Opinion

intérêt légitime rgpd

Comment savoir si les traitements de données reposent sur l’intérêt légitime ?

Comment savoir si les traitements de données reposent sur l’intérêt légitime ? 960 640 Optimex Data

Le Royaume Uni compte assouplir sa loi sur la Protection des Données, la Chine vote sa la Pipl… Brexit, Chine et décisions d’adéquation, Optimex Data vous dit tout !

Brexit, Chine et décisions d’adéquation

Il peut parfois être évident de choisir parmi les bases légales – consentement, obligation légale, contrat, mission d’intérêt public ou intérêt légitime… celle qui est la plus adaptée au traitement de données personnelles. En revanche, concernant l’intérêt légitime, le choix de cette base légale n’est pas souvent facile à justifier. En effet, le recours à l’intérêt légitime suppose que les intérêts poursuivis ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées, comme le précise la CNIL. Voici une infographie pour vous guider :

Comment remédier à ce déséquilibre ?

  • Mesures compensatoires :
    • Mise en place de tableaux de bord permettant aux personnes de gérer leurs préférences et d’exercer leurs droits
    • Pseudonymisation ou anonymisation en cas de données fines et nombreuses non strictement nécessaires
    • Comité d’éthique pour contrôler les éventuels effets négatifs de l’utilisation d’algorithmes ou en matière de recherche médicale (en dehors des obligations prévues par les textes)
  • Préconisations générales :
    • Obligation d’information préalable renforcée
    • Durée de conservation adéquate et proportionnée aux finalités poursuivies
    • Respect des conditions d’exercice des droits des personnes
    • Réaliser une analyse d’impact et renforcer le principe de minimisation, encore plus nécessaire en l’absence de recueil préalable du consentement et a fortiori en présence de mineurs
    • Mise en place d’un droit d’opposition spécifique et renforcé

Si l’équilibre est atteint entre l’intérêt légitime du responsable de traitement et les droits et intérêts des personnes concernées par le traitement, le traitement peut être fondé sur la base légale de l’intérêt légitime

Dans le cas contraire, une autre base légale, comme le consentement, devra être recherchée

comparatif des gestionnaires de cookies

Comparatif des
Gestionnaires de Cookies

Comparatif des
Gestionnaires de Cookies
960 640 Optimex Data

Optimex Data vous propose son comparatif des gestionnaires de cookies. Nécessaires à la collecte du consentement cookies lors de visites internet, les gestionnaires sont légions. Notre comparatif des gestionnaires de cookies se concentre sur la conformité RGPD, le respect des préconisation de la CNIL, les fonctionnalités et le coût.

Grâce à notre comparatif des gestionnaires de cookies, choisissez la solution la plus sûre et conforme pour votre site web !

Comparatif des gestionnaires de cookies

Les gestionnaires de cookies sont désormais incontournables depuis l’entrée en vigueur du RGPD. Le gestionnaire des cookies est parfois vu comme un objet numérique qui gâche le design d’un site internet. Pourtant, ces derniers ont bien évolué graphiquement et il en existe pour tous les goûts. Néanmoins, ne nous trompons pas, l’objectif premier du gestionnaire de cookies est de garantir l’expression du consentement des visiteurs d’un site internet au dépôt de cookies et d’assurer sa conformité au RGPD. Le choix d’un gestionnaire de cookie nécessite donc de faire attention à la compatibilité de ses outils avec la législation européenne. De disposer d’un outil complet, surtout lorsqu’il est gratuit. Il faudra également faire un choix selon ses connaissances numériques pour un outil adapté, à soi et à son site internet.

 L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer différents gestionnaires de cookies, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

comparatif des gestionnaires de cookies


Tarteaucitron

  • Garanties de conformité au RGPD : Tarteaucitron est le gestionnaire de cookies disposant d’une fausse filiation avec la CNIL en ce qu’elle n’est pas à l’origine de sa mise en place. Cependant, elle a pu recommander son utilisation (publication de 2016) et elle l’utilise comme solution de gestion des cookies sur son site internet.

Tarteaucitron est une solution open source qui propose une version gratuite (sous la forme d’un script) et une version premium payante. Le gestionnaire est adossé à des CGV qui présentent de manière très transparente les traitements de données effectués (données traitées, opérations de traitement, destinataires, droits des personnes concernées, etc…).

  • Fonctionnalités de l’application :
    • 103 services tiers (services de cookies) sont pris en charge par le gestionnaire de cookies
    • 23 langues différentes (en version payante)
    • Tenue de statistique sur les choix en matière de cookies (en version payante)
    • Intégration sous la forme d’un script dans sa version gratuite (demande une petite connaissance informatique)
  • Compatibilité avec les recommandations de la CNIL :
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookie avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Durée de conservation limitée du consentement à 13 mois
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : gratuit pour les particuliers ou 15€ par mois pour la version premium et pour les pros
  • Langues : français + 22 langues en version payante.

Avantage(s) :

Une solution intégrant toutes les exigences du RGPD dans sa version gratuite, avec une version payante proposant des options complémentaires notamment en matière de langues disponibles et d’options graphiques.

Points de vigilance :

La solution dans sa version gratuite n’est disponible que sous forme de script ce qui demande une petite maitrise informatique pour l’intégrer sur son site internet.

Axeptio

  • Garanties de conformité au RGPD : Axeptio est un gestionnaire de cookies assez jeune mais qui s’est vite démarqué par son design et ses petites mentions humoristiques. Société française, Axeptio (appartenant à Agilitation) propose outre sa formule humoristique, un gestionnaire de cookies qui permet de se conformer aux dernières recommandations de la CNIL avec un paramétrage fin des différentes options (bandeau, boutons, information et conservation du consentement). Si du côté du gestionnaire, il n’y a rien à redire, le site de la société Axeptio, en lui-même, fait douter du sérieux de la démarche. En effet, le site d’Axeptio ne dispose d’aucune page de politique de protection des données ni de politique des cookies. Le site dispose d’une page mentions légales avec quelques éléments incomplets relatif aux données, loin de ce que l’on peut attendre d’un expert dans le domaine.
  • Fonctionnalités de l’application :
    • Grande liberté dans le paramétrage pour un gestionnaire personnalisé : textes, images, polices, tailles
    • Intégration avec les Tag Management System (script de supervision des cookies sur un site internet) dont le plus connu, le « Google Tag Management »
    • Seulement 2 langues proposées en version pro (anglais et français)
  • Compatibilité avec les recommandations de la CNIL :
    • Durée de conservation du consentement paramétrable (en version payante)
    • Pas de recueil du consentement en version gratuite
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookie avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : Une version gratuite (mais incomplète face aux exigences du RGPD) puis une version jusqu’à 300 000 consentements par mois pour 15€ et jusqu’à 1 million de consentements pour 99€ par mois.
  • Langues : Français et anglais

Avantage(s) :

Un design novateur qui donne envie d’en savoir plus sur les cookies et des solutions de paramétrage permettant de respecter l’ensemble des lignes directrices de la CNIL.

Points de vigilance :

Une version gratuite à éviter puisqu’elle ne recueille pas les consentements et ne vous permettra donc pas de démontrer votre conformité.

Cookiebot

  • Garanties de conformité au RGPD : Cookiebot est une solution proposée par la société Cybot ayant son siège social au Danemark (pays membre de l’Union Européenne). Cookiebot propose un gestionnaire des cookies qui n’est pas révolutionnaire, avec un design simple et assez proche de celui de Tarteaucitron. L’intérêt de Cookiebot est double. Tout d’abord, une solution automatisée de recherche et de gestion des cookies sur le site internet qui permet à des utilisateurs débutant d’intégrer un gestionnaire complet sur leur site internet. Ensuite, une société transparente, avec une politique de protection des données très précise et complète (catégories de données traitées, nature des opérations de traitement, sous-traitants, absence de transfert hors UE, droit, moyen de contact…)
  • Fonctionnalités de l’application :
    • Analyse automatique des cookies présent sur le site internet (une fois par mois) et génération automatique d’une déclaration du cookie accompagnée de sa description
    • Possibilités de mettre en place un consentement global qui s’appliquera à plusieurs sites ou domaines
    • 46 langues différentes disponibles et paramétrage de nouvelles langues possible
    • Les consentements sont recueillis automatiquement par connexion SSL sécurisée et sont stockés sous forme de clés cryptées
  • Compatibilité avec les recommandations de la CNIL :
    • Durée de conservation limitée du consentement à 12 mois
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookies avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : Gratuit pour 1 domaine et moins de 100 sous-pages avec quelques fonctionnalités en moins mais pas essentielles. Puis jusqu’à 37€ selon la taille du ou des sites et les options.
  • Langues : 46 langues différentes

Avantage(s) :

Une solution simple d’usage qui pourra même scanner votre site pour vérifier les traceurs actifs à votre place et vous proposer des descriptions de leur finalité. Une formule gratuite avec de nombreuse fonctionnalités et l’ensemble des fonctionnalités pour respecter les lignes directrices de la CNIL.

Points de vigilance :

Il conviendra toujours de s’assurer de la pertinence des finalités proposées automatiquement pour chaque cookie et si nécessaire de la modifier mais c’est un moindre mal quand tout le travail est déjà fait par le gestionnaire de cookies.

Osano

  • Garanties de conformité au RGPD : La solution cookie consent est proposée par Osano est sur le marché depuis l’entrée en vigueur du RGPD. Cette solution open source offre de nombreuses possibilités de paramétrage permettant de respecter les recommandations de la CNIL mais la conformité ne passera que par la version payante. De plus, Osano offre de nombreuses informations et de la transparence dans les traitements qu’il met en œuvre à travers sa politique de protection des données. Osano y présente notamment ses sous-traitants dont Amazon web au Etats-Unis, ce qui fait craindre le pire en matière de transferts de données mais Osano s’engage, dans un paragraphe « Data Storage & Data transfert à stocker les données des visiteurs concernant le gestionnaire de cookie exclusivement en Irlande.
  • Fonctionnalités de l’application :
    • Personnalisation facile et intuitive de l’interface (emplacement, boutons, texte et couleur)
    • 37 langues (version payante)
    • 40 paramétrages proposés selon les exigences de la législation de chaque pays (version payante)
    • Intégration sous la forme d’un script dans sa version gratuite (demande une petite connaissance informatique)
  • Compatibilité avec les recommandations de la CNIL :
    • Seulement deux boutons possibles sur la bannière en version gratuite ce qui ne permettra pas de paramétrer les cookies de façon personnalisé semble-t-il
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
  • Prix : gratuit puis 98,95 € par mois pour la première version, 164 pour la version business +
  • Langues : 37 langues (version payante)

Avantage(s) :

Extrême simplicité de prise en main pour un paramétrage basique en mode payant. La possibilité de mettre en place un bandeau cookie en moins de 2h mais une solution avec un scripte pour la version gratuite.

Points de vigilance :

Attention aux transferts hors de l’UE qui pourrait être mis en œuvre par Osano

Cookie Secure

  • Garanties de conformité au RGPD : Cookie Secure est un gestionnaire de cookies qui propose une autre approche dans le paramétrage des cookies. En effet, plutôt que de présenter chaque cookie avec une validation individuelle, elle regroupe les cookies par catégories : « Essentiel » (comprendre « strictement nécessaire »), « Fonctionnalités » (comprendre « fonctionnels »), « Analytique » et « Publicité ». Si l’idée n’est pas mauvaise, car elle évite de devoir cocher l’ensemble des cookies un par un, et même si cette méthode de validation peut fonctionner, puisque la CNIL admet toute forme de designs tant que l’information est intelligible, les options techniques retenues ne peuvent pas se concilier avec les dernières lignes directrices de la CNIL. Sur son site, Cookie Secure présente une politique des cookies conforme, avec une explication claire, des finalités et la possibilité de modifier son consentement à tout moment, mais il interroge à plusieurs niveaux. A commencer par l’absence de mention légale et l’absence d’adresse dans les CGU mais surtout du fait qu’il indique que la marque est protégée alors qu’il n’en existe aucune trace sur le site de l’INPI ni même sur celui de l’EUIPO (Office de l’Union européenne pour la propriété intellectuelle).
  • Fonctionnalités de l’application :
    • Un audit en ligne proposé pour vérifier la conformité du site au RGPD
    • Personnalisation facile et rapide du bandeau
    • Un design novateur qui risque malheureusement de perdre les visiteurs non-initiés au RGPD (cookies essentiels, fonctionnalités et publicité)
  • Compatibilité avec les recommandations de la CNIL :
    • Tableau de bord, pour le paramétrage des cookies, ne permettant pas une présentation de la finalité de chaque cookie
    • Une présentation qui limite la clarté de l’information
    • La possibilité d’accepter ou de refuser tous les cookies en un bloc
    • La possibilité d’intégrer le bandeau à la politique des cookies pour revenir sur son consentement à tout moment.
  • Prix : à partir de 9€ par mois jusqu’à 72€ pour les solutions plus avancées.
  • Langues : a priori français, anglais, espagnol et portugais.

Points de vigilance :

Lors de nos recherches nous n’avons pas pu identifier la société qui édite Cookie Secure. Il conviendra donc de vous assurer de la structure avec qui vous contractez si vous choisissez ce gestionnaire.

Notre coup de cœur :

Le « coup de cœur » de l’équipe Optimex Data s’est tourné vers le Danemark et le Gestionnaire Cookiebot.

Ce choix se fonde tout d’abord sur la nationalité de Cookiebot. En effet, ce gestionnaire est édité par la société Cybot de nationalité danoise. En ces temps d’instabilité juridique, conséquence de l’invalidation du Privacy Shield, le choix d’un prestataire Européen semble être une solution prudente pour palier le risque d’un transfert de données hors UE. Ensuite, Cookiebot présente une solution entièrement conforme aux dernières lignes directrices de la CNIL, ce qui est bien-sûr le sujet principal de cette étude. Mais Cookiebot dispose d’autres arguments, notamment financiers, puisque Cookiebot propose une solution gratuite qui intègre toutes les fonctionnalités essentielles (contrairement à plusieurs de ses concurrents) et des formules payantes abordables pour les petits budgets. Enfin, Cookie Bot est un gestionnaire qui ne demande d’être un expert, ni du RGPD, ni de l’informatique puisqu’il fait tout le travail d’identification des cookies et de présentation des finalités à votre place.

Conclusion

Le gestionnaire de cookie est un élément indispensable pour un site internet et ce, pour deux raisons. Tout d’abord, votre site internet est toujours une vitrine ouverte sur le monde et donc, l’image que vous renvoyez de votre société : celle d’une société respectueuse des données et des droits de ses clients ou pas…

Ensuite, parce que la CNIL aussi peut aller jeter un coup d’œil à votre site internet, ce qu’elle fera certainement de plus en plus souvent puisque les obligations du RGPD sont complétée depuis septembre par ses lignes directrices en matière de cookies. D’ailleurs, le rendez-vous est déjà posé puisque la CNIL donne jusqu’à fin mars 2021 pour mettre en conformité son site internet.

Une conformité que chacun pourra vérifier grâce au nouvel outil de la CNIL « Dataviz » qui permet d’identifier les sites ayant accès aux données du visiteur.

Grâce à notre comparatif des gestionnaires de cookies : 3. 2. 1… Consentez !

protection des données personnelles en suisse lpd

La protection des données
personnelles en Suisse

La protection des données
personnelles en Suisse
960 638 Optimex Data

Optimex Data vous propose d’en savoir plus sur la nouvelle loi sur la protection des données en suisse LPD.

dpo externalisé

Le 25 Septembre 2020, la Suisse votait un projet de Loi fédérale sur la protection des données – LPD, entérinant, à cette occasion, une grande évolution de la Loi fédérale sur la protection des données datant de 1992. Si cette actualité est restée principalement cantonnée aux milieux spécialisés en matière de données à caractère personnel, cette nouvelle loi semble pour autant, à l’échelle de la Suisse, constituer une révolution équivalente à celle de l’avènement du RGPD dans l’Union Européenne. Et cette comparaison n’est pas raison. En effet, cette nouvelle Loi sur la Protection des Données – LPD reprend non seulement à son profit de nombreuses notions du RGPD mais adopte également une logique commune.

Un vocabulaire « RGPD friendly »

En premier lieu, c’est effectivement le vocabulaire qui saute aux yeux : le « maître du fichier » devenant ainsi le « responsable du traitement ». C’est également le cas pour de nombreuses notions qui sont reprises telles que « législation adéquate », « sous-traitant », « analyse d’impact », « décisions individuelles », etc… Néanmoins, cela n’empêche pas non plus la Suisse de se distinguer par d’autres termes, différents du RGPD, que le législateur helvète a consacré. C’est le cas du DPO qui est appelé « Conseiller à la protection des données », c’est aussi le cas de la notification de données pour laquelle, le terme « d’annonce des violations de la sécurité des données » a été préféré.

Mais le vocabulaire ne fait pas tout, qu’en est-il, ou plutôt, qu’en sera-t-il, pour les citoyens et les entreprises suisses, à compter de l’entrée en vigueur de la loi ?

Une reprise des formalités du RGPD

Tout d’abord, malgré une formulation différente, le champ d’application du texte est similaire à celui du RGPD. Plus concrètement, à l’exception des activités purement privées, la LPD étendra ses obligations à l’ensemble des secteurs privés comme publics et ne se restreint pas au territoire Suisse en s’imposant à quiconque met en œuvre des traitements ayant des effets en suisse ou concernant des citoyens suisses.

Les acteurs concernés devront, tout d’abord, tenir un registre des traitements et, le cas échéant, un registre sous-traitant dans lequel devra figurer les mêmes informations que celles exigées par le RGPD (identité du responsable, finalités, personnes concernées, etc…). Mais ce registre est également une belle illustration de la différence majeure entre le RGPD et la LPD, à savoir son niveau d’exigence. En effet, l’article 12 concernant le registre des traitements prévoit que « Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées ».

Une LPD moins stricte que le RGPD ?

En cela, la LPD peut être qualifiée de « petite sœur » du RGPD car si elle s’en inspire largement, le législateur Suisse n’a pas souhaité mettre en place une législation aussi contraignante. Ainsi, le Conseiller à la protection des données n’est jamais obligatoire, contrairement au DPO dans certain cas, mais offre simplement certaines exemptions parmi les formalités en matière d’analyse d’impact.

Dans la même veine, la violation de données (ou annonce en Suisse) est obligatoire en cas d’incident concernant les données traitées mais là où l’article 33 du RGPD prévoit un délai de 72h, l’article 24 de la LPD n’exige qu’une annonce « dans les meilleurs délais ».

Enfin, et ce qui sera certainement le plus éloquent pour la plupart car ces montant sont souvent révélateurs de la volonté des Etats, le plafond en matière de sanction se porte à 250 000 francs suisses (230 415 €), certes une augmentation de 2500 % par rapport à son ancien plafond de 10 000 CHF mais, une goutte d’eau comparée aux 20 millions d’euros du RGPD.

Une législation dans l’ère du temps

Pour autant, cette législation conserve tout son intérêt et fait entrer la Suisse dans le cercle très fermé d’une législation relative à la protection des données adaptées aux enjeux et technologies du XXIe siècle. En témoignent les obligations consacrées en matière d’information des personnes, quasi similaires au RGPD, et la consécration des droits pour les personnes concernées (information, accès, portabilité, rectification et opposition).

Nul doute que la CNIL suisse appelé PFPDT (Préposé à la protection des données) sera là pour veiller à leur respect. L’inconnu étant le délai qui sera laissé aux organismes suisses pour se mettre en conformité et aux sociétés étrangères ayant des activités en Suisse qui devront être en plus attentives à l’obligations, le cas échéant, de désigner un représentant. A ce titre, les équipes d’Optimex Data organisent un Webinar afin de vous présenter les différences et similitudes entre le RGPD et la LPD, et restent à votre disposition pour tout complément d’information.

représentant rgpd en ue

Représentant RGPD
dans l’Union Européenne

Représentant RGPD
dans l’Union Européenne
960 640 Optimex Data

Optimex Data vous présente le rôle du représentant RGPD en UE. Sa mission est de représenter les organisations étrangères dans l’union européenne, dans le cadre de la conformité RGPD.

Représentant RGPD en UE

Nous évoquons souvent l’importance de désigner un Délégué à la Protection des Données (DPO / DPD) dans les projets de mise en conformité au RGPD. Le petit oublié – ou celui dont nous parlons peu – est le Représentant (GDPR Representative en anglais), prévu dans l’article 27 du règlement. Cette innovation originale est un nouveau statut complémentaire à celui de DPO. Alors quelles sont ses obligations, ses missions, ses responsabilités ? Et surtout qui est concerné par l’obligation de désigner un représentant ?

Ainsi, le représentant, comme son nom l’indique, a vocation à représenter les organisations étrangères, au sein de l’Union Européenne. Le RGPD a donc créé une obligation, dans certains cas, de nommer un représentant.

Qui est concerné ?

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple.

Seules les entités privées sont soumises à l’obligation de nommer un représentant, les autorités et organismes publics bénéficiant d’une exemption. En revanche, la qualité de responsable de traitement ou sous-traitant est indifférente.

Enfin, concernant les activités visées, il s’agit de celles classiquement soumises au RGPD. A savoir, les activités d’offre de biens ou de services mettant en œuvre des traitements de données de personnes situées sur le territoire de l’Union Européenne ; ou des activités induisant un suivi du comportement de ces personnes.

Une exception a néanmoins été retenue lorsque le traitement mis en œuvre est uniquement occasionnel, n’implique pas de traitements à grande échelle de catégories particulières ; ou relatives à des condamnations pénales et infractions, tout en étant peu susceptible d’engendrer un risque pour les droits et libertés des personne concernées.

Quelles formalités et obligations pour le représentant ?

Tout d’abord, le représentant doit être une personne physique ou morale établie dans l’Union Européenne. Plus précisément, il doit être établie dans un des États membres dans lesquels se trouvent les personnes physiques.

Ensuite, la nomination d’un représentant doit se faire obligatoirement par écrit. Elle prend la forme d’un mandat permettant au représentant d’agir au nom et pour le compte de l’organisme qui l’a nommé.

Le RGPD vient préciser certaines obligations impératives vis-à-vis du représentant, au nombre de 3 :

  • Première obligation, être le point de contact des autorités de contrôles (la CNIL en France) pour toute question relative aux traitements.
  • Seconde obligation, être l’organisme auquel les personnes concernées peuvent s’adresser pour exercer leurs droits, l’identité du représentant devant, bien sûr, être communiquée aux personnes concernées au moment de leur information comme le rappelle les lignes directrices du G29.
  • Troisième obligation, le représentant doit aussi, selon le RGPD, tenir un registre des activités de traitement effectuées sur le territoire de l’UE.

Quelle responsabilité pour le Représentant RGPD en UE – Union Européenne

Concernant l’organisme faisant appel à un représentant, le RGPD précise en premier lieu que la désignation du représentant ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant vis-à-vis des traitements qu’il met en œuvre.

Du côté du représentant, une petite phrase en introduction du RGPD (Considérant 80) a semé le trouble en laissant penser que le représentant pouvait être tenu solidairement responsable du non-respect du RGPD par le mandataire. Le recul sur le sujet et la pratique permettent une interprétation plus cohérente ; à savoir que le représentant sera comptable du respect des obligations qui lui incombent en vertu du mandat signé. En ce sens, il ne pourra être tenu responsable d’une non-conformité relative à des éléments qu’il ignorait ; la coopération entre représentant et mandataire doit donc être totale.

Optimex Data reste à votre écoute pour répondre à vos questions sur le sujet, évaluer si vous êtes soumis à l’obligation de désigner un représentant et, le cas échéant, représenter votre structure au sein de l’Union Européenne.

visioconférence et rgpd

Tableau comparatif
de logiciels de visioconférence

Tableau comparatif
de logiciels de visioconférence
960 640 Optimex Data

Optimex Data vous se penche sur le sujet de la visioconférence RGPD et vous propose un tableau comparatif des différentes solutions du marché au regard de la protection des données personnelles. Avec la crise sanitaire, le recours aux rendez-vous et réunion en ligne à explosé. Ainsi, le sujet visioconférence et RGPD est devenu prioritaire dans le cadre de la conformité.

En effet, dans le cadre de la protection des données, visioconférence et RGPD vont de pair.

Alors quel logiciel adopter pour la visioconférence et RGPD ?

visioconférence RGPD

Afin de respecter l’actualité « crise sanitaire 2020 » et ses confinements traduite par une demande de « restez chez vous ! », beaucoup de professionnels sont contraints de travailler à la maison avec des outils de télétravail (permettant notamment la visioconférence). Ceux-ci n’ont jamais été autant sollicités, et n’ont d’ailleurs pas été construits initialement pour réaliser autant de connexions en même temps, ce qui peut poser des problèmes de sécurité et de stabilité mais qui déclenche indirectement les problématiques suivantes : « sont-ils conforment aux exigences du RGPD ? », « Assurent-ils un niveau de sécurité suffisant permettant de réduire au maximum les risques de violations de données ? », « Vos données sont-elles, à fortiori, suffisamment protégées ?».

Certains outils ont mieux que d’autres intégré les obligations issues du RGPD, toutefois force est de constater l’inévitable concurrence qui émerge de ces besoins nouveaux. Ce phénomène entraîne des hésitations au niveau des professionnels quant aux choix qu’ils doivent exercer parmi les multiples outils proposés sur le marché.

L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer les différents logiciels de visioconférences existants, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

visioconférence et rgpd

Tixeo

  • Conformité au RGPD: Tixeo est recommandé par la CNIL.
  • Fonctionnalités soucieuses du RGPD :
    • Tixeo vous assure un accès sécurisé à vos réunions,
    • Une autorisation est requise pour partager et prendre le contrôle du bureau,
    • Néanmoins, la création d’un compte est requise pour pouvoir utiliser ce logiciel.
  • Sécurité: Tixeo est certifié par l’ANSSI (très bon niveau de sécurité).
  • Prix: le prix du logiciel est élevé, ce qui serait susceptible de représenter un inconvénient pour les petites entreprises à budget limité. En effet, les entreprises telles que Orange ou encore le Crédit Agricole utilisent Tixeo.
  • Langues: français, allemand, anglais, espagnol, chinois…

 Avantage incontestable :

Le siège social de ce logiciel se situe en France, et des filiales sont installées en Allemagne et en Espagne, autrement dit cet outil ne réalise aucun transfert en dehors de l’UE.

Wire

  • Conformité au RGPD: Wire est entièrement conforme au RGPD et aide ses clients à faire face aux exigences du RGPD
  • Fonctionnalités soucieuses du RGPD :
    • Un utilisateur enregistré avec une identité vérifiée (adresse e-mail ou numéro de téléphone) peut établir des connexions avec d’autres utilisateurs enregistrés. Les connexions sont établies lorsqu’un utilisateur envoie une demande de connexion à un autre et que cette demande est acceptée.
    • Les conversations sont séparées les unes des autres, et un utilisateur doit faire partie d’une conversation afin d’en voir le contenu.
    • A chaque déconnexion, une fenêtre « clear data » s’ouvre et vous pouvez cocher une case afin que toutes vos informations et conversations soient supprimées de l’appareil.
  • Sécurité: Wire a été fortement recommandé par la CNIL allemande (Hamburg Data Protection Authority. La sécurité du logiciel est centralisée autour d’un chiffrement activé par défaut de bout en bout et l’Open Source y est de guise.
  • Prix: la tarification de cet outil est abordable, ce qui en fait un atout majeur.
  • Langues: Wire est accessible en français, anglais et allemand.

Avantage incontestable :

Le siège social de Wire se situe en Suisse et il est entièrement conforme aux lois strictes sur la protection des données en Suisse et dans l’Union européenne. Soucieux de la protection de votre vie privée, Wire n’effectue aucun profilage et n’exploite pas vos données dans un quelconque but commercial (aucune publicité, bannière, popup...).

Zoom

  • Conformité au RGPD: bien que tout ne soit pas parfait, force est de constater les efforts de Zoom dans sa mise en conformité RGPD.
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • Zoom propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
    • Pour utiliser ce logiciel, vous devez vous créer un compte.
  • Sécurité:
    • Fortement utilisé pendant la pandémie Covid19, Zoom a fait l’objet de plusieurs analyses qui ont démontré un niveau de sécurité insuffisant (pas de consentement, lien étroit avec d’autres plateformes, mauvais système de cryptage…).
    • A la suite de ces critiques, Zoom a procédé à un renforcement de sa sécurité le 8 avril 2020, notamment en ce qui concerne le chiffrement des données.
  • Prix: le logiciel propose une version gratuite et une version payante.
  • Langues: chinois, anglais, français, allemand, italien, japonais, coréen, portugais, russe, espagnol et vietnamien.

Points de vigilance :

Le siège social de Zoom est en Californie aux USA. En utilisant Zoom, vous acceptez le fait que vos données personnelles puissent être transférées ou stockées aux Etats Unis ou dans tout autre pays du monde. Soyez vigilants car ces pays en question peuvent posséder des règles de protection des données différentes et moins protectrices que celles prévues en France.

Teams

  • Conformité au RGPD: plusieurs fonctionnalités sont proposée afin de vous donner la possibilité de gérer vous-même la protection, la prévention et la gouvernance de vos données, mais en ce qui concerne une véritable conformité au RGPD, cette dernière mériterait d’être approfondie.
  • Fonctionnalités soucieuses du RGPD :
    • Authentification multi facteur
    • Pas d’exploitation de vos données à des fins publicitaires
    • Teams propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
    • Suppression des données après résiliation ou à l’expiration de votre abonnement….
  • Sécurité:
    • Teams n’effectue aucun profilage.
    • Teams utilise la sécurité intelligente (automatisation et intelligence intégrées) : niveau de sécurité incomplet.
  • Prix: le logiciel propose une version gratuite et une version payante. . A noter que Teams est utilisé par des entreprises privées telle que l’Oréal, mais également les entreprises ayant souscrit à la suite Office 365.
  • Langues: français, anglais, espagnol, italien, russe et coréen

Points de vigilance :

  • Des institutions européennes de Microsoft existent, et à ce propos, le CEPD (Comité européen de la protection des données) a publié le 2 juillet 2020, un document présentant ses conclusions et recommandations pour l’utilisation de Microsoft par les institutions européennes.
  • Toutefois, la suite Office 365 pour les mails et pour OneDrive garantit un hébergement dans l’UE.

En revanche, pour toutes les prestations annexes tels que Teams, des transferts de données hors UE peuvent être effectués.

Google Meet

  • Conformité au RGPD: Google Meet ne représente en aucun cas, dans sa conception, l’outil idéal de conformité RGPD (manque de précision au niveau des principes et droits RGPD notamment)
  • Fonctionnalités soucieuses (ou non) du RGPD:
    • Demandes répétitives d’accès au micro et à la caméra de votre machine
    • Obligation de créer un compte pour pouvoir utiliser le logiciel
    • Accès difficile aux informations relative à la protection des données et à la sécurité du logiciel.
  • Sécurité:
    • Les données sont chiffrées lorsqu’elles sont en transit : c’est-à-dire qu’elles sont chiffrées par intranet, par des réseaux privés.
    • Les enregistrements des clients stockés dans Google Drive sont chiffrés au repos.
  • Prix : l’outil de visioconférence est inclus avec la GSuite, la suite payante d’outils payant d’outils bureautique proposé par Google.
  • Langues: français, anglais, multilingue.

Points de vigilance :

En observant les conditions générales de Google, on constate plusieurs difficultés au niveau juridique et technique. En effet, Google Meet (outil de visioconférence inclus avec la GSuite, donc suite payante) est basé aux USA en Californie, autrement dit c’est le droit américain qui sera applicable dans toutes vos relations contractuelles. Il faut donc noter qu’en confiant vos données à Google, vous ne maitrisez pas juridiquement l’exploitation de vos données, ce qui peut être extrêmement problématique.

Interstis

  • Conformité au RGPD: Interstis respecte les droits et les principes du RGPD et ne procède à aucune exploitation commerciale des données.
  • Fonctionnalités soucieuses (ou non) du RGPD
    • Les offres contiennent une clause de réversibilité des données qui oblige le logiciel à restituer les données aux utilisateurs s’il y a rupture contractuelle.
    • L’utilisation du logiciel nécessite la création d’un compte.
  • Sécurité:
    • La sécurité des installations a été recommandée par l’ANSSI.
    • Fort niveau de sécurité car les échanges d’informations sur la plateforme sont cryptées par un algorithme de chiffrement AES 128 bit dont la clé est différente pour chaque groupe de travail.

Avantage incontestable :

Interstis est hébergé en France, autrement dit les données sont elles aussi hébergées en France dans des datacenter (donc pas de transferts de données en dehors de l’UE).

Cisco Webex

  • Conformité au RGPD: aucune information ne permet d’évaluer à ce jour si ce logiciel est conforme ou non au RGPD (aucune mention dans la politique de confidentialité)
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • Le logiciel a publié une liste pratique ayant pour unique intérêt d’informer les organisateurs des gestes à adopter dans le but de sécuriser leurs réunions. En effet, ce dernier n’apporte pas de précisions sur son rôle au sein de cette protection.
    • L’utilisation du logiciel nécessite une inscription (donc une collecte de vos données)
  • Sécurité: « tout ce qui est dit, partagé, et tapé » est protégé par un chiffrement
  • Prix: Cisco Webex propose une version gratuite ainsi qu’une version payante. On constate que le coût parait relativement élevé pour les petites entreprises à budget limité (prix par hôte).
  • Langues: français, anglais, espagnol, chinois, coréen, italien, allemand.

Points de vigilance :

Cisco est basé aux USA en Californie, il s’agit d’une entreprise internationale qui peut de ce fait être amenée à transférer des informations personnelles vers Cisco aux USA, ou encore vers une filiale de Cisco dans n’importe quel pays. Autrement dit, en utilisant ce logiciel et donc en communiquant vos données vous acceptez qu’elles puissent être transférées, traitées et stockées en dehors de l’UE.

Go to meeting (produit de LogMeIn) :

  • Conformité au RGPD: LogMeIn a mis en place un engagement constitué de plusieurs documents PDF ayant pour objectif de répondre aux exigences du RGPD.
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • L’utilisation du logiciel nécessite une inscription
  • Sécurité: les fonctions de sécurité avancées sont proposées en option (par exemple une connexion SAML SSO requise).
  • Prix: le logiciel ne propose pas de version gratuite (Uniquement un essai gratuit de 14 jours)
  • Langues: anglais, français, multilingue

Points de vigilance :

La politique de confidentialité de LogMeIn consacre une partie sur la notion particulière du Privacy Shield et à son invalidation. Toutefois, il est précisé qu’il existe d’autres mécanismes de transfert de données (signature de l’Addendum de traitement des données ou encore des clauses contractuelles types).

Mikogo

  • Conformité au RGPD: Mikogo est conforme au RGPD (respect des droits et des principes)
  • Fonctionnalités soucieuses du RGPD :
    • Les identifications de session se font de manière unique avec un mot de passe de session.
    • Ceux qui partagent leur contenu d’écran et participent à une session ont donné leur accord au préalable.
    • Aucune donnée de réunion n’est enregistrée.
    • Outils de supervision de réseaux et outils de détection d’intrusion vous garantissent qu’aucun intrus ne pourra joindre une session et voir l’écran d’un autre participant.
    • Un participant ne peut ni voir ni contrôler un autre ordinateur sans avoir obtenu l´accord explicite de son propriétaire.
  • Sécurité :
    • Mikogo use d’un bon système de cryptage (AES 256 bit) avec un chiffrement SSL de 128 bits du site web.
  • Prix: ce logiciel propose une version gratuite et des versions payantes. A noter que des sociétés telles que Disney ou Yamaha utilisent Mikogo.
  • Langues: français, anglais, allemand, brésilien, espagnol, italien, russe, chinois.

Points de vigilance :

Bien que basé en Europe (Allemagne), il faut noter qu’en utilisant ce logiciel et en contactant l’entreprise par courriel ou par le biais d’un formulaire de contact, vos informations sont automatiquement stockées dans le système CRM, qui est fourni par Salesforce Inc. (basé aux Etats Unis). Il n’est donc pas à exclure que vos données puissent être transférées et traitées dans un pays tiers (les USA par exemple) ou que vos données, stockées dans l’UE, soient accessibles depuis des pays tiers.

Conclusion

Nous vous conseillons, avant de télécharger un de ces outils, de :

  • Privilégier les solutions qui protègent la vie privée et respectent les exigences du RGPD
  • Ne pas télécharger cet outil depuis un site web ou une source inconnus
  • N’utilisez que les applications pour lesquelles l’éditeur vous indique
    clairement comment vos données sont réutilisées (dans l’application elle-même
    ou sur son site web, par exemple
    )
  • Vérifier que l’éditeur a mis en place des mesures de sécurité essentielles,
    comme le chiffrement des communications de bout en bout
  • Sécuriser au maximum votre réseau Wi-Fi (mot de passe robuste par exemple, ou penser à inclure au sein de votre organisme un générateur de mot de passe tel que Keepass par exemple)
  • Être vigilant sur les éventuels transferts de données hors UE

Notre coup de cœur :

L’équipe Optimex Data a eu un véritable « coup de cœur » pour Wire. Ce logiciel est non seulement conforme au RGPD, mais son niveau de sécurité (notamment en ce qui concerne le chiffrement des données) est tout à fait adapté. Le logiciel est extrêmement facile d’utilisation, et vous propose lors d’une suppression de compte de supprimer toutes vos données. Encore, il propose des Guest Rooms, donc pas besoin pour vos clients, ou pour des personnes que vous souhaitez inviter, de se créer un compte Wire, il suffira de leur envoyer un lien qui leur permettra de vous rejoindre !

Vous n’avez plus qu’à faire votre choix !
analyse d'impact protection des données

Audit RGPD & AIPD : objectifs et différences ?

Audit RGPD & AIPD : objectifs et différences ? 960 640 Optimex Data

Analyse d’impact protection des données personnelles et audit RGPD, quels différences, quels objectifs …

Objectifs et différences : analyse d’impact protection des données personnelles et audits RGPD

Selon les recommandations de la CNIL, une fois que le délégué à la protection des données a été désigné, l’étape suivante est de cartographier les traitements de données personnelles. Ensuite, il convient de gérer les risques potentiels via la conduite d’analyse d’impact relative à la protection des données – AIPD, pour les traitements ayant été identifiés à risques pour les droits et libertés des personnes concernées. Et beaucoup s’interroge sur la différence entre un audit de conformité RGPD et une AIPD. A travers cet article, nous allons vous expliquer la différence entre les deux sujets et surtout leurs objectifs respectifs.

Les objectifs d’un audit de conformité RGPD ?

Dans une démarche de mise en conformité, le délégué à la protection des données réalise un audit de conformité RGPD. Cela consiste à faire le tour des services afin d’évaluer les actions à mettre en place conformément aux exigences du RGPD. Lors de ce tour des services, le DPO / DPD est amené à rencontrer les différents acteurs en interne. Il pourra ainsi mieux appréhender leur quotidien professionnel.

De cet échange, il en ressort généralement avec une liste des traitements (la cartographie) réalisés dans chacun des services ; les prémices pour rédiger le fameux registre des traitements. Ensuite, le DPO / DPD récupère les documents et formulaires utilisés pour …

  • recueillir des données personnelles ;
  • recueillir les contrats signés avec les sous-traitants – sous-traitants au sens du RGPD ;
  • Identifie les mesures de sécurité en place – techniques et organisationnelles.

Enfin, il conçoit un plan d’actions pour identifier et prioriser les actions à mettre en place, pour se conformer aux obligations du RGPD et de la loi Informatique et Libertés. Effectivement, les priorités sont définies au regard des risques qui pèsent sur les droits et les libertés des personnes.

En résumé, un audit de conformité RGPD permet de faire un état des lieux de l’existant afin de recenser les actions déjà conformes à la réglementation vigueur et celles nécessitant une mise à jour. Parmi les mises à jour identifiées, une analyse d’impact relative à la protection des données – AIPD est quelques fois nécessaire.

Les objectifs d’une analyse d’impact relative à la protection des données – AIPD ?

Pour les traitements présentant des risques élevés, et qui ont été identifiés lors de l’audit RGPD, il est important de s’interroger sur l’utilité de réaliser ou non une AIPD. Afin de clarifier certains traitements courants, la CNIL a publié une liste des traitements nécessitant la réalisation d’une AIPD et la liste des traitements dont la réalisation d’une AIPD n’est pas requise. Les traitements les plus couramment concernés par la conduite d’une AIPD concerne soit un public vulnérable – personnes âgées, mineurs, salariés … soit des données sensibles – santé, appartenance religieuse, données judiciaires …

Cependant, même pour les traitements figurant sur la 2ème liste – AIPD non requise ; nous recommandons vivement de faire à minima une analyse des risques. En effet, une analyse des risques est réalisée en amont de la conduite d’une AIPD ; la raison est que la conclusion d’une analyse des risques peut conduire à la décision qu’une AIPD n’est pas nécessaire. Contrairement à une analyse des risques, la conduite d’une AIPD permet de :

  • Délimiter et décrire le contexte du traitement
  • Analyser et identifier les mesures garantissant le respect des principes fondamentaux
  • Apprécier les risques sur la vie privée
  • Valider (ou non) le traitement, et ainsi autoriser la continuité du traitement

Les conclusions d’une AIPD se basent le niveau gravité et de vraisemblance du risque encourus, au regard des 9 critères issus des lignes directrices du G29. La validation d’une AIPD vient corréler des risques potentiels avec des mesures spécifiques pour garantir la protection des données personnelles.

Mais quand doit-on réaliser une analyse d’impact – AIPD ? La CNIL recommande de réaliser une AIPD avant la mise en œuvre du traitement. Cependant, dans la plupart des situations, le traitement est déjà en place, et l’AIPD est donc réalisée à posteriori. Néanmoins, il est nécessaire de revoir une AIPD de façon régulière. Le traitement peut en effet évoluer en termes d’environnement technique et organisationnel.

En conclusion …

En résumé, un audit de conformité RGPD conduit très souvent à la nécessité de réaliser une analyse d’impact – AIPD sur certains traitements ayant été identifiés à risques pour la vie privée. L’un ne va pas sans l’autre. Mais il est préférable de commencer par un audit de conformité RGPD. Ce-dernier permet d‘avoir une vision globale de la structure et des traitements nécessitant l’utilisation de données à caractère personnel. Ensuite, dans un second temps, la réalisation d’une analyse d’impact – AIPD permet de valider un traitement en ayant identifié les risques potentiels sur la vie privé et en ayant mis en place des actions garantissant la protection des données personnelles.

sensibilisation rgpd

Pourquoi sensibiliser les effectifs à la protection des données

Pourquoi sensibiliser les effectifs à la protection des données 960 583 Optimex Data

Optimex Data vous propose des solutions de sensibilisation RPGD ou sensibilisation à la protection des données des équipes.

sensibilisation RGPD

L’une des missions du Délégué à la Protection des Données est la sensibilisation du personnel au RGPD, et surtout aux bonnes pratiques à suivre pour garantir la sécurité, la protection et la confidentialité des données personnelles (Art. 39 du RGPD). Pour cela, la CNIL met en place plusieurs outils pour aider les organismes : des fiches thématiques ou encore le MOOC en ligne. Également, l’ANSSI a mis en place son MOOC sur la sécurité numérique.

Alors, pourquoi est-ce si important de former ses équipes au RGPD ? Et surtout comment le faire de manière efficace avec des résultats probants ?

Pourquoi sensibiliser les équipes au RGPD ?

La sensibilisation à la protection des données est un enjeu majeur pour tous les organismes. Le Délégué à la Protection des Données a beau mettre en place toutes les procédures nécessaires au respect du RGPD, si les salariés ne sont pas au courant de ce qui existe, cela n’a pas de sens. C’est comme installer une porte blindée en laissant les clés dessus. En effet, il est primordial d’impliquer les équipes dans la mise en conformité RGPD de leur structure. Tout le monde est acteur et responsable de la protection des données. CE sont les bonnes pratiques du quotidien qui assureront et garantiront la sécurité des donnée personnelles.

De plus, chaque collaborateur doit connaitre la procédure en cas de demande de droit des personnes, en cas de violations de données, en cas de demande d’un client – prospect – tiers ou bien en cas de contrôle de la CNIL. Pour cela, le Délégué à la Protection des Données se doit de communiquer et d’expliquer la procédure à suivre dans chacune des situations, et surtout le nom des interlocuteurs à contacter en cas de besoin ou de doute.

Enfin, il est important de sensibiliser les utilisateurs sur la sécurité informatique, et l’utilisation des outils numériques pour respecter les exigences du RGPD. Alors, il convient d’expliquer aux équipes comment naviguer sur internet en toute sécurité ; comment sécuriser ses mots de passe ; de quelle manière utiliser ses appareils mobiles en toute sécurité…

Comment sensibiliser les équipes au RGPD ?

Même si les organismes ont bien conscience de l’important de la sensibilisation à la protection des données personnelles, tous ne savent pas forcément comment s’y prendre. A noter, qu’il existe autant de façons de sensibiliser les équipes au RGPD, qu’il existe d’organismes. Chaque structure, en fonction de sa culture d’entreprise ou de son organisation interne, va privilégier une méthode plutôt qu’une autre.

En revanche, nous pouvons regrouper en grandes catégories les façons qui ont été reconnues et approuvées en matière de sensibilisation. La plupart du temps, il est plus efficace d’en réaliser plusieurs en parallèle pour s’assurer de l’impact positif sur l’ensemble des salariés. En effet, voici les différentes manières de sensibiliser les équipes au RGPD : note d’information interne (panneau d’affichage, intranet, e-mail), réunion d’information par service (bonnes pratiques par service), webinar ou e-learning de 30 à 45 minutes, plénière à l’ensemble du personnel, formation pour les responsables de service.

De plus, il est possible de sensibiliser les équipes par des campagnes de phishing, afin de s’assurer que les procédures mises en place soient suivies. Également, certaines structures envoient des e-mails à leur salarié avec la bonne pratique RGPD de la semaine ou du mois, sous format humoristique.

En conclusion …

La sensibilisation à la protection des données auprès des salariés est vraiment spécifique à chaque structure. Il est obligatoire de sensibiliser tout le monde au sujet du RGPD. En revanche, nous sommes libres de choisir la méthode, celle qui correspond le mieux à nos valeurs, à notre organisation et nos modes de communication en interne. Un conseil : soyez créatifs sur le sujet du RGPD, vous marquerez l’esprit de vos équipes !

comparatif des plateformes de partage de fichiers

Comparatif des Plateformes
de Partage de Fichiers

Comparatif des Plateformes
de Partage de Fichiers
960 640 Optimex Data

Optimex Data vous présente un comparatif des plateformes de partage de fichiers en ligne. Grâce à notre tableau comparatif des plateformes de partage de fichiers proposés par les principaux services Web ; choisissez la solution la plus sécurisée, mais également celle qui se conforme le plus au RGPD.  En effet, quelle solution propose la meilleure sécurité informatique et le plus de fonctionnalité, tout se conformant au Règlement Européen.

Le comparatif des plateformes de partage de fichiers au regard du RGPD et de la sécurité informatique

Comparatif des Plateformes de Partage de Fichiers en ligne

Les plateformes de partage ont pour objectif de favoriser les échanges et le partage d’informations dans une logique collaborative. Il en existe une multitude, certaines plus connues par le public que d’autres… Toutefois la notoriété d’une plateforme n’en fait pas sa qualité, et les avancées technologiques obligent ces outils à réfléchir à des solutions dans le but de répondre aux mieux aux demandes actuelles (sécurité, légalité, praticité, accessibilité…). 

L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer les différentes plateformes de partage existantes, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

comparatif des plateformes de partage de fichiers


WeTransfer

  • Garantie de conformité au RGPD: Certainement une des plateformes les plus célèbres en matière d’échange de fichiers, Wetransfer présente, pour autant, plusieurs interrogations en matière de protection des données. En effet, la « Déclaration de confidentialité et de cookies » de Wetransfer laisse apparaître l’usage de données qui ne sont pas strictement nécessaires pour un transfert de données (information sur la ville de l’utilisateur par exemple…). Plus encore, malgré un engagement au respect de la législation, Wetransfer fonde ses transferts de données hors UE sur le Privacy Shield, invalidé en juillet 2020.
  • Fonctionnalités vis-à-vis du RGPD :
    • Données de l’utilisateur utilisées à des fins commerciales
    • Conservation limitée des données échangées (7 jours si l’utilisateur n’a pas enregistré de compte / 28 jours lorsqu’il existe un compte)
  • Sécurité:
    • Le contenu est chiffré et uniquement envoyé via une connexion sécurisée (https)
    • Possibilité de mettre en place des mots de passe personnalisés avec des dates d’expiration pour le partage des fichiers (version payante).
    • Aucune inscription n’est nécessaire pour transférer des fichiers
  • Prix: la plateforme propose une version gratuite et version payante à partir de 12 € par mois
  • Langues: français, espagnol, anglais et italien.
  • Lieu d’hébergement : la plateforme est basée aux Pays Bas (en Europe), mais pour autant elle est soumise aux traçages de Google et de Facebook.

Points de vigilance :

Wetransfer prévoit le transfert des données vers les EU en s’appuyant sur le Privacy Shield qui a été invalidé. L’usage de Wetransfer comme sous-traitant ne permet donc pas de garantir le respect du RGPD. De plus, l’usage commercial des données n’est pas de nature à garantir la confidentialité des utilisateurs.

SwissTransfer

    • Garanties de conformité au RGPD: SwissTransfer est une solution proposée par Infomaniak (entreprise suisse, spécialisée dans l’hébergement de sites web, la diffusion de contenus audio et vidéo en streaming et la vidéo à la demande). Infomaniak présente, dans une section RGPD, une liste d’engagements pour garantir sa confidentialité. Cet onglet, est complété par une politique de confidentialité et une annexe aux CGV. Cet ensemble de documents, s’il semble offrir une relative sécurité vis-à-vis des données, principalement concernant l’hébergement des données avec un engagement d’Infomaniak (maison mère de Swisstransfer) à stocker les données des utilisateurs données dans leurs datacenters basés exclusivement en Suisse, et ne jamais les transférer en dehors de leurs propres infrastructures. A noter que Swisstransfer ne permet pas de paramétrer les cookies (absence de bandeau cookies sur le site).
      SwissTransfer est considéré comme l’alternative sécurisée de WeTransfer.
  • Fonctionnalités soucieuses du RGPD :
      • Date d’expiration des fichiers personnalisable
      • Aucune inscription n’est nécessaire pour transférer des fichiers
      • Aucune publicité (SwissTransfer ne fait aucune utilisation dérivée ou commerciale avec vos données personnelles)
      • Stockage des données en Suisse (pays bénéficiant d’une décision de législation adéquate en matière de protection des données)
      • Pas de paramétrage des cookies possible
  • Sécurité:
    • Protection par mot de passe robuste
    • Possibilité de mettre en place une validation en deux étapes (one time password sur le smartphone pour confirmer la connexion)
    • Chiffrement des fichiers transférés (sans précision sur la technologie utilisée)
  • Prix: la plateforme est gratuite
  • Langues: français, anglais, allemand, italien et espagnol.
  • Lieu d’hébergement : les fichiers sont stockés en Suisse (siège social de la plateforme). La plateforme vous assure que les transferts de données se limiteront à l’Union Européenne et à la Suisse (la Suisse étant considéré comme un pays adéquat).

Avantage incontestable :

Infomaniak (qui édite Swisstransfer) présente des engagements au-delà de la protection des données en prônant une activité plus écologique notamment par l’usage de Datacenters à refroidissement par l’air extérieur, limitant la consommation en comparaison avec les systèmes classiques de refroidissement par climatisation.

Points de vigilance :

Malgré de nombreuses garanties exprimées, certains éléments, comme les durées de conservation des données, ne sont pas présentés de façon précise. De plus, le site de Swisstransfer ne permet pas de paramétrer les cookies.

Smash

  • Garanties de conformité au RGPD : Smash garantie dans ses Conditions d’utilisation les droits des clients vis-à-vis de leurs données. Concernant sa politique des cookies, cette dernière est très transparente et le visiteur peut prendre connaissance de la finalité de chaque cookie mais il n’y a aucun moyen, sur le site, de refuser le dépôt de cookies. La politique de confidentialité de Smash fait apparaître des transferts de données hors de l’UE notamment des transferts vers les hébergeurs de données aux Etats-Unis.
  • Fonctionnalités soucieuses du RGPD :
    • La version gratuite ne nécessite pas de créer un compte (donc pas de collecte de vos données)
    • La durée de conservation des fichiers peut être choisie par l’utilisateur
    • Les fichiers sont automatiquement supprimés des serveurs une fois le Smash (transfert) expiré (14 jours max en version gratuite)
    • Pas de paramétrage des cookies possible
  • Sécurité :
    • Les transferts de données sont sécurisés (chiffrement, configuration, réseau et contrôles au niveau des applications et des utilisateurs)
    • Chiffrement standard AES 256 bits
    • Protocole SSL/TLS
    • Les envois sont protégés par un mot de passe
  • Prix : la plateforme est proposée en version gratuite et payante à partir de 72€ par an.
  • Langues : français, anglais, espagnol et portugais.
  • Lieu d’hébergement : Smash est basé à Lyon en France. Toutefois, ce sont ses sous-traitants, situés hors de l’UE (Amazon, Microsoft, Corporation…) qui sont chargés de l’hébergement des données.

Points de vigilance :

Smash est amené à réaliser des transferts de vos données à destination de sous-traitants situés hors de l’UE.

Netexplorer

  • Conformité au RGPD : la plateforme Netexplorer présente une page sur sa conformité au RGPD malheureusement, en dehors d’une présentation succincte du RGPD, elle comporte surtout des garanties en matière de sécurité informatique. Ainsi, la plateforme ne permet pas d’obtenir des informations précises sur les traitements de données opérés, les droits des personnes concernées et le moyen de contacter le DPO. Le lien affiché vers les coordonnées du DPO renvoie en réalité à la page des permanences téléphoniques de la CNIL, confusion douteuse qui ne serait peut-être pas très appréciée par l’autorité de contrôle. Néanmoins, en dehors de ces lacunes en matière d’information, Netexplorer présente un outil intégrant des mesures de « privacy by design » et de nombreux gages en matière de sécurité informatique.
  •  Fonctionnalité soucieuse du RGPD :
    • Contrôle sur le nombre de téléchargement autorisés pour chaque partage et gestion des droits avec un paramétrage des accès aux fichiers partagés et différents droits (écriture ou lecture)
    • Les employés de Netexplorer sont soumis à des clauses de confidentialité et Netexplorer s’engage sur le fait qu’il n’accèdera aux données que sur demande du client.
    • Durées de conservation limitée des données (30 jours)
    • Les deux datacenters sont situés en région parisienne
    • Bandeau cookie permettant de refuser leur dépôt
    • Absence de politique de protection des données et de politique des cookies sur le site internet de Netexplorer
  • Sécurité :
    • Chiffrement de bout en bout (en https) chiffrement clef 2048 bit
    • Option de double authentification avec un système de one-time password
    • Certifiée ISO 27001 et offre une solution cloud pour la santé certifiée HDS
  • Prix : la plateforme propose un essai gratuit et des versions payantes qui semblent relativement coûteuses avec une première solution à 49€ par mois pour 5 utilisateurs.
  • Langues : français et anglais.
  • Lieu d’hébergement : les données sont hébergées en France, installées dans deux datacenters parisiens. Il existe également des propositions de stockage au Luxembourg et en Suisse.

Avantages incontestables :

Netexplorer est certifié HDS, c’est-à-dire Hébergeur de données de santé. Il propose des fonctions de stockage de fichiers sécurisés et vous donne une possibilité de gestion personnalisée des accès par dossier en fonction de chaque utilisateur (ou groupe d’utilisateurs).

LockTransfer

  • Conformité au RGPD : la plateforme LockTransfer (solution proposée par Lockself) indique stocker les données de ses clients en Europe sans plus de précision. Malgré certaines garanties apportées dans les CGU concernant le traitement des données des utilisateurs (type de données, mode de collecte, droit des personnes concernées et coordonnées pour l’exercice des droits) les durées de conservations ne sont pas clairement indiquées et il n’existe pas de politique ni en matière de protection des données ni en matière de cookies. En revanche, Locktransfer apporte plus de garanties en matière de sécurité informatique et des données et est même certifiée par l’ANSSI.
  • Fonctionnalités soucieuses du RGPD :
    • Contrôle du nombre de téléchargements pour chaque fichier partagé
    • Contrôle en temps réel sur les personnes accédant aux données (attention à l’information de ceux-ci)
    • Durées de conservation limitées des fichiers paramétrables par l’utilisateur
    • L’utilisation de la plateforme nécessite la création d’un compte (donc une collecte de vos données)
    • Absence de politique de protection des données ou de politique de gestion des cookies pour informer les personnes concernées sur le traitement des données
    • Absence de bandeau cookies pour le refuser ou paramétrer leur gestion.
  • Sécurité :
    • Protection de chacun des transferts par authentification à double facteurs avec un mot de passe et un token (ou one-time password) communiqué par SMS (ou par mail) à votre destinataire
    • Boîte de dépôt de stockage des mots de passe et de transfert sécurisé certifiée par l’ANSSI sécurité de premier niveau
    • Les fichiers transférés sont chiffrés en AES256 avant leur stockage et usage d’un chiffrage asymétrique pour le déchiffrement par les destinataires.
  • Prix : la plateforme propose uniquement des versions payantes mais celles-ci sont peu coûteuses à partir de 5€ par mois et par utilisateur.
  • Langues : français et anglais.
  • Lieu d’hébergement : les données sont hébergées en France et en Irlande.

Avantage incontestable :

La solution LockTransfer (de Lockself) est située sur le territoire français et est certifiée par l’ANSSI, un gage de sécurité informatique.

WeSend

  • Conformité au RGPD : WeSend est une solution de partage proposée par Drop Cloud qui présente sur une page destinée au RGPD la façon dont sont trainées les données. Néanmoins, malgré des informations sur le statut de DropCloud (sous-traitant ou responsable de traitement), sur les droits des personnes concernées et le délai de conservation des données (36 mois après la fin du contrat), l’information reste lacunaire (quelles données, lieu du stockage,…). Wesend présente également des outils de sécurisation informatique à un niveau moindre pour autant que ses concurrents présentés ici.
  •  Fonctionnalités soucieuses du RGPD :
    • Suppression des fichiers à l’issue des téléchargements
    • Accès à un journal des évènements des actions des utilisateurs
    • L’utilisation du logiciel nécessite la création d’un compte (donc une collecte de vos données)
    • Un bandeau cookies est présent sur le site mais le lien pour « en savoir plus » et paramétrer les cookies renvoie vers une page « cookie » introuvable.
  • Sécurité :
    • Protection par mot de passe sans informations sur de possibles exigences (nombre et types de caractères)
    • Certificat SSL et chiffrement des fichiers 128 bits
  • Prix : la plateforme propose une version gratuite et des versions payantes à partir de 7€ par mois et par utilisateur.
  • Langues : français, anglais, espagnol, néerlandais, allemand, portugais, italien.
  • Lieu d’hébergement : la conception, la maintenance et l’hébergement sont réalisés en France uniquement.

Points de vigilance :

Bien que Drop Cloud dispose de la certification HDS (hébergement de données de santé) celle-ci concerne uniquement l’administration et l’exploitation du système d’information ainsi que la sauvegarde de données de santé (2 points sur les 6 certifiables). Techniquement comme juridiquement cette solution peut présenter quelques faiblesses au regard des exigences du RGPD.

Notre coup de cœur :

L’équipe Optimex Data a eu un véritable « coup de cœur » pour la plateforme SwissTransfer. Gratuite, sans inscription et sans publicité, cette plateforme est avant tout conforme au RGPD et vous assure une véritable sécurité. Non seulement vous pouvez choisir une date d’expiration pour le fichier que vous souhaitez envoyer, mais c’est vous qui définissez le mot de passe qui permettra au destinataire d’y avoir accès. Le petit plus, c’est que la plateforme s’intéresse particulièrement à l’écologie, et c’est pour cela qu’elle a mis en place une politique de protection de l’environnement qui permet de diminuer sa consommation d’énergie.

Conclusion

A travers cette étude, nous avons pu constater que l’accent était très souvent mis sur la sécurité informatique, parfois au détriment de la conformité au RGPD et de l’information des personnes concernées.

Plusieurs points sont également apparus comme primordiaux dans la sélection d’une plateforme de transfert de fichiers. Tout d’abord, la simplicité d’utilisation et l’ergonomie de la plateforme sont des critères essentiels face aux nombreux outils de transferts qui existent déjà.

Le second concerne les transferts de données hors de l’Union Européenne et plus particulièrement vers les Etats-Unis. Outre un élément de maitrise de ses données, le contrôle des transferts est nécessaire dans le cadre de l’application du RGPD notamment depuis l’invalidation du Privacy Shield par la CJUE.

Aussi, le choix d’une plateforme de partage doit passer par une réflexion sérieuse. En effet, pour peu qu’il s’agisse d’informations confidentielles ou de fichiers de première importance pour votre activité, il faudra pouvoir s’assurer de transferts sécurisés et respectueux du RGPD, sans oublier l’aspect pratique de la plateforme afin de vous procurer un gain de temps dans vos échanges, et vous assurer que vos salariés seront enclins à l’utiliser.

Grâce à notre comparatif des plateformes de partage de fichier, c’est à vous de jouer !

mission du dpo

La mission du DPO

La mission du DPO 960 640 Optimex Data

Optimex Data présente la mission du DPO / DPD.

la mission du dpo

Le Règlement Général sur la Protection des Données – RGPD n’oblige pas nécessairement la désignation d’un délégué à la protection des données – DPD /DPO – auprès de la CNIL. Cependant, la CNIL l’encourage et le recommande vivement pour toute structure, en termes de bonne pratique et d’élément de preuve de conformité.

Mais quel est le rôle et la mission du DPD / DPO ? Quelles tâches confier à son DPD / DPO ?

Les missions du DPD / DPO

Nous pouvons regrouper en 4 catégories, les missions principales du délégué à la protection des données :

1. Informer et conseiller

Pour cela, le DPD / DPO se doit de tenir une veille juridique constante. Ainsi, il se tiendra informé des évolutions réglementaires. Son rôle est également de conseiller le Responsable de traitement sur les décisions à prendre en matière de protection des données. En tant que chef d’orchestre de la conformité RGPD, sa responsabilité sera de tenir informés le Responsable de traitement, les sous-traitants de l’organisme, les salariés et tous les tiers pour les informer et les aider sur concernant l’exercice de leurs droits. Enfin, l’une des premières missions de délégué à la protection est la sensibilisation de l’ensemble du personnel pour les intégrer dans le projet de conformité RGPD, afin de développer une vraie culture RGPD.

2. Contrôler la conformité au RGPD et à la Loi Informatique et Libertés

Selon le RGPD, le délégué à la protection des données se doit de garantir le droit des personnes, en mettent en place des procédures et de la documentation – politique de confidentialité, mentions d’informations … De plus, c’est souvent sur le DPD / DPO que revient la tâche de la mise en place, d et du contrôle des différents registres obligatoires – registres des traitements, registres des demandes de droits, registre des violations de données.

Également, il devra être intégré dans la mise à jour contractuelle, pour s’assurer de la conformité des documentsprésence ou non de clause RGPD pour informer les personnes concernées.

Pour finir, il devra conduite régulièrement des audits auprès des différents services pour s’assurer de la conformité des traitements, que ce soit des nouveaux traitements – privacy by design – ou des traitements existants – privacy by default.

3. Tenir compte des risques

En tant qu’interlocuteur privilégié sur la protection des données, le DPD / DPO devra surveiller et prévenir les risques potentiels en tenant compte de la gravité du risque encourus, ainsi que la vraisemblance du risque – quelle probabilité ? A cet effet, plusieurs outils existent pour faciliter cette mission : la réalisation d’analyse de risques, puis en fonction des conclusions, la conduite d’une analyse d’impact – AIPD. De plus, la CNIL a mis en place une liste des traitements nécessitant une AIPD et les traitements ne faisant pas l’objet d’une obligation d’AIPD.

4. Coopérer avec l’autorité de contrôle – la CNIL

L’un des points essentiels à garder en tête est l’importance des relations et des échanges entretenus avec la CNIL. Evidemment, le DPD / DPO prend contact avec l’autorité de contrôle dès sa désignation, puisqu’il doit s’enregistrer officiellement sur le site de la CNIL. Mais, les relations avec la CNIL ne doivent pas s’arrêter là.

Effectivement, le rôle de la CNIL n’est pas uniquement de sanctionner les organismes, mais également de les conseiller dans leur démarche de mise en conformité au RGPD et à la Loi Informatique et Libertés. C’est pourquoi, il est primordial pour un DPD / DPO de maintenir un échange en continu avec la CNIL. Il aura un rôle important à jouer en cas de contrôle par la CNIL. Il devra alors coopérer avec l’autorité de contrôle, en répondant aux questions et en mettant à disposition les éléments réclamés par la CNIL.

En conclusion …

Les missions confiées au délégué à la protection des données lui demanderont des qualités humaines, organisationnelles et un grand sens pédagogique, ainsi que des compétences juridiques et informatiques, et une bonne connaissance du secteur d’activité de l’organisme.  Impliquer l’ensemble du personnel est la clé de la réussite pour mener à bien le projet de mise en conformité RGPD.

dpo externe

DPO externe ou interne

DPO externe ou interne 960 641 Optimex Data

Optimex Data vous propose des solutions sur-mesure de dpo externalisé et d’accompagnement du DPO interne.

dpo externalisé

Depuis l’application du RGPD au 25 mai 2018, un nouveau métier est apparu, le Délégué à la Protection des Données DPD – Data Protection Officer DPO, qui vient remplacer le Correspondant Informatique et Libertés – CIL.

La question se pose alors de choisir entre la désignation d’un délégué à la protection des données externalisé ou la désignation, en interne, d’un salarié dédié au projet de conformité RGPD. Même si les missions restent identiques et que les exigences du RGPD doivent être respectées, les organismes soumis à cette obligation – article 37 du RGPD, devront trouver leur prochain Délégué à la Protection des Données. Alors, sur quels critères se baser pour répondre à cette question ? Quelles sont les avantages et les inconvénients d’un DPD / DPO externe ou interne ?

Les avantages d’un DPD / DPO interne

Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connait les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien … De plus, un DPD / DPO interne sera plus réactif en cas de nécessité d’intervention physique « immédiate ». Etant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.

Les inconvénients d’un DPD / DPO interne

En revanche, lors de la désignation du délégué à la protection des données parmi les collaborateurs en place, un climat de tension peut apparaitre avant de savoir qui va « récupérer ce dossier supplémentaire ». Une fois la décision prise, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.

En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.

Les avantages d’un DPD / DPO externe

Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.

Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.

Les inconvénients d’un DPD / DPO externe

Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.

En conclusion …

Alors, à la question « Doit-on externaliser ou internaliser la fonction de délégué à la protection des données ? », il est impossible d’avoir une réponse binaire. Il convient d’étudier le contexte, les ressources à disposition – ressources financières et humaines, la taille de l’organisme, ainsi que les besoins à court et long terme sur la conformité RGPD.

Faire appel à un DPD / DPO externalisé est courant pour toute la mise en place opérationnelle de la conformité, puis de former en parallèle un DPD / DPO interne pour prendre le relai au niveau du suivi de la conformité RGPD. Puis, ponctuellement, l’organisme refait appel au DPD / DPO externalisé pour la réalisation des analyses d’impact, la sensibilisation du personnel ou tout autre mission à la carte. En revanche, il est important de rappeler que les « plateformes de mise en conformité » ne peuvent pas garantir la conformité au RGPD. Ces solutions métier ne remplacent pas un DPD / DPO compétent, qu’il soit interne ou externalisé.

Call Now Button