fbpx

CNIL

sanctions de la cnil rgpd

Sanctions CNIL et Violations de Données

Sanctions CNIL et Violations de Données 960 640 Optimex Data

Optimex Data vous présente les dernières sanctions de la CNIL RGPD

sanctions de la CNIL RGPD

Saviez-vous que le mois d’octobre est consacré à la cybersécurité ? La CNIL et l’ANSSI vous proposent des campagnes de sensibilisation pour une « culture de la sécurité numérique ». Notre objectif sera de porter à votre connaissance des faits récents démontrant l’intérêt qu’il faut porter à ce sujet.

Phishing de Doctolib : méfiez-vous !

Un faux mail de rendez-vous Doctolib circule en ce mois d’octobre 2020. Son objectif est que vous confirmiez un rendez-vous, dont la date et l’heure auraient été préalablement fixés. Faites attention, ne cliquez par sur le lien qui vous est proposé, il s’agit d’une arnaque mise en place afin de récolter certaines de vos données en vous renvoyant vers un site d’arnaque au support informatique.

Afin d’identifier ce type d’escroquerie, la CNIL vous énumère les bons gestes à avoir dans ce genre de situation.

Gare aux vidéosurveillances !

Nous vous avions prévenu… la CNIL est actuellement très à cheval sur les dispositifs de vidéosurveillance et sur leur conformité avec le RGPD. En ce sens, des mesures strictes sont assimilées à ces outils en fonction des différents secteurs d’activité.

En ce qui concerne les lieux de travail, ces outils ne peuvent aucunement conduire à placer les employés sous surveillance constante et permanente.  Sur ce sujet, la CNIL allemande a récemment sanctionné l’entreprise H&M d’une amende de 35 millions d’euros à la suite d’un contrôle qui a révélé que les salariés étaient régulièrement surveillés par des dispositifs de surveillance au sein de la société.

Nous vous recommandons d’être extrêmement vigilants quant à l’instauration de dispositifs de vidéosurveillances au sein de votre entreprise. Il s’agit avant tout de ne pas outrepasser les droits et libertés individuelles des individus par le RGPD. La surveillance illégale de ses salariés porte non seulement atteinte à leur vie privée ; mais elle entraîne des sanctions parfois irrémédiables au niveau des autorités de contrôle. N’oubliez pas que les salariés sont considérés, au sens du RGPD, comme des personnes vulnérables. C’est pourquoi il est recommandé de conduire des analyses d’impact afin de garantir la protection des données personnelles.

Sur les violations de données …

La CNIL a publié un article le 7 octobre 2020 relatif à des récupérations de numéros de carte bancaire qui seraient effectuées par injection SQL sur un site de e-commerce.

En ce qui concerne les injections SQL :

  • Il s’agit d’une technique permettant d’injecter du code de type SQL (langage informatique) dans les zones de champs des formulaires web ou dans les liens de page.
  • Cette technique permet aux attaquants d’avoir accès aux données des utilisateurs (en l’occurrence aux coordonnées bancaires).

Soyez particulièrement vigilants sur les mesures de sécurité que vous instaurez au sein de votre entreprise, ce sont elles qui permettent avant tout de protéger les données de vos clients.

La position du Conseil d’État concernant les lignes directrices de la CNIL en matière de cookies et autres traceurs

La position du Conseil d’État concernant les lignes directrices de la CNIL en matière de cookies et autres traceurs 960 640 Optimex Data

Lors de notre dernière newsletter, nous vous avions fait part des nouvelles recommandations de la CNIL en matière de cookies et autres traceurs.  En effet, la CNIL avait publié ses lignes directrices début juillet pour encadrer le dépôt et la lecture des cookies et autres traceurs lorsque l’internaute se rend sur un site internet.

Le 19 juin 2020, le Conseil d’Etat a validé pour l’essentiel les lignes directrices relatives aux cookies et traceurs adoptées par la CNIL le 4 juillet 2019. L’objectif de ces lignes directrices était d’encadrer juridiquement l’utilisation des cookies et traceurs afin de garantir aux utilisateurs la maitrise de leurs données personnelles.

Toutefois, une pratique a été formellement annulée par le Conseil d’Etat, à savoir le « Cookies Walls ». Les cookie walls sont utilisés par les sites web pour refuser l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs présents sur ce site.

Les lignes directrices validées par le Conseil d’Etat

Lors de sa décision, le Conseil d’Etat a validé l’essentiel des interprétations ou recommandations contenues dans les lignes directrices à savoir :

  • Toute personne doit pouvoir refuser de donner son consentement aussi facilement que de l’accorder;
  • Toute personne doit pouvoir retirer son consentement aussi facilement qu’elle ne l’a donné ;
  • Tout consentement doit être donné pour une finalité déterminée ce qui implique une information spécifique pour chaque finalité envisagée ;
  • Toute personne doit être informée de l’identité du/des responsable(s) de traitement qui effectue(nt) le dépôt des cookies
  • Tout responsable de traitement doit être en mesure de démontrer que le consentement recueillis est valide

La censure du Conseil d’Etat

Le Conseil d’Etat a pris la décision de censurer un alinéa par lequel la CNIL estimait qu’un internaute ne devait pas subir d’inconvénients majeurs en cas d’absence ou de retrait du consentement. La CNIL avait précisé dans ses recommandations que l’accès au site internet ne pouvait jamais être interdit si l’utilisateur n’accepte pas les cookies.

Pour prendre une telle décision, la CNIL s’était basée sur la position du CEPD (Comité Européen de Protection des Données personnelles).

Le Conseil d’Etat estime qu’en déduisant cette interdiction générale du RGPD, la CNIL a été au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Et maintenant ?

Pour conclure, et suite à la décision du Conseil d’Etat, les lignes directrices seront ajustées afin de prendre en considération les différents points apportés par le Conseil d’Etat et ainsi être conforme.

Pour rappel, les modalités de recueil du consentement aux cookies seront précisées dans une future recommandation de la CNIL, qui a fait l’objet d’une consultation publique.

L’ajustement des lignes directrices et l’adoption de cette recommandation doit intervenir après la rentrée de septembre 2020.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Logiciel PIA de la CNIL, testé et approuvé par OPTIMEX DATA !

Logiciel PIA de la CNIL, testé et approuvé par OPTIMEX DATA ! 1920 1280 Optimex Data

La semaine dernière, la CNIL révélait la version beta de son logiciel open source PIA.

En deux mots, la PIA (ou Private Impact Assessment), c’est l’analyse d’impact sur la protection des données que doit mener chaque responsable de traitement (ou chef d’entreprise) dès lors qu’il se trouve confronté à un traitement de données à risque.

Optimex Data vous livre son retour d’expérience après une semaine d’utilisation du logiciel par ses experts.

Un logiciel gratuit et public, accessible à tous ?

Pour une personne expérimentée dans le domaine de la protection des données, le logiciel est facile à prendre en main car il reprend les guides de la CNIL et les principes généraux du RGPD. Toutefois, on doit souligner qu’il faut en connaître un rayon sur les mesures pouvant être mises en œuvre par les organismes (création d’un comité de suivi, recensement des traitements, plan d’action, mesures de sensibilisation, identification des tiers, des sous-traitants, des contrats et des conventions, etc.). Cela pose question sur la capacité des responsables de traitements (et des sous-traitants) à réaliser une analyse d’impact et sur l’accessibilité du logiciel à tout public.

L’étude d’impact, responsable de traitement ou DPO ?

Comme l’a souligné le G29 (le groupe des CNIL européennes) dans ses lignes directrices relatives au délégué à la protection des données, « il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données. ».

On se questionne ainsi sur l’utilisation de l’outil qui est somme toute destiné à un utilisateur confirmé dans le domaine de la protection des données. Il est ainsi probable que le responsable de traitement délègue cette tâche à son DPO (Data Protection Officer ou DPD pour Délégué à la Protection des Données).

Le G29 a précisé que : « Le DPD peut jouer un rôle d’assistance du responsable du traitement très important et très utile ». Toutefois, ce dernier n’aura pas la légitimé pour valider le PIA s’il est l’auteur de ses propres recommandations. On peut dire que l’outil confirme les interrogations des experts au sujet de la PIA !

Deux modes pour un logiciel, une distinction peu évidente

Le logiciel est organisé en deux modes, le mode « éditeur » et le mode « validation ». Nous avons trouvé particulièrement difficile de distinguer et de comprendre (du premier essai du moins) la transition automatisée entre ces deux modes.

En principe, le responsable de traitement doit compléter les différents modules (mode « éditeur ») et le DPO ou l’auditeur externe doit critiquer, au regard du RGPD, les mesures et actions mises en œuvre (mode « validation »).

Cependant, on se perd très facilement entre le mode « éditeur » et le mode « validation ». En effet, on ne se rend pas toujours compte du mode utilisé ce qui complique la lisibilité du PIA, notamment lorsque plusieurs corrections sont à apporter.

Le PIA, un outil parfait pour les personnes sensibilisées

Après une mise en place qui peut prendre beaucoup de temps dans les organismes non ou mal préparés à la protection des données, le logiciel de la CNIL s’avère être un outil particulièrement utile pour les responsables de traitements sensibilisés à la protection des données (ou disposant d’un DPO) et ayant adopté (ou initié) une vraie démarche de conformité. On peut notamment extraire un plan d’action et une vue d’ensemble des risques.

Plan d’action – PIA

Optimex Data recommande fortement aux organismes confrontés à des traitements de données, pouvant entraîner des risques sur la vie privée de leurs utilisateurs/clients/usagers/employés, de se pencher sur des solutions adaptées en matière de protection des données.