fbpx

RGPD

comparatif des gestionnaires de cookies

Comparatif des
Gestionnaires de Cookies

Comparatif des
Gestionnaires de Cookies
1200 800 Optimex Data

Optimex Data vous propose son comparatif des gestionnaires de cookies. Nécessaires à la collecte du consentement cookies lors de visites internet, les gestionnaires sont légions. Notre comparatif des gestionnaires de cookies se concentre sur la conformité RGPD, le respect des préconisation de la CNIL, les fonctionnalités et le coût.

Grâce à notre comparatif des gestionnaires de cookies, choisissez la solution la plus sûre et conforme pour votre site web !

Comparatif des gestionnaires de cookies

Les gestionnaires de cookies sont désormais incontournables depuis l’entrée en vigueur du RGPD. Le gestionnaire des cookies est parfois vu comme un objet numérique qui gâche le design d’un site internet. Pourtant, ces derniers ont bien évolué graphiquement et il en existe pour tous les goûts. Néanmoins, ne nous trompons pas, l’objectif premier du gestionnaire de cookies est de garantir l’expression du consentement des visiteurs d’un site internet au dépôt de cookies et d’assurer sa conformité au RGPD. Le choix d’un gestionnaire de cookie nécessite donc de faire attention à la compatibilité de ses outils avec la législation européenne. De disposer d’un outil complet, surtout lorsqu’il est gratuit. Il faudra également faire un choix selon ses connaissances numériques pour un outil adapté, à soi et à son site internet.

 L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer différents gestionnaires de cookies, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

comparatif des gestionnaires de cookies


Tarteaucitron

  • Garanties de conformité au RGPD : Tarteaucitron est le gestionnaire de cookies disposant d’une fausse filiation avec la CNIL en ce qu’elle n’est pas à l’origine de sa mise en place. Cependant, elle a pu recommander son utilisation (publication de 2016) et elle l’utilise comme solution de gestion des cookies sur son site internet.

Tarteaucitron est une solution open source qui propose une version gratuite (sous la forme d’un script) et une version premium payante. Le gestionnaire est adossé à des CGV qui présentent de manière très transparente les traitements de données effectués (données traitées, opérations de traitement, destinataires, droits des personnes concernées, etc…).

  • Fonctionnalités de l’application :
    • 103 services tiers (services de cookies) sont pris en charge par le gestionnaire de cookies
    • 23 langues différentes (en version payante)
    • Tenue de statistique sur les choix en matière de cookies (en version payante)
    • Intégration sous la forme d’un script dans sa version gratuite (demande une petite connaissance informatique)
  • Compatibilité avec les recommandations de la CNIL :
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookie avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Durée de conservation limitée du consentement à 13 mois
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : gratuit pour les particuliers ou 15€ par mois pour la version premium et pour les pros
  • Langues : français + 22 langues en version payante.

Avantage(s) :

Une solution intégrant toutes les exigences du RGPD dans sa version gratuite, avec une version payante proposant des options complémentaires notamment en matière de langues disponibles et d’options graphiques.

Points de vigilance :

La solution dans sa version gratuite n’est disponible que sous forme de script ce qui demande une petite maitrise informatique pour l’intégrer sur son site internet.

Axeptio

  • Garanties de conformité au RGPD : Axeptio est un gestionnaire de cookies assez jeune mais qui s’est vite démarqué par son design et ses petites mentions humoristiques. Société française, Axeptio (appartenant à Agilitation) propose outre sa formule humoristique, un gestionnaire de cookies qui permet de se conformer aux dernières recommandations de la CNIL avec un paramétrage fin des différentes options (bandeau, boutons, information et conservation du consentement). Si du côté du gestionnaire, il n’y a rien à redire, le site de la société Axeptio, en lui-même, fait douter du sérieux de la démarche. En effet, le site d’Axeptio ne dispose d’aucune page de politique de protection des données ni de politique des cookies. Le site dispose d’une page mentions légales avec quelques éléments incomplets relatif aux données, loin de ce que l’on peut attendre d’un expert dans le domaine.
  • Fonctionnalités de l’application :
    • Grande liberté dans le paramétrage pour un gestionnaire personnalisé : textes, images, polices, tailles
    • Intégration avec les Tag Management System (script de supervision des cookies sur un site internet) dont le plus connu, le « Google Tag Management »
    • Seulement 2 langues proposées en version pro (anglais et français)
  • Compatibilité avec les recommandations de la CNIL :
    • Durée de conservation du consentement paramétrable (en version payante)
    • Pas de recueil du consentement en version gratuite
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookie avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : Une version gratuite (mais incomplète face aux exigences du RGPD) puis une version jusqu’à 300 000 consentements par mois pour 15€ et jusqu’à 1 million de consentements pour 99€ par mois.
  • Langues : Français et anglais

Avantage(s) :

Un design novateur qui donne envie d’en savoir plus sur les cookies et des solutions de paramétrage permettant de respecter l’ensemble des lignes directrices de la CNIL.

Points de vigilance :

Une version gratuite à éviter puisqu’elle ne recueille pas les consentements et ne vous permettra donc pas de démontrer votre conformité.

Cookiebot

  • Garanties de conformité au RGPD : Cookiebot est une solution proposée par la société Cybot ayant son siège social au Danemark (pays membre de l’Union Européenne). Cookiebot propose un gestionnaire des cookies qui n’est pas révolutionnaire, avec un design simple et assez proche de celui de Tarteaucitron. L’intérêt de Cookiebot est double. Tout d’abord, une solution automatisée de recherche et de gestion des cookies sur le site internet qui permet à des utilisateurs débutant d’intégrer un gestionnaire complet sur leur site internet. Ensuite, une société transparente, avec une politique de protection des données très précise et complète (catégories de données traitées, nature des opérations de traitement, sous-traitants, absence de transfert hors UE, droit, moyen de contact…)
  • Fonctionnalités de l’application :
    • Analyse automatique des cookies présent sur le site internet (une fois par mois) et génération automatique d’une déclaration du cookie accompagnée de sa description
    • Possibilités de mettre en place un consentement global qui s’appliquera à plusieurs sites ou domaines
    • 46 langues différentes disponibles et paramétrage de nouvelles langues possible
    • Les consentements sont recueillis automatiquement par connexion SSL sécurisée et sont stockés sous forme de clés cryptées
  • Compatibilité avec les recommandations de la CNIL :
    • Durée de conservation limitée du consentement à 12 mois
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookies avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : Gratuit pour 1 domaine et moins de 100 sous-pages avec quelques fonctionnalités en moins mais pas essentielles. Puis jusqu’à 37€ selon la taille du ou des sites et les options.
  • Langues : 46 langues différentes

Avantage(s) :

Une solution simple d’usage qui pourra même scanner votre site pour vérifier les traceurs actifs à votre place et vous proposer des descriptions de leur finalité. Une formule gratuite avec de nombreuse fonctionnalités et l’ensemble des fonctionnalités pour respecter les lignes directrices de la CNIL.

Points de vigilance :

Il conviendra toujours de s’assurer de la pertinence des finalités proposées automatiquement pour chaque cookie et si nécessaire de la modifier mais c’est un moindre mal quand tout le travail est déjà fait par le gestionnaire de cookies.

Osano

  • Garanties de conformité au RGPD : La solution cookie consent est proposée par Osano est sur le marché depuis l’entrée en vigueur du RGPD. Cette solution open source offre de nombreuses possibilités de paramétrage permettant de respecter les recommandations de la CNIL mais la conformité ne passera que par la version payante. De plus, Osano offre de nombreuses informations et de la transparence dans les traitements qu’il met en œuvre à travers sa politique de protection des données. Osano y présente notamment ses sous-traitants dont Amazon web au Etats-Unis, ce qui fait craindre le pire en matière de transferts de données mais Osano s’engage, dans un paragraphe « Data Storage & Data transfert à stocker les données des visiteurs concernant le gestionnaire de cookie exclusivement en Irlande.
  • Fonctionnalités de l’application :
    • Personnalisation facile et intuitive de l’interface (emplacement, boutons, texte et couleur)
    • 37 langues (version payante)
    • 40 paramétrages proposés selon les exigences de la législation de chaque pays (version payante)
    • Intégration sous la forme d’un script dans sa version gratuite (demande une petite connaissance informatique)
  • Compatibilité avec les recommandations de la CNIL :
    • Seulement deux boutons possibles sur la bannière en version gratuite ce qui ne permettra pas de paramétrer les cookies de façon personnalisé semble-t-il
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
  • Prix : gratuit puis 98,95 € par mois pour la première version, 164 pour la version business +
  • Langues : 37 langues (version payante)

Avantage(s) :

Extrême simplicité de prise en main pour un paramétrage basique en mode payant. La possibilité de mettre en place un bandeau cookie en moins de 2h mais une solution avec un scripte pour la version gratuite.

Points de vigilance :

Attention aux transferts hors de l’UE qui pourrait être mis en œuvre par Osano

Cookie Secure

  • Garanties de conformité au RGPD : Cookie Secure est un gestionnaire de cookies qui propose une autre approche dans le paramétrage des cookies. En effet, plutôt que de présenter chaque cookie avec une validation individuelle, elle regroupe les cookies par catégories : « Essentiel » (comprendre « strictement nécessaire »), « Fonctionnalités » (comprendre « fonctionnels »), « Analytique » et « Publicité ». Si l’idée n’est pas mauvaise, car elle évite de devoir cocher l’ensemble des cookies un par un, et même si cette méthode de validation peut fonctionner, puisque la CNIL admet toute forme de designs tant que l’information est intelligible, les options techniques retenues ne peuvent pas se concilier avec les dernières lignes directrices de la CNIL. Sur son site, Cookie Secure présente une politique des cookies conforme, avec une explication claire, des finalités et la possibilité de modifier son consentement à tout moment, mais il interroge à plusieurs niveaux. A commencer par l’absence de mention légale et l’absence d’adresse dans les CGU mais surtout du fait qu’il indique que la marque est protégée alors qu’il n’en existe aucune trace sur le site de l’INPI ni même sur celui de l’EUIPO (Office de l’Union européenne pour la propriété intellectuelle).
  • Fonctionnalités de l’application :
    • Un audit en ligne proposé pour vérifier la conformité du site au RGPD
    • Personnalisation facile et rapide du bandeau
    • Un design novateur qui risque malheureusement de perdre les visiteurs non-initiés au RGPD (cookies essentiels, fonctionnalités et publicité)
  • Compatibilité avec les recommandations de la CNIL :
    • Tableau de bord, pour le paramétrage des cookies, ne permettant pas une présentation de la finalité de chaque cookie
    • Une présentation qui limite la clarté de l’information
    • La possibilité d’accepter ou de refuser tous les cookies en un bloc
    • La possibilité d’intégrer le bandeau à la politique des cookies pour revenir sur son consentement à tout moment.
  • Prix : à partir de 9€ par mois jusqu’à 72€ pour les solutions plus avancées.
  • Langues : a priori français, anglais, espagnol et portugais.

Points de vigilance :

Lors de nos recherches nous n’avons pas pu identifier la société qui édite Cookie Secure. Il conviendra donc de vous assurer de la structure avec qui vous contractez si vous choisissez ce gestionnaire.

Notre coup de cœur :

Le « coup de cœur » de l’équipe Optimex Data s’est tourné vers le Danemark et le Gestionnaire Cookiebot.

Ce choix se fonde tout d’abord sur la nationalité de Cookiebot. En effet, ce gestionnaire est édité par la société Cybot de nationalité danoise. En ces temps d’instabilité juridique, conséquence de l’invalidation du Privacy Shield, le choix d’un prestataire Européen semble être une solution prudente pour palier le risque d’un transfert de données hors UE. Ensuite, Cookiebot présente une solution entièrement conforme aux dernières lignes directrices de la CNIL, ce qui est bien-sûr le sujet principal de cette étude. Mais Cookiebot dispose d’autres arguments, notamment financiers, puisque Cookiebot propose une solution gratuite qui intègre toutes les fonctionnalités essentielles (contrairement à plusieurs de ses concurrents) et des formules payantes abordables pour les petits budgets. Enfin, Cookie Bot est un gestionnaire qui ne demande d’être un expert, ni du RGPD, ni de l’informatique puisqu’il fait tout le travail d’identification des cookies et de présentation des finalités à votre place.

Conclusion

Le gestionnaire de cookie est un élément indispensable pour un site internet et ce, pour deux raisons. Tout d’abord, votre site internet est toujours une vitrine ouverte sur le monde et donc, l’image que vous renvoyez de votre société : celle d’une société respectueuse des données et des droits de ses clients ou pas…

Ensuite, parce que la CNIL aussi peut aller jeter un coup d’œil à votre site internet, ce qu’elle fera certainement de plus en plus souvent puisque les obligations du RGPD sont complétée depuis septembre par ses lignes directrices en matière de cookies. D’ailleurs, le rendez-vous est déjà posé puisque la CNIL donne jusqu’à fin mars 2021 pour mettre en conformité son site internet.

Une conformité que chacun pourra vérifier grâce au nouvel outil de la CNIL « Dataviz » qui permet d’identifier les sites ayant accès aux données du visiteur.

Grâce à notre comparatif des gestionnaires de cookies : 3. 2. 1… Consentez !

protection des données personnelles en suisse lpd

La protection des données
personnelles en Suisse

La protection des données
personnelles en Suisse
1200 798 Optimex Data

Optimex Data vous propose d’en savoir plus sur la nouvelle loi sur la protection des données en suisse LPD.

dpo externalisé

Le 25 Septembre 2020, la Suisse votait un projet de Loi fédérale sur la protection des données – LPD, entérinant, à cette occasion, une grande évolution de la Loi fédérale sur la protection des données datant de 1992. Si cette actualité est restée principalement cantonnée aux milieux spécialisés en matière de données à caractère personnel, cette nouvelle loi semble pour autant, à l’échelle de la Suisse, constituer une révolution équivalente à celle de l’avènement du RGPD dans l’Union Européenne. Et cette comparaison n’est pas raison. En effet, cette nouvelle Loi sur la Protection des Données – LPD reprend non seulement à son profit de nombreuses notions du RGPD mais adopte également une logique commune.

Un vocabulaire « RGPD friendly »

En premier lieu, c’est effectivement le vocabulaire qui saute aux yeux : le « maître du fichier » devenant ainsi le « responsable du traitement ». C’est également le cas pour de nombreuses notions qui sont reprises telles que « législation adéquate », « sous-traitant », « analyse d’impact », « décisions individuelles », etc… Néanmoins, cela n’empêche pas non plus la Suisse de se distinguer par d’autres termes, différents du RGPD, que le législateur helvète a consacré. C’est le cas du DPO qui est appelé « Conseiller à la protection des données », c’est aussi le cas de la notification de données pour laquelle, le terme « d’annonce des violations de la sécurité des données » a été préféré.

Mais le vocabulaire ne fait pas tout, qu’en est-il, ou plutôt, qu’en sera-t-il, pour les citoyens et les entreprises suisses, à compter de l’entrée en vigueur de la loi ?

Une reprise des formalités du RGPD

Tout d’abord, malgré une formulation différente, le champ d’application du texte est similaire à celui du RGPD. Plus concrètement, à l’exception des activités purement privées, la LPD étendra ses obligations à l’ensemble des secteurs privés comme publics et ne se restreint pas au territoire Suisse en s’imposant à quiconque met en œuvre des traitements ayant des effets en suisse ou concernant des citoyens suisses.

Les acteurs concernés devront, tout d’abord, tenir un registre des traitements et, le cas échéant, un registre sous-traitant dans lequel devra figurer les mêmes informations que celles exigées par le RGPD (identité du responsable, finalités, personnes concernées, etc…). Mais ce registre est également une belle illustration de la différence majeure entre le RGPD et la LPD, à savoir son niveau d’exigence. En effet, l’article 12 concernant le registre des traitements prévoit que « Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées ».

Une LPD moins stricte que le RGPD ?

En cela, la LPD peut être qualifiée de « petite sœur » du RGPD car si elle s’en inspire largement, le législateur Suisse n’a pas souhaité mettre en place une législation aussi contraignante. Ainsi, le Conseiller à la protection des données n’est jamais obligatoire, contrairement au DPO dans certain cas, mais offre simplement certaines exemptions parmi les formalités en matière d’analyse d’impact.

Dans la même veine, la violation de données (ou annonce en Suisse) est obligatoire en cas d’incident concernant les données traitées mais là où l’article 33 du RGPD prévoit un délai de 72h, l’article 24 de la LPD n’exige qu’une annonce « dans les meilleurs délais ».

Enfin, et ce qui sera certainement le plus éloquent pour la plupart car ces montant sont souvent révélateurs de la volonté des Etats, le plafond en matière de sanction se porte à 250 000 francs suisses (230 415 €), certes une augmentation de 2500 % par rapport à son ancien plafond de 10 000 CHF mais, une goutte d’eau comparée aux 20 millions d’euros du RGPD.

Une législation dans l’ère du temps

Pour autant, cette législation conserve tout son intérêt et fait entrer la Suisse dans le cercle très fermé d’une législation relative à la protection des données adaptées aux enjeux et technologies du XXIe siècle. En témoignent les obligations consacrées en matière d’information des personnes, quasi similaires au RGPD, et la consécration des droits pour les personnes concernées (information, accès, portabilité, rectification et opposition).

Nul doute que la CNIL suisse appelé PFPDT (Préposé à la protection des données) sera là pour veiller à leur respect. L’inconnu étant le délai qui sera laissé aux organismes suisses pour se mettre en conformité et aux sociétés étrangères ayant des activités en Suisse qui devront être en plus attentives à l’obligations, le cas échéant, de désigner un représentant. A ce titre, les équipes d’Optimex Data organisent un Webinar afin de vous présenter les différences et similitudes entre le RGPD et la LPD, et restent à votre disposition pour tout complément d’information.

représentant rgpd en ue

Représentant RGPD
dans l’Union Européenne

Représentant RGPD
dans l’Union Européenne
1200 800 Optimex Data

Optimex Data vous présente le rôle du représentant RGPD en UE. Sa mission est de représenter les organisations étrangères dans l’union européenne, dans le cadre de la conformité RGPD.

Représentant RGPD en UE

Nous évoquons souvent l’importance de désigner un Délégué à la Protection des Données (DPO / DPD) dans les projets de mise en conformité au RGPD. Le petit oublié – ou celui dont nous parlons peu – est le Représentant (GDPR Representative en anglais), prévu dans l’article 27 du règlement. Cette innovation originale est un nouveau statut complémentaire à celui de DPO. Alors quelles sont ses obligations, ses missions, ses responsabilités ? Et surtout qui est concerné par l’obligation de désigner un représentant ?

Ainsi, le représentant, comme son nom l’indique, a vocation à représenter les organisations étrangères, au sein de l’Union Européenne. Le RGPD a donc créé une obligation, dans certains cas, de nommer un représentant.

Qui est concerné ?

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple.

Seules les entités privées sont soumises à l’obligation de nommer un représentant, les autorités et organismes publics bénéficiant d’une exemption. En revanche, la qualité de responsable de traitement ou sous-traitant est indifférente.

Enfin, concernant les activités visées, il s’agit de celles classiquement soumises au RGPD. A savoir, les activités d’offre de biens ou de services mettant en œuvre des traitements de données de personnes situées sur le territoire de l’Union Européenne ; ou des activités induisant un suivi du comportement de ces personnes.

Une exception a néanmoins été retenue lorsque le traitement mis en œuvre est uniquement occasionnel, n’implique pas de traitements à grande échelle de catégories particulières ; ou relatives à des condamnations pénales et infractions, tout en étant peu susceptible d’engendrer un risque pour les droits et libertés des personne concernées.

Quelles formalités et obligations pour le représentant ?

Tout d’abord, le représentant doit être une personne physique ou morale établie dans l’Union Européenne. Plus précisément, il doit être établie dans un des États membres dans lesquels se trouvent les personnes physiques.

Ensuite, la nomination d’un représentant doit se faire obligatoirement par écrit. Elle prend la forme d’un mandat permettant au représentant d’agir au nom et pour le compte de l’organisme qui l’a nommé.

Le RGPD vient préciser certaines obligations impératives vis-à-vis du représentant, au nombre de 3 :

  • Première obligation, être le point de contact des autorités de contrôles (la CNIL en France) pour toute question relative aux traitements.
  • Seconde obligation, être l’organisme auquel les personnes concernées peuvent s’adresser pour exercer leurs droits, l’identité du représentant devant, bien sûr, être communiquée aux personnes concernées au moment de leur information comme le rappelle les lignes directrices du G29.
  • Troisième obligation, le représentant doit aussi, selon le RGPD, tenir un registre des activités de traitement effectuées sur le territoire de l’UE.

Quelle responsabilité pour le Représentant RGPD en UE – Union Européenne

Concernant l’organisme faisant appel à un représentant, le RGPD précise en premier lieu que la désignation du représentant ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant vis-à-vis des traitements qu’il met en œuvre.

Du côté du représentant, une petite phrase en introduction du RGPD (Considérant 80) a semé le trouble en laissant penser que le représentant pouvait être tenu solidairement responsable du non-respect du RGPD par le mandataire. Le recul sur le sujet et la pratique permettent une interprétation plus cohérente ; à savoir que le représentant sera comptable du respect des obligations qui lui incombent en vertu du mandat signé. En ce sens, il ne pourra être tenu responsable d’une non-conformité relative à des éléments qu’il ignorait ; la coopération entre représentant et mandataire doit donc être totale.

Optimex Data reste à votre écoute pour répondre à vos questions sur le sujet, évaluer si vous êtes soumis à l’obligation de désigner un représentant et, le cas échéant, représenter votre structure au sein de l’Union Européenne.

visioconférence et rgpd

Tableau comparatif
de logiciels de visioconférence

Tableau comparatif
de logiciels de visioconférence
1200 800 Optimex Data

Optimex Data vous se penche sur le sujet de la visioconférence RGPD et vous propose un tableau comparatif des différentes solutions du marché au regard de la protection des données personnelles. Avec la crise sanitaire, le recours aux rendez-vous et réunion en ligne à explosé. Ainsi, le sujet visioconférence et RGPD est devenu prioritaire dans le cadre de la conformité.

En effet, dans le cadre de la protection des données, visioconférence et RGPD vont de pair.

Alors quel logiciel adopter pour la visioconférence et RGPD ?

visioconférence RGPD

Afin de respecter l’actualité « crise sanitaire 2020 » et ses confinements traduite par une demande de « restez chez vous ! », beaucoup de professionnels sont contraints de travailler à la maison avec des outils de télétravail (permettant notamment la visioconférence). Ceux-ci n’ont jamais été autant sollicités, et n’ont d’ailleurs pas été construits initialement pour réaliser autant de connexions en même temps, ce qui peut poser des problèmes de sécurité et de stabilité mais qui déclenche indirectement les problématiques suivantes : « sont-ils conforment aux exigences du RGPD ? », « Assurent-ils un niveau de sécurité suffisant permettant de réduire au maximum les risques de violations de données ? », « Vos données sont-elles, à fortiori, suffisamment protégées ?».

Certains outils ont mieux que d’autres intégré les obligations issues du RGPD, toutefois force est de constater l’inévitable concurrence qui émerge de ces besoins nouveaux. Ce phénomène entraîne des hésitations au niveau des professionnels quant aux choix qu’ils doivent exercer parmi les multiples outils proposés sur le marché.

L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer les différents logiciels de visioconférences existants, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

visioconférence et rgpd

Tixeo

  • Conformité au RGPD: Tixeo est recommandé par la CNIL.
  • Fonctionnalités soucieuses du RGPD :
    • Tixeo vous assure un accès sécurisé à vos réunions,
    • Une autorisation est requise pour partager et prendre le contrôle du bureau,
    • Néanmoins, la création d’un compte est requise pour pouvoir utiliser ce logiciel.
  • Sécurité: Tixeo est certifié par l’ANSSI (très bon niveau de sécurité).
  • Prix: le prix du logiciel est élevé, ce qui serait susceptible de représenter un inconvénient pour les petites entreprises à budget limité. En effet, les entreprises telles que Orange ou encore le Crédit Agricole utilisent Tixeo.
  • Langues: français, allemand, anglais, espagnol, chinois…

 Avantage incontestable :

Le siège social de ce logiciel se situe en France, et des filiales sont installées en Allemagne et en Espagne, autrement dit cet outil ne réalise aucun transfert en dehors de l’UE.

Wire

  • Conformité au RGPD: Wire est entièrement conforme au RGPD et aide ses clients à faire face aux exigences du RGPD
  • Fonctionnalités soucieuses du RGPD :
    • Un utilisateur enregistré avec une identité vérifiée (adresse e-mail ou numéro de téléphone) peut établir des connexions avec d’autres utilisateurs enregistrés. Les connexions sont établies lorsqu’un utilisateur envoie une demande de connexion à un autre et que cette demande est acceptée.
    • Les conversations sont séparées les unes des autres, et un utilisateur doit faire partie d’une conversation afin d’en voir le contenu.
    • A chaque déconnexion, une fenêtre « clear data » s’ouvre et vous pouvez cocher une case afin que toutes vos informations et conversations soient supprimées de l’appareil.
  • Sécurité: Wire a été fortement recommandé par la CNIL allemande (Hamburg Data Protection Authority. La sécurité du logiciel est centralisée autour d’un chiffrement activé par défaut de bout en bout et l’Open Source y est de guise.
  • Prix: la tarification de cet outil est abordable, ce qui en fait un atout majeur.
  • Langues: Wire est accessible en français, anglais et allemand.

Avantage incontestable :

Le siège social de Wire se situe en Suisse et il est entièrement conforme aux lois strictes sur la protection des données en Suisse et dans l’Union européenne. Soucieux de la protection de votre vie privée, Wire n’effectue aucun profilage et n’exploite pas vos données dans un quelconque but commercial (aucune publicité, bannière, popup...).

Zoom

  • Conformité au RGPD: bien que tout ne soit pas parfait, force est de constater les efforts de Zoom dans sa mise en conformité RGPD.
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • Zoom propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
    • Pour utiliser ce logiciel, vous devez vous créer un compte.
  • Sécurité:
    • Fortement utilisé pendant la pandémie Covid19, Zoom a fait l’objet de plusieurs analyses qui ont démontré un niveau de sécurité insuffisant (pas de consentement, lien étroit avec d’autres plateformes, mauvais système de cryptage…).
    • A la suite de ces critiques, Zoom a procédé à un renforcement de sa sécurité le 8 avril 2020, notamment en ce qui concerne le chiffrement des données.
  • Prix: le logiciel propose une version gratuite et une version payante.
  • Langues: chinois, anglais, français, allemand, italien, japonais, coréen, portugais, russe, espagnol et vietnamien.

Points de vigilance :

Le siège social de Zoom est en Californie aux USA. En utilisant Zoom, vous acceptez le fait que vos données personnelles puissent être transférées ou stockées aux Etats Unis ou dans tout autre pays du monde. Soyez vigilants car ces pays en question peuvent posséder des règles de protection des données différentes et moins protectrices que celles prévues en France.

Teams

  • Conformité au RGPD: plusieurs fonctionnalités sont proposée afin de vous donner la possibilité de gérer vous-même la protection, la prévention et la gouvernance de vos données, mais en ce qui concerne une véritable conformité au RGPD, cette dernière mériterait d’être approfondie.
  • Fonctionnalités soucieuses du RGPD :
    • Authentification multi facteur
    • Pas d’exploitation de vos données à des fins publicitaires
    • Teams propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
    • Suppression des données après résiliation ou à l’expiration de votre abonnement….
  • Sécurité:
    • Teams n’effectue aucun profilage.
    • Teams utilise la sécurité intelligente (automatisation et intelligence intégrées) : niveau de sécurité incomplet.
  • Prix: le logiciel propose une version gratuite et une version payante. . A noter que Teams est utilisé par des entreprises privées telle que l’Oréal, mais également les entreprises ayant souscrit à la suite Office 365.
  • Langues: français, anglais, espagnol, italien, russe et coréen

Points de vigilance :

  • Des institutions européennes de Microsoft existent, et à ce propos, le CEPD (Comité européen de la protection des données) a publié le 2 juillet 2020, un document présentant ses conclusions et recommandations pour l’utilisation de Microsoft par les institutions européennes.
  • Toutefois, la suite Office 365 pour les mails et pour OneDrive garantit un hébergement dans l’UE.

En revanche, pour toutes les prestations annexes tels que Teams, des transferts de données hors UE peuvent être effectués.

Google Meet

  • Conformité au RGPD: Google Meet ne représente en aucun cas, dans sa conception, l’outil idéal de conformité RGPD (manque de précision au niveau des principes et droits RGPD notamment)
  • Fonctionnalités soucieuses (ou non) du RGPD:
    • Demandes répétitives d’accès au micro et à la caméra de votre machine
    • Obligation de créer un compte pour pouvoir utiliser le logiciel
    • Accès difficile aux informations relative à la protection des données et à la sécurité du logiciel.
  • Sécurité:
    • Les données sont chiffrées lorsqu’elles sont en transit : c’est-à-dire qu’elles sont chiffrées par intranet, par des réseaux privés.
    • Les enregistrements des clients stockés dans Google Drive sont chiffrés au repos.
  • Prix : l’outil de visioconférence est inclus avec la GSuite, la suite payante d’outils payant d’outils bureautique proposé par Google.
  • Langues: français, anglais, multilingue.

Points de vigilance :

En observant les conditions générales de Google, on constate plusieurs difficultés au niveau juridique et technique. En effet, Google Meet (outil de visioconférence inclus avec la GSuite, donc suite payante) est basé aux USA en Californie, autrement dit c’est le droit américain qui sera applicable dans toutes vos relations contractuelles. Il faut donc noter qu’en confiant vos données à Google, vous ne maitrisez pas juridiquement l’exploitation de vos données, ce qui peut être extrêmement problématique.

Interstis

  • Conformité au RGPD: Interstis respecte les droits et les principes du RGPD et ne procède à aucune exploitation commerciale des données.
  • Fonctionnalités soucieuses (ou non) du RGPD
    • Les offres contiennent une clause de réversibilité des données qui oblige le logiciel à restituer les données aux utilisateurs s’il y a rupture contractuelle.
    • L’utilisation du logiciel nécessite la création d’un compte.
  • Sécurité:
    • La sécurité des installations a été recommandée par l’ANSSI.
    • Fort niveau de sécurité car les échanges d’informations sur la plateforme sont cryptées par un algorithme de chiffrement AES 128 bit dont la clé est différente pour chaque groupe de travail.

Avantage incontestable :

Interstis est hébergé en France, autrement dit les données sont elles aussi hébergées en France dans des datacenter (donc pas de transferts de données en dehors de l’UE).

Cisco Webex

  • Conformité au RGPD: aucune information ne permet d’évaluer à ce jour si ce logiciel est conforme ou non au RGPD (aucune mention dans la politique de confidentialité)
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • Le logiciel a publié une liste pratique ayant pour unique intérêt d’informer les organisateurs des gestes à adopter dans le but de sécuriser leurs réunions. En effet, ce dernier n’apporte pas de précisions sur son rôle au sein de cette protection.
    • L’utilisation du logiciel nécessite une inscription (donc une collecte de vos données)
  • Sécurité: « tout ce qui est dit, partagé, et tapé » est protégé par un chiffrement
  • Prix: Cisco Webex propose une version gratuite ainsi qu’une version payante. On constate que le coût parait relativement élevé pour les petites entreprises à budget limité (prix par hôte).
  • Langues: français, anglais, espagnol, chinois, coréen, italien, allemand.

Points de vigilance :

Cisco est basé aux USA en Californie, il s’agit d’une entreprise internationale qui peut de ce fait être amenée à transférer des informations personnelles vers Cisco aux USA, ou encore vers une filiale de Cisco dans n’importe quel pays. Autrement dit, en utilisant ce logiciel et donc en communiquant vos données vous acceptez qu’elles puissent être transférées, traitées et stockées en dehors de l’UE.

Go to meeting (produit de LogMeIn) :

  • Conformité au RGPD: LogMeIn a mis en place un engagement constitué de plusieurs documents PDF ayant pour objectif de répondre aux exigences du RGPD.
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • L’utilisation du logiciel nécessite une inscription
  • Sécurité: les fonctions de sécurité avancées sont proposées en option (par exemple une connexion SAML SSO requise).
  • Prix: le logiciel ne propose pas de version gratuite (Uniquement un essai gratuit de 14 jours)
  • Langues: anglais, français, multilingue

Points de vigilance :

La politique de confidentialité de LogMeIn consacre une partie sur la notion particulière du Privacy Shield et à son invalidation. Toutefois, il est précisé qu’il existe d’autres mécanismes de transfert de données (signature de l’Addendum de traitement des données ou encore des clauses contractuelles types).

Mikogo

  • Conformité au RGPD: Mikogo est conforme au RGPD (respect des droits et des principes)
  • Fonctionnalités soucieuses du RGPD :
    • Les identifications de session se font de manière unique avec un mot de passe de session.
    • Ceux qui partagent leur contenu d’écran et participent à une session ont donné leur accord au préalable.
    • Aucune donnée de réunion n’est enregistrée.
    • Outils de supervision de réseaux et outils de détection d’intrusion vous garantissent qu’aucun intrus ne pourra joindre une session et voir l’écran d’un autre participant.
    • Un participant ne peut ni voir ni contrôler un autre ordinateur sans avoir obtenu l´accord explicite de son propriétaire.
  • Sécurité :
    • Mikogo use d’un bon système de cryptage (AES 256 bit) avec un chiffrement SSL de 128 bits du site web.
  • Prix: ce logiciel propose une version gratuite et des versions payantes. A noter que des sociétés telles que Disney ou Yamaha utilisent Mikogo.
  • Langues: français, anglais, allemand, brésilien, espagnol, italien, russe, chinois.

Points de vigilance :

Bien que basé en Europe (Allemagne), il faut noter qu’en utilisant ce logiciel et en contactant l’entreprise par courriel ou par le biais d’un formulaire de contact, vos informations sont automatiquement stockées dans le système CRM, qui est fourni par Salesforce Inc. (basé aux Etats Unis). Il n’est donc pas à exclure que vos données puissent être transférées et traitées dans un pays tiers (les USA par exemple) ou que vos données, stockées dans l’UE, soient accessibles depuis des pays tiers.

Conclusion

Nous vous conseillons, avant de télécharger un de ces outils, de :

  • Privilégier les solutions qui protègent la vie privée et respectent les exigences du RGPD
  • Ne pas télécharger cet outil depuis un site web ou une source inconnus
  • N’utilisez que les applications pour lesquelles l’éditeur vous indique
    clairement comment vos données sont réutilisées (dans l’application elle-même
    ou sur son site web, par exemple
    )
  • Vérifier que l’éditeur a mis en place des mesures de sécurité essentielles,
    comme le chiffrement des communications de bout en bout
  • Sécuriser au maximum votre réseau Wi-Fi (mot de passe robuste par exemple, ou penser à inclure au sein de votre organisme un générateur de mot de passe tel que Keepass par exemple)
  • Être vigilant sur les éventuels transferts de données hors UE

Notre coup de cœur :

L’équipe Optimex Data a eu un véritable « coup de cœur » pour Wire. Ce logiciel est non seulement conforme au RGPD, mais son niveau de sécurité (notamment en ce qui concerne le chiffrement des données) est tout à fait adapté. Le logiciel est extrêmement facile d’utilisation, et vous propose lors d’une suppression de compte de supprimer toutes vos données. Encore, il propose des Guest Rooms, donc pas besoin pour vos clients, ou pour des personnes que vous souhaitez inviter, de se créer un compte Wire, il suffira de leur envoyer un lien qui leur permettra de vous rejoindre !

Vous n’avez plus qu’à faire votre choix !
cyberscore et RGPD

Sur la voie d’un Cyberscore ?

Sur la voie d’un Cyberscore ? 960 640 Optimex Data

Optimex Data vous présente le concept de cyberscore et RGPD

Cyberscore et RGPD

Vous connaissez sans doute le NutriScore ? (Un système d’étiquetage nutritionnel à cinq niveaux, allant de A à E et du vert au rouge, établi en fonction de la valeur nutritionnelle d’un produit alimentaire), mais que diriez-vous d’un CyberScore.

C’est le fameux projet de loi, proposé par le sénateur Laurent Lafon, qui a été adopté par le Sénat le 22 octobre 2020.

Ce système de CyberScore aurait comme grand objectif de mettre en place une certification de la sécurité des plateformes à destination du grand public. Autrement dit, l’instauration d’un tel projet résulte d’une forte volonté de sécurisation en ce qui concerne les données des utilisateurs d’outils numériques.

Quelles seraient les causes servies par un tel projet ?

  • Il s’agirait premièrement, d’un véritable outil de transparence permettant de répondre aux craintes des français, en les informant de façon claire et lisible sur le niveau de protection accordé à leurs données personnelles en ligne.
  • Il s’agirait également d’un outil concurrentiel pour les plateformes qui souhaiteraient en bénéficier : en effet, quoi de mieux, pour répondre aux inquiétudes des utilisateurs, que de mettre en place sur sa plateforme un outil permettant de se distinguer des autres ? Cela serait un véritable moyen de favoriser les plateformes numériques les plus respectueuses.

A l’heure actuelle rien n’est encore acté, mais il semblerait que le Gouvernement soit véritablement intéressé par ce projet de loi. Cet intérêt n’est toutefois pas anodin, c’est l’explosion de l’utilisation d’internet pendant le 1er confinement de 2020, à la suite de la pandémie, qui aurait déclenché toutes ces interrogations au niveau de la sécurité des données personnelles en ligne, et sans surprise ce sont les réseaux sociaux et messageries instantanées qui ont été le plus plébiscités.

Concrètement :

  • Les critères de CyberScore seraient fixés par l’ANSSI
  • Le visuel serait similaire à celui du NutriScore (notation de A à E avec une jauge allant du vert au rouge)
  • Il s’appliquerait aux réseaux sociaux, aux services cloud et marketplaces.
  • Il s’agirait d’avoir 4 ou 5 critères qui permettront aux utilisateurs d’identifier automatiquement le degré de risque qu’ils encourent en utilisant une plateforme.

Mais là où le projet CyberScore se focalise davantage sur les aspects techniques, force est de se demander s’il ne serait pas opportun d’y intégrer la dimension RGPD – Protection des Données Personnelles et de mettre en place, dans un sens plus large, un projet de « Cyber Compliance » ?

cookies et RGPD

Les cookies : suite et fin ?

Les cookies : suite et fin ? 960 640 Optimex Data

Optimex Data vous présente les dernières actus cookies et RGPD

cookies et rgpd

C’est presque un rituel désormais de faire le point sur les recommandations en matière de cookies. En effet, entre les premières lignes directrices, les précisions de la CNIL, l’invalidation de certaines par le conseil d’Etat, les évolutions ont été régulières sur ces deux dernières années. Avant de vous présenter les nouvelles lignes directrices de la CNIL, on vous propose un court calendrier rétrospectif de l’année écoulée :

Le 7 janvier dernier on vous faisait un point sur les lignes directrices de la CNIL pour l’utilisation des cookies ;

– Le 21 février on vous faisait un point sur les dernières précisions de la CNIL, notamment, que le fait de continuer à naviguer sur un site ne constitue pas des actions positives claires assimilables à un consentement valable ;

– Le 23 juin on reprenait la plume pour vous décrypter la décision du Conseil d’Etat qui invalidait les lignes directrices de la CNIL sur le sujet des cookies wall.

Vous pensez qu’on en resterait là ? C’est parti pour une petite présentation des lignes directrices modificatives de la CNIL et sa recommandation concernant les Cookies et autres traceurs !

Consentement aux Cookies

Dans sa délibération, la CNIL fait tout d’abord un point sur le consentement en matière de cookies et autant vous le dire maintenant, rien de nouveau sous le soleil !

L’autorité de contrôle rappelle, tout d’abord, que « toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir ». En d’autres termes, le consentement est UNIQUEMENT matérialisé lorsque l’utilisateur a CLAIREMENT CLIQUE SUR LE BOUTON POUR ACCEPTER LES COOKIES.

A contrario, la CNIL refait également un point sur les traceurs nécessaires qui bénéficient à ce titre d’une exception au recueil du consentement.

En lien direct avec le consentement, les conditions du refus sont aussi précisées par la CNIL qui redit l’importance d’offrir un moyen de refuser les cookies aussi aisé que celui pour les accepter (fini les 154 cases à décocher). La CNIL en profite pour se prononcer sur la durée de conservation du refus en préconisant de le conserver un moment « afin de ne pas réinterroger l’internaute à chacune de ses visites ». Cependant, aucune durée n’est clairement indiquée.

Enfin, la CNIL souligne que « les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ».

Information des Personnes

Concernant l’information éclairée des personnes, sans surprise, ces dernières « doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ».

A cette fin, la CNIL a rédigé, dans ses délibérations, des exemples de présentation des finalités selon chaque type de traceurs : publicité personnalisée, publicité non personnalisée, personnalisation de contenue, etc….

Précision : les personnes concernées « doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement ».

Design du Bandeau Cookie

Là encore, il ne s’agit pas d’une innovation mais la CNIL recommande à nouveau un bandeau cookie qui comprendrait un bouton « tout refuser ».

Pour ces boutons généraux d’acceptation ou de refus l’autorité de contrôle présente quelques possibilités de formulation : « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et «je n’accepte rien».

Enfin, la Commission recommande de mettre en place une liste des finalités des cookies sur le premier écran du bandeau et « une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement » (interface accessible en cliquant sur le bouton « paramétrer »).

Elle en profite pour souligner l’importance du design dans le caractère intelligible ou non de l’information tout en validant l’usage de boutons types « slider » (glissant).

Pour conclure, il est fortement recommandé de se pencher dès à présent sur la gestion de vos cookies, et de s’assurer de la conformité de votre site internet. Vous avez désormais un peu moins de 6 mois, puisque la CNIL a donné sa deadline pour être en conformité « au plus tard fin mars 2021 ».

pvicay shield et rgpd

Privacy Shield, le feuilleton continue !

Privacy Shield, le feuilleton continue ! 960 640 Optimex Data

Optimex Data vous présente les dernières actualités sur le sujet du Privacy Shield et RGPD

Privacy Shield et RGPD

Dans un épisode précédent, nous vous contions comment le temps s’était arrêté quand, en ce jour de juillet, la CJUE avait rendu son arrêt Schrems II, qui invalidait le Privacy Shield.

Pour rappel, le Privacy Shield c’est cet accord qui permettait, depuis 2016, de transférer des données personnelles entre les Etats-Unis et l’Union Européenne sur le fondement d’une décision d’adéquation de la Commission Européenne.

Alternatives au Privacy Shield

A la suite de cette invalidation, la première question fut naturellement de savoir comment maintenir les transferts de données vers les US dans le respect des dispositions légales.

Sur le papier, rien de plus simple ! En effet, le RGPD a plus d’un tour dans son sac et propose un panel de mesures de « garanties appropriées » permettant de transférer des données à caractère personnel hors de l’Union Européenne en l’absence de décision d’adéquation.

Ainsi, le règlement livre un inventaire à la Prévert de garanties appropriées : « un instrument juridiquement contraignant et exécutoire », « des règles d’entreprise contraignantes », « des clauses types de protection des données adoptées par la Commission »

Ainsi, la fameuse firme de Marc Zukerberg, dont le siège social se situe en Irlande, a pris le parti de mettre en œuvre des clause contractuelles type afin de conserver la possibilité de transférer les données de ses utilisateurs européens vers le pays de l’Oncle Sam.

C’était sans compter sur l’avis de la Irish Data Protection Commission (DPC) (équivalent de la CNIL en Irlande). En effet, sans remettre en cause la validité générale de l’usage des clauses contractuelles types pour les transferts hors UE, la DPC considère, pour autant, qu’elles ne peuvent pas être utilisées pour les transferts EU-US. En cause, les pratiques généralisées de surveillance de l’Etat américain (déjà à l’origine de l’invalidation du Privacy Shield) qui ont donc conduit la CNIL Irlandaise à considérer que les transferts de données hors UE devraient être suspendu en ce qu’ils ne sont pas en mesure de garantir un niveau de protection équivalent à celui garanti par le RGPD.

Facebook se rebelle …

La réponse du berger à la bergère ne s’est pas fait attendre, peu de temps après, Yvonne Cunnane (Responsable de la protection des données chez Facebook) indiquait au cours d’une déclaration sous serment : « On ne voit pas comment, dans ces circonstances, Facebook pourrait continuer à fournir les services Facebook et Instagram dans l’Union européenne ». Venait s’y ajouter une deuxième salve de la firme américaine annonçant dans une déclaration écrite au tribunal que la décision de la DPC pourrait forcer la compagnie à quitter l’Europe en abandonnant ses 410 millions d’utilisateurs.

Aussi anecdotique que soit cette affaire, elle a le mérite de parfaitement illustrer la situation d’incertitude qui demeure depuis le 16 juillet 2020. En l’absence de clarification des instances européennes et nationales, les transferts entre l’Union Européenne et les Etats-Unis semblent être à éviter. Dans ce contexte, les organismes doivent porter une attention toute particulière aux transferts de données vers les US. Celle-ci se traduit également par une vigilance accrue dans le choix des sous-traitants et incite à engager une réflexion sur les alternatives aux prestataires américains.

Affaire à suivre…

analyse d'impact protection des données

Audit RGPD & AIPD : objectifs et différences ?

Audit RGPD & AIPD : objectifs et différences ? 1260 840 Optimex Data

Analyse d’impact protection des données personnelles et audit RGPD, quels différences, quels objectifs …

Objectifs et différences : analyse d’impact protection des données personnelles et audits RGPD

Selon les recommandations de la CNIL, une fois que le délégué à la protection des données a été désigné, l’étape suivante est de cartographier les traitements de données personnelles. Ensuite, il convient de gérer les risques potentiels via la conduite d’analyse d’impact relative à la protection des données – AIPD, pour les traitements ayant été identifiés à risques pour les droits et libertés des personnes concernées. Et beaucoup s’interroge sur la différence entre un audit de conformité RGPD et une AIPD. A travers cet article, nous allons vous expliquer la différence entre les deux sujets et surtout leurs objectifs respectifs.

Les objectifs d’un audit de conformité RGPD ?

Dans une démarche de mise en conformité, le délégué à la protection des données réalise un audit de conformité RGPD. Cela consiste à faire le tour des services afin d’évaluer les actions à mettre en place conformément aux exigences du RGPD. Lors de ce tour des services, le DPO / DPD est amené à rencontrer les différents acteurs en interne. Il pourra ainsi mieux appréhender leur quotidien professionnel.

De cet échange, il en ressort généralement avec une liste des traitements (la cartographie) réalisés dans chacun des services ; les prémices pour rédiger le fameux registre des traitements. Ensuite, le DPO / DPD récupère les documents et formulaires utilisés pour …

  • recueillir des données personnelles ;
  • recueillir les contrats signés avec les sous-traitants – sous-traitants au sens du RGPD ;
  • Identifie les mesures de sécurité en place – techniques et organisationnelles.

Enfin, il conçoit un plan d’actions pour identifier et prioriser les actions à mettre en place, pour se conformer aux obligations du RGPD et de la loi Informatique et Libertés. Effectivement, les priorités sont définies au regard des risques qui pèsent sur les droits et les libertés des personnes.

En résumé, un audit de conformité RGPD permet de faire un état des lieux de l’existant afin de recenser les actions déjà conformes à la réglementation vigueur et celles nécessitant une mise à jour. Parmi les mises à jour identifiées, une analyse d’impact relative à la protection des données – AIPD est quelques fois nécessaire.

Les objectifs d’une analyse d’impact relative à la protection des données – AIPD ?

Pour les traitements présentant des risques élevés, et qui ont été identifiés lors de l’audit RGPD, il est important de s’interroger sur l’utilité de réaliser ou non une AIPD. Afin de clarifier certains traitements courants, la CNIL a publié une liste des traitements nécessitant la réalisation d’une AIPD et la liste des traitements dont la réalisation d’une AIPD n’est pas requise. Les traitements les plus couramment concernés par la conduite d’une AIPD concerne soit un public vulnérable – personnes âgées, mineurs, salariés … soit des données sensibles – santé, appartenance religieuse, données judiciaires …

Cependant, même pour les traitements figurant sur la 2ème liste – AIPD non requise ; nous recommandons vivement de faire à minima une analyse des risques. En effet, une analyse des risques est réalisée en amont de la conduite d’une AIPD ; la raison est que la conclusion d’une analyse des risques peut conduire à la décision qu’une AIPD n’est pas nécessaire. Contrairement à une analyse des risques, la conduite d’une AIPD permet de :

  • Délimiter et décrire le contexte du traitement
  • Analyser et identifier les mesures garantissant le respect des principes fondamentaux
  • Apprécier les risques sur la vie privée
  • Valider (ou non) le traitement, et ainsi autoriser la continuité du traitement

Les conclusions d’une AIPD se basent le niveau gravité et de vraisemblance du risque encourus, au regard des 9 critères issus des lignes directrices du G29. La validation d’une AIPD vient corréler des risques potentiels avec des mesures spécifiques pour garantir la protection des données personnelles.

Mais quand doit-on réaliser une analyse d’impact – AIPD ? La CNIL recommande de réaliser une AIPD avant la mise en œuvre du traitement. Cependant, dans la plupart des situations, le traitement est déjà en place, et l’AIPD est donc réalisée à posteriori. Néanmoins, il est nécessaire de revoir une AIPD de façon régulière. Le traitement peut en effet évoluer en termes d’environnement technique et organisationnel.

En conclusion …

En résumé, un audit de conformité RGPD conduit très souvent à la nécessité de réaliser une analyse d’impact – AIPD sur certains traitements ayant été identifiés à risques pour la vie privée. L’un ne va pas sans l’autre. Mais il est préférable de commencer par un audit de conformité RGPD. Ce-dernier permet d‘avoir une vision globale de la structure et des traitements nécessitant l’utilisation de données à caractère personnel. Ensuite, dans un second temps, la réalisation d’une analyse d’impact – AIPD permet de valider un traitement en ayant identifié les risques potentiels sur la vie privé et en ayant mis en place des actions garantissant la protection des données personnelles.

sanctions de la cnil rgpd

Sanctions CNIL et Violations de Données

Sanctions CNIL et Violations de Données 960 640 Optimex Data

Optimex Data vous présente les dernières sanctions de la CNIL RGPD

sanctions de la CNIL RGPD

Saviez-vous que le mois d’octobre est consacré à la cybersécurité ? La CNIL et l’ANSSI vous proposent des campagnes de sensibilisation pour une « culture de la sécurité numérique ». Notre objectif sera de porter à votre connaissance des faits récents démontrant l’intérêt qu’il faut porter à ce sujet.

Phishing de Doctolib : méfiez-vous !

Un faux mail de rendez-vous Doctolib circule en ce mois d’octobre 2020. Son objectif est que vous confirmiez un rendez-vous, dont la date et l’heure auraient été préalablement fixés. Faites attention, ne cliquez par sur le lien qui vous est proposé, il s’agit d’une arnaque mise en place afin de récolter certaines de vos données en vous renvoyant vers un site d’arnaque au support informatique.

Afin d’identifier ce type d’escroquerie, la CNIL vous énumère les bons gestes à avoir dans ce genre de situation.

Gare aux vidéosurveillances !

Nous vous avions prévenu… la CNIL est actuellement très à cheval sur les dispositifs de vidéosurveillance et sur leur conformité avec le RGPD. En ce sens, des mesures strictes sont assimilées à ces outils en fonction des différents secteurs d’activité.

En ce qui concerne les lieux de travail, ces outils ne peuvent aucunement conduire à placer les employés sous surveillance constante et permanente.  Sur ce sujet, la CNIL allemande a récemment sanctionné l’entreprise H&M d’une amende de 35 millions d’euros à la suite d’un contrôle qui a révélé que les salariés étaient régulièrement surveillés par des dispositifs de surveillance au sein de la société.

Nous vous recommandons d’être extrêmement vigilants quant à l’instauration de dispositifs de vidéosurveillances au sein de votre entreprise. Il s’agit avant tout de ne pas outrepasser les droits et libertés individuelles des individus par le RGPD. La surveillance illégale de ses salariés porte non seulement atteinte à leur vie privée ; mais elle entraîne des sanctions parfois irrémédiables au niveau des autorités de contrôle. N’oubliez pas que les salariés sont considérés, au sens du RGPD, comme des personnes vulnérables. C’est pourquoi il est recommandé de conduire des analyses d’impact afin de garantir la protection des données personnelles.

Sur les violations de données …

La CNIL a publié un article le 7 octobre 2020 relatif à des récupérations de numéros de carte bancaire qui seraient effectuées par injection SQL sur un site de e-commerce.

En ce qui concerne les injections SQL :

  • Il s’agit d’une technique permettant d’injecter du code de type SQL (langage informatique) dans les zones de champs des formulaires web ou dans les liens de page.
  • Cette technique permet aux attaquants d’avoir accès aux données des utilisateurs (en l’occurrence aux coordonnées bancaires).

Soyez particulièrement vigilants sur les mesures de sécurité que vous instaurez au sein de votre entreprise, ce sont elles qui permettent avant tout de protéger les données de vos clients.

sensibilisation rgpd

Pourquoi sensibiliser les effectifs à la protection des données

Pourquoi sensibiliser les effectifs à la protection des données 1260 765 Optimex Data

Optimex Data vous propose des solutions de sensibilisation RPGD ou sensibilisation à la protection des données des équipes.

sensibilisation RGPD

L’une des missions du Délégué à la Protection des Données est la sensibilisation du personnel au RGPD, et surtout aux bonnes pratiques à suivre pour garantir la sécurité, la protection et la confidentialité des données personnelles (Art. 39 du RGPD). Pour cela, la CNIL met en place plusieurs outils pour aider les organismes : des fiches thématiques ou encore le MOOC en ligne. Également, l’ANSSI a mis en place son MOOC sur la sécurité numérique.

Alors, pourquoi est-ce si important de former ses équipes au RGPD ? Et surtout comment le faire de manière efficace avec des résultats probants ?

Pourquoi sensibiliser les équipes au RGPD ?

La sensibilisation à la protection des données est un enjeu majeur pour tous les organismes. Le Délégué à la Protection des Données a beau mettre en place toutes les procédures nécessaires au respect du RGPD, si les salariés ne sont pas au courant de ce qui existe, cela n’a pas de sens. C’est comme installer une porte blindée en laissant les clés dessus. En effet, il est primordial d’impliquer les équipes dans la mise en conformité RGPD de leur structure. Tout le monde est acteur et responsable de la protection des données. CE sont les bonnes pratiques du quotidien qui assureront et garantiront la sécurité des donnée personnelles.

De plus, chaque collaborateur doit connaitre la procédure en cas de demande de droit des personnes, en cas de violations de données, en cas de demande d’un client – prospect – tiers ou bien en cas de contrôle de la CNIL. Pour cela, le Délégué à la Protection des Données se doit de communiquer et d’expliquer la procédure à suivre dans chacune des situations, et surtout le nom des interlocuteurs à contacter en cas de besoin ou de doute.

Enfin, il est important de sensibiliser les utilisateurs sur la sécurité informatique, et l’utilisation des outils numériques pour respecter les exigences du RGPD. Alors, il convient d’expliquer aux équipes comment naviguer sur internet en toute sécurité ; comment sécuriser ses mots de passe ; de quelle manière utiliser ses appareils mobiles en toute sécurité…

Comment sensibiliser les équipes au RGPD ?

Même si les organismes ont bien conscience de l’important de la sensibilisation à la protection des données personnelles, tous ne savent pas forcément comment s’y prendre. A noter, qu’il existe autant de façons de sensibiliser les équipes au RGPD, qu’il existe d’organismes. Chaque structure, en fonction de sa culture d’entreprise ou de son organisation interne, va privilégier une méthode plutôt qu’une autre.

En revanche, nous pouvons regrouper en grandes catégories les façons qui ont été reconnues et approuvées en matière de sensibilisation. La plupart du temps, il est plus efficace d’en réaliser plusieurs en parallèle pour s’assurer de l’impact positif sur l’ensemble des salariés. En effet, voici les différentes manières de sensibiliser les équipes au RGPD : note d’information interne (panneau d’affichage, intranet, e-mail), réunion d’information par service (bonnes pratiques par service), webinar ou e-learning de 30 à 45 minutes, plénière à l’ensemble du personnel, formation pour les responsables de service.

De plus, il est possible de sensibiliser les équipes par des campagnes de phishing, afin de s’assurer que les procédures mises en place soient suivies. Également, certaines structures envoient des e-mails à leur salarié avec la bonne pratique RGPD de la semaine ou du mois, sous format humoristique.

En conclusion …

La sensibilisation à la protection des données auprès des salariés est vraiment spécifique à chaque structure. Il est obligatoire de sensibiliser tout le monde au sujet du RGPD. En revanche, nous sommes libres de choisir la méthode, celle qui correspond le mieux à nos valeurs, à notre organisation et nos modes de communication en interne. Un conseil : soyez créatifs sur le sujet du RGPD, vous marquerez l’esprit de vos équipes !