettre en place ces nouvelles clauses ?

La décision de la Commission européenne entre en vigueur 20 jours après sa publication au journal officiel de l’Union européenne – publication au JO :  7 juin 2021. Les anciennes clauses contractuelles types – de 2001 et 2010, seront dès lors abrogées 3 mois après cette date ; soit vers fin septembre ou courant d’octobre 2021.

  • Concernant les contrats conclus antérieurement à cette décision: ils auront 18 mois pour être mis à jour – soit au plus tard fin 2022 ou début 2023 ; conformément aux nouvelles clauses – à condition que les traitements faisant l’objet du contrat restent inchangés.
  • Concernant les nouveaux contrats: il conviendra d’utiliser ces nouvelles clauses contractuelles types.

C’est à vous de jouer !

rapport activité rgpd 2020

La CNIL et l’ANSSI font le bilan !

La CNIL et l’ANSSI font le bilan ! 960 640 Optimex Data

Optimex Data revient sur le rapport d’activité RGPD 2020 de la CNIL et de l’ANSII.

Rapport d’activité RGPD 2020

Récemment, la CNIL a publié son Rapport d’activités 2020 révélant ainsi les chiffres clés et les temps forts de l’année passée, notamment :

  • 13 585 plaintes adressée à la CNIL en 2020 ; dont 11% liées à la prospection commerciale sans consentement
  • 2 825 notifications de violation de données personnelles ; 24% de plus qu’en 2019
  • 247 contrôles effectués par la CNIL et un montant de sanction total s’élevant à 138 millions d’euros …

Mais l’autorité administrative indépendante entend ne pas s’arrêter en si bon chemin et a récemment annoncé ses 3 axes prioritaires de contrôle au courant 2021.

C’est sans compter sur l’ANSSI – Agence nationale de la sécurité des systèmes d’information, qui a dernièrement publié son Rapport d’activités 2020, présenté lors d’un Webinaire du 10 juin 2021, dressant ainsi le bilan de l’année écoulée et les tendances de la menace cyber.

D’après l’Agence nationale, l’augmentation des rançongiciels a explosé entre 2019 et 2020 – 54 à 192 ; tendance qui semble visiblement se prolonger dès le 1er semestre de l’année 2021. Force est de constater une véritable professionnalisation des groupes de criminels qui rançonnentcriminalité organisée ; dont la capacité de nuisance est extrêmement forte.

Les organismes les plus touchés sont…

  • Les organismes publicsnotamment les collectivités territoriales ;
  • Le secteur de la santénotamment avec les récentes cyberattaques visant les établissements de santé ;

L’ANSSI tient néanmoins à rappeler qu’au-delà de ces exemples, tout organisme usant de système informatique, est susceptible d’être une victimede la plus petite TPE ou associations, aux plus grands groupes internationaux. A propos des rançongiciels, la CNIL a récemment publié ses propres recommandations sur son site internet, qu’il convient de jumeler avec celles de l’ANSSI ; notamment : comment réagir en cas d’attaque par rançongiciel ?

Toutefois, si les rançongiciels sont très présents, d’autres menaces moins visibles subsistent…

  • L’espionnage économique, à visée politique ;
  • Des attaques visant la chaîne d’approvisionnementsupply chain, d’un organisme : phénomène assez inquiétant car cela consiste à passer par un sous-traitantdisposant de garanties de sécurité moindre, pour atteindre l’organisme visé.

C’est en ce sens que nous vous recommandons toujours de vérifier la conformité RGPD de vos sous-traitants ainsi que leur degré de sécurité : signer des contrats ou avenants de conformité RGPD devient plus essentiel que jamais !

En bref…

En termes de cybersécurité, la menace s’accroit de façon exponentielle : chacun a ses propres ennemis, et cela nécessite notamment de sensibiliser vos équipes et de sécuriser vos équipements. NON, une cyberattaque ce n’est pas comme la foudre : il ne suffit pas d’attendre que cela passe !

Et c’est bien pour cela qu’Optimex Data travaille aujourd’hui avec des prestataires compétents de manière à vous proposer des offres inédites et adaptées à vos besoins en matière de cybersécurité : Cyberprotectpartenaire pour le scan de vulnérabilité ; et Axone Grouppartenaire pour la campagne de phishing.

Laissez-vous tenter !

sanctions cnil et cookies

Cookies : entre marchandisation et sanctions

Cookies : entre marchandisation et sanctions 960 480 Optimex Data

La CNIL fait du respect des nouvelles règles en matière de Cookies une des thématiques prioritaire pour 2021. Optimex revient sur la monétisation des données personnelles ; et les sanctions CNIL & Cookies

Sanctions CNIL & Cookies

Depuis la mise en place des nouvelles règles en matière de cookies et autres traceurs en octobre 2020, la CNIL semble particulièrement vigilante. Elle a notamment fait de ce sujet l’une des thématiques prioritaires de contrôles en 2021. Retour sur cette notion source de multiples enjeux.

La monétisation des données personnelles

Une exploitation commerciale courante des données personnelles

Depuis déjà plusieurs années, les données personnelles sont utilisées comme monnaie d’échange à un service. Par exemple, pour effectuer de la publicité ciblée ou pour être revendues aux fins de prospection publicitaire.

Cependant, à l’ère numérique, ces pratiques ont considérablement augmenté. En effet, le dépôt de cookies a permis à de nombreux sites internet de collecter les données des personnes afin de leur proposer des publicités adaptées et d’optimiser leur chance de générer un achat.

Vers une exploitation pécuniaire ?

La question se pose alors de savoir s’il serait envisageable de donner une valeur pécuniaire aux données personnelles. On parle alors de monétisation des données.

Cette notion sous-entend que les personnes physiques détiendraient un droit de propriété sur leurs données personnelles et qu’elles seraient ainsi en mesure de les vendre ou de les licencier à des tiers.

Or, cette vision est totalement contraire au RGPD et à la Loi Informatique et Libertés qui ont reconnu des droits aux personnes sur leurs données auxquels il est impossible de pouvoir renoncer.

Un cadre légal ?

Néanmoins, il n’existe pas véritablement de cadre légal interdisant la monétisation des données.

En effet, le modèle de la fourniture de données personnelles comme contrepartie est de plus en plus reconnu par certaines décisions de justice en France comme à l’étranger. Par exemple, le TGI de Paris a jugé que les données collectées gratuitement par Twitter constituaient la contrepartie contractuelle du service que le réseau social propose aux internautes.

Qu’est-ce qu’un « Cookie Wall » ?

Un « Cookie wall » est un « mur de traceurs », cela désigne le fait de conditionner l’accès à un site à l’acceptation par l’internaute de dépôt de cookies sur son ordinateur. L’accès au site internet est donc conditionnée à la fourniture d’une contrepartie en argent ou en données.

Le Comité Européen de la protection des données (CEPD) tout comme la CNIL avait estimé que ce système pourrait affecter la liberté du consentement libre exigé par le RGPD.

Le Conseil d’Etat (CE) s’est également prononcé sur la question le 19 juin 2020 et a jugé que l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale des « murs de traceurs ». Le CE semble opter pour une appréciation de cette pratique au cas par cas.

Des enjeux éthiques :

L’utilisation de données personnelles comme valeur d’échange pose des problèmes :

  • Les personnes vulnérables se retrouveraient à fournir leurs données tandis que les plus aisés pourraient simplement payer pour accéder au site internet ;
  • La préservation de l’anonymat serait réservée à certaines personnes et exclue pour d’autres.

La CNIL n’ayant pas encore sanctionné cette utilisation contestable des cookies, il semblerait logique qu’elle poursuive dans sa lignée et sanctionne cette pratique.

Les sanctions de la CNIL en matière de refus des cookies

Dans le cadre de sa campagne de vérification, la CNIL a mis en demeure récemment différents établissements qui n’avaient pas rendu facile et accessible la possibilité pour les internautes de refuser les cookies.

Les sociétés visées sont principalement d’importantes société de l’économie numérique mais également des acteurs publics. Les entreprises disposent d’un mois pour se mettre en conformité et encourent des sanctions pouvant aller jusqu’à 2% de leur chiffre d’affaires en cas de retard. Des actions similaires seront conduites au cours des prochains mois.

La CNIL avait notamment infligé de lourdes sanctions aux sociétés Google et Amazon pour leurs pratiques en matière de gestion des cookies.

Et vous, avez-vous pensé à mettre en conformité votre site internet en matière de cookies ?

cybersécurité et protection des données

L’importance de la cybersécurité…

L’importance de la cybersécurité… 960 640 Optimex Data

Optimex Data traite du sujet de la cybersécurité et protection des données

cybersécurité et protection des données

Vous le savez, les données de santé sont considérées, au sens du RGPD, comme étant des données sensibles nécessitant une protection toute particulière. L’actualité ne cesse de nous démontrer l’importance d’une sécurité suffisante des données à caractère personnel, encore plus quand il s’agit de données de santé. Cyberattaques, ransomware, sécurité informatique ou cybersécurité : le langage du monde numérique ne cesse de croître, laissant parfois de côté les personnes qui n’en maîtrisent pas le sens et ne peuvent donc pas agir en conséquence.

Quoi de neuf docteur ?

Depuis le début de l’année, le domaine hospitalier est devenu la cible favorite des cyberattaques. Cet acharnement s’explique notamment à raison de la crise sanitaire actuelle qui attire les intentions, plus malveillantes les unes que les autres.

  • Fuite de données massives :

Récemment, un fichier contenant des données médicales a circulé sur Internet : 500.000 français ont été concernés – c’est ce qu’on appelle une fuite de données (ce qui constitue une violation de données personnelles). La CNIL a alors saisi le tribunal judiciaire de Paris qui a rendu sa décision le 4 mars dernier et demande aux principaux fournisseurs d’accès à Internet de bloquer l’accès au site Internet hébergeant ce fichier.

  • Les hôpitaux – cible de cyberattaques :

Centres Hospitaliers de Dax, de Villefranche-sur-Saône, d’Oloron-Sainte-Marie et bien d’autres encore ont fait ou feront certainement les frais de hackers déterminés à les mettre à mal. Ransomware, virus informatique, atteinte à la réputation et à l’image du domaine hospitalier… ces prises d’otage font prendre conscience qu’un système essentiellement informatisé, tels que les hôpitaux, nécessite la mise en place de moyens de sécurité bien plus coriaces.

Incendie d’OVH Cloud ou faut-il notifier à la CNIL ?

Le datacenter a pris feu le 10 mars 2021 emportant avec elle une quantité innombrable de données. Cet évènement nous rappelle que, certes, il convient de prendre des mesures de sécurité efficaces afin de se protéger d’actes informatiques malveillants, mais qu’il est tout aussi important de s’assurer, en interne, de la sécurité conférée aux locaux contenant des données personnelles.  La CNIL a par ailleurs publié un article dans lequel elle explique que la destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue bel et bien une violation de données au sens du RGPD.

Pourquoi faut-il s’inquiéter ?

Vous vous demandez peut-être en quoi la circulation de ces données serait susceptible de constituer un danger ? Si vous êtes concernés ? Ou encore, qui peuvent-elles bien intéresser ? Voici une illustration de tentative de fraude (parmi tant d’autres) qui pourrait vous aiguiller :

« Bonjour Monsieur, votre numéro de sécurité sociale est le suivant XXX, vous avez effectué (tel acte) médical au sein de notre organisme le 23 mars dernier et il semblerait qu’une partie de la prestation n’ait pas été réglée – merci de bien vouloir nous envoyer la somme manquante… ».

Autrement dit, si vous êtes un organisme médical, ou que vous traitez quelque donnée médicale que ce soit, vous devez impérativement être vigilant à ce que leur sécurité soit suffisante.

Par ailleurs, le RGPD impose aux organismes de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL : cela peut-être le cas si des données sensibles (santé) ont été divulguées.

Face à ces escroqueries et attaques, les professionnels doivent donc faire preuve d’une extrême prudence. OptimexData vous en dit plus sur la cybersécurité sur le plateau de TéléGrenoble !

Call Now Button