fbpx

RGPD

Optimex Data agence spécialisée Solutions RGPD

Reconnaissance faciale : un sujet polémique

Reconnaissance faciale : un sujet polémique 1317 792 jeremy

C’est à l’occasion du carnaval de Nice, qui s’est déroulé en mars dernier, que la ville de Nice a rendu opérationnel les dispositifs de vidéosurveillance dotés de la reconnaissance faciale dans les espaces publics de sa commune.

Bien que la CNIL ait limité la portée de ce test à but scientifique, qui devait recueillir le consentement préalable, libre et éclairé de la population niçoise, la mairie a finalement reconnu la vocation sécuritaire du dispositif mis en place.

La CNIL a rappelé le caractère strict de l’autorisation qui a été accordée à la commune de Nice, tout en précisant que le déploiement des dispositifs de vidéosurveillance à des fins sécuritaires serait nécessairement conditionné à la publication d’un décret pris en Conseil d’Etat ou d’une loi.

Dans le même temps, la municipalité de San Francisco prend le contrepied de l’initiative des autorités françaises en proscrivant le recours à la reconnaissance faciale à grande échelle, celle-ci ayant été qualifiée de « dangereuse et oppressive » par le conseil municipal de la ville.

Optimex Data agence spécialisée Solutions RGPD

RGPD : Modèle pour un nouveau cadre réglementaire à l’échelle mondiale

RGPD : Modèle pour un nouveau cadre réglementaire à l’échelle mondiale 1320 785 jeremy

L’entrée en vigueur du Règlement Européen sur la Protection des Données le 25 mai 2018 a constitué une opportunité sans précédent pour l’Union Européenne de proposer aux 76 pays qui composent l’Organisation Mondiale du Commerce (OMC) un projet réglementaire européen sur la protection des données les 13 et 14 mai derniers.

Le 26 avril 2019 (Forum Economique Mondial de Davos), les membres de l’OMC ont exprimé leur accord avec l’Union Européenne pour développer un nouveau cadre réglementaire adapté et largement inspiré du règlement européen sur la protection des données. 

Il n’aura donc fallu qu’un an à l’Union Européenne pour donner un essor extra-communautaire aux principes du 25 mai 2018 et ainsi réaffirmer, à l’occasion du FEM de DAVOS, que le RGPD ne constitue qu’une première étape nécessaire au consensus qui devra consacrer la protection des données personnelles sur le plan international.

Optimex Data agence spécialisée Solutions RGPD

Fin de la tolérance, la CNIL renforce sa vigilance en 2019

Fin de la tolérance, la CNIL renforce sa vigilance en 2019 1320 880 jeremy

Le 17 Avril 2019, Marie-Laure DENIS, la nouvelle Présidente de la CNIL, a fait un discours dans lequel elle fait un bilan de l’année 2018 et précise les points de vigilance pour l’année 2019.

L’année 2018 est identifiée comme une année de transition par la CNIL, lors de laquelle celle-ci était davantage dans une démarche d’accompagnement que de contrôle des organismes.

300 contrôles ont été effectués, 40 mises en demeures ont été effectuées, et seulement une dizaine de sanctions pécuniaires ont été prononcées.

La CNIL a identifié trois priorités pour l’année 2019 :

  • Tout d’abord, concernant la politique de contrôle et de dissuasion, la CNIL annonce la fin d’une certaine forme de tolérance qui a accompagné la transition de l’entrée en vigueur du RGPD.

La CNIL aura une vigilance accrue sur quatre points : l’exploitation des plaintes des particuliers, le respect des droits des personnes, plus particulièrement les droits des mineurs qui ont été accrus par le RGPD, ainsi que la responsabilité des sous-traitants.

  • Ensuite, la CNIL compte accroitre l’expertise de la CNIL dans les outils numériques, en approfondissant notamment sur des études relatives aux assistants vocaux et sur le Cloud, qui héberge les données stratégiques des entreprises.
  • Enfin, la CNIL souhaite rester un acteur prépondérant de la diplomatie des données personnelles en Europe ainsi que sur le plan international.

Par conséquent, il faut s’attendre à une augmentation de contrôles, sanctions et mises en demeures pour l’année 2019.

Optimex Data, animation d'ateliers RGPD

Animation d’ateliers RGPD

Animation d’ateliers RGPD 1280 853 jeremy

La rentrée chez Optimex Data a été riche en animation de conférences et formations RGPD auprès des professionnels du secteur privé et des organismes du secteur public.

Nous sommes revenus avec quelques photos de la conférence animée par Sandrine Rieussec, auprès de l’association BUGEY DEVELOPPEMENT, située dans l’Ain. Un grand merci pour leur sollicitation et l’intérêt des échanges avec les participants.

Au programme :

  • Les obligations et les opportunités du RGPD
  • La mise en pratique avec des exemples concrets
  • Les bonnes pratiques à adapter au quotidien

Pour information, la prochaine conférence aura lieu en Haute-Savoie, le lundi 15 octobre 2018, au Pôle de compétitivité Mont-Blanc Industries à Cluses.

 

Loi informatique et Libertés Optimex Data

Loi informatique et Libertés 3, quoi et quand ?

Loi informatique et Libertés 3, quoi et quand ? 1380 920 jeremy

Le General Data Protection Regulation (GDPR) est entré en application mais nous sommes toujours en attente de la deuxième refonte de la loi Informatique et Libertés de 1978.

Bien que le Règlement soit directement applicable et ne nécessite théoriquement pas de loi de transposition – contrairement à une directive, ce dernier laisse 56 marges de manœuvre aux États membres de l’Union européenne.

Le contenu contesté de la loi

La nouvelle loi (LIL3) devait initialement entrer en vigueur le 6 mai 2018 mais les députés et les sénateurs n’ont pas réussi à s’entendre sur quelques points. Notamment sur la création d’une dotation spécifique et l’exonération des sanctions pour les collectivités territoriales.

Toutefois, certains points semblent tranchés : l’âge du consentement des mineurs sur Internet (15 ans, article 20 du projet de loi), la création d’un régime d’exception pour les traitements des données génétiques ou biométriques et des numéros de sécurité sociale, la possibilité pour la CNIL de « prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé » (article 1er), l’autorisation des actions de groupe afin d’obtenir réparation des préjudices matériels ou moraux (article 25 du projet de loi).

L’adoption en lecture définitive et la saisine du Conseil constitutionnel

Le 14 mai 2018, l’Assemblée nationale a adopté le projet de loi relatif à la protection des données personnelles en lecture définitive. Deux jours plus tard, le Conseil constitutionnel a enregistré une saisine présentée par au moins 60 sénateurs Affaire (n° 2018-765 DC : loi relative à la protection des données personnelles).

Cette saisine retarde l’entrée en vigueur d’au moins 8 jours et au plus tard, la loi sera en vigueur au 28 juin 2018.

Le contenu de la saisine a été révélé par Nextinpact : au moins 60 sénateurs considèrent que le projet de loi n’est pas conforme à la constitution, notamment pour manque d’accessibilité et d’intelligibilité et d’atteinte au principe de séparation des pouvoirs et à l’autonomie des pouvoirs publics constitutionnels.

Pour en savoir plus, vous pouvez trouver l’intégralité de la saisine en cliquant ici et vous abonner à notre newsletter pour ne rien manquer de l’actualité juridique en matière de protection des données (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour aller encore plus loin, Optimex Data, en tant que DPO externe, tient une veille juridique pour ses clients.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

labels & certifications RGDP Optimex Data

Labels et certifications RGPD après le 25 mai 2018, où en est-on ?

Labels et certifications RGPD après le 25 mai 2018, où en est-on ? 1380 921 jeremy

Plusieurs jours se sont passés depuis l’application du RGPD et nous recevons toujours autant de questions concernant les labels et les certifications. Où en est-on ? Qu’est-ce qui est prévu et pour quand ?

Plus de délivrance de labels, place aux certifications

Depuis le 22 mars, la société Optimex Data est fière de figurer parmi les deux seules entreprises labellisées « RGPD » par la CNIL pour ses formations de sensibilisation, sur le Règlement Général sur la Protection des Données et de Délégué à la protection des données (DPO).

 

 

 

 

Toutefois, la CNIL a eu l’occasion de le rappeler, elle ne délivrera plus de nouveau label après le 25 mai 2018 mais les labels obtenus avant cette date restent valables jusqu’à leur date d’expiration.

Le RGPD met en place un mécanisme de certification (articles 42 et s.) afin de démontrer que les opérations de traitement effectuées par les organismes respectent le règlement. Les certifications annoncées par la CNIL vont ainsi lentement remplacer les labels sur un mécanisme de délivrance fondamentalement différent.

Les organismes de certification et les phases de consultation publiques

Le modèle retenu pour la délivrance des certificats n’est pas celui qui était prévu avec les labels sous l’ère de la loi Informatique et Libertés. En effet, ce n’est plus la CNIL qui va délivrer les certifications mais ce sont des organismes indépendants qui auront reçu un agrément par la CNIL ou le COFRAC (Comité français d’accréditation).

Ensuite, comme pour les labels, les candidats se rapprocheront de ces organismes afin de démontrer qu’ils respectent les exigences des référentiels élaborés, après une phase de consultation publique, approuvés par la CNIL et publiés sur son site.

La certification de Délégué à la protection des données (DPO) et les certifications à venir

La première certification à venir est la certification DPO. Elle permettra à un délégué ou futur délégué à la protection des données d’attester de ses connaissances spécialisées du droit et des pratiques en matière de protection des données conformément à l’article 37 du RGPD.

Les référentiels concernant la certification DPO et les agréments d’organismes sont actuellement en cours d’élaboration et font l’objet d’une phase de consultation publique accessible directement depuis site Internet de la CNIL.

La proposition de la CNIL prévoit que la délivrance de la certification DPO sera sanctionnée par un examen écrit puis oral permettant d’évaluer le niveau de connaissance du candidat sur la protection des données.

Concernant les autres certifications, très peu d’informations existent mais nous pouvons imaginer, en accord avec l’esprit du Règlement, que des certifications en matière de registre des traitements et politiques internes (article 24.3), de logiciel informatique et applications (article 25. 3 du RGPD), de sous-traitance (article 28.5), de sécurité (article 32.3) ou encore de transfert en dehors de l’Union (article 46.2 f) seront envisagées.

Optimex Data suit de très près ce sujet. S’il vous intéresse autant que nous, n’hésitez pas à vous abonner à notre newsletter (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour en savoir plus, visitez notre page sur formations labellisées par la CNIL et notre catalogue des formations.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

optimex data formations labellisées CNIL

Labellisation CNIL des formations Optimex Data

Labellisation CNIL des formations Optimex Data 1300 867 jeremy

OPTIMEX DATA vient d’obtenir la labellisation pour ces 3 formations :

La CNIL cesse son activité de labellisation et abroge plusieurs référentiels.

A partir du 25 mai 2018, date d’entrée en vigueur du RGPD, la CNIL ne délivrera plus de nouveau label. Seuls les labels Gouvernance et Formation, dont les référentiels ont été mis à jour pour tenir compte du RGPD, pourront offrir à leurs bénéficiaires un argument de conformité.

L’équipe d’Optimex Data qui accompagne les entreprises et institutions du Rhône Alpes dans leurs démarches de mise en conformité au RGPD est fière de leur garantir la qualité & la conformité de ses formations grâce au Label CNIL.

optimex data, dpo conformité rgpd

Nommer un DPO : Comment bien choisir son DPO ?

Nommer un DPO : Comment bien choisir son DPO ? 1380 920 jeremy

Le DPOData Protection Officer ou Délégué à la Protection des Données est un acteur clé dans la mise en conformité des organismes au RGPD (Règlement Général sur la Protection des Données).

Le DPO est obligatoire pour certains secteurs, notamment le secteur public et le domaine de la santé. Il est souvent recommandé dans beaucoup d’activités comme le webmarketing, les organismes en lien avec les particuliers ou les prestataires informatiques. Dès lors qu’une structure traite et stocke des données personnelles, elle doit s’interroger sur l’obligation ou non de désigner un DPO.

Selon le RGPD, les organismes répondant aux 3 critères suivants ont l’obligation de nommer un DPO :

  • Activité de base reposant sur les données: l’organisme peut réaliser ses objectifs en traitant absolument les données personnelles dont elle dispose (comme c’est le cas pour un hôpital qui traite les données médicales de ses patients)
  • Traitement à grande échelle: en fonction du nombre de personnes concernées, le volume de données (ou le spectre des catégories de données), la durée de l’activité de traitement et l’étendue géographique de l’activité permettent d’identifier si le traitement répond au critère de « grande échelle »
  • Suivi régulier: il faut regarder la fréquence du traitement des données, s’il est récurrent ou marginal.

Qui peut être DPO ?

Dès lors qu’un organisme a l’obligation de nommer un DPO, il faudra s’interroger sur « Qui peut prétendre à être désigner DPO ». La nomination du DPO est précisée dans les articles 37 à 39 du Règlement.

Tout d’abord, c’est un nouveau métier qui nécessite différentes compétences : juridiques, organisationnelles et informatiques. La personne désignée en tant que DPO sera le chef d’orchestre de la mise en conformité RGPD de l’entité, avec les missions suivantes :

  • Informer et Conseiller
  • Contrôler le respect du RGPD
  • Etre un point de contact avec la CNIL
  • Encadrer la documentation et les procédures

Ensuite, il faut veiller à désigner en tant que DPO une personne neutre et indépendante, afin de veiller à l’absence de conflit d’intérêt. L’intégrité et l’éthique professionnelle du DPO sont des qualités intrinsèques qui devront caractériser le DPO. Le DPO peut être un membre du personnel ou un prestataire externe.

Comment désigner un DPO ?

Dès lors que l’organisme a choisi son DPO, il convient de s’assurer que le DPO aura à sa disposition les moyens nécessaires pour exercer ses missions, qu’il aura la capacité d’agir en toute indépendance, en plus des compétences requises en expertise juridique, technique et organisationnelle.

La désignation du DPO est faite en ligne, sur le site de la CNIL, à l’aide d’un formulaire à remplir directement depuis le site internet : https://www.cnil.fr/fr/designation-dpo

Depuis ce formulaire en ligne « Désignation DPO », il sera possible de préciser si le DPO est salarié de la structure ou si le DPO est un prestataire externe.

Conférences & salons Optimex Data, agence spécialisée dans la protection des données & conformité RGPD

Conférences RGPD Rhône Alpes

Conférences RGPD Rhône Alpes 1300 867 jeremy

Optimex Data participe régulièrement à des salons, forum & ateliers et intervient dans des conférences RGPD Rhône Alpes dédiées à la protection des données & à la conformité au règlement Européen.

Après être intervenu à …

    • Inovallée, parc technologique installé sur les territoires des communes de Meylan et de Montbonnot,
    • Digital League, cluster des entreprises de la filière numérique en Auvergne-Rhône-Alpes,
    • et auprès d’associations d’associations professionnelles diverses,

L’agence continuera d’intervenir lors de conférences RGPD Rhônes Alpes ces prochains mois afin de présenter le règlement européen, ses enjeux, ses obligations aux dirigeants d’entreprises de la région.

L’agenda …

    • AMI Association des Maires de l’Isère : le 7 mars
    • E-VA société de services informatiques aux entreprises à Annecy : le 7 mars
    • FOLDER société d’organisation & gestion des systèmes d’informations : journée découverte le 8 juin
    • Puis en avril auprès des communes rattachées aux Communautés de Communes du Territoire Rhône-Alpes (dates à venir sur mars/avril)

Pour rappel, Optimex Data est une agence spécialisée dans la protection des données implantée au coeur du Rhône Alpes et proposant un catalogue de solutions dédiée à la conformité RGPD : Audit, formations, DPO internes & externes.

L’agence propose via ses permanences juridiques des entretiens de 30 minutes gratuits, personnalisés, confidentiels & sans engagement aux dirigeants qui souhaitent savoir si leur organisme entre dans le champ d’application et le cas échéant les actions à mettre en place.

 

 

Règlement général sur la protection des données, Optimex Data vous accompagne dans la mise en conformité

Règlement Général sur la Protection des Données (RGPD) : J-100

Règlement Général sur la Protection des Données (RGPD) : J-100 1280 735 jeremy

Encore 100 jours avant l’application du règlement général sur la protection des données – RGPD et tout s’accélère.
Où en êtes-vous ? Il est temps de faire le point !

Je n’ai encore rien fait pour mon organisme :

Il est encore temps d’initier une démarche de conformité. En effet, le 25 mai 2018 n’est pas une date couperet pour la CNIL. Toutefois, il vous sera demandé (par la CNIL, par vos clients, par vos collaborateurs) d’indiquer les mesures que vous avez initié pour répondre aux exigences du Règlement.

Formation, audit des traitements, registre des traitements, procédures internes, révisions des contrats (sous-traitance), garantie des droits des personnes, désignation d’un DPO (Data Protection Officer), analyses d’impact sont autant de mesures qui peuvent vous permettre de démontrer votre bonne foi.

J’ai initié une démarche de conformité :

Vous avez un projet RGPD ? Vous vous êtes formé au règlement général sur la protection des données ? Vous avez effectué un audit des traitements de votre organisme ? Vous êtes sur la bonne voie. La conformité pour le 25 mai 2018 est possible. Vérifiez tout de même que vous êtes bien accompagné sur tous les plans : juridique, organisationnel et informatique.

Je suis déjà en conformité :

La protection des données personnelles est bien intégrée au sein de votre organisme. Vos équipes sont formées, vous avez désigné une personne chargée de la conformité au RGPD et vous tenez un registre des traitements. Vous avez révisé vos contrats avec vos sous-traitants (notamment ceux en mode SaaS) et vous communiquez à vos clients, vos partenaires et vos collaborateurs les garanties que vous présentez en matière de protection des données. Bravo, vous êtes en conformité avec les exigences du RGPD et vous êtes prêt pour le 25 mai !

Pour ceux qui n’ont pas encore initié de démarche de conformité ?

Pas de panique : toute l’équipe d’Optimex Data est à votre disposition pour vous accompagner dans votre projet de conformité au RGPD.

Vous ne savez pas par où commencer ?

Commentez ce post avec votre adresse e-mail et recevez notre livre blanc ! Il répond aux questions les plus fréquemment posées à propos du règlement général sur la protection des données et vous indique les mesures à mettre en œuvre.

Vous souhaitez bénéficier d’un projet règlement général sur la protection des données ?

Inscrivez-vous à notre permanence juridique en ligne GRATUITE en cliquant ici et posez vos questions à nos juristes directement par téléphone;

Vous souhaitez initier une démarche de conformité, bénéficier d’un accompagnement juridique ou désigner un DPO externalisé / mutualisé ?

Contactez-nous : contact@optimex-data.fr