fbpx

RGPD

cybersécurité et protection des données

L’importance de la cybersécurité…

L’importance de la cybersécurité… 1200 800 Optimex Data

Optimex Data traite du sujet de la cybersécurité et protection des données

cybersécurité et protection des données

Vous le savez, les données de santé sont considérées, au sens du RGPD, comme étant des données sensibles nécessitant une protection toute particulière. L’actualité ne cesse de nous démontrer l’importance d’une sécurité suffisante des données à caractère personnel, encore plus quand il s’agit de données de santé. Cyberattaques, ransomware, sécurité informatique ou cybersécurité : le langage du monde numérique ne cesse de croître, laissant parfois de côté les personnes qui n’en maîtrisent pas le sens et ne peuvent donc pas agir en conséquence.

Quoi de neuf docteur ?

Depuis le début de l’année, le domaine hospitalier est devenu la cible favorite des cyberattaques. Cet acharnement s’explique notamment à raison de la crise sanitaire actuelle qui attire les intentions, plus malveillantes les unes que les autres.

  • Fuite de données massives :

Récemment, un fichier contenant des données médicales a circulé sur Internet : 500.000 français ont été concernés – c’est ce qu’on appelle une fuite de données (ce qui constitue une violation de données personnelles). La CNIL a alors saisi le tribunal judiciaire de Paris qui a rendu sa décision le 4 mars dernier et demande aux principaux fournisseurs d’accès à Internet de bloquer l’accès au site Internet hébergeant ce fichier.

  • Les hôpitaux – cible de cyberattaques :

Centres Hospitaliers de Dax, de Villefranche-sur-Saône, d’Oloron-Sainte-Marie et bien d’autres encore ont fait ou feront certainement les frais de hackers déterminés à les mettre à mal. Ransomware, virus informatique, atteinte à la réputation et à l’image du domaine hospitalier… ces prises d’otage font prendre conscience qu’un système essentiellement informatisé, tels que les hôpitaux, nécessite la mise en place de moyens de sécurité bien plus coriaces.

Incendie d’OVH Cloud ou faut-il notifier à la CNIL ?

Le datacenter a pris feu le 10 mars 2021 emportant avec elle une quantité innombrable de données. Cet évènement nous rappelle que, certes, il convient de prendre des mesures de sécurité efficaces afin de se protéger d’actes informatiques malveillants, mais qu’il est tout aussi important de s’assurer, en interne, de la sécurité conférée aux locaux contenant des données personnelles.  La CNIL a par ailleurs publié un article dans lequel elle explique que la destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue bel et bien une violation de données au sens du RGPD.

Pourquoi faut-il s’inquiéter ?

Vous vous demandez peut-être en quoi la circulation de ces données serait susceptible de constituer un danger ? Si vous êtes concernés ? Ou encore, qui peuvent-elles bien intéresser ? Voici une illustration de tentative de fraude (parmi tant d’autres) qui pourrait vous aiguiller :

« Bonjour Monsieur, votre numéro de sécurité sociale est le suivant XXX, vous avez effectué (tel acte) médical au sein de notre organisme le 23 mars dernier et il semblerait qu’une partie de la prestation n’ait pas été réglée – merci de bien vouloir nous envoyer la somme manquante… ».

Autrement dit, si vous êtes un organisme médical, ou que vous traitez quelque donnée médicale que ce soit, vous devez impérativement être vigilant à ce que leur sécurité soit suffisante.

Par ailleurs, le RGPD impose aux organismes de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL : cela peut-être le cas si des données sensibles (santé) ont été divulguées.

Face à ces escroqueries et attaques, les professionnels doivent donc faire preuve d’une extrême prudence. OptimexData vous en dit plus sur la cybersécurité sur le plateau de TéléGrenoble !

vaccination covid-19 collectivité et rgpd

Vaccination Covid-19, collectivités et RGPD

Vaccination Covid-19, collectivités et RGPD 1200 748 Optimex Data

Optimex Data aborde le sujet de la vaccination covid-19 collectivités et rgpd

Vaccination Covid-19, collectivités et RGPD

Le rôle des collectivités territoriales est crucial dans la stratégie nationale de vaccination du fait de la proximité que ces dernières peuvent avoir vis-à-vis des usagers. Toutefois, quels traitements peuvent être réalisés par les collectivités territoriales ? Comment respecter les exigences du RGPD dans le cadre de la gestion de la crise sanitaire ?

En effet, les collectivités territoriales sont amenées à contribuer aux opérations de vaccination via l’information des publics et la gestion des centres de vaccinations ou équipes mobiles. La principale vocation de cet article est de déterminer comment les traitements locaux peuvent être utilisés aux fins de la vaccination.

Ciblage et information des publics prioritaires

Le ciblage des publics prioritaires via l’envoi d’invitations à la vaccination est exclusivement géré par la CNAM. Pour les publics prioritaires, la CNIL estime que les collectivités peuvent mener des actions complémentaires d’information générale et d’accompagnement à partir des fichiers déjà existants, en particulier ceux dédiés aux personnes vulnérables.

Par exemple : les collectivités territoriales peuvent ainsi faciliter la prise de rendez-vous depuis les portails – Keldoc, Maiia et Doctolib – ou encore faciliter le transport vers les centres de vaccination en s’appuyant sur les fichiers « personnes isolées ».

Prises de rendez-vous

Pour être agréé, un centre de vaccination doit obligatoirement recourir à Keldoc, Maiia ou Doctolib et être complété par une plateforme téléphonique pour la prise de rendez-vous. Ainsi, les collectivités territoriales ne peuvent pas proposer d’autres alternatives à ces outils. En revanche, elles peuvent utilement relayer l’information et accompagner les publics s’agissant des portails de prise de rendez-vous.

Par exemple : les collectivités territoriales peuvent mettre en avant l’espace dédié ou encore prévoir un accompagnement individuel pour les publics particulièrement dépendants et isolés.

Suivi de l’administration des vaccins

Le suivi des administrations des vaccins sont exclusivement réalisées au moyen du système d’information « Vaccin COVID » par des professionnels de santé ou des personnes placées sous leur responsabilité.

Organisation logistique des centres de vaccination

Les collectivités territoriales peuvent recevoir et traiter des informations anonymes liées au fonctionnement et aux besoins des centres de vaccination, que ceux-ci soient ou non gérés par cette collectivité.

Par exemple : les collectivités territoriales peuvent recevoir le nombre de personnes s’étant présentées, le nombre d’injections effectuées, etc…

La CNIL ne s’arrête pas au cas des vaccinations puisque depuis l’adoption du décret n°2021-269 du 10 mars 2021, les exploitants et gestionnaires de services de transports public peuvent recourir à des caméras intelligentes pour mesure le taux de port du masque dans le contexte de la crise sanitaire. Ce système permettra de produire des évaluations statistiques sur le respect de l’obligation du port de masque pour ensuite adapter les actions d’information et de sensibilisation du public.

La CNIL précise toutefois que ce dispositif ne doit pas être utilisé à des fins de lutte contre les infractions. Le dispositif n’a pas vocation à traiter des données biométriques et ne constitue pas davantage un dispositif de reconnaissance faciale.

La CNIL conclue en précisant que ces dispositifs ne pourront être utilisés que tant qu’une loi ou un décret impose, dans le cadre de la lutte contre le COVID-19, le port d’un masque de protection dans les transports.

référentiel données médicales

Nouveau Référentiel données médicales

Nouveau Référentiel données médicales 1200 800 Optimex Data

Optimex Data traite du nouveau référentiel données médicales prévu par la CNIL

référentiel données médicales

Le secteur de la santé est certainement un des domaines auquel la CNIL consacre le plus d’attention. Ce n’est pas pour rien que la CNIL a déjà présenté trois référentiels dans ce domaine, deux concernant les durées de conservation et un concernant la gestion des traitements courants des cabinets médicaux et paramédicaux.

C’est donc dans cette même dynamique que la CNIL a lancé le 8 mars 2021 une consultation concernant les entrepôts de données de santé avec un projet de référentiel accompagné d’un formulaire de recueil des suggestions. Futur référentiel bienvenu puisqu’il permettra de répondre aux interrogations nombreuses quant à la création d’une base de données de santé en dehors de toute recherche médicale.

Un régime juridique distinct de celui des recherches

Pour bien le comprendre, il convient de revenir sur la distinction entre recherche sur des données de santé et entrepôt de données de santé. A priori, l’utilisation des données de santé à des fins de recherche pourrait ne connaitre qu’un seul régime, mais afin d’éviter le recueil et la conservation de données en dehors de tout projet préalablement défini, le choix a été fait de construire deux cadres juridiques différents.

Ainsi, lors de l’utilisation de données de santé pour une recherche, ces dernières seront déterminées selon la finalité de l’étude. Ce traitement fera alors l’objet d’un avis ou d’une autorisation par la CNIL à moins qu’il ne s’inscrive dans le cadre d’une méthodologie de référence édictée par la CNIL.

Dans le cadre d’un entrepôt de données de santé, le recueil et la conservation de données de santé se font en vue de permettre la réutilisation de celles-ci à des fins d’études médicales ou pour produire des indicateurs relatifs à l’activité des établissements de santé. Les projets de recherches n’étant pas préalablement déterminés, le risque majeur repose sur la potentielle conservation massive de données de santé, sur de longues durées, dans une base unique et en dehors de toute réflexion sur l’intérêt et la pertinence des données stockées.

Un projet comportant de nombreuses précisions

En réponse à cela, le projet de la CNIL dessine les premiers contours du futur référentiel en proposant une liste des données pouvant figurer dans un entrepôt de données de santé. Il circonscrit également les objectifs pour lesquels un entrepôt pourra être constitué, prévoit une durée de conservation de 20 ans et, bien-sûr, présente une liste précise de mesures de sécurité à mettre en œuvre.

Ce référentiel est aussi l’occasion pour la CNIL, dans le contexte toujours incertain de l’invalidation du Privacy Shield, de rappeler que « la mise en place d’un entrepôt ne peut entrainer le transfert de données à caractère personnel, directement ou indirectement identifiantes hors de l’Union européenne ». Enfin, l’article 13 et dernier souligne l’impératif légal de mener une analyse d’impact lors de la constitution d’un entrepôt de données de santé.

Une exigence réitérée d’effectuer une analyse d’impact

Cette obligation qui figure déjà dans la liste des traitements pour lesquels une analyse d’impact est obligatoire est l’occasion de rappeler l’importance de cette mesure dès lors qu’un traitement constitue un risque pour la vie privée des personnes. Ce risque est notamment constitué dès lors qu’un traitement rempli deux des neuf critères établis par la CNIL, par exemple la collecte de données sensibles concernant des personnes vulnérables.

Optimex Data reste, à ce titre, à votre disposition pour déterminer si une analyse d’impact est nécessaire dans le cadre de votre activité et vous accompagner dans sa réalisation.

Sandrine Rieussec au JT de Télégrenoble

Sandrine Rieussec au JT de Télégrenoble 1889 1018 Optimex Data

Le 2 mars, Sandrine Rieussec, fondatrice et présidente d’Optimex Data était l’invité du JT de TéléGrenoble afin de donner un avis d’experte sur la cybersécurité, les cybermenaces et la protection des données personnelles. Retrouvez l’interview dans son intégralité !

obligations du rgpd

La CNIL passe à l’action !

La CNIL passe à l’action ! 1200 800 Optimex Data

Optimex Data traite des obligations du RGPD et de la CNIL

obligations du RGPD

Comme chaque année, la CNIL veille à la bonne application des obligations du RGPD, notamment en effectuant des contrôles auprès de l’ensemble des organismes traitant des données à caractère personnel. A ce titre, elle définit des thématiques prioritaires annuelles de contrôle qui engageront particulièrement son attention, et ce durant toute l’année. L’année dernière, la CNIL est parvenue à réaliser 6500 actes d’investigation dont 247 procédures formelles de contrôle. Nous l’attendions impatiemment : la CNIL a récemment annoncé ses 3 thématiques prioritaires de contrôle au courant de l’année 2021, des notions qui s’inscrivent dans l’ère du temps.

Cybersécurité

  • Craintes et coriaces, les cyberattaques ne cessent de se multiplier.
  • L’objectif de la CNIL est de « contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs»

Données de Santé

  • A l’époque, l’actualité en matière de santé tourmentait déjà les esprits et renforçait l’idée d’apporter une sécurité spécifique à ces données particulièrement sensibles.
  • Désormais il n’y a plus de doute et le contexte actuel nous le rappelle vivement : compte tenu des récents évènements  – fuites de données médicales, attaques d’hôpitaux… il faut agir et sanctionner.
  • La CNIL entend à ce sens élever le niveau de sécurité des données de santé

Cookies

  • La CNIL prévoit notamment, pour l’année 2021, de se focaliser sur les règles relatives au recueil du consentement.

Il convient de rappeler que la sécurité des données de santé ainsi que le respect des obligations applicables aux cookies s’inscrivent dans la continuité de la stratégie de contrôle déterminée par la CNIL en 2020. Nous vous conseillons d’être particulièrement vigilants à propos de ces 3 thématiques, la CNIL n’hésitera pas à sanctionner.

comparatif des gestionnaires de cookies

Comparatif des
Gestionnaires de Cookies

Comparatif des
Gestionnaires de Cookies
1200 800 Optimex Data

Optimex Data vous propose son comparatif des gestionnaires de cookies. Nécessaires à la collecte du consentement cookies lors de visites internet, les gestionnaires sont légions. Notre comparatif des gestionnaires de cookies se concentre sur la conformité RGPD, le respect des préconisation de la CNIL, les fonctionnalités et le coût.

Grâce à notre comparatif des gestionnaires de cookies, choisissez la solution la plus sûre et conforme pour votre site web !

Comparatif des gestionnaires de cookies

Les gestionnaires de cookies sont désormais incontournables depuis l’entrée en vigueur du RGPD. Le gestionnaire des cookies est parfois vu comme un objet numérique qui gâche le design d’un site internet. Pourtant, ces derniers ont bien évolué graphiquement et il en existe pour tous les goûts. Néanmoins, ne nous trompons pas, l’objectif premier du gestionnaire de cookies est de garantir l’expression du consentement des visiteurs d’un site internet au dépôt de cookies et d’assurer sa conformité au RGPD. Le choix d’un gestionnaire de cookie nécessite donc de faire attention à la compatibilité de ses outils avec la législation européenne. De disposer d’un outil complet, surtout lorsqu’il est gratuit. Il faudra également faire un choix selon ses connaissances numériques pour un outil adapté, à soi et à son site internet.

 L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer différents gestionnaires de cookies, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

comparatif des gestionnaires de cookies


Tarteaucitron

  • Garanties de conformité au RGPD : Tarteaucitron est le gestionnaire de cookies disposant d’une fausse filiation avec la CNIL en ce qu’elle n’est pas à l’origine de sa mise en place. Cependant, elle a pu recommander son utilisation (publication de 2016) et elle l’utilise comme solution de gestion des cookies sur son site internet.

Tarteaucitron est une solution open source qui propose une version gratuite (sous la forme d’un script) et une version premium payante. Le gestionnaire est adossé à des CGV qui présentent de manière très transparente les traitements de données effectués (données traitées, opérations de traitement, destinataires, droits des personnes concernées, etc…).

  • Fonctionnalités de l’application :
    • 103 services tiers (services de cookies) sont pris en charge par le gestionnaire de cookies
    • 23 langues différentes (en version payante)
    • Tenue de statistique sur les choix en matière de cookies (en version payante)
    • Intégration sous la forme d’un script dans sa version gratuite (demande une petite connaissance informatique)
  • Compatibilité avec les recommandations de la CNIL :
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookie avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Durée de conservation limitée du consentement à 13 mois
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : gratuit pour les particuliers ou 15€ par mois pour la version premium et pour les pros
  • Langues : français + 22 langues en version payante.

Avantage(s) :

Une solution intégrant toutes les exigences du RGPD dans sa version gratuite, avec une version payante proposant des options complémentaires notamment en matière de langues disponibles et d’options graphiques.

Points de vigilance :

La solution dans sa version gratuite n’est disponible que sous forme de script ce qui demande une petite maitrise informatique pour l’intégrer sur son site internet.

Axeptio

  • Garanties de conformité au RGPD : Axeptio est un gestionnaire de cookies assez jeune mais qui s’est vite démarqué par son design et ses petites mentions humoristiques. Société française, Axeptio (appartenant à Agilitation) propose outre sa formule humoristique, un gestionnaire de cookies qui permet de se conformer aux dernières recommandations de la CNIL avec un paramétrage fin des différentes options (bandeau, boutons, information et conservation du consentement). Si du côté du gestionnaire, il n’y a rien à redire, le site de la société Axeptio, en lui-même, fait douter du sérieux de la démarche. En effet, le site d’Axeptio ne dispose d’aucune page de politique de protection des données ni de politique des cookies. Le site dispose d’une page mentions légales avec quelques éléments incomplets relatif aux données, loin de ce que l’on peut attendre d’un expert dans le domaine.
  • Fonctionnalités de l’application :
    • Grande liberté dans le paramétrage pour un gestionnaire personnalisé : textes, images, polices, tailles
    • Intégration avec les Tag Management System (script de supervision des cookies sur un site internet) dont le plus connu, le « Google Tag Management »
    • Seulement 2 langues proposées en version pro (anglais et français)
  • Compatibilité avec les recommandations de la CNIL :
    • Durée de conservation du consentement paramétrable (en version payante)
    • Pas de recueil du consentement en version gratuite
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookie avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : Une version gratuite (mais incomplète face aux exigences du RGPD) puis une version jusqu’à 300 000 consentements par mois pour 15€ et jusqu’à 1 million de consentements pour 99€ par mois.
  • Langues : Français et anglais

Avantage(s) :

Un design novateur qui donne envie d’en savoir plus sur les cookies et des solutions de paramétrage permettant de respecter l’ensemble des lignes directrices de la CNIL.

Points de vigilance :

Une version gratuite à éviter puisqu’elle ne recueille pas les consentements et ne vous permettra donc pas de démontrer votre conformité.

Cookiebot

  • Garanties de conformité au RGPD : Cookiebot est une solution proposée par la société Cybot ayant son siège social au Danemark (pays membre de l’Union Européenne). Cookiebot propose un gestionnaire des cookies qui n’est pas révolutionnaire, avec un design simple et assez proche de celui de Tarteaucitron. L’intérêt de Cookiebot est double. Tout d’abord, une solution automatisée de recherche et de gestion des cookies sur le site internet qui permet à des utilisateurs débutant d’intégrer un gestionnaire complet sur leur site internet. Ensuite, une société transparente, avec une politique de protection des données très précise et complète (catégories de données traitées, nature des opérations de traitement, sous-traitants, absence de transfert hors UE, droit, moyen de contact…)
  • Fonctionnalités de l’application :
    • Analyse automatique des cookies présent sur le site internet (une fois par mois) et génération automatique d’une déclaration du cookie accompagnée de sa description
    • Possibilités de mettre en place un consentement global qui s’appliquera à plusieurs sites ou domaines
    • 46 langues différentes disponibles et paramétrage de nouvelles langues possible
    • Les consentements sont recueillis automatiquement par connexion SSL sécurisée et sont stockés sous forme de clés cryptées
  • Compatibilité avec les recommandations de la CNIL :
    • Durée de conservation limitée du consentement à 12 mois
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
    • Bandeau cookies avec la possibilité d’avoir des boutons « accepter » « refuser tout » et paramétrer les cookies »
    • Solution de paramétrage des cookies par le visiteur, au cas par cas, avec un affichage possible des finalités pour chaque cookie
    • Interdiction du dépôt de cookie avant tout consentement
  • Prix : Gratuit pour 1 domaine et moins de 100 sous-pages avec quelques fonctionnalités en moins mais pas essentielles. Puis jusqu’à 37€ selon la taille du ou des sites et les options.
  • Langues : 46 langues différentes

Avantage(s) :

Une solution simple d’usage qui pourra même scanner votre site pour vérifier les traceurs actifs à votre place et vous proposer des descriptions de leur finalité. Une formule gratuite avec de nombreuse fonctionnalités et l’ensemble des fonctionnalités pour respecter les lignes directrices de la CNIL.

Points de vigilance :

Il conviendra toujours de s’assurer de la pertinence des finalités proposées automatiquement pour chaque cookie et si nécessaire de la modifier mais c’est un moindre mal quand tout le travail est déjà fait par le gestionnaire de cookies.

Osano

  • Garanties de conformité au RGPD : La solution cookie consent est proposée par Osano est sur le marché depuis l’entrée en vigueur du RGPD. Cette solution open source offre de nombreuses possibilités de paramétrage permettant de respecter les recommandations de la CNIL mais la conformité ne passera que par la version payante. De plus, Osano offre de nombreuses informations et de la transparence dans les traitements qu’il met en œuvre à travers sa politique de protection des données. Osano y présente notamment ses sous-traitants dont Amazon web au Etats-Unis, ce qui fait craindre le pire en matière de transferts de données mais Osano s’engage, dans un paragraphe « Data Storage & Data transfert à stocker les données des visiteurs concernant le gestionnaire de cookie exclusivement en Irlande.
  • Fonctionnalités de l’application :
    • Personnalisation facile et intuitive de l’interface (emplacement, boutons, texte et couleur)
    • 37 langues (version payante)
    • 40 paramétrages proposés selon les exigences de la législation de chaque pays (version payante)
    • Intégration sous la forme d’un script dans sa version gratuite (demande une petite connaissance informatique)
  • Compatibilité avec les recommandations de la CNIL :
    • Seulement deux boutons possibles sur la bannière en version gratuite ce qui ne permettra pas de paramétrer les cookies de façon personnalisé semble-t-il
    • Paramétrage possible d’un système d’opt-in (cases décochées par défaut) pour le recueil du consentement
  • Prix : gratuit puis 98,95 € par mois pour la première version, 164 pour la version business +
  • Langues : 37 langues (version payante)

Avantage(s) :

Extrême simplicité de prise en main pour un paramétrage basique en mode payant. La possibilité de mettre en place un bandeau cookie en moins de 2h mais une solution avec un scripte pour la version gratuite.

Points de vigilance :

Attention aux transferts hors de l’UE qui pourrait être mis en œuvre par Osano

Cookie Secure

  • Garanties de conformité au RGPD : Cookie Secure est un gestionnaire de cookies qui propose une autre approche dans le paramétrage des cookies. En effet, plutôt que de présenter chaque cookie avec une validation individuelle, elle regroupe les cookies par catégories : « Essentiel » (comprendre « strictement nécessaire »), « Fonctionnalités » (comprendre « fonctionnels »), « Analytique » et « Publicité ». Si l’idée n’est pas mauvaise, car elle évite de devoir cocher l’ensemble des cookies un par un, et même si cette méthode de validation peut fonctionner, puisque la CNIL admet toute forme de designs tant que l’information est intelligible, les options techniques retenues ne peuvent pas se concilier avec les dernières lignes directrices de la CNIL. Sur son site, Cookie Secure présente une politique des cookies conforme, avec une explication claire, des finalités et la possibilité de modifier son consentement à tout moment, mais il interroge à plusieurs niveaux. A commencer par l’absence de mention légale et l’absence d’adresse dans les CGU mais surtout du fait qu’il indique que la marque est protégée alors qu’il n’en existe aucune trace sur le site de l’INPI ni même sur celui de l’EUIPO (Office de l’Union européenne pour la propriété intellectuelle).
  • Fonctionnalités de l’application :
    • Un audit en ligne proposé pour vérifier la conformité du site au RGPD
    • Personnalisation facile et rapide du bandeau
    • Un design novateur qui risque malheureusement de perdre les visiteurs non-initiés au RGPD (cookies essentiels, fonctionnalités et publicité)
  • Compatibilité avec les recommandations de la CNIL :
    • Tableau de bord, pour le paramétrage des cookies, ne permettant pas une présentation de la finalité de chaque cookie
    • Une présentation qui limite la clarté de l’information
    • La possibilité d’accepter ou de refuser tous les cookies en un bloc
    • La possibilité d’intégrer le bandeau à la politique des cookies pour revenir sur son consentement à tout moment.
  • Prix : à partir de 9€ par mois jusqu’à 72€ pour les solutions plus avancées.
  • Langues : a priori français, anglais, espagnol et portugais.

Points de vigilance :

Lors de nos recherches nous n’avons pas pu identifier la société qui édite Cookie Secure. Il conviendra donc de vous assurer de la structure avec qui vous contractez si vous choisissez ce gestionnaire.

Notre coup de cœur :

Le « coup de cœur » de l’équipe Optimex Data s’est tourné vers le Danemark et le Gestionnaire Cookiebot.

Ce choix se fonde tout d’abord sur la nationalité de Cookiebot. En effet, ce gestionnaire est édité par la société Cybot de nationalité danoise. En ces temps d’instabilité juridique, conséquence de l’invalidation du Privacy Shield, le choix d’un prestataire Européen semble être une solution prudente pour palier le risque d’un transfert de données hors UE. Ensuite, Cookiebot présente une solution entièrement conforme aux dernières lignes directrices de la CNIL, ce qui est bien-sûr le sujet principal de cette étude. Mais Cookiebot dispose d’autres arguments, notamment financiers, puisque Cookiebot propose une solution gratuite qui intègre toutes les fonctionnalités essentielles (contrairement à plusieurs de ses concurrents) et des formules payantes abordables pour les petits budgets. Enfin, Cookie Bot est un gestionnaire qui ne demande d’être un expert, ni du RGPD, ni de l’informatique puisqu’il fait tout le travail d’identification des cookies et de présentation des finalités à votre place.

Conclusion

Le gestionnaire de cookie est un élément indispensable pour un site internet et ce, pour deux raisons. Tout d’abord, votre site internet est toujours une vitrine ouverte sur le monde et donc, l’image que vous renvoyez de votre société : celle d’une société respectueuse des données et des droits de ses clients ou pas…

Ensuite, parce que la CNIL aussi peut aller jeter un coup d’œil à votre site internet, ce qu’elle fera certainement de plus en plus souvent puisque les obligations du RGPD sont complétée depuis septembre par ses lignes directrices en matière de cookies. D’ailleurs, le rendez-vous est déjà posé puisque la CNIL donne jusqu’à fin mars 2021 pour mettre en conformité son site internet.

Une conformité que chacun pourra vérifier grâce au nouvel outil de la CNIL « Dataviz » qui permet d’identifier les sites ayant accès aux données du visiteur.

Grâce à notre comparatif des gestionnaires de cookies : 3. 2. 1… Consentez !

protection des données personnelles en suisse lpd

La protection des données
personnelles en Suisse

La protection des données
personnelles en Suisse
1200 798 Optimex Data

Optimex Data vous propose d’en savoir plus sur la nouvelle loi sur la protection des données en suisse LPD.

dpo externalisé

Le 25 Septembre 2020, la Suisse votait un projet de Loi fédérale sur la protection des données – LPD, entérinant, à cette occasion, une grande évolution de la Loi fédérale sur la protection des données datant de 1992. Si cette actualité est restée principalement cantonnée aux milieux spécialisés en matière de données à caractère personnel, cette nouvelle loi semble pour autant, à l’échelle de la Suisse, constituer une révolution équivalente à celle de l’avènement du RGPD dans l’Union Européenne. Et cette comparaison n’est pas raison. En effet, cette nouvelle Loi sur la Protection des Données – LPD reprend non seulement à son profit de nombreuses notions du RGPD mais adopte également une logique commune.

Un vocabulaire « RGPD friendly »

En premier lieu, c’est effectivement le vocabulaire qui saute aux yeux : le « maître du fichier » devenant ainsi le « responsable du traitement ». C’est également le cas pour de nombreuses notions qui sont reprises telles que « législation adéquate », « sous-traitant », « analyse d’impact », « décisions individuelles », etc… Néanmoins, cela n’empêche pas non plus la Suisse de se distinguer par d’autres termes, différents du RGPD, que le législateur helvète a consacré. C’est le cas du DPO qui est appelé « Conseiller à la protection des données », c’est aussi le cas de la notification de données pour laquelle, le terme « d’annonce des violations de la sécurité des données » a été préféré.

Mais le vocabulaire ne fait pas tout, qu’en est-il, ou plutôt, qu’en sera-t-il, pour les citoyens et les entreprises suisses, à compter de l’entrée en vigueur de la loi ?

Une reprise des formalités du RGPD

Tout d’abord, malgré une formulation différente, le champ d’application du texte est similaire à celui du RGPD. Plus concrètement, à l’exception des activités purement privées, la LPD étendra ses obligations à l’ensemble des secteurs privés comme publics et ne se restreint pas au territoire Suisse en s’imposant à quiconque met en œuvre des traitements ayant des effets en suisse ou concernant des citoyens suisses.

Les acteurs concernés devront, tout d’abord, tenir un registre des traitements et, le cas échéant, un registre sous-traitant dans lequel devra figurer les mêmes informations que celles exigées par le RGPD (identité du responsable, finalités, personnes concernées, etc…). Mais ce registre est également une belle illustration de la différence majeure entre le RGPD et la LPD, à savoir son niveau d’exigence. En effet, l’article 12 concernant le registre des traitements prévoit que « Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées ».

Une LPD moins stricte que le RGPD ?

En cela, la LPD peut être qualifiée de « petite sœur » du RGPD car si elle s’en inspire largement, le législateur Suisse n’a pas souhaité mettre en place une législation aussi contraignante. Ainsi, le Conseiller à la protection des données n’est jamais obligatoire, contrairement au DPO dans certain cas, mais offre simplement certaines exemptions parmi les formalités en matière d’analyse d’impact.

Dans la même veine, la violation de données (ou annonce en Suisse) est obligatoire en cas d’incident concernant les données traitées mais là où l’article 33 du RGPD prévoit un délai de 72h, l’article 24 de la LPD n’exige qu’une annonce « dans les meilleurs délais ».

Enfin, et ce qui sera certainement le plus éloquent pour la plupart car ces montant sont souvent révélateurs de la volonté des Etats, le plafond en matière de sanction se porte à 250 000 francs suisses (230 415 €), certes une augmentation de 2500 % par rapport à son ancien plafond de 10 000 CHF mais, une goutte d’eau comparée aux 20 millions d’euros du RGPD.

Une législation dans l’ère du temps

Pour autant, cette législation conserve tout son intérêt et fait entrer la Suisse dans le cercle très fermé d’une législation relative à la protection des données adaptées aux enjeux et technologies du XXIe siècle. En témoignent les obligations consacrées en matière d’information des personnes, quasi similaires au RGPD, et la consécration des droits pour les personnes concernées (information, accès, portabilité, rectification et opposition).

Nul doute que la CNIL suisse appelé PFPDT (Préposé à la protection des données) sera là pour veiller à leur respect. L’inconnu étant le délai qui sera laissé aux organismes suisses pour se mettre en conformité et aux sociétés étrangères ayant des activités en Suisse qui devront être en plus attentives à l’obligations, le cas échéant, de désigner un représentant. A ce titre, les équipes d’Optimex Data organisent un Webinar afin de vous présenter les différences et similitudes entre le RGPD et la LPD, et restent à votre disposition pour tout complément d’information.

représentant rgpd en ue

Représentant RGPD
dans l’Union Européenne

Représentant RGPD
dans l’Union Européenne
1200 800 Optimex Data

Optimex Data vous présente le rôle du représentant RGPD en UE. Sa mission est de représenter les organisations étrangères dans l’union européenne, dans le cadre de la conformité RGPD.

Représentant RGPD en UE

Nous évoquons souvent l’importance de désigner un Délégué à la Protection des Données (DPO / DPD) dans les projets de mise en conformité au RGPD. Le petit oublié – ou celui dont nous parlons peu – est le Représentant (GDPR Representative en anglais), prévu dans l’article 27 du règlement. Cette innovation originale est un nouveau statut complémentaire à celui de DPO. Alors quelles sont ses obligations, ses missions, ses responsabilités ? Et surtout qui est concerné par l’obligation de désigner un représentant ?

Ainsi, le représentant, comme son nom l’indique, a vocation à représenter les organisations étrangères, au sein de l’Union Européenne. Le RGPD a donc créé une obligation, dans certains cas, de nommer un représentant.

Qui est concerné ?

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple.

Seules les entités privées sont soumises à l’obligation de nommer un représentant, les autorités et organismes publics bénéficiant d’une exemption. En revanche, la qualité de responsable de traitement ou sous-traitant est indifférente.

Enfin, concernant les activités visées, il s’agit de celles classiquement soumises au RGPD. A savoir, les activités d’offre de biens ou de services mettant en œuvre des traitements de données de personnes situées sur le territoire de l’Union Européenne ; ou des activités induisant un suivi du comportement de ces personnes.

Une exception a néanmoins été retenue lorsque le traitement mis en œuvre est uniquement occasionnel, n’implique pas de traitements à grande échelle de catégories particulières ; ou relatives à des condamnations pénales et infractions, tout en étant peu susceptible d’engendrer un risque pour les droits et libertés des personne concernées.

Quelles formalités et obligations pour le représentant ?

Tout d’abord, le représentant doit être une personne physique ou morale établie dans l’Union Européenne. Plus précisément, il doit être établie dans un des États membres dans lesquels se trouvent les personnes physiques.

Ensuite, la nomination d’un représentant doit se faire obligatoirement par écrit. Elle prend la forme d’un mandat permettant au représentant d’agir au nom et pour le compte de l’organisme qui l’a nommé.

Le RGPD vient préciser certaines obligations impératives vis-à-vis du représentant, au nombre de 3 :

  • Première obligation, être le point de contact des autorités de contrôles (la CNIL en France) pour toute question relative aux traitements.
  • Seconde obligation, être l’organisme auquel les personnes concernées peuvent s’adresser pour exercer leurs droits, l’identité du représentant devant, bien sûr, être communiquée aux personnes concernées au moment de leur information comme le rappelle les lignes directrices du G29.
  • Troisième obligation, le représentant doit aussi, selon le RGPD, tenir un registre des activités de traitement effectuées sur le territoire de l’UE.

Quelle responsabilité pour le Représentant RGPD en UE – Union Européenne

Concernant l’organisme faisant appel à un représentant, le RGPD précise en premier lieu que la désignation du représentant ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant vis-à-vis des traitements qu’il met en œuvre.

Du côté du représentant, une petite phrase en introduction du RGPD (Considérant 80) a semé le trouble en laissant penser que le représentant pouvait être tenu solidairement responsable du non-respect du RGPD par le mandataire. Le recul sur le sujet et la pratique permettent une interprétation plus cohérente ; à savoir que le représentant sera comptable du respect des obligations qui lui incombent en vertu du mandat signé. En ce sens, il ne pourra être tenu responsable d’une non-conformité relative à des éléments qu’il ignorait ; la coopération entre représentant et mandataire doit donc être totale.

Optimex Data reste à votre écoute pour répondre à vos questions sur le sujet, évaluer si vous êtes soumis à l’obligation de désigner un représentant et, le cas échéant, représenter votre structure au sein de l’Union Européenne.

visioconférence et rgpd

Tableau comparatif
de logiciels de visioconférence

Tableau comparatif
de logiciels de visioconférence
1200 800 Optimex Data

Optimex Data vous se penche sur le sujet de la visioconférence RGPD et vous propose un tableau comparatif des différentes solutions du marché au regard de la protection des données personnelles. Avec la crise sanitaire, le recours aux rendez-vous et réunion en ligne à explosé. Ainsi, le sujet visioconférence et RGPD est devenu prioritaire dans le cadre de la conformité.

En effet, dans le cadre de la protection des données, visioconférence et RGPD vont de pair.

Alors quel logiciel adopter pour la visioconférence et RGPD ?

visioconférence RGPD

Afin de respecter l’actualité « crise sanitaire 2020 » et ses confinements traduite par une demande de « restez chez vous ! », beaucoup de professionnels sont contraints de travailler à la maison avec des outils de télétravail (permettant notamment la visioconférence). Ceux-ci n’ont jamais été autant sollicités, et n’ont d’ailleurs pas été construits initialement pour réaliser autant de connexions en même temps, ce qui peut poser des problèmes de sécurité et de stabilité mais qui déclenche indirectement les problématiques suivantes : « sont-ils conforment aux exigences du RGPD ? », « Assurent-ils un niveau de sécurité suffisant permettant de réduire au maximum les risques de violations de données ? », « Vos données sont-elles, à fortiori, suffisamment protégées ?».

Certains outils ont mieux que d’autres intégré les obligations issues du RGPD, toutefois force est de constater l’inévitable concurrence qui émerge de ces besoins nouveaux. Ce phénomène entraîne des hésitations au niveau des professionnels quant aux choix qu’ils doivent exercer parmi les multiples outils proposés sur le marché.

L’équipe Optimex Data a décidé de faire ces recherches pour VOUS ! L’objectif de ce tableau est de comparer les différents logiciels de visioconférences existants, afin que vous puissiez, de manière totalement éclairée, convenir de l’outil qui vous semblera le plus adapté à votre organisme en fonction de vos besoins et de vos contraintes budgétaires.

visioconférence et rgpd

Tixeo

  • Conformité au RGPD: Tixeo est recommandé par la CNIL.
  • Fonctionnalités soucieuses du RGPD :
    • Tixeo vous assure un accès sécurisé à vos réunions,
    • Une autorisation est requise pour partager et prendre le contrôle du bureau,
    • Néanmoins, la création d’un compte est requise pour pouvoir utiliser ce logiciel.
  • Sécurité: Tixeo est certifié par l’ANSSI (très bon niveau de sécurité).
  • Prix: le prix du logiciel est élevé, ce qui serait susceptible de représenter un inconvénient pour les petites entreprises à budget limité. En effet, les entreprises telles que Orange ou encore le Crédit Agricole utilisent Tixeo.
  • Langues: français, allemand, anglais, espagnol, chinois…

 Avantage incontestable :

Le siège social de ce logiciel se situe en France, et des filiales sont installées en Allemagne et en Espagne, autrement dit cet outil ne réalise aucun transfert en dehors de l’UE.

Wire

  • Conformité au RGPD: Wire est entièrement conforme au RGPD et aide ses clients à faire face aux exigences du RGPD
  • Fonctionnalités soucieuses du RGPD :
    • Un utilisateur enregistré avec une identité vérifiée (adresse e-mail ou numéro de téléphone) peut établir des connexions avec d’autres utilisateurs enregistrés. Les connexions sont établies lorsqu’un utilisateur envoie une demande de connexion à un autre et que cette demande est acceptée.
    • Les conversations sont séparées les unes des autres, et un utilisateur doit faire partie d’une conversation afin d’en voir le contenu.
    • A chaque déconnexion, une fenêtre « clear data » s’ouvre et vous pouvez cocher une case afin que toutes vos informations et conversations soient supprimées de l’appareil.
  • Sécurité: Wire a été fortement recommandé par la CNIL allemande (Hamburg Data Protection Authority. La sécurité du logiciel est centralisée autour d’un chiffrement activé par défaut de bout en bout et l’Open Source y est de guise.
  • Prix: la tarification de cet outil est abordable, ce qui en fait un atout majeur.
  • Langues: Wire est accessible en français, anglais et allemand.

Avantage incontestable :

Le siège social de Wire se situe en Suisse et il est entièrement conforme aux lois strictes sur la protection des données en Suisse et dans l’Union européenne. Soucieux de la protection de votre vie privée, Wire n’effectue aucun profilage et n’exploite pas vos données dans un quelconque but commercial (aucune publicité, bannière, popup...).

Zoom

  • Conformité au RGPD: bien que tout ne soit pas parfait, force est de constater les efforts de Zoom dans sa mise en conformité RGPD.
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • Zoom propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
    • Pour utiliser ce logiciel, vous devez vous créer un compte.
  • Sécurité:
    • Fortement utilisé pendant la pandémie Covid19, Zoom a fait l’objet de plusieurs analyses qui ont démontré un niveau de sécurité insuffisant (pas de consentement, lien étroit avec d’autres plateformes, mauvais système de cryptage…).
    • A la suite de ces critiques, Zoom a procédé à un renforcement de sa sécurité le 8 avril 2020, notamment en ce qui concerne le chiffrement des données.
  • Prix: le logiciel propose une version gratuite et une version payante.
  • Langues: chinois, anglais, français, allemand, italien, japonais, coréen, portugais, russe, espagnol et vietnamien.

Points de vigilance :

Le siège social de Zoom est en Californie aux USA. En utilisant Zoom, vous acceptez le fait que vos données personnelles puissent être transférées ou stockées aux Etats Unis ou dans tout autre pays du monde. Soyez vigilants car ces pays en question peuvent posséder des règles de protection des données différentes et moins protectrices que celles prévues en France.

Teams

  • Conformité au RGPD: plusieurs fonctionnalités sont proposée afin de vous donner la possibilité de gérer vous-même la protection, la prévention et la gouvernance de vos données, mais en ce qui concerne une véritable conformité au RGPD, cette dernière mériterait d’être approfondie.
  • Fonctionnalités soucieuses du RGPD :
    • Authentification multi facteur
    • Pas d’exploitation de vos données à des fins publicitaires
    • Teams propose un système de floutage de l’arrière-plan, avec des modèles divers et variés
    • Suppression des données après résiliation ou à l’expiration de votre abonnement….
  • Sécurité:
    • Teams n’effectue aucun profilage.
    • Teams utilise la sécurité intelligente (automatisation et intelligence intégrées) : niveau de sécurité incomplet.
  • Prix: le logiciel propose une version gratuite et une version payante. . A noter que Teams est utilisé par des entreprises privées telle que l’Oréal, mais également les entreprises ayant souscrit à la suite Office 365.
  • Langues: français, anglais, espagnol, italien, russe et coréen

Points de vigilance :

  • Des institutions européennes de Microsoft existent, et à ce propos, le CEPD (Comité européen de la protection des données) a publié le 2 juillet 2020, un document présentant ses conclusions et recommandations pour l’utilisation de Microsoft par les institutions européennes.
  • Toutefois, la suite Office 365 pour les mails et pour OneDrive garantit un hébergement dans l’UE.

En revanche, pour toutes les prestations annexes tels que Teams, des transferts de données hors UE peuvent être effectués.

Google Meet

  • Conformité au RGPD: Google Meet ne représente en aucun cas, dans sa conception, l’outil idéal de conformité RGPD (manque de précision au niveau des principes et droits RGPD notamment)
  • Fonctionnalités soucieuses (ou non) du RGPD:
    • Demandes répétitives d’accès au micro et à la caméra de votre machine
    • Obligation de créer un compte pour pouvoir utiliser le logiciel
    • Accès difficile aux informations relative à la protection des données et à la sécurité du logiciel.
  • Sécurité:
    • Les données sont chiffrées lorsqu’elles sont en transit : c’est-à-dire qu’elles sont chiffrées par intranet, par des réseaux privés.
    • Les enregistrements des clients stockés dans Google Drive sont chiffrés au repos.
  • Prix : l’outil de visioconférence est inclus avec la GSuite, la suite payante d’outils payant d’outils bureautique proposé par Google.
  • Langues: français, anglais, multilingue.

Points de vigilance :

En observant les conditions générales de Google, on constate plusieurs difficultés au niveau juridique et technique. En effet, Google Meet (outil de visioconférence inclus avec la GSuite, donc suite payante) est basé aux USA en Californie, autrement dit c’est le droit américain qui sera applicable dans toutes vos relations contractuelles. Il faut donc noter qu’en confiant vos données à Google, vous ne maitrisez pas juridiquement l’exploitation de vos données, ce qui peut être extrêmement problématique.

Interstis

  • Conformité au RGPD: Interstis respecte les droits et les principes du RGPD et ne procède à aucune exploitation commerciale des données.
  • Fonctionnalités soucieuses (ou non) du RGPD
    • Les offres contiennent une clause de réversibilité des données qui oblige le logiciel à restituer les données aux utilisateurs s’il y a rupture contractuelle.
    • L’utilisation du logiciel nécessite la création d’un compte.
  • Sécurité:
    • La sécurité des installations a été recommandée par l’ANSSI.
    • Fort niveau de sécurité car les échanges d’informations sur la plateforme sont cryptées par un algorithme de chiffrement AES 128 bit dont la clé est différente pour chaque groupe de travail.

Avantage incontestable :

Interstis est hébergé en France, autrement dit les données sont elles aussi hébergées en France dans des datacenter (donc pas de transferts de données en dehors de l’UE).

Cisco Webex

  • Conformité au RGPD: aucune information ne permet d’évaluer à ce jour si ce logiciel est conforme ou non au RGPD (aucune mention dans la politique de confidentialité)
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • Le logiciel a publié une liste pratique ayant pour unique intérêt d’informer les organisateurs des gestes à adopter dans le but de sécuriser leurs réunions. En effet, ce dernier n’apporte pas de précisions sur son rôle au sein de cette protection.
    • L’utilisation du logiciel nécessite une inscription (donc une collecte de vos données)
  • Sécurité: « tout ce qui est dit, partagé, et tapé » est protégé par un chiffrement
  • Prix: Cisco Webex propose une version gratuite ainsi qu’une version payante. On constate que le coût parait relativement élevé pour les petites entreprises à budget limité (prix par hôte).
  • Langues: français, anglais, espagnol, chinois, coréen, italien, allemand.

Points de vigilance :

Cisco est basé aux USA en Californie, il s’agit d’une entreprise internationale qui peut de ce fait être amenée à transférer des informations personnelles vers Cisco aux USA, ou encore vers une filiale de Cisco dans n’importe quel pays. Autrement dit, en utilisant ce logiciel et donc en communiquant vos données vous acceptez qu’elles puissent être transférées, traitées et stockées en dehors de l’UE.

Go to meeting (produit de LogMeIn) :

  • Conformité au RGPD: LogMeIn a mis en place un engagement constitué de plusieurs documents PDF ayant pour objectif de répondre aux exigences du RGPD.
  • Fonctionnalités soucieuses (ou non) du RGPD :
    • L’utilisation du logiciel nécessite une inscription
  • Sécurité: les fonctions de sécurité avancées sont proposées en option (par exemple une connexion SAML SSO requise).
  • Prix: le logiciel ne propose pas de version gratuite (Uniquement un essai gratuit de 14 jours)
  • Langues: anglais, français, multilingue

Points de vigilance :

La politique de confidentialité de LogMeIn consacre une partie sur la notion particulière du Privacy Shield et à son invalidation. Toutefois, il est précisé qu’il existe d’autres mécanismes de transfert de données (signature de l’Addendum de traitement des données ou encore des clauses contractuelles types).

Mikogo

  • Conformité au RGPD: Mikogo est conforme au RGPD (respect des droits et des principes)
  • Fonctionnalités soucieuses du RGPD :
    • Les identifications de session se font de manière unique avec un mot de passe de session.
    • Ceux qui partagent leur contenu d’écran et participent à une session ont donné leur accord au préalable.
    • Aucune donnée de réunion n’est enregistrée.
    • Outils de supervision de réseaux et outils de détection d’intrusion vous garantissent qu’aucun intrus ne pourra joindre une session et voir l’écran d’un autre participant.
    • Un participant ne peut ni voir ni contrôler un autre ordinateur sans avoir obtenu l´accord explicite de son propriétaire.
  • Sécurité :
    • Mikogo use d’un bon système de cryptage (AES 256 bit) avec un chiffrement SSL de 128 bits du site web.
  • Prix: ce logiciel propose une version gratuite et des versions payantes. A noter que des sociétés telles que Disney ou Yamaha utilisent Mikogo.
  • Langues: français, anglais, allemand, brésilien, espagnol, italien, russe, chinois.

Points de vigilance :

Bien que basé en Europe (Allemagne), il faut noter qu’en utilisant ce logiciel et en contactant l’entreprise par courriel ou par le biais d’un formulaire de contact, vos informations sont automatiquement stockées dans le système CRM, qui est fourni par Salesforce Inc. (basé aux Etats Unis). Il n’est donc pas à exclure que vos données puissent être transférées et traitées dans un pays tiers (les USA par exemple) ou que vos données, stockées dans l’UE, soient accessibles depuis des pays tiers.

Conclusion

Nous vous conseillons, avant de télécharger un de ces outils, de :

  • Privilégier les solutions qui protègent la vie privée et respectent les exigences du RGPD
  • Ne pas télécharger cet outil depuis un site web ou une source inconnus
  • N’utilisez que les applications pour lesquelles l’éditeur vous indique
    clairement comment vos données sont réutilisées (dans l’application elle-même
    ou sur son site web, par exemple
    )
  • Vérifier que l’éditeur a mis en place des mesures de sécurité essentielles,
    comme le chiffrement des communications de bout en bout
  • Sécuriser au maximum votre réseau Wi-Fi (mot de passe robuste par exemple, ou penser à inclure au sein de votre organisme un générateur de mot de passe tel que Keepass par exemple)
  • Être vigilant sur les éventuels transferts de données hors UE

Notre coup de cœur :

L’équipe Optimex Data a eu un véritable « coup de cœur » pour Wire. Ce logiciel est non seulement conforme au RGPD, mais son niveau de sécurité (notamment en ce qui concerne le chiffrement des données) est tout à fait adapté. Le logiciel est extrêmement facile d’utilisation, et vous propose lors d’une suppression de compte de supprimer toutes vos données. Encore, il propose des Guest Rooms, donc pas besoin pour vos clients, ou pour des personnes que vous souhaitez inviter, de se créer un compte Wire, il suffira de leur envoyer un lien qui leur permettra de vous rejoindre !

Vous n’avez plus qu’à faire votre choix !
cyberscore et RGPD

Sur la voie d’un Cyberscore ?

Sur la voie d’un Cyberscore ? 960 640 Optimex Data

Optimex Data vous présente le concept de cyberscore et RGPD

Cyberscore et RGPD

Vous connaissez sans doute le NutriScore ? (Un système d’étiquetage nutritionnel à cinq niveaux, allant de A à E et du vert au rouge, établi en fonction de la valeur nutritionnelle d’un produit alimentaire), mais que diriez-vous d’un CyberScore.

C’est le fameux projet de loi, proposé par le sénateur Laurent Lafon, qui a été adopté par le Sénat le 22 octobre 2020.

Ce système de CyberScore aurait comme grand objectif de mettre en place une certification de la sécurité des plateformes à destination du grand public. Autrement dit, l’instauration d’un tel projet résulte d’une forte volonté de sécurisation en ce qui concerne les données des utilisateurs d’outils numériques.

Quelles seraient les causes servies par un tel projet ?

  • Il s’agirait premièrement, d’un véritable outil de transparence permettant de répondre aux craintes des français, en les informant de façon claire et lisible sur le niveau de protection accordé à leurs données personnelles en ligne.
  • Il s’agirait également d’un outil concurrentiel pour les plateformes qui souhaiteraient en bénéficier : en effet, quoi de mieux, pour répondre aux inquiétudes des utilisateurs, que de mettre en place sur sa plateforme un outil permettant de se distinguer des autres ? Cela serait un véritable moyen de favoriser les plateformes numériques les plus respectueuses.

A l’heure actuelle rien n’est encore acté, mais il semblerait que le Gouvernement soit véritablement intéressé par ce projet de loi. Cet intérêt n’est toutefois pas anodin, c’est l’explosion de l’utilisation d’internet pendant le 1er confinement de 2020, à la suite de la pandémie, qui aurait déclenché toutes ces interrogations au niveau de la sécurité des données personnelles en ligne, et sans surprise ce sont les réseaux sociaux et messageries instantanées qui ont été le plus plébiscités.

Concrètement :

  • Les critères de CyberScore seraient fixés par l’ANSSI
  • Le visuel serait similaire à celui du NutriScore (notation de A à E avec une jauge allant du vert au rouge)
  • Il s’appliquerait aux réseaux sociaux, aux services cloud et marketplaces.
  • Il s’agirait d’avoir 4 ou 5 critères qui permettront aux utilisateurs d’identifier automatiquement le degré de risque qu’ils encourent en utilisant une plateforme.

Mais là où le projet CyberScore se focalise davantage sur les aspects techniques, force est de se demander s’il ne serait pas opportun d’y intégrer la dimension RGPD – Protection des Données Personnelles et de mettre en place, dans un sens plus large, un projet de « Cyber Compliance » ?

Call Now Button