fbpx

Opinion

Optimex Data Post : BIOMETRIE AU TRAVAIL…ce qu’en pense la CNIL

Biométrie au travail … ce qu’en pense la CNIL

1380 920 jeremy

La CNIL a lancé une consultation publique sur la thématique « Biométrie sur le lieu de travail », ouverte jusqu’au 1er octobre 2018.

Optimex Data s’engage auprès de la CNIL pour travailler sur ce beau projet. Notre équipe de juristes s’est penchée sur le projet du futur règlement type et était ravie de transmettre ses idées et remarques à la CNIL.

L’objectif est de déterminer ce qui est autoriser et interdit en matière d’utilisation de la biométrie au travail. Pour faire simple, la mise en place de traitements portant sur des données biométriques est en principe interdite. Cependant, certaines exceptions sont autorisées. Et ce sont sur des exceptions que le débat est ouvert et que la CNIL lance la consultation publique.

Comme expliqué sur le site de la CNIL, l’une de ces exceptions concerne les traitements « nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par (…) le droit d’un État membre ».

Concrètement, le traitement de données biométriques n’est autorisé que dans les situations suivantes :

  • Le contrôle des accès à l’entrée et dans les locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation, à l’exclusion de tout contrôle des horaires des employés
  • Le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l’organisme, à l’exclusion de tout contrôle du temps de travail de l’utilisateur.

Vous l’aurez compris, il est interdit d’utiliser des données biométriques pour contrôler les horaires de travail des salariés.

Nous attendons avec impatience les conclusions de cette consultation publique, qui seront soumises à l’examen de la séance plénière de la Commission.

Conseils de la CNIL avant les départs en vacances

975 500 jeremy

A la veille des départs en vacances, la CNIL livre ses conseils pour s’assurer des vacances paisibles.

En effet, les cambrioleurs se servent aujourd’hui du web et récoltent les données & informations communiquées sur les réseaux sociaux notamment pour organiser leurs cambriolages.

La CNIL vous aide à anticiper et vous protéger de ce danger.

Lire l’article

labels & certifications RGDP Optimex Data

Labels et certifications RGPD après le 25 mai 2018, où en est-on ?

1380 921 jeremy

Plusieurs jours se sont passés depuis l’application du RGPD et nous recevons toujours autant de questions concernant les labels et les certifications. Où en est-on ? Qu’est-ce qui est prévu et pour quand ?

Plus de délivrance de labels, place aux certifications

Depuis le 22 mars, la société Optimex Data est fière de figurer parmi les deux seules entreprises labellisées « RGPD » par la CNIL pour ses formations de sensibilisation, sur le Règlement Général sur la Protection des Données et de Délégué à la protection des données (DPO).

 

 

 

 

Toutefois, la CNIL a eu l’occasion de le rappeler, elle ne délivrera plus de nouveau label après le 25 mai 2018 mais les labels obtenus avant cette date restent valables jusqu’à leur date d’expiration.

Le RGPD met en place un mécanisme de certification (articles 42 et s.) afin de démontrer que les opérations de traitement effectuées par les organismes respectent le règlement. Les certifications annoncées par la CNIL vont ainsi lentement remplacer les labels sur un mécanisme de délivrance fondamentalement différent.

Les organismes de certification et les phases de consultation publiques

Le modèle retenu pour la délivrance des certificats n’est pas celui qui était prévu avec les labels sous l’ère de la loi Informatique et Libertés. En effet, ce n’est plus la CNIL qui va délivrer les certifications mais ce sont des organismes indépendants qui auront reçu un agrément par la CNIL ou le COFRAC (Comité français d’accréditation).

Ensuite, comme pour les labels, les candidats se rapprocheront de ces organismes afin de démontrer qu’ils respectent les exigences des référentiels élaborés, après une phase de consultation publique, approuvés par la CNIL et publiés sur son site.

La certification de Délégué à la protection des données (DPO) et les certifications à venir

La première certification à venir est la certification DPO. Elle permettra à un délégué ou futur délégué à la protection des données d’attester de ses connaissances spécialisées du droit et des pratiques en matière de protection des données conformément à l’article 37 du RGPD.

Les référentiels concernant la certification DPO et les agréments d’organismes sont actuellement en cours d’élaboration et font l’objet d’une phase de consultation publique accessible directement depuis site Internet de la CNIL.

La proposition de la CNIL prévoit que la délivrance de la certification DPO sera sanctionnée par un examen écrit puis oral permettant d’évaluer le niveau de connaissance du candidat sur la protection des données.

Concernant les autres certifications, très peu d’informations existent mais nous pouvons imaginer, en accord avec l’esprit du Règlement, que des certifications en matière de registre des traitements et politiques internes (article 24.3), de logiciel informatique et applications (article 25. 3 du RGPD), de sous-traitance (article 28.5), de sécurité (article 32.3) ou encore de transfert en dehors de l’Union (article 46.2 f) seront envisagées.

Optimex Data suit de très près ce sujet. S’il vous intéresse autant que nous, n’hésitez pas à vous abonner à notre newsletter (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour en savoir plus, visitez notre page sur formations labellisées par la CNIL et notre catalogue des formations.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Logiciel PIA de la CNIL, testé et approuvé par OPTIMEX DATA !

1920 1280 jeremy

La semaine dernière, la CNIL révélait la version beta de son logiciel open source PIA.

En deux mots, la PIA (ou Private Impact Assessment), c’est l’analyse d’impact sur la protection des données que doit mener chaque responsable de traitement (ou chef d’entreprise) dès lors qu’il se trouve confronté à un traitement de données à risque.

Optimex Data vous livre son retour d’expérience après une semaine d’utilisation du logiciel par ses experts.

Un logiciel gratuit et public, accessible à tous ?

Pour une personne expérimentée dans le domaine de la protection des données, le logiciel est facile à prendre en main car il reprend les guides de la CNIL et les principes généraux du RGPD. Toutefois, on doit souligner qu’il faut en connaître un rayon sur les mesures pouvant être mises en œuvre par les organismes (création d’un comité de suivi, recensement des traitements, plan d’action, mesures de sensibilisation, identification des tiers, des sous-traitants, des contrats et des conventions, etc.). Cela pose question sur la capacité des responsables de traitements (et des sous-traitants) à réaliser une analyse d’impact et sur l’accessibilité du logiciel à tout public.

L’étude d’impact, responsable de traitement ou DPO ?

Comme l’a souligné le G29 (le groupe des CNIL européennes) dans ses lignes directrices relatives au délégué à la protection des données, « il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données. ».

On se questionne ainsi sur l’utilisation de l’outil qui est somme toute destiné à un utilisateur confirmé dans le domaine de la protection des données. Il est ainsi probable que le responsable de traitement délègue cette tâche à son DPO (Data Protection Officer ou DPD pour Délégué à la Protection des Données).

Le G29 a précisé que : « Le DPD peut jouer un rôle d’assistance du responsable du traitement très important et très utile ». Toutefois, ce dernier n’aura pas la légitimé pour valider le PIA s’il est l’auteur de ses propres recommandations. On peut dire que l’outil confirme les interrogations des experts au sujet de la PIA !

Deux modes pour un logiciel, une distinction peu évidente

Le logiciel est organisé en deux modes, le mode « éditeur » et le mode « validation ». Nous avons trouvé particulièrement difficile de distinguer et de comprendre (du premier essai du moins) la transition automatisée entre ces deux modes.

En principe, le responsable de traitement doit compléter les différents modules (mode « éditeur ») et le DPO ou l’auditeur externe doit critiquer, au regard du RGPD, les mesures et actions mises en œuvre (mode « validation »).

Cependant, on se perd très facilement entre le mode « éditeur » et le mode « validation ». En effet, on ne se rend pas toujours compte du mode utilisé ce qui complique la lisibilité du PIA, notamment lorsque plusieurs corrections sont à apporter.

Le PIA, un outil parfait pour les personnes sensibilisées

Après une mise en place qui peut prendre beaucoup de temps dans les organismes non ou mal préparés à la protection des données, le logiciel de la CNIL s’avère être un outil particulièrement utile pour les responsables de traitements sensibilisés à la protection des données (ou disposant d’un DPO) et ayant adopté (ou initié) une vraie démarche de conformité. On peut notamment extraire un plan d’action et une vue d’ensemble des risques.

Plan d’action – PIA

Optimex Data recommande fortement aux organismes confrontés à des traitements de données, pouvant entraîner des risques sur la vie privée de leurs utilisateurs/clients/usagers/employés, de se pencher sur des solutions adaptées en matière de protection des données.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Une assurance pour protéger ses données personnelles ?

1920 1280 jeremy

Avec la mise en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les compagnies d’assurances proposent des nouvelles offres aux entreprise pour protéger leurs données personnelles.

En quoi consiste ces offres d’assurance ?

Ces prestations portent différents noms (assurance cyberprotection, assurance protection numériques, assurance cybercriminalités…) et couvrent principalement :

  • Les atteintes aux données et programmes de l’entreprise
  • Les atteintes aux données personnelles des clients
  • Les tentatives de cyber-extorsion de fonds
  • Les piratages informatiques et vol de données
  • La e-reputation de l’entreprise

En souscrivant à cette assurance, votre entreprise peut être indemnisée entre autres sur :

  • Les frais de reconstitution des données de l’entreprise
  • Les frais de restauration des données informatiques des tiers
  • Les frais d’expertise en vue d’identifier l’origine de l’atteinte
  • Les notifications aux clients concernés

Prévenir et pas seulement guérir ?

Il est judicieux de souscrire à une assurance contre les cyberattaques, mais il est primordial d’anticiper ces risques afin d’adopter les meilleurs comportements le jour où l’incident se produit.

Nous sommes tous assurés contre le vol, et la plupart d’entre nous avons mis en place un système de télésurveillance.

Nous sommes tous assurés en Responsabilité Civile, et nous avons tous mis en place des contrats clients pour définir au plus juste notre relation client et nos engagements respectifs.

Demain, les entreprises seront de plus en plus assurées contre les cyber-attaques, et les mieux organisées auront anticipé la mise en conformité de leur entreprise avec le RGPD. En effet, anticiper les failles et les risques encourus concernant la protection des données personnelles est une évidence pour tous les organismes sensibilisés et moteurs dans la protection des données personnelles.

Plusieurs éléments sont à prendre en compte :

  • La sensibilisation du personnel pour adopter les meilleurs comportements dans leur quotidien
  • La mise en place de procédures internes pour savoir comment réagir en cas de problème détecté (qui informer ? comment informer ? quand informer ?)
  • Une étude d’impact concernant les données personnelles gérées par l’entreprise

De façon plus générale, le RGPD préconise d’avoir une vision d’ensemble des données traitées dans l’entreprise, grâce à la mise en place d’un registre des traitements. Pour cela, il est fortement recommandé, voire obligatoire, de nommer un Data Protection Officer (DPO) pour orchestrer la mise en place du RGPD et garantir la conformité de votre entreprise.

Optimex Data est une agence spécialisée dans la protection des données et accompagne les entreprises dans la nomination d’un DPO en interne ou dans l’externalisation de la mission de DPO.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

RGPD – Vous avez dit « mesures techniques et organisationnelles » ?

1920 1280 jeremy

Dans le Règlement Général sur la Protection des Données, une notion est présente au sein de quelques articles, c’est la notion de « mesures techniques et organisationnelles ».

Que doit-on entendre par cette notion et pourquoi a-t-elle l’air de fasciner toute la toile ?

Par « mesures techniques », il faut entendre les mesures que votre prestataire de service informatique vous propose lorsque vous décidez de sécuriser vos données. C’est par exemple :

  • Le chiffrement des données confidentielles
  • La gestion des droits d’accès,
  • Les outils de lutte contre les intrusions extérieures dans le réseau (firewall, anti-virus)
  • La politique des mots de passe (complexité, changement régulier)
  • La protection via des flux sécurisés (TSL/SSL, https, sftp)

Par « mesures organisationnelles », il faut entendre les mesures de confidentialité et de protection de la vie privée que les agences spécialisées comme Optimex Data proposent. C’est par exemple :

  • Procédure de cartographie des données
  • Déploiement d’une solution de data management
  • Revue des contrats (sous-traitants, partenaires, salariés, clients)
  • Sensibilisation/formation des équipes métiers et IT
  • Tenue du registre des activités de traitement
  • Politique de minimisation des données (Privacy by design)
  • Analyse de risque (PIA/EIVP)
  • Gestion des droits des personnes

Afin d’être en conformité avec le RGPD, il est évident que le responsable de traitement va devoir passer par des solutions techniques de sécurité. Toutefois, il est important qu’il prenne conscience que le RGPD est un texte juridique qui impose des obligations liées à la confidentialité et à la vie privée.

Optimex Data souhaite rappeler à tous que le RGPD et la protection des données à caractère personnel, c’est essentiellement et avant tout, la mise en œuvre de mesures organisationnelles au sein de l’organisme afin de préserver la confidentialité et la vie privée des personnes concernées.

Optimex Data agence spécialisée dans la protection des données personnelles vous accompagne dans la tenue d'un registre des traitements RGPD

Tenir un registre des traitements RGPD

1920 1280 jeremy

Afin de vous aider à mieux comprendre le Règlement Général sur la Protection des Données (RGPD), Optimex Data a décidé de vous expliquer les principales obligations que chaque entreprise doit respecter afin d’être en conformité avant le 25 mai 2018.

Tenir un registre des traitements RGPD

Le registre des traitements représente, selon Optimex Data, le plus gros travail des entreprises dans leur mise en conformité avec le RGPD. En effet, tenir un registre des traitements RGPD, c’est avant tout cartographier chaque traitement de l’entreprise afin de bénéficier d’une vue d’ensemble de la société.

Toutefois, la cartographie des traitements n’est qu’une étape dans la tenue du registre qui, selon l’article qui le consacre (art. 30 du RGPD), doit contenir des informations précises concernant chaque traitement et doit être actualisé régulièrement.

Concrètement, chaque responsable de traitement doit décrire, pour chaque traitement, sa (ou ses) finalité(s), le type de données personnelles concernées, les destinataires des données, le délai d’effacement des données, etc.

De manière générale, Optimex Data vous conseille de suivre le schéma suivant afin d’initier la conformité au sein de votre organisme :

Cette étape très importante est vaste et requiert, entre autres, des compétences juridiques et organisationnelles. C’est pourquoi Optimex Data et ses experts sont présents aux côtés des organismes du bassin Isérois afin de les aider à mettre en place les obligations du RGPD comme la tenue d’un registre des activités de traitements.