fbpx

Actu RGPD

brexit et rgpd

Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021 !

Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021 ! 1200 800 Optimex Data

Optimex Data présente les enjeux pour les organismes suite avec le Brexit et RGPD.


Brexit et RGPD

Vous le savez, le Royaume-Uni a décidé de quitter l’Union européenne : cette sortie est prévue pour le 31 janvier 2021 à minuit. Récemment, il a été convenu d’un accord entre le Royaume-Uni et l’Union Européenne pour que le RGPD reste applicable au sein du pays, pour une durée de 6 mois maximum, pendant laquelle les données pourront continuer à y être transférées.

Pour autant, le mécanisme du “guichet unique” (qui a pour vocation d’harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers) ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021.

« A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. » CNIL, 28 décembre 2020

Le mécanisme de décision d’adéquation permet d’attester qu’un Etat situé en dehors de l’Union européenne assure un niveau de protection adéquat des données personnelles.

Brexit et RGPD, Quels enjeux pour les organismes ?

  • Vous êtes concernés si :
    • Votre organisme transfère des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni ;
    • Le flux de données perdurera en vertu de la sortie du Royaume-Uni de l’Union Européenne ;
  • Ces transferts ne pourront s’effectuer qu’avec la mise en place de garanties RGPD appropriées (clauses contractuelles types, règles contraignantes d’entreprises…)
  • Les ressortissants européens devront disposer de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.
  • Les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni dont les activités de traitement sont soumises à l’application du RGPD devront désigner un représentant de l’Union conformément à l’article 27 du RGPD.

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple. L’équipe Optimex Data vous explique en détail le rôle et les qualités d’un représentant RGPD.

Nous vous tiendrons bien-sûr informés de l’accord qui sera conclut entre l’Union européenne et le Royaume-Uni. Décision d’adéquation, règles d’entreprise contraignantes ou encore dérogation particulière pour le Royaume-Uni : l’avenir nous le dira !

sanctions violation des données

Sanctions CNIL fin 2020 : Cookies et Prospection Commerciale

Sanctions CNIL fin 2020 : Cookies et Prospection Commerciale 1200 800 Optimex Data

Optimex Data vous présente les sanctions violation des données prononcées par la CNIL fin 2020. Exemples de sanctions violation des données lors de prospections commerciales.


Sanctions violation des données par la CNIL

La CNIL a souhaité rappeler les règles en matière de prospection commerciale en sanctionnant deux sociétés. La société PERFORMECLIC, très petite entreprise (TPE), emploie deux salariés et a pour activité principale la prospection commerciale par courrier électronique pour le compte d’annonceurs. Cette dernière a été sanctionnée d’une amende de 7.300 euros pour prospection commerciale sans preuve de consentement préalable des personnes et sans information satisfaisante.

La société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureau a également été sanctionnée d’une amende de 20.000 euros pour prospection commerciale sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD : information et droits des personnes.

Voici quelques manquements constatés par la CNIL :

→ Pour PERFORMECLIC et NESTOR : non-respect de l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection, conformément au Code des Postes et des Communications Electronique (CPCE) et d’en conserver la preuve ;
→ Pour PERFORMECLIC : non-respect du principe de minimisation puisque la société a collecté des données non-nécessaires à l’envoi de la prospection commerciale, comme par exemple le numéro de téléphone des prospects ;
→ Pour PERFORMECLIC : non-respect du principe de limitation de la conservation des données, dans la mesure les données de prospects étaient conservées de manière excessive, à savoir plus de trois (3) ans à compter de la simple ouverture de la prospection ;
→ Pour PERFORMECLIC et NESTOR : non-respect du principe d’information (politique de protection des données incomplète, générale et imprécise, absence de mention d’information sous le formulaire de collecte, aucune information relative au traitement de données, etc…) ;
→ Pour PERFORMECLIC et NESTOR : non-respect des droits puisque les personnes concernées n’avaient pas la possibilité de s’opposer à la prospection commerciale ou d’obtenir la copie des données personnelles détenues ;
→ Pour PERFORMECLIC : non-respect de l’obligation d’encadrer contractuellement les relations de sous-traitance. Le contrat entre PERFORMECLIC et son prestataire d’hébergement ne contenait aucune clause relative à la sous-traitance ;
→ Pour NESTOR : non-respect de l’obligation d’assurer la sécurité des données personnelles, dans la mesure où la robustesse du mot de passe n’était pas exigée lors de la création d’un compte.

En septembre 2020 …

Nous vous faisions part des nouvelles recommandations de la CNIL en matière de cookies et de traceurs pour donner suite à la délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » ainsi qu’à la délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices.

À la suite de ces deux nouveaux textes, la CNIL a laissé un délai de 6 mois aux entreprises pour se conformer, soit jusqu’en mars 2021.

Pour rappel, la CNIL exige désormais un bandeau de gestion des cookies permettant d’accepter, de refuser et/ou de personnaliser les cookies d’un site internet. La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute dans la mesure où il faut un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil. Quant à l’information des personnes, elles doivent clairement être informées des finalités des traceurs avant de consentir, des conséquences de l’acceptation ou d’un refus de traceurs et de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Et les premières sanctions ne se sont pas faites attendre …

Le 10 décembre 2020, une sanction de 60 millions d’euros a été prononcée à l’encontre de GOOGLE LLC et 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

La CNIL a également sanctionné, le 10 décembre 2020, pour les mêmes faits que GOOGLE LLC et GOOGLE IRELAND LIMITED, AMAZON EUROPE CORE à une sanction de 35 millions d’euros.

se protéger des ramsonware

Cyberattaques, se protéger pour 2021

Cyberattaques, se protéger pour 2021 1200 799 Optimex Data

Optimex Data présente aux organismes privés et publics les solutions pour se protéger des ransomware ou rançongiciels. Se protéger des ransomware est une priorité pour les organismes en raison de leur potentiel dévastateur.


se protéger des ransomware

Le ransomware, également appelé rançongiciel dans sa version française – ou encore cryptovirus, est devenu en quelques années une des formes de virus informatique les plus connues. Pour cause, le cryptovirus est non seulement une attaque désormais répandue mais ses effets peuvent également être dévastateurs pour l’organisme visé. Parmi les dernières en date, l’agglomération du Grand Annecy et la ville de La Rochelle ont été visées durant la période des fêtes avec pour résultat, une paralysie des services sur internet, un arrêt des serveurs et des applications, etc… A l’heure d’écrire ce papier les actions de résolutions sont toujours en cours et le site du Grand Annecy toujours inaccessible 10 jours après l’attaque.


Le ransomware, qu’est-ce que c’est ?

Le terme rançongiciel consacré par l’académie française est transparent. Contraction de rançon et logiciel, il résume bien l’idée. Dans les faits, il s’agit d’un fichier informatique – virus, se déployant au sein du système d’informationSI, victime de l’attaque. Une fois le SI infecté, le virus, souvent téléguidé à distance – ce qui a son importance, va chiffrer l’ensemble des données présentes, les rendant ainsi inaccessibles pour son propriétaire. A ce moment, il ne reste pour le pirate informatique qu’à réclamer une rançon en l’échange de la clef de déchiffrage, généralement payable en bitcoin. Mettons fin au suspens immédiatement, ne comptez pas sur l’empathie du hacker, il est clairement déconseillé de payer quoi que ce soit. On range son porte-monnaie et on appelle l’ANSSI !


Une attaque potentiellement dévastatrice

Au titre des illustrations marquantes, l’attaque du CHU de Rouen, un vendredi de novembre 2019, tient une belle place. En effet, le choix de cibler un établissement de santé est assez marquant pour les esprits, bien que ce ne soit pas le premier, ni le dernier… Pourquoi une telle cible ? Parce que dans un monde toujours plus informatisé, le secteur de la santé ne déroge pas à la règle. Dossier patient informatisé, appareils biomédicaux connecté, gestion informatisée des entrées, des consultations, des lits. Du départ d’un camion du SMUR à la salle de déchocage en passant par la prescription et le calcul des doses pour les traitements, le numérique est partout. On vous rassure, dans un hôpital, le personnel est formé à des plans de continuité d’activité qui prenne en compte l’interruption des outils numériques.

Néanmoins, le préjudice vital existe, ce qui en fait une cible privilégiée et le retour à la normal prend beaucoup de temps. A Rouen, malgré une intervention d’une équipe d’une dizaine d’experts de l’ANSSI, seuls 60 à 70% des applications était restaurées le mardi suivant l’attaque. Enfin, il est à noter que certaines données sont parfois définitivement perdues lorsque l’algorithme de chiffrement s’avère impossible à casser et qu’il n’existe pas de copies préservées.


Quelles solutions ? Comment se protéger des ransomware ?

Pour faire face à ces nouvelles menaces, les solutions se situent principalement au niveau de l’architecture du SI et des équipements utilisés, bien que cela ne dispense pas d’une bonne procédure de gestion de crise et d’un Plan de Continuité Informatique.

Le risque du ransomware résidant surtout dans sa capacité à s’infiltrer dans le SI, les solutions consistent avant tout à compartimenter et isoler l’infrastructure pour limiter le déploiement du virus. Cette mesure est d’autant plus vitale que, comme nous l’avons dit ci-dessous, les ransomwares sont régulièrement pilotés manuellement à distance et ce, pendant des semaines s’il le faut, jusqu’à infecter l’ensemble du SI.


Isoler et compartimenter

Les éléments à isoler prioritairement sont les éléments de supervision. Ainsi, il est impératif d’isoler la console de supervision et les jobs de sauvegarde. Comme le rappelle l’ANSSI, « La principale mesure de sécurité consiste à dédier un poste de travail physique aux tâches d’administration et limiter les flux avec le reste des équipements ». Cette solution consiste à n’autoriser les flux que dans un seul sens – depuis la zone de confiance (administration), vers les autres zones du SI. Les flux vers les équipements d’administration étant interdit, les codes malveillants ne sont alors plus susceptibles d’accéder aux éléments de supervision. Bien-sûr, il est recommandé d’accompagner cette solution d’un compartimentage du SI en zones sécurisées par des pares-feux, appelées DMZ.


Utiliser plusieurs technologies

La seconde solution pour limiter le déploiement d’un cryptolocker consiste à diversifier les technologies utilisées. Cette stratégie de ne pas faire tourner l’intégralité du SI sur une seule technologie permet de limiter les effets du virus à la technologie pour laquelle il a été conçu. A titre d’exemple, en mettant en place une séparation entre applications métiers sous Microsoft et des bases de données sous Linux, le ransomware ne sera pas en mesure d’infecter l’ensemble du SI.


Réhabiliter les technologies passées

Reprendre de vieilles technologies pour se protéger des nouvelles menaces, cela peut paraitre saugrenu et pourtant c’est la tendance actuelle. L’idée est de tirer profit les limites technologiques des anciens équipements pour contrer les capacités du virus. C’est ainsi que depuis quelque temps on observe un retour en force de l’usage de la bande magnétique comme solution de sauvegarde. Appelée LTO, pour Linear Tape-Open, cette technologie n’est autre qu’un enregistrement sur bande magnétique et c’est tout son intérêt.

Quand un serveur offre une solution active de stockage, la bande magnétique est inerte. Comme avec un caméscope, une fois la cassette retirée, plus rien ne s’écrit dessus. Ce qui est enregistré devient alors inaccessible pour le pirate et est donc protégé de toute attaque. La seule contrainte reposera alors dans la conservation des bandes pour lesquelles il est recommandé de privilégier un stockage dans un coffre ignifugé.

Ce panel de mesures n’est bien-sûr pas exhaustif, d’autres outils pourront compléter les solutions présentées. Le ransomware n’a pas fini de faire innover les services informatiques mais face à ces menaces, il convient toujours de rappeler que la sensibilisation des équipes reste le premier rempart.

rgpd et covid 19

La Covid 19 et les recommandations

La Covid 19 et les recommandations 960 540 Optimex Data

Tour d’horizon du sujet RGPD et Covid 19 par Optimex Data

rgpd et covid 19

Lors de notre newsletter du mois de mars, nous vous faisions part des règles pour faire face, en tant qu’employeur, à la COVID-19.  A titre de rappel, certaines mesures n’étaient pas autorisées par la CNIL en raison du caractère sensible des données collectées telles que : les relevés obligatoires des températures corporelles de chaque employé, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés.

A défaut, la CNIL recommande davantage de sensibiliser les employés à effectuer des remontées individuelles d’information les concernant, à faciliter leur transmission ou encore à favoriser les modes de travail à distance et encourager fortement le recours à la médecine du travail.

Au regard de l’évolution croissante de l’épidémie et dans la perspective d’un nouveau « confinement », la CNIL avait décidé de faire un rappel de ses règles.  Ainsi, le 23 septembre 2020, la CNIL est venue préciser que toutes les recommandations faites en Mars 2020 (mentionnées dans la newsletter de Mars), restaient applicables. Elle vient toutefois préciser certaines mesures ou notions.

Quels changements ?

Le traitement par les employeurs des signalements

Les employeurs ne peuvent traiter que les éléments liés à la date, l’identité de la personne et le fait qu’elle ait indiqué être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles mises en place. L’employeur devra être en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires pour une éventuelle prise en charge sanitaire ou médicale. L’identité de la personne contaminée ne doit pas être communiquée aux autres employés.

L’utilisation des données de santé

Dans notre newsletter précédente, nous vous avions fait part que les données sensibles font l’objet d’une protection juridique particulière et accrue puisqu’elles sont en principe interdites de traitement. Il existe bien évidemment des exceptions à ce principe.

Dans le cadre de la COVID-19, les exceptions dans le contexte du travail sont limitées et peuvent relever soit de la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de …

  • Droit du travail ;
  • La sécurité sociale ;
  • La protection sociale (ex. signalements par les employés) ;

Soit la nécessité, pour un professionnel de santé, de traiter ces données aux fins de …

  • La médecine préventive ou de la médecine du travail ;
  • L’appréciation (sanitaire) de la capacité de travail du travailleur

Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence.

La prise de température

Le RGPD ne s’applique qu’aux traitements de données automatisés (informatiques) et aux traitements de données non automatisés (fichiers). La CNIL précise que la seule vérification de la température au moyen d’un thermomètre manuel (ex. infrarouge sans contact) à l’entrée des locaux, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération soit effectuée (remontées d’information, relevés de ces températures, etc…) ne relève pas de la règlementation en matière de protection des données. Par conséquent, le RGPD n’est pas applicable.

En revanche, les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier et les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques, sont quant à eux interdits par les employeurs.

Les tests sérologiques et/ou questionnaires médicaux

La CNIL rappelle, en collaboration avec la Direction Générale du Travail, que « les campagnes de dépistages organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

Tous les tests médicaux, sérologiques ou de dépistage de la COVID-19 sont soumis au secret médical par conséquent, l’employeur ne peut recevoir que l’avis d’aptitude ou d’inaptitude à reprendre le travail émis par un professionnel de santé.

Les fichiers de traçage des cas contacts

Vous êtes nombreux à nous solliciter dans le cadre de la mise en place d’un fichier de suivi des personnes contaminées pour faire des remontées directement auprès des personnes « cas contacts ». Ce type de fichier est permis uniquement pour les établissements de restauration (restaurants, cafétérias, fast-food, etc…) dans la mesure où ils sont soumis au respect d’un protocole sanitaire renforcé qui leur impose de tenir un cahier de rappel de leurs clients. Dans la mesure où vous n’êtes pas autorisés à mettre en place ce type de fichier, nous vous recommandons en cas d’information de la part d’une personne, d’effectuer les remontées directement auprès des autorités sanitaires.

cyberscore et RGPD

Sur la voie d’un Cyberscore ?

Sur la voie d’un Cyberscore ? 960 640 Optimex Data

Optimex Data vous présente le concept de cyberscore et RGPD

Cyberscore et RGPD

Vous connaissez sans doute le NutriScore ? (Un système d’étiquetage nutritionnel à cinq niveaux, allant de A à E et du vert au rouge, établi en fonction de la valeur nutritionnelle d’un produit alimentaire), mais que diriez-vous d’un CyberScore.

C’est le fameux projet de loi, proposé par le sénateur Laurent Lafon, qui a été adopté par le Sénat le 22 octobre 2020.

Ce système de CyberScore aurait comme grand objectif de mettre en place une certification de la sécurité des plateformes à destination du grand public. Autrement dit, l’instauration d’un tel projet résulte d’une forte volonté de sécurisation en ce qui concerne les données des utilisateurs d’outils numériques.

Quelles seraient les causes servies par un tel projet ?

  • Il s’agirait premièrement, d’un véritable outil de transparence permettant de répondre aux craintes des français, en les informant de façon claire et lisible sur le niveau de protection accordé à leurs données personnelles en ligne.
  • Il s’agirait également d’un outil concurrentiel pour les plateformes qui souhaiteraient en bénéficier : en effet, quoi de mieux, pour répondre aux inquiétudes des utilisateurs, que de mettre en place sur sa plateforme un outil permettant de se distinguer des autres ? Cela serait un véritable moyen de favoriser les plateformes numériques les plus respectueuses.

A l’heure actuelle rien n’est encore acté, mais il semblerait que le Gouvernement soit véritablement intéressé par ce projet de loi. Cet intérêt n’est toutefois pas anodin, c’est l’explosion de l’utilisation d’internet pendant le 1er confinement de 2020, à la suite de la pandémie, qui aurait déclenché toutes ces interrogations au niveau de la sécurité des données personnelles en ligne, et sans surprise ce sont les réseaux sociaux et messageries instantanées qui ont été le plus plébiscités.

Concrètement :

  • Les critères de CyberScore seraient fixés par l’ANSSI
  • Le visuel serait similaire à celui du NutriScore (notation de A à E avec une jauge allant du vert au rouge)
  • Il s’appliquerait aux réseaux sociaux, aux services cloud et marketplaces.
  • Il s’agirait d’avoir 4 ou 5 critères qui permettront aux utilisateurs d’identifier automatiquement le degré de risque qu’ils encourent en utilisant une plateforme.

Mais là où le projet CyberScore se focalise davantage sur les aspects techniques, force est de se demander s’il ne serait pas opportun d’y intégrer la dimension RGPD – Protection des Données Personnelles et de mettre en place, dans un sens plus large, un projet de « Cyber Compliance » ?

cookies et RGPD

Les cookies : suite et fin ?

Les cookies : suite et fin ? 960 640 Optimex Data

Optimex Data vous présente les dernières actus cookies et RGPD

cookies et rgpd

C’est presque un rituel désormais de faire le point sur les recommandations en matière de cookies. En effet, entre les premières lignes directrices, les précisions de la CNIL, l’invalidation de certaines par le conseil d’Etat, les évolutions ont été régulières sur ces deux dernières années. Avant de vous présenter les nouvelles lignes directrices de la CNIL, on vous propose un court calendrier rétrospectif de l’année écoulée :

Le 7 janvier dernier on vous faisait un point sur les lignes directrices de la CNIL pour l’utilisation des cookies ;

– Le 21 février on vous faisait un point sur les dernières précisions de la CNIL, notamment, que le fait de continuer à naviguer sur un site ne constitue pas des actions positives claires assimilables à un consentement valable ;

– Le 23 juin on reprenait la plume pour vous décrypter la décision du Conseil d’Etat qui invalidait les lignes directrices de la CNIL sur le sujet des cookies wall.

Vous pensez qu’on en resterait là ? C’est parti pour une petite présentation des lignes directrices modificatives de la CNIL et sa recommandation concernant les Cookies et autres traceurs !

Consentement aux Cookies

Dans sa délibération, la CNIL fait tout d’abord un point sur le consentement en matière de cookies et autant vous le dire maintenant, rien de nouveau sous le soleil !

L’autorité de contrôle rappelle, tout d’abord, que « toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir ». En d’autres termes, le consentement est UNIQUEMENT matérialisé lorsque l’utilisateur a CLAIREMENT CLIQUE SUR LE BOUTON POUR ACCEPTER LES COOKIES.

A contrario, la CNIL refait également un point sur les traceurs nécessaires qui bénéficient à ce titre d’une exception au recueil du consentement.

En lien direct avec le consentement, les conditions du refus sont aussi précisées par la CNIL qui redit l’importance d’offrir un moyen de refuser les cookies aussi aisé que celui pour les accepter (fini les 154 cases à décocher). La CNIL en profite pour se prononcer sur la durée de conservation du refus en préconisant de le conserver un moment « afin de ne pas réinterroger l’internaute à chacune de ses visites ». Cependant, aucune durée n’est clairement indiquée.

Enfin, la CNIL souligne que « les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ».

Information des Personnes

Concernant l’information éclairée des personnes, sans surprise, ces dernières « doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ».

A cette fin, la CNIL a rédigé, dans ses délibérations, des exemples de présentation des finalités selon chaque type de traceurs : publicité personnalisée, publicité non personnalisée, personnalisation de contenue, etc….

Précision : les personnes concernées « doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement ».

Design du Bandeau Cookie

Là encore, il ne s’agit pas d’une innovation mais la CNIL recommande à nouveau un bandeau cookie qui comprendrait un bouton « tout refuser ».

Pour ces boutons généraux d’acceptation ou de refus l’autorité de contrôle présente quelques possibilités de formulation : « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et «je n’accepte rien».

Enfin, la Commission recommande de mettre en place une liste des finalités des cookies sur le premier écran du bandeau et « une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement » (interface accessible en cliquant sur le bouton « paramétrer »).

Elle en profite pour souligner l’importance du design dans le caractère intelligible ou non de l’information tout en validant l’usage de boutons types « slider » (glissant).

Pour conclure, il est fortement recommandé de se pencher dès à présent sur la gestion de vos cookies, et de s’assurer de la conformité de votre site internet. Vous avez désormais un peu moins de 6 mois, puisque la CNIL a donné sa deadline pour être en conformité « au plus tard fin mars 2021 ».

pvicay shield et rgpd

Privacy Shield, le feuilleton continue !

Privacy Shield, le feuilleton continue ! 960 640 Optimex Data

Optimex Data vous présente les dernières actualités sur le sujet du Privacy Shield et RGPD

Privacy Shield et RGPD

Dans un épisode précédent, nous vous contions comment le temps s’était arrêté quand, en ce jour de juillet, la CJUE avait rendu son arrêt Schrems II, qui invalidait le Privacy Shield.

Pour rappel, le Privacy Shield c’est cet accord qui permettait, depuis 2016, de transférer des données personnelles entre les Etats-Unis et l’Union Européenne sur le fondement d’une décision d’adéquation de la Commission Européenne.

Alternatives au Privacy Shield

A la suite de cette invalidation, la première question fut naturellement de savoir comment maintenir les transferts de données vers les US dans le respect des dispositions légales.

Sur le papier, rien de plus simple ! En effet, le RGPD a plus d’un tour dans son sac et propose un panel de mesures de « garanties appropriées » permettant de transférer des données à caractère personnel hors de l’Union Européenne en l’absence de décision d’adéquation.

Ainsi, le règlement livre un inventaire à la Prévert de garanties appropriées : « un instrument juridiquement contraignant et exécutoire », « des règles d’entreprise contraignantes », « des clauses types de protection des données adoptées par la Commission »

Ainsi, la fameuse firme de Marc Zukerberg, dont le siège social se situe en Irlande, a pris le parti de mettre en œuvre des clause contractuelles type afin de conserver la possibilité de transférer les données de ses utilisateurs européens vers le pays de l’Oncle Sam.

C’était sans compter sur l’avis de la Irish Data Protection Commission (DPC) (équivalent de la CNIL en Irlande). En effet, sans remettre en cause la validité générale de l’usage des clauses contractuelles types pour les transferts hors UE, la DPC considère, pour autant, qu’elles ne peuvent pas être utilisées pour les transferts EU-US. En cause, les pratiques généralisées de surveillance de l’Etat américain (déjà à l’origine de l’invalidation du Privacy Shield) qui ont donc conduit la CNIL Irlandaise à considérer que les transferts de données hors UE devraient être suspendu en ce qu’ils ne sont pas en mesure de garantir un niveau de protection équivalent à celui garanti par le RGPD.

Facebook se rebelle …

La réponse du berger à la bergère ne s’est pas fait attendre, peu de temps après, Yvonne Cunnane (Responsable de la protection des données chez Facebook) indiquait au cours d’une déclaration sous serment : « On ne voit pas comment, dans ces circonstances, Facebook pourrait continuer à fournir les services Facebook et Instagram dans l’Union européenne ». Venait s’y ajouter une deuxième salve de la firme américaine annonçant dans une déclaration écrite au tribunal que la décision de la DPC pourrait forcer la compagnie à quitter l’Europe en abandonnant ses 410 millions d’utilisateurs.

Aussi anecdotique que soit cette affaire, elle a le mérite de parfaitement illustrer la situation d’incertitude qui demeure depuis le 16 juillet 2020. En l’absence de clarification des instances européennes et nationales, les transferts entre l’Union Européenne et les Etats-Unis semblent être à éviter. Dans ce contexte, les organismes doivent porter une attention toute particulière aux transferts de données vers les US. Celle-ci se traduit également par une vigilance accrue dans le choix des sous-traitants et incite à engager une réflexion sur les alternatives aux prestataires américains.

Affaire à suivre…

sanctions de la cnil rgpd

Sanctions CNIL et Violations de Données

Sanctions CNIL et Violations de Données 960 640 Optimex Data

Optimex Data vous présente les dernières sanctions de la CNIL RGPD

sanctions de la CNIL RGPD

Saviez-vous que le mois d’octobre est consacré à la cybersécurité ? La CNIL et l’ANSSI vous proposent des campagnes de sensibilisation pour une « culture de la sécurité numérique ». Notre objectif sera de porter à votre connaissance des faits récents démontrant l’intérêt qu’il faut porter à ce sujet.

Phishing de Doctolib : méfiez-vous !

Un faux mail de rendez-vous Doctolib circule en ce mois d’octobre 2020. Son objectif est que vous confirmiez un rendez-vous, dont la date et l’heure auraient été préalablement fixés. Faites attention, ne cliquez par sur le lien qui vous est proposé, il s’agit d’une arnaque mise en place afin de récolter certaines de vos données en vous renvoyant vers un site d’arnaque au support informatique.

Afin d’identifier ce type d’escroquerie, la CNIL vous énumère les bons gestes à avoir dans ce genre de situation.

Gare aux vidéosurveillances !

Nous vous avions prévenu… la CNIL est actuellement très à cheval sur les dispositifs de vidéosurveillance et sur leur conformité avec le RGPD. En ce sens, des mesures strictes sont assimilées à ces outils en fonction des différents secteurs d’activité.

En ce qui concerne les lieux de travail, ces outils ne peuvent aucunement conduire à placer les employés sous surveillance constante et permanente.  Sur ce sujet, la CNIL allemande a récemment sanctionné l’entreprise H&M d’une amende de 35 millions d’euros à la suite d’un contrôle qui a révélé que les salariés étaient régulièrement surveillés par des dispositifs de surveillance au sein de la société.

Nous vous recommandons d’être extrêmement vigilants quant à l’instauration de dispositifs de vidéosurveillances au sein de votre entreprise. Il s’agit avant tout de ne pas outrepasser les droits et libertés individuelles des individus par le RGPD. La surveillance illégale de ses salariés porte non seulement atteinte à leur vie privée ; mais elle entraîne des sanctions parfois irrémédiables au niveau des autorités de contrôle. N’oubliez pas que les salariés sont considérés, au sens du RGPD, comme des personnes vulnérables. C’est pourquoi il est recommandé de conduire des analyses d’impact afin de garantir la protection des données personnelles.

Sur les violations de données …

La CNIL a publié un article le 7 octobre 2020 relatif à des récupérations de numéros de carte bancaire qui seraient effectuées par injection SQL sur un site de e-commerce.

En ce qui concerne les injections SQL :

  • Il s’agit d’une technique permettant d’injecter du code de type SQL (langage informatique) dans les zones de champs des formulaires web ou dans les liens de page.
  • Cette technique permet aux attaquants d’avoir accès aux données des utilisateurs (en l’occurrence aux coordonnées bancaires).

Soyez particulièrement vigilants sur les mesures de sécurité que vous instaurez au sein de votre entreprise, ce sont elles qui permettent avant tout de protéger les données de vos clients.

Une rentrée sans arnaque

Une rentrée sans arnaque 1260 840 Optimex Data

L’Agence Nationale de la Sécurité des Systèmes d’Informations – ANSSI – fait état d’une recrudescence de fraudes et d’escroqueries, particulièrement en ligne depuis l’épidémie de COVID-19. L’Etat et les autorités de contrôle ont donc créé un groupe de travail national appelé TASK-FORCE de lutte contre les fraudes et les escroqueries.

Afin de limiter et de se prémunir contre la recrudescence de ces fraudes et escroqueries, la TASK-FORCE propose un guide complet afin de faciliter la reprise d’activité des entreprises et des particuliers post-confinement. Il contient notamment des recommandations en matière de phishing, de vol de coordonnées bancaires ou de rançongiciels.

Très récemment, la CNIL a d’ailleurs été informée d’une violation de données concernant plusieurs versions non mises à jour des outils Pulse Secure, utilisés par de nombreuses structures pour la sécurisation des connexions au réseau via la création d’un réseau privé virtuel – VPN. En effet, une personne ayant exploité une vulnérabilité sur des versions non mises à jour des produits Pulse Secure, aurait publié des informations confidentielles sur plus de 900 entreprises – adresses IP de serveurs, clefs privées, liste d’utilisateurs, identifiants et mots de passe notamment – au début du mois d’août sur un forum spécialisé. Les détails de la vulnérabilité ainsi que les mises à jour logicielles ont été publiées par l’ANSSI et l’éditeur Pulse Secure.

Il est donc fortement recommandé par la CNIL mais aussi de manière plus générale de :

  • régulièrement mettre à jour ses logiciels
  • d’utiliser des mots de passe robustes et de les changer régulièrement
  • de réaliser des audits de ses systèmes d’informations.

A ce titre, OPTIMEX DATA a mis en place, dans le cadre de ses missions DPO, des nouveaux outils permettant de vérifier la sécurité de vos systèmes d’informations avec l’aide de ses partenaires, telles que des campagnes de phishing et des scans de vulnérabilité notamment. Ces outils permettent notamment de simuler les attaques de robot et d’analyser les différentes failles de votre système et les risques y afférant. Ils permettent également de sensibiliser le personnel aux risques et plus particulièrement en matière de violation de données.

Attention au PV automatiques …

Attention au PV automatiques … 1260 841 Optimex Data

Actuellement, de nombreuses collectivités ont mis en place ou souhaiteraient mettre en place un processus automatisé de verbalisation des infractions. Pour cela, certaines Communes ont recours à un dispositif de lecture automatisée des plaques d’immatriculation des véhicules, dit « LAPI ». Il consiste à équiper les véhicules de police municipale de caméras permettant notamment de photographier, en vue rapprochée la plaque d’immatriculation des véhicules en infraction.

La CNIL rappelle que le recours à ce dispositif n’est autorisé que dans le cadre d’un contrôle de stationnement, en cas de non-paiement du forfait de stationnement. En effet, l’arrêté du 14 avril 2009 autorisant la mise en œuvre de traitements automatisés dans les communes ayant pour objet la recherche et la constatation des infractions pénales, ne prévoit pas la collecte et le traitement de « fichiers photographiques ». Les Communes ont donc l’interdiction de recourir à des dispositifs de verbalisation automatisée, consistant à photographier le véhicule et sa plaque d’immatriculation en vue de constater une infraction.

La CNIL a, à ce sujet, déjà prononcé 4 mises en demeure à l’encontre de Communes utilisant ce dispositif et invitent les collectivités à utiliser d’autres outils, en l’absence d’une modification de cet arrêté.

Pour plus d’informations concernant les recommandations de la CNIL sur le sujet, vous pouvez consulter directement le site de la CNIL en cliquant ici.