Actualité

sanctions cnil

Sanctions : La CNIL n’était pas en vacances cet été !

Sanctions : La CNIL n’était pas en vacances cet été ! 960 639 Optimex Data

Optimex Data revient sur les sanctions de la CNIL à l’été 2021 pour non respect du RGPD.

Dernières sanctions CNIL – RGPD

Comme chacun le sait, la CNIL a le pouvoir sanctionner tout responsable de traitement qui ne prendrait pas les mesures nécessaires au respect de la loi Informatique et Libertés et au Règlement Général sur la Protection des Données – RGPD.

La CNIL sévit : multiplication des sanctions et des mises en demeure

Dans une volonté d’appliquer une plus grande sévérité sur l’année 2021, la CNIL a récemment prononcé de lourdes sanctions à l’encontre de différentes entités.

Le Figaro

Sanction de 50 000 euros à l’encontre de la société du FIGARO : Lors de la visite sur le site lefigaro.fr des cookies publicitaires étaient automatiquement déposés par des partenaires de la société sur l’ordinateur de l’internaute sans consentement ou en cas de refus de sa part. La CNIL a donc sanctionné la société du FIGARO au motif qu’elle ne respectait ni l’obligation de recueil systématique du consentement ni le refus des utilisateurs avant tout dépôt de cookies.

Monsanto

Sanction de 400 000 euros à l’encontre de la société MONSANTO : Des médias ont révélé que la société MONSANTO tenait à jour un fichier regroupant les données personnelles de plus de 200 personnalités politique ou appartenant à la société civile sans les en informer. La CNIL l’a sanctionné pour non-respect de l’obligation d’information qui est l’une des mesures centrales au sein du RGPD, d’autant plus qu’elle a mis plusieurs années avant de mettre fin à ce manquement.

AG2R La Mondiale

Sanction de 1.75 million d’euros à l’encontre de AG2R LA MONDIALE : Dans le cadre de ses campagnes de phoning, AG2R LA MONDIALE conservait les données personnelles de millions de personnes pendant une durée excessive et sans respecter son obligation d’information. En effet, elle a été sanctionnée par la CNIL car elle ne respectait pas les durées maximales de conservation et ne fournissait pas aux personnes concernées une information suffisante au sens du RGPD.

De même, au sein de l’Union européenne, les autorités de contrôle semblent être dans la même dynamique que la CNIL. La Commission Nationale pour la Protection des Données luxembourgeoise, en collaboration avec la CNIL, a d’ailleurs prononcé une amende de 746 millions d’euros à l’encontre d’Amazon Europe Core. Ce n’est pas la première fois que cette société est rappelée à l’ordre puisqu’elle a déjà fait l’objet d’une sanction en décembre 2020.

La CNIL ne s’est cependant pas arrêtée là puis qu’elle a adressé une deuxième série de mise en demeure suite à celle de mai 2021 portant sur le refus des cookies.

En effet, la CNIL a rappelé à de nombreuses reprises l’importance pour les internautes de pouvoir facilement refuser les cookies. Néanmoins, de nombreux sites internet ne semblent pas avoir saisi l’importance de cette obligation.

La CNIL a donc voulu frapper un grand coup en sanctionnant pas moins d’une quarantaine d’organismes ne permettant pas aux internautes de refuser les cookies aussi simplement que de les accepter. Les organismes ont jusqu’au 6 septembre pour se mettre en conformité.

Ainsi, la politique de contrôle et de sanctions de la CNIL s’inscrit dans la durée. D’autres campagnes de vérification et de mesures correctrices seront menées prochainement afin d’assurer le respect des obligations du RGPD ainsi que la vie privée des personnes concernées.

chine brexit décision d'adéquation

Brexit décision d’adéquation et Chine

Brexit décision d’adéquation et Chine 960 640 Optimex Data

Le Royaume Uni compte assouplir sa loi sur la Protection des Données, la Chine vote sa la Pipl… Brexit, Chine et décisions d’adéquation, Optimex Data vous dit tout !

Brexit, Chine et décisions d’adéquation

Comme vous le savez, les transferts de données en dehors de l’Union Européenne font l’objet d’une règlementation bien particulière. En effet, les Responsables de traitement et les sous-traitants ne peuvent transférer des données hors de l’Union européenne, qu’à condition d’assurer un niveau de protection des données suffisant et approprié de ces données. Pour plus d’information concernant les transferts de données hors UE, veuillez consulter directement le site de la CNIL sur ce lien.

Pour cela, plusieurs solutions sont possibles :

  • L’Etat où sont transférées les données fait l’objet d’une décision d’adéquation délivrée par la Commission Européenne. Sa législation est donc considérée comme présentant un niveau de garantie équivalent au RGPD.
  • A défaut de décision d’adéquation, il convient de mettre en place des garanties appropriées, conformément à l’article 46 du RGPD, telles que des Clauses contractuelles types ou des Règles d’entreprises contraignantes – BCR par exemple.

La nouvelle décision d’adéquation de la Commission Européenne : le Royaume-Uni

Comme évoqué dans une précédente Newsletter, à la suite du BREXIT, le Royaume-Uni était sorti de l’UE le 31 janvier 2021. Toutefois, il avait été convenu que le RGPD resterait applicable au sein de ce dernier pour une durée de 6 mois maximum.

Se posait alors la question de savoir quelles garanties devraient être mises en place afin de garantir ces transferts. Le 28 juin 2021, la Commission Européenne a répondu à cette question en adoptant une décision d’adéquation du Royaume-Uni au RGPD. Elle considère en effet que le Royaume-Uni présente un niveau de protection équivalent à celui garanti par le RGPD. Les transferts de données personnelles vers le Royaume-Uni peuvent donc se faire sans encadrement spécifique.

Toutefois, il semblerait que le pays soit en phase de modifier sa loi sur la protection des données. En effet, le Royaume-Uni a exprimé, le 26 août sa volonté de modifier sa loi sur la protection des données, dans le sens d’un assouplissement de celle-ci par rapport au RGPD. Si actuellement la décision d’adéquation vaut jusqu’au 27 juin 2025, elle peut toutefois faire l’objet d’une annulation par la Commission au cas où cette nouvelle loi n’apporterait pas de garanties équivalentes en matière de protection des données. A suivre …

Vers une nouvelle décision d’adéquation : la Chine ?

Le 20 août dernier, le Comité de l’Assemblée populaire nationale – organe législatif suprême de Chine, a voté une loi sur la protection des données dite PIPL : Personal Information Protection Law. Cette loi présente de nombreuses similitudes avec le RGPD et se veut stricte et encadrante, dans le but de limiter les pratiques de certains géants du numérique Chinois, comme l’évoque la presse digitale.

A la lecture de cette loi, de nombreuses dispositions ne sont pas sans rappeler notre Règlement Européen :

  • Un traitement de données licite: fondé sur une base légale, telle que le consentement, l’exécution d’u contrat ou le respect d’une obligation légale.
  • Une importance notable donnée au consentement des personnes qui est érigé en principe de la protection des données.
  • Des relations entre Responsables conjoints de traitement ou Responsables de traitement/Sous-traitants encadrées.
  • Respect et exercice des droits des personnes: droit à l’information, droit d’accès, droit de rectification, d’effacement, de limitation, d’opposition et droit de suppression des données après sa mort.
  • Un encadrement renforcé en cas de traitement de données sensibles (données de santé, religieuses, …)
  • Obligation de réaliser des AIPD (Analyses d’Impact) en cas de traitements à risques.
  • Un encadrement des transferts de données en dehors des frontières Chinoises.

Par ailleurs, la Chine pose des sanctions très sévères en cas de non-respect de cette législation, pouvant aller jusqu’à 50 millions de yuans ou 5% du CA.

Cette loi, applicable à compter du 1er novembre 2021 pourrait-elle faire entrer la Chine dans la liste restrictive des pays faisant l’objet d’une décision d’adéquation ? Affaire à suivre !

pass sanitaire et cnil

Pass Sanitaire : la CNIL donne son avis !

Pass Sanitaire : la CNIL donne son avis ! 960 640 Optimex Data

Loi sur la gestion de la crise Covid, TousAntiCovid et Pass Sanitaire, Optimex Data revient les recommandations et avis de la CNIL.

Pass Sanitaire et CNIL

Dans notre précédente Newsletter du mois de juin, nous rappelions les recommandations de la CNIL relatives à la mise en place de l’application TousAntiCovid, des cahiers de rappel, des QR codes ou encore du Pass Sanitaire.

Suite à la publication de la loi relative à la gestion de la crise sanitaire et de plusieurs de ses décrets d’application du 7 août 2021 prévoyant notamment une extension du Pass Sanitairerestaurants, débits de boissons, transports publics… et les projets en cours sur le sujet, la CNIL est venue donner ses recommandations.

Des recommandations pour garantir le respect de la protection des données

Afin de garantir le respect du RGPD, la CNIL recommande, concernant le Pass Sanitaire :

  • Un contrôle strict des dispositifs de lecture alternatifs de l’application TousAntiCovid Verif ; via notamment la vérification de l’absence de transferts de données illicite en dehors de l’UE, d’un niveau adéquat de sécurité et de la transparence du dispositif.
  • Une conservation temporaire des données, limitée au résultat de la lecture du Pass.
  • Une sécurisation des envois d’information nécessaires à la génération du certificat au format européen ; via un portail web sécurisé notamment.

Concernant le contrôle de l’obligation vaccinale des professionnels de santé par les ARS, elle recommande :

  • Une gestion stricte des habilitations d’accès des agents des ARS ; aux seules données des professionnels de leur territoire de compétence et aux seuls agents ARS habilités
  • Une liste précise et limitée des catégories de données accessibles qui doit être précisée dans le décret
  • De garantir le respect de l’obligation d’information des personnes concernées
  • La mise en place de la possibilité pour les personnes concernées d’exercer leurs droits
  • La mise en place de durées de conservation limitées, jusqu’à la fin de l’obligation vaccinale notamment.

Un projet de diffusion de liste de patients non vaccinés à leurs médecins

Afin d’encourager la vaccination, le Gouvernement souhaite mettre en place une campagne de sensibilisation, visant les personnes non vaccinées. Cette action serait menée par les médecins traitants et la Caisse Nationale d’Assurance Maladie – CNAM ; après que leur soit envoyé une liste de leurs patients non vaccinés. Le Gouvernement a sollicité l’avis de la CNIL sur le sujet.

Dans un avis du 1er juillet 2021, la CNIL considère que des actions de sensibilisation peuvent : Légitimement être mises en place, à condition d’être entourées de garanties fortes. Selon elle, la transmission de la liste des patients non vaccinés aux médecins traitants est donc possible, sous réserve que :

  • La transmission ne soit réalisée qu’à la demande du médecin-traitant ; et non de façon systématique à l’ensemble des médecins traitants
  • La liste soit supprimée par le médecin dès la fin de l’action de sensibilisation
  • Les sollicitations n’aient pour seul objet l’information et la sensibilisation des personnes ; et non d’essayer de les convaincre lorsqu’elles indiquent ne pas souhaiter se faire vacciner.

Quid de la constitution de Registres de personnel vaccinal par les entreprises ?

Afin de gérer la conformité des Pass Sanitaires par le personnel, les entreprises peuvent être tentées de tenir un Registre de ce dernier. Sur le sujet, la CNIL nous a informé par téléphone que, si la constitution d’un tel Registre était en soit possible et conforme avec le RGPD, elle devait toutefois respecter le principe de minimisationArticle 5 du RGPD.

En effet, pour garantir le respect de ce principe, seules les données strictement nécessaires à la réalisation de l’objectif poursuivies doivent être collectées. Dès lors, le Registre ne doit contenir que les informations suivantes :

  • Noms et prénoms
  • Pass conforme ou non conforme

La CNIL devrait prochainement rendre un avis officiel sur le sujet.

cyberattaques messageries

Cyberattaques sur les messageries : Adoptez les bons réflexes !

Cyberattaques sur les messageries : Adoptez les bons réflexes ! 960 640 Optimex Data

Optimex Data revient sur le sujet cher à la CNIL de la cybersécurité et vous présente les bons reflexes face aux cyberattaques sur les messageries.

Cyberattaques sur les messageries : Adoptez les bons réflexes !

 La cybersécurité fait partie des grands enjeux prioritaires sur lesquelles la CNIL a décidé de renforcer son contrôle durant l’année 2021.  Récemment de nombreuses attaques sur les messageries en ligne ont été détectées. Comment réagir face à ces cyberattaques ?

L’importance de la cybersécurité : focus sur les cyberattaques sur les messageries

Lors du rendez-vous d’information périodique portant sur les incidents de sécurité appelé la violation du trimestre, la CNIL a décidé de se focaliser sur les attaques des systèmes de messagerie. Tous les organismes sont susceptibles d’être la cible de ces cyberattaques et doivent faire preuve de vigilance.

Comment se déroule la cyberattaque ?

  1. La compromission d’une messagerie en ligne :

La messagerie est compromise lorsque l’attaquant récupère l’identifiant et le mot de passe de l’utilisateur. Cela peut arriver quand l’utilisateur reçoit un e-mail d’hameçonnage le poussant à se réauthentifier.

  1. L’exploitation de la messagerie attaquée :
  • L’attaquant peut récupérer les données personnelles des salariés et/ou clients issues de la messagerie de l’utilisateur afin de lancer une campagne de courriels d’hameçonnage ciblée.
  • L’attaquant peut également usurper l’identité de l’utilisateur afin d’exploiter son carnet d’adresses ou encore faire de faux ordres de virement.

Comment s’en prémunir ?

  • Sensibiliser les utilisateurs, par exemple :
    • Ne pas ouvrir les pièces jointes ;
    • Vérifier les noms de domaine des mails reçus ;
    • Éviter les sites non surs ou illicites ;
    • Ne pas installer d’application/programme dont l’origine est inconnue.
  • Mettre en place des mesures de sécurité techniques, par exemple :
    • Se tenir informé et suivre les informations diffusées par le CERT-FR ;
    • Mettre régulièrement à jour les antivirus et les serveurs de messagerie ;
    • Mettre en place une adresse de messagerie interne réservée au signalement de mails malveillants ;
    • Utiliser des mots de passe complexes.

Que faire en cas de cyberattaque ?

  • Prendre contact avec le DPO / Référent RGPD et alerter le responsable informatique
  • Comprendre l’origine de l’attaque pour limiter ses effets
  • Informer les personnes concernées
  • Documenter la violation et la notifier à la CNIL dans un délai de 72 heures

Serez-vous plus vigilant dans l’utilisation de votre messagerie en ligne ? Des campagnes de Phishing peuvent être organisées pour sensibiliser le personnel.

Sandrine Rieussec au JT de Télégrenoble

Sandrine Rieussec au JT de Télégrenoble 960 517 Optimex Data

Le 2 mars, Sandrine Rieussec, fondatrice et présidente d’Optimex Data était l’invité du JT de TéléGrenoble afin de donner un avis d’experte sur la cybersécurité, les cybermenaces et la protection des données personnelles. Retrouvez l’interview dans son intégralité !

rgpd et covid 19

La Covid 19 et les recommandations

La Covid 19 et les recommandations 960 540 Optimex Data

Tour d’horizon du sujet RGPD et Covid 19 par Optimex Data

rgpd et covid 19

Lors de notre newsletter du mois de mars, nous vous faisions part des règles pour faire face, en tant qu’employeur, à la COVID-19.  A titre de rappel, certaines mesures n’étaient pas autorisées par la CNIL en raison du caractère sensible des données collectées telles que : les relevés obligatoires des températures corporelles de chaque employé, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés.

A défaut, la CNIL recommande davantage de sensibiliser les employés à effectuer des remontées individuelles d’information les concernant, à faciliter leur transmission ou encore à favoriser les modes de travail à distance et encourager fortement le recours à la médecine du travail.

Au regard de l’évolution croissante de l’épidémie et dans la perspective d’un nouveau « confinement », la CNIL avait décidé de faire un rappel de ses règles.  Ainsi, le 23 septembre 2020, la CNIL est venue préciser que toutes les recommandations faites en Mars 2020 (mentionnées dans la newsletter de Mars), restaient applicables. Elle vient toutefois préciser certaines mesures ou notions.

Quels changements ?

Le traitement par les employeurs des signalements

Les employeurs ne peuvent traiter que les éléments liés à la date, l’identité de la personne et le fait qu’elle ait indiqué être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles mises en place. L’employeur devra être en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires pour une éventuelle prise en charge sanitaire ou médicale. L’identité de la personne contaminée ne doit pas être communiquée aux autres employés.

L’utilisation des données de santé

Dans notre newsletter précédente, nous vous avions fait part que les données sensibles font l’objet d’une protection juridique particulière et accrue puisqu’elles sont en principe interdites de traitement. Il existe bien évidemment des exceptions à ce principe.

Dans le cadre de la COVID-19, les exceptions dans le contexte du travail sont limitées et peuvent relever soit de la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de …

  • Droit du travail ;
  • La sécurité sociale ;
  • La protection sociale (ex. signalements par les employés) ;

Soit la nécessité, pour un professionnel de santé, de traiter ces données aux fins de …

  • La médecine préventive ou de la médecine du travail ;
  • L’appréciation (sanitaire) de la capacité de travail du travailleur

Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence.

La prise de température

Le RGPD ne s’applique qu’aux traitements de données automatisés (informatiques) et aux traitements de données non automatisés (fichiers). La CNIL précise que la seule vérification de la température au moyen d’un thermomètre manuel (ex. infrarouge sans contact) à l’entrée des locaux, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération soit effectuée (remontées d’information, relevés de ces températures, etc…) ne relève pas de la règlementation en matière de protection des données. Par conséquent, le RGPD n’est pas applicable.

En revanche, les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier et les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques, sont quant à eux interdits par les employeurs.

Les tests sérologiques et/ou questionnaires médicaux

La CNIL rappelle, en collaboration avec la Direction Générale du Travail, que « les campagnes de dépistages organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

Tous les tests médicaux, sérologiques ou de dépistage de la COVID-19 sont soumis au secret médical par conséquent, l’employeur ne peut recevoir que l’avis d’aptitude ou d’inaptitude à reprendre le travail émis par un professionnel de santé.

Les fichiers de traçage des cas contacts

Vous êtes nombreux à nous solliciter dans le cadre de la mise en place d’un fichier de suivi des personnes contaminées pour faire des remontées directement auprès des personnes « cas contacts ». Ce type de fichier est permis uniquement pour les établissements de restauration (restaurants, cafétérias, fast-food, etc…) dans la mesure où ils sont soumis au respect d’un protocole sanitaire renforcé qui leur impose de tenir un cahier de rappel de leurs clients. Dans la mesure où vous n’êtes pas autorisés à mettre en place ce type de fichier, nous vous recommandons en cas d’information de la part d’une personne, d’effectuer les remontées directement auprès des autorités sanitaires.

Les élections

Les élections 960 640 Optimex Data

Dans le contexte actuel dans lequel se trouve la France, le second tour des élections municipales ont été reportées.

Par cette occasion, nous vous adressons les recommandations de la CNIL en matière de communication politique.

En matière de SMS ou MMS politiques, un parti politique ou un candidat peut obtenir le numéro de téléphone d’un citoyen de deux manières :

  1. La personne concernée peut indiquer son numéro de téléphone sur un formulaire à destination d’un parti politique ou un candidat. La CNIL recommande de recueillir le consentement de la personne concernée.
  2. La personne concernée peut acheter ou louer une base de données, auprès d’une société privée, contenant des numéros de téléphone. Dans ce cas-là, la CNIL recommande d’adresser un message dès le premier contact afin d’obtenir son consentement pour le démarchage à des fins politiques. Le droit d’opposition du citoyen s’applique à l’ensemble de ces cas et doit être pris en compte sans qu’il n’ait besoin de se justifier.

En matière d’automates d’appel, la CNIL recommande d’obtenir le consentement préalable de la personne concernée à être sollicitée à des fins politique mais également de préciser une plage horaire pour recevoir ces appels. Le droit d’opposition devra être indiqué dés le début du message.

Afin de respecter le principe de transparence, la CNIL recommande aux candidats ou partis politiques d’informer les personnes concernées, lors de chaque communication que ce soit par SMS/MMS ou Appels automatisés un certain nombre d’information telles que : l’identité et coordonnées du responsable de traitement, l’origine des données en cas d’appels automates, la finalité du traitement, la durée de conservation, etc… Les candidats ou partis politiques doivent également rappeler les droits des personnes concernées ainsi que les modalités d’exercice du droit d’opposition.

Enfin, et à la suite de nombreux contrôles effectués par la CNIL auprès de prestataires de service de prospection politique et de stratégie électorale, celle-ci tient à rappeler les bonnes pratiques à adopter pour respecter les données personnelles des électeurs.

  • Maitriser les données à caractère personnel utilisées par les logiciels de stratégie électorale et de prospection politique notamment en vérifiant la nature et l’origine des données puisque tous les fichiers ne peuvent pas être utilisés à des fins électorale ; en minimisant la collecte des données en ne récoltant que les données strictement nécessaires. Par exemple, il n’est pas possible de recueillir des informations sur la santé, la religion ou l’orientation sexuelle des personnes. Enfin, la maitrise des données à caractère personnel passe également par la conservation de celle-ci puisqu’elles devront être supprimées à l’issue du scrutin.
  • Informer les personnes concernées et recueillir leur consentement. La CNIL a par ailleurs, publié un exemple d’information pour la prospection par un candidat ou un parti politique.
  • Garantir l’effectivité des droits d’accès et d’opposition : les personnes démarchées doivent avoir la possibilité d’exercer leurs droits à tout moment pour s’opposer à toute nouvelle prospection. Le candidat doit par conséquent, s’assurer de l’effectivité des droits.
  • Encadrer la relation contractuelle entre le candidat et les sous-traitants : lorsque le prestataire agit en qualité de sous-traitant pour le compte du candidat, les contrats doivent comprendre des clauses de sous-traitance pour être conformes aux exigences du RGPD.
  • Garantir la sécurité des données des électeurs : des mesures de sécurité doivent être mises en place par le candidat afin d’assurer la sécurité et confidentialité des données des personnes concernées. Cette sécurisation passe notamment par l’établissement d’une politique de gestion des droits d’accès aux données afin de limiter les accès aux seules personnes habilitées.

 

Coronavirus : Comment agir face à cette menace sanitaire inédite ?

Coronavirus : Comment agir face à cette menace sanitaire inédite ? 960 640 Optimex Data

Afin de respecter les grands principes du Règlement Général sur la Protection des Données (ci-après « RGPD »), la Commission Nationale de l’Informatique et des Libertés (CNIL) a été amenée à préciser les grands principes en matière de collecte de données sensibles telles que les données de santé.  Ainsi, la CNIL a rappelé ce que l’employeur peut et ne peut pas faire, même dans un contexte de crise sanitaire.

LES RECOMMANDATIONS DE LA CNIL

Ce que l’employeur ne peut pas faire

Les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

La CNIL ordonne aux employeurs de s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. L’employeur ne pourra donc pas mettre en place les procédures suivantes :

  • Des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
  • La collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.
Ce que l’employeur peut faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément à l’article L4121-1 du Code du travail et des textes régissant la fonction publique.

L’employeur peut en revanche :

  • Sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
  • Faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

C’est uniquement en cas de signalement, qu’un employeur pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises par ce dernier telles que le confinement, le télétravail ou encore l’orientation et prise de contact avec le médecin du travail

L’employeur pourra ainsi communiquer aux autorités sanitaires, sur demande de ces dernières, les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises peuvent également établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan devra prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Conformément à l’article L4122-1 du Code du travail, chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même notamment en informant son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées uniquement par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. Par conséquent, l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.


LES RÈGLES DE SÉCURITÉ EN TÉLÉTRAVAIL

Pour faire face à la crise sanitaire, un grand nombre d’employeur ont favorisé le télétravail mais quelles sont les règles à respecter pour garantir un niveau de sécurité et confidentialité maximum ?

Nos recommandations en sept (7) points :

  1. Equiper les ordinateurs d’un système d’exploitation Les recommandations en termes de système d’exploitation sont : Windows 8.1 ou Windows 10, Mac Ios 10. Si les systèmes d’exploitation ne sont pas conformes, nous vous recommandons d’interdire la connexion et de vous tourner vers votre prestataire informatique afin de mettre à jour le système d’exploitation ;
  1. Garantir que les mises à jour soient activées et gérées par le prestataire informatique. Nous vous conseillons d’informer le prestataire informatique pour tous les accès supplémentaires non identifiés au début de la mise en place des postes. Le risque étant d’infecter le système d’exploitation et de bloquer les accès aux autres employés ;
  2. Maitriser les usages notamment veiller à ce que les enfants n’aient pas accès aux ordinateurs utilisés par vos salariés ;
  3. Vérifier la robustesse des mots de passe d’ouverture des sessions : la CNIL recommande 12 caractères comprenant des minuscules, majuscules, chiffres et caractères spéciaux ;
  4. Equiper les postes d’un anti-virus et vérifier qu’il soit activé. Nous recommandons de faire un scan anti-virus avant tout accès au serveur, cloud, etc…
  5. Sécuriser la connexion entre l’ordinateur et le serveur par un VPN par exemple qui doit garantir la confidentialité des échanges. Nous vous conseillons de faire évoluer les pares-feux pour supporter toutes les connexions.
  6. Informer votre prestataire informatique pour ajouter des postes personnels ou professionnels actuellement non compris dans votre contrat initial afin qu’il puisse assurer une surveillance de ces postes ;
  7. Equiper les postes de travail de sauvegardes en ligne pour se prémunir de la perte de données personnelles.

Le numéro de sécurité sociale dans les fiches de paie

Le numéro de sécurité sociale dans les fiches de paie 960 640 Optimex Data

L’établissement des fiches de paie de mars fait l’objet de beaucoup de questions au regard de la crise sanitaire, et de la mise en place du chômage partiel. Nos clients nous interrogent souvent sur l’obligation d’afficher ou non le numéro de sécurité social sur les bulletins de salaire.

Afin de répondre à cette question, nous pouvons nous appuyer sur plusieurs réglementations à commencer par le Code du travail.

En effet, l’article R3243-1 du Code du Travail précise toutes les mentions devant obligatoirement figurer sur le bulletin de salaire à savoir : nom du salarié, emploi du salarié et sa position dans la classification conventionnelle.

En revanche, l’article R32243-4 dudit Code précise les mentions ne pouvant pas apparaitre sur le bulletin de paie telles que l’exercice du droit de grève et l’activité de représentation des salariés.

En d’autres termes, le numéro de sécurité sociale ne figure ni dans les mentions obligatoires ni dans les mentions interdites.

L’entrée en vigueur du décret n°2019-341 du 19 avril 2019 est venu apporter une précision essentielle quant à l’utilisation du numéro de sécurité sociale.

En vertu du décret n°2019-341 du 19 avril 2019, l’utilisation du numéro de sécurité sociale a été strictement encadré puisqu’il vient abroger le décret (n°91-1404) du 27 décembre 1991 qui autorisait la mention du numéro de sécurité sociale sur les documents édités par l’employeur.

Ce nouveau décret précise uniquement que le numéro de sécurité sociale ne peut être utilisé que pour les déclarations d’embauche et le traitement automatisé de la paie et de la gestion du personnel.

Au regard de ce vide juridique ne permettant pas de trancher effectivement sur l’utilisation ou non du numéro de sécurité sociale, nous vous recommandons de le supprimer de vos bulletins de salaire dans la mesure où il n’est pas nécessaire de l’afficher et également afin de respecter le principe de minimisation énoncé par le RGPD.

Optimex Data agence spécialisée Solutions RGPD

Actus RGPD

Actus RGPD 960 540 Optimex Data

Optimex Data a participé à la grande enquête que lance le Ministère du Travail et l’AFCDP sur le métier de DPO

La Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) du Ministère du Travail a confié à l’Agence Nationale pour la Formation Professionnelle (l’AFPA) la réalisation d’une étude de grande ampleur sur la fonction de DPO. Cette étude s’appuie sur un questionnaire en ligne conçu conjointement avec l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel). Elle permettra de mieux connaitre le métier de DPO et les conditions d’exercice au sein des structures employeuses ou en tant que DPO externe. Cette initiative a reçu le plein soutien de la CNIL.

En tant que DPO externe, Optimex Data a participé à cette enquête en répondant au questionnaire en ligne.

Les adhérents de l’AFCDP bénéficieront d’une présentation des résultats détaillés de cette enquête lors de l’une des manifestations organisées par l’association. Optimex Data vous communiquera ensuite les conclusions de cette enquête.


Bientôt la certification CNIL

Face à la multitude de DPO et au développement de cette activité, la CNIL a décidé d’encadrer ce nouveau métier. Elle a permis d’adopter des référentiels de certification, et d’agréer les organismes chargés de délivrer cette certification. La CNIL a mis en place deux référentiels :

  • un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO. Ce référentiel est prévu pour les personnes physiques.
  • un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification élaboré par la CNIL.

La liste des organismes habilités à la certification des compétences devrait bientôt être dévoilée afin de mettre en place le référentiel de certification de DPO dans les mois à venir.

Toute l’équipe Optimex Data passera la certification afin de vous apporter un gage de confiance supplémentaire dans le cadre de nos prestations.


Mises en demeures prononcées par la CNIL : des applications mobiles partagent des données avec Facebook sans le consentement des utilisateurs

La CNIL a mis en demeure et contraint plusieurs startups de la géolocalisation à changer leurs pratiques en matière de traitement des données et de recueil du consentement. Ces procédures ont mis en lumière le goût prononcé des éditeurs d’applis mobiles pour les SDK (software Development kit), des composants logiciels implémentés dans le code des apps.

Facebook comprend des SDK, qui proposent des outils comme « app events » pour la publicité sur mobile. De nombreuses apps mobiles embarquent ces couches logicielles. Combien en informent leurs utilisateurs ? En Europe, RGPD oblige, l’utilisateur doit être préalablement informé et accorder un consentement éclairé à cette collecte.

Cependant la pratique n’est pas forcément répandue, certaines apps collectent des données sensibles et éminemment personnelles, dont une partie est ensuite transmise à Facebook, que l’utilisateur ait ou non un compte sur la plateforme.

La CNIL rappelle que les mises en demeures ne sont pas des sanctions. Cependant, celles-ci étant publiques, elles peuvent avoir un impact commercial négatif sur les sociétés rappelées à l’ordre.

Call Now Button