fbpx

RGPD

sécurité des données personnelles

Sécurité des données personnelles

Sécurité des données personnelles 1280 719 jeremy

La sécurité des données personnelles constitue un volet essentiel de la conformité. Les obligations se sont renforcées avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018.

Le RGPD dispose dans son article 32 que « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

La confiance passant par la sécurité, la Commission n’hésite plus à sanctionner les organismes lorsqu’il y a une atteinte grave à la sécurité des données des personnes concernées. C’est le cas par exemple pour SERGIC qui a été sanctionnée à 400 000€ d’amende pour atteinte à la sécurité et non-respect des durées de conservation ou encore Active Assurances qui a été condamné à régler la somme de 180 000€ pour atteinte à la sécurité des clients.

UBER a également été condamné à une lourde amende, 400 000€, pour avoir insuffisamment sécurisé les données des utilisateurs de son service VTC.

Afin d’éviter toute sanction relative à la sécurité des données personnelles, vous pouvez vous appuyer sur le guide de la sécurité des données personnelles consultable sur ce lien qui permet d’aider les professionnels dans leur mise en conformité que ce soit à la Loi Informatique et Libertés et au RGPD.

Pour en savoir plus, la CNIL met à disposition une check list permettant d’évaluer le niveau de sécurité des données personnelles de votre organisme, cliquez ici pour la consulter.

videosurveillance

Vidéosurveillance : Comment éviter une mise en demeure de la CNIL ?

Vidéosurveillance : Comment éviter une mise en demeure de la CNIL ? 1280 854 jeremy

La vidéosurveillance a fait l’objet, récemment, de nombreuses mises en demeure ou de sanctions de la part de la CNIL. En effet, le 18 juin 2019 UNIONTRAD COMPANY a été condamné à 20 000€ d’amende pour vidéosurveillance excessive des salariés. Le 24 juillet 2019, la CNIL met en demeure l’Institut des Techniques Informatiques et Commerciales (ITIC) pour avoir mis en place un système de vidéosurveillance excessif. Aussi, le 18 décembre 2019, la Présidente de la CNIL a mis en demeure cinq établissements scolaires pour vidéosurveillance excessive.

Alors, quelles sont les règles à respecter pour éviter une mise en demeure ou une sanction de la CNIL ?

Vidéosurveillance au travail 

Avant tout propos, un employeur doit définir un objectif légal et légitime avant toute installation de caméra dans ses locaux. Cet objectif légal et légitime peut être : la sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions.

Voici les règles à respecter lors de l’installation de dispositif de vidéosurveillance :
  • Les caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.
  • Elles ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières tels que les employés manipulant de l’argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier ou encore dans l’entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires.
  • Les caméras ne doivent pas non plus filmer les zones de pause ou de repos des employés, ni les toilettes.
  • Enfin, elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu’il ne mène qu’à ces seuls locaux.

Seules les personnes habilitées par l’employeur pourront visionner les images enregistrées.

En cas d’accès aux images à distance, l’employeur est tenu d’en sécuriser les accès notamment via un mot de passe robuste, une connexion sécurisée. Cet accès à distance ne doit jamais être utilisé pour surveiller les employés.

L’employeur devra définir une durée de conservation des images de vidéosurveillance. En principe, cette durée ne doit pas excéder un (1) mois.

Les personnes concernées (employés et visiteurs) devront être informées, au moyen de panneaux affichés en permanence, de façon visible, dans les lieux concernés, qui comportent a minima, outre le pictogramme d’une caméra indiquant que le lieu est placé sous vidéoprotection : les finalités du traitement installé ; la durée de conservation des images ; le nom ou la qualité et le numéro de téléphone du responsable/du délégué à la protection des données (DPO) ; l’existence de droits de la personne concernée.

Quelles sont les formalités à accomplir en amont de l’installation ?

Si les caméras filment un lieu non ouvert au public, aucune formalité n’est exigée auprès de la CNIL. En revanche, si les caméras filment un lieu ouvert au public, le dispositif doit être autorisé par le préfet du département.

Les instances représentatives du personnel devront être informées et consultées avant toute décision d’installation de caméras de vidéosurveillance.

A titre informatif, dès lors qu’un dispositif de vidéosurveillance conduit à la « surveillance systématique à grande échelle d’une zone accessible au public » une analyse d’impact devra être effectuée.

Pour en savoir plus, vous trouverez sur le site de la CNIL toutes les informations relatives à la vidéosurveillance au travail, dans les magasins, sur la voie publique, en cliquant sur ce lien suivant.

renseignements sur les administrés

Communiquer des informations sur les administrés : à qui et dans quelles conditions ?

Communiquer des informations sur les administrés : à qui et dans quelles conditions ? 1280 853 jeremy

Principe : Les collectivités territoriales ne sont pas habilitées à communiquer à des tiers les données personnelles qu’elles détiennent.

Exception : Certaines informations doivent être communiquées aux « tiers autorisés » tels que les autorités publiques ou certains auxiliaires de justice.

  1. Conditions de communication des données

La communication à des tiers autorisés n’est possible que lorsqu’elle est expressément autorisée par un texte de loi ou une obligation légale.

Pour chaque demande de communication, vous devez vérifier certains points :

  • La demande doit être écrite et son fondement légal doit être précisé. C’est à la collectivité territoriale de vérifier la conformité du fondement légal au regard des textes invoqués dans la demande de communication ;
  • La demande doit être présentée par une personne ayant qualité pour agir en application du texte fondant le droit de communication. La délivrance d’un document prouvant l’identité de la personne habilitée est facultative mais peut être toutefois exigée par le responsable de traitement ;
  • La fréquence et le périmètre de la demande de communication ne peut pas excéder les limites éventuellement prévues par le texte précité (par exemple, respect du secret médical) ;
  • Les modalités de transmission devront être sécurisées pour assurer la confidentialité des données (ex : remise en main propre, chiffrement des données, etc..) ;
  • Seules les informations strictement nécessaires à la demande doivent être communiquées ;
  • Une traçabilité devra être effectuée afin de prouver la transmission.
  1. Les tiers autorisés

Vous trouverez en suivant ce lien une liste non exhaustive de tiers autorisés à obtenir la communication de données.

  1. Les limites du droit de communications des tiers autorisés

La collectivité territoriale ne peut pas constituer des fichiers spécifiques pour la gestion des demandes, utiliser des fichiers non détenus en propre pour répondre aux demandes et collecter des données sans lien avec la finalité du fichier et permettant uniquement de répondre aux demandes.

  1. Droit de communication des tiers autorisés et droit d’accès aux documents administratifs

Le droit de communication par des tiers autorisés leur permet d’accéder à certaines catégories d’informations dans le cadre d’une procédure légale.

Le droit d’accès aux documents administratifs permet à toute personne d’accéder aux documents détenus par l’administration.

Pour en savoir plus, vous trouverez le guide de sensibilisation au RGPD pour les collectivités territoriales en cliquant ici.

données personnelles et prévention de la délinquance

Prévention de la délinquance par les mairies : Quelles sont les bonnes pratiques ?

Prévention de la délinquance par les mairies : Quelles sont les bonnes pratiques ? 1280 853 jeremy

Le Code de la sécurité intérieure confie au Maire des missions de prévention de la délinquance sur le territoire de la commune. Ces traitements de données peuvent porter sur des données sensibles ou concerner des personnes vulnérables au sens du RGPD. Voici un rappel des points de vigilance :

  1. Minimisation des données 

La CNIL a constaté que les Mairies faisaient une collecte systématique des données sensibles ou des données relatives à des infractions pénales. Pour rappel, ces données ne doivent être collectées uniquement lorsqu’elles sont nécessaires et indispensables pour le suivi de la personne concernée.

Bonne pratique : Veiller à ne collecter que les données strictement nécessaires aux objectifs poursuivis.

  1. Privilégier les fiches individuelles de suivi

La Commission a constaté que les champs « motifs de signalement » entrainaient l’insertion de données issues du fichier de police alors que la communication de ces éléments est limitée à certaines personnes. La CNIL a également constaté des commentaires subjectifs et inappropriés dans les fiches de suivi. En d’autres termes, l’usage de champs libres favorise une collecte excessive des données personnelles.

Bonne pratique : Eviter les fichiers collectifs de suivi tels que les tableurs afin de favoriser l’utilisation des fiches individuelles de suivi qui permettent de minimiser la collecte de données.

Concernant les motifs de signalement, il est préférable d’utiliser un système de cases à cocher avec une liste prédéfinie comme par exemple : police nationale, bailleurs, établissement scolaire, etc.. afin d’éviter les zones de commentaires libres. 

  1. Définir une durée de conservation

La CNIL s’est aperçue que les fiches individuelles ou collectives étaient conservées indéfiniment.

Bonne pratique : Il est indispensable de prévoir une durée de conservation uniforme avec des purges automatiques. Par exemple, vous pouvez définir une durée de conservation des fiches individuelles à la date de fin de suivi. A l’expiration, les données peuvent être archivées pendant trois (3) ans maximum.

  1. Informer les personnes concernées

La CNIL constate assez régulièrement une absence d’information des personnes concernées de leurs données personnelles.

Pour rappel, les personnes doivent être informées que leurs données sont collectées à des fins de prévention de la délinquance.

Bonne pratique : Il faut instaurer une double information des personnes, collective et individualisée. Par exemple, la Mairie peut intégrer sur son site Web, l’existence d’un traitement de données aux fins de prévention de la délinquance. Ensuite, elle devra également adresser un courrier à la personne concernée et/ou à son représentant légal afin de l’informer individuellement du traitement effectué.

  1. Sécuriser l’accès aux données 

Au regard de la sensibilité des données traitées, l’accès doit être strictement limité aux seules personnes habilitées.

Bonne pratique : Il faudra définir une politique de sécurité destinées à garantir la confidentialité des données. Ainsi, le Maire devra désigner les personnes habilitées à accéder aux données et mettre en œuvre des protections physiques et logiques adéquates. Les accès feront l’objet d’une traçabilité pour permettre au Maire de détecter les accès non autorisés.

Les échanges de données entre les acteurs devront également être sécurisés par un chiffrement ou un mot de passe.

Pour en savoir plus, vous pouvez consulter la Loi n°2007-297 du 5 mars 2007 relative à la prévention de la délinquance en cliquant ici.

Mais aussi, l’autorisation unique AU-038 qui n’a plus de valeur juridique mais qui reste accessible à titre informatif dans l’attente d’un nouveau référentiel en cliquant sur ce lien.

rgpd et appli médicale

Applications mobiles en santé et protection des données personnelles : les questions à se poser

Applications mobiles en santé et protection des données personnelles : les questions à se poser 1137 640 jeremy

Le développement d’un application « santé » nécessite de prendre en considération la protection des données personnelles collectées. Quelques questions à se poser :

  1. Champs d’application du RGPD et Loi Informatique et Libertés

Avant tout, il convient de vérifier si l’application mobile entre dans le champ d’application de la règlementation en matière de données personnelles.

  • Le RGPD ne s’applique pas si l’application mobile enregistre et conserve les données personnelles exclusivement localement dans un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.
  • A contrario, le RGPD s’applique si l’application propose des fonctionnalités permettant d’assurer un service à distance à son utilisateur ou qu’elle comporte une connexion extérieure. Une analyse d’impact devra être réalisée.
  1. Les finalités d’une application mobile et la nature des données collectées

Ensuite, il faudra s’assurer que les données recueillies soient collectées pour des finalités déterminées, explicites et légitimes. Cela peut être, par exemple, pour assurer un suivi des patients, la télésurveillance, la téléconsultation, la téléexpertise (suivi des cas cliniques et avis des professionnels), etc…

L’identification de la ou les finalité(s) de l’application mobile devra être fait en amont de sa conception pour pouvoir éventuellement apprécier les données pertinentes à collecter.

Les données collectées peuvent être des données de santé c’est-à-dire des données dites « sensibles » au sens du RGPD. Par conséquent, ces données feront l’objet d’un régime juridique de protection renforcées par diverses règlementations. Les données collectées par l’application mobile devront être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

  1. Le responsable de traitement

Il faudra déterminer qui est le responsable de traitement. En règle générale, c’est celui qui détermine les finalités et les moyens de l’application mobile.

  1. Les mesures de sécurité

Le Responsable de traitement devra mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles. C’est au Responsable de traitement que revient la charge de s’assurer de la confidentialité et la sécurité des informations des utilisateurs de l’application mobile.

Si vous faites appel à des sous-traitants, il vous faudra contractualiser votre relation afin de déterminer les responsabilités et les obligations de chacun puisque le sous-traitant doit également veiller à la sécurité des données personnelles.

  1. La durée de conservation 

Toutes les informations personnelles qui pourront être collectées, devront être conservées pour une durée limitée qui ne peut dépasser la durée nécessaire à la finalité du traitement. Il vous faudra alors, déterminer une durée de conservation uniforme.

  1. Consentement préalable des utilisateurs

Le consentement de la personne devra être préalablement recueilli si et seulement si l’application mobile est une application de bien être c’est-à-dire pour mieux gérer sa santé, sa qualité de sommeil, etc..  En revanche, si l’application mobile est utilisée comme un outil de prise en charge sanitaire comme la télésurveillance médicale par exemple, alors le consentement préalable de l’utilisateur n’est pas nécessaire.

  1. Les droits des personnes

Les utilisateurs de l’application mobile doivent toujours avoir la possibilité d’exercer de manière effective leur droits. Pour cela, vous allez devoir les informer qu’ils disposent : accès, rectification, limitation, opposition, suppression, portabilité et mort numérique. Cette information devra être suffisamment complète, claire et lisible.

Pour en savoir plus, vous trouverez un référentiel de bonnes pratiques sur les applications et les objets connectés en santé élaboré par la Haute Autorité de Santé en cliquant ici.

cookies et site internet

Avez-vous des cookies sur vos sites internet ?

Avez-vous des cookies sur vos sites internet ? 960 639 jeremy
RECOMMANDATIONS DE LA CNIL POUR L’UTILISATION DES COOKIES :

Le 4 juillet 2019, la CNIL publie des lignes directrices sur l’application de l’article 82 de la loi du 6 janvier 1978 qui encadre les actions visant à accéder ou à inscrire des informations dans le terminal d’un utilisateur telles que le dépôt ou la lecture de cookies ou d’autres traceurs lorsque l’internaute se rend sur un site internet.

L’objectif de ces traceurs peut-être par exemple : mesurer l’audience du site, adresser de la publicité ou interagir avec des réseaux sociaux. Le consentement de l’utilisateur sera obligatoire dès lors que le cookie n’est pas nécessaire au fonctionnement du site en question.

Dans un communiqué en date du 28 juin 2019, la CNIL annonce son projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet sera soumis à consultation publique jusqu’au 25 février 2020, en vue de la préparation de la version définitive de la recommandation.

Selon une étude réalisée par l’IFOP, il en ressort que 65% des personnes indiquent avoir déjà accepté des cookies alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus. 65% des personnes interrogées estiment que les demandes d’autorisation actuelles ne sont pas efficaces.

Par conséquent, la CNIL exige désormais un consentement libre, spécifique, éclairé et univoque.

La CNIL a estimé que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». La commission ordonne désormais un acte positif.

Le consentement ne peut être valide que si l’utilisateur est en mesure d’exercer librement son choix. Tout d’abord, le responsable du ou des traitements devrait offrir à l’utilisateur tant la possibilité d’accepter que celle de ne pas accepter (en d’autres termes, de refuser) les opérations de lecture et/ou écriture.

L’utilisateur ne devrait pas subir de préjudice s’il choisit de refuser. Ainsi, le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur. La commission rappelle que « la pratique qui consiste à bloquer l’accès à un site ou à une application mobile pour qui ne consent pas à être suivi n’est pas conforme au RGPD ».

Enfin, ces interfaces ne devront pas utiliser de pratiques de design potentiellement trompeuses, telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.

L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Ainsi, le simple fait d’accepter les conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique. L’utilisateur devra être informé, de manière claire et précise, des finalités. Celles-ci devront être accessibles pour l’utilisateur et non pas noyées dans des conditions générales.

Pour connaitre en détail le projet de recommandation, cliquez sur ce lien

Pour consulter l’étude réalisée par l’IFOP, cliquez ici.

Optimex Data agence spécialisée Solutions RGPD

Reconnaissance faciale : un sujet polémique

Reconnaissance faciale : un sujet polémique 1317 792 jeremy

C’est à l’occasion du carnaval de Nice, qui s’est déroulé en mars dernier, que la ville de Nice a rendu opérationnel les dispositifs de vidéosurveillance dotés de la reconnaissance faciale dans les espaces publics de sa commune.

Bien que la CNIL ait limité la portée de ce test à but scientifique, qui devait recueillir le consentement préalable, libre et éclairé de la population niçoise, la mairie a finalement reconnu la vocation sécuritaire du dispositif mis en place.

La CNIL a rappelé le caractère strict de l’autorisation qui a été accordée à la commune de Nice, tout en précisant que le déploiement des dispositifs de vidéosurveillance à des fins sécuritaires serait nécessairement conditionné à la publication d’un décret pris en Conseil d’Etat ou d’une loi.

Dans le même temps, la municipalité de San Francisco prend le contrepied de l’initiative des autorités françaises en proscrivant le recours à la reconnaissance faciale à grande échelle, celle-ci ayant été qualifiée de « dangereuse et oppressive » par le conseil municipal de la ville.

Optimex Data agence spécialisée Solutions RGPD

RGPD : Modèle pour un nouveau cadre réglementaire à l’échelle mondiale

RGPD : Modèle pour un nouveau cadre réglementaire à l’échelle mondiale 1320 785 jeremy

L’entrée en vigueur du Règlement Européen sur la Protection des Données le 25 mai 2018 a constitué une opportunité sans précédent pour l’Union Européenne de proposer aux 76 pays qui composent l’Organisation Mondiale du Commerce (OMC) un projet réglementaire européen sur la protection des données les 13 et 14 mai derniers.

Le 26 avril 2019 (Forum Economique Mondial de Davos), les membres de l’OMC ont exprimé leur accord avec l’Union Européenne pour développer un nouveau cadre réglementaire adapté et largement inspiré du règlement européen sur la protection des données. 

Il n’aura donc fallu qu’un an à l’Union Européenne pour donner un essor extra-communautaire aux principes du 25 mai 2018 et ainsi réaffirmer, à l’occasion du FEM de DAVOS, que le RGPD ne constitue qu’une première étape nécessaire au consensus qui devra consacrer la protection des données personnelles sur le plan international.

Optimex Data agence spécialisée Solutions RGPD

Fin de la tolérance, la CNIL renforce sa vigilance en 2019

Fin de la tolérance, la CNIL renforce sa vigilance en 2019 1320 880 jeremy

Le 17 Avril 2019, Marie-Laure DENIS, la nouvelle Présidente de la CNIL, a fait un discours dans lequel elle fait un bilan de l’année 2018 et précise les points de vigilance pour l’année 2019.

L’année 2018 est identifiée comme une année de transition par la CNIL, lors de laquelle celle-ci était davantage dans une démarche d’accompagnement que de contrôle des organismes.

300 contrôles ont été effectués, 40 mises en demeures ont été effectuées, et seulement une dizaine de sanctions pécuniaires ont été prononcées.

La CNIL a identifié trois priorités pour l’année 2019 :

  • Tout d’abord, concernant la politique de contrôle et de dissuasion, la CNIL annonce la fin d’une certaine forme de tolérance qui a accompagné la transition de l’entrée en vigueur du RGPD.

La CNIL aura une vigilance accrue sur quatre points : l’exploitation des plaintes des particuliers, le respect des droits des personnes, plus particulièrement les droits des mineurs qui ont été accrus par le RGPD, ainsi que la responsabilité des sous-traitants.

  • Ensuite, la CNIL compte accroitre l’expertise de la CNIL dans les outils numériques, en approfondissant notamment sur des études relatives aux assistants vocaux et sur le Cloud, qui héberge les données stratégiques des entreprises.
  • Enfin, la CNIL souhaite rester un acteur prépondérant de la diplomatie des données personnelles en Europe ainsi que sur le plan international.

Par conséquent, il faut s’attendre à une augmentation de contrôles, sanctions et mises en demeures pour l’année 2019.

Optimex Data, animation d'ateliers RGPD

Animation d’ateliers RGPD

Animation d’ateliers RGPD 1280 853 jeremy

La rentrée chez Optimex Data a été riche en animation de conférences et formations RGPD auprès des professionnels du secteur privé et des organismes du secteur public.

Nous sommes revenus avec quelques photos de la conférence animée par Sandrine Rieussec, auprès de l’association BUGEY DEVELOPPEMENT, située dans l’Ain. Un grand merci pour leur sollicitation et l’intérêt des échanges avec les participants.

Au programme :

  • Les obligations et les opportunités du RGPD
  • La mise en pratique avec des exemples concrets
  • Les bonnes pratiques à adapter au quotidien

Pour information, la prochaine conférence aura lieu en Haute-Savoie, le lundi 15 octobre 2018, au Pôle de compétitivité Mont-Blanc Industries à Cluses.