fbpx

rgpd

sécurité des données personnelles

Sécurité des données personnelles

Sécurité des données personnelles 1280 719 jeremy

La sécurité des données personnelles constitue un volet essentiel de la conformité. Les obligations se sont renforcées avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018.

Le RGPD dispose dans son article 32 que « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

La confiance passant par la sécurité, la Commission n’hésite plus à sanctionner les organismes lorsqu’il y a une atteinte grave à la sécurité des données des personnes concernées. C’est le cas par exemple pour SERGIC qui a été sanctionnée à 400 000€ d’amende pour atteinte à la sécurité et non-respect des durées de conservation ou encore Active Assurances qui a été condamné à régler la somme de 180 000€ pour atteinte à la sécurité des clients.

UBER a également été condamné à une lourde amende, 400 000€, pour avoir insuffisamment sécurisé les données des utilisateurs de son service VTC.

Afin d’éviter toute sanction relative à la sécurité des données personnelles, vous pouvez vous appuyer sur le guide de la sécurité des données personnelles consultable sur ce lien qui permet d’aider les professionnels dans leur mise en conformité que ce soit à la Loi Informatique et Libertés et au RGPD.

Pour en savoir plus, la CNIL met à disposition une check list permettant d’évaluer le niveau de sécurité des données personnelles de votre organisme, cliquez ici pour la consulter.

cookies et site internet

Avez-vous des cookies sur vos sites internet ?

Avez-vous des cookies sur vos sites internet ? 960 639 jeremy
RECOMMANDATIONS DE LA CNIL POUR L’UTILISATION DES COOKIES :

Le 4 juillet 2019, la CNIL publie des lignes directrices sur l’application de l’article 82 de la loi du 6 janvier 1978 qui encadre les actions visant à accéder ou à inscrire des informations dans le terminal d’un utilisateur telles que le dépôt ou la lecture de cookies ou d’autres traceurs lorsque l’internaute se rend sur un site internet.

L’objectif de ces traceurs peut-être par exemple : mesurer l’audience du site, adresser de la publicité ou interagir avec des réseaux sociaux. Le consentement de l’utilisateur sera obligatoire dès lors que le cookie n’est pas nécessaire au fonctionnement du site en question.

Dans un communiqué en date du 28 juin 2019, la CNIL annonce son projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet sera soumis à consultation publique jusqu’au 25 février 2020, en vue de la préparation de la version définitive de la recommandation.

Selon une étude réalisée par l’IFOP, il en ressort que 65% des personnes indiquent avoir déjà accepté des cookies alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus. 65% des personnes interrogées estiment que les demandes d’autorisation actuelles ne sont pas efficaces.

Par conséquent, la CNIL exige désormais un consentement libre, spécifique, éclairé et univoque.

La CNIL a estimé que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». La commission ordonne désormais un acte positif.

Le consentement ne peut être valide que si l’utilisateur est en mesure d’exercer librement son choix. Tout d’abord, le responsable du ou des traitements devrait offrir à l’utilisateur tant la possibilité d’accepter que celle de ne pas accepter (en d’autres termes, de refuser) les opérations de lecture et/ou écriture.

L’utilisateur ne devrait pas subir de préjudice s’il choisit de refuser. Ainsi, le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur. La commission rappelle que « la pratique qui consiste à bloquer l’accès à un site ou à une application mobile pour qui ne consent pas à être suivi n’est pas conforme au RGPD ».

Enfin, ces interfaces ne devront pas utiliser de pratiques de design potentiellement trompeuses, telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.

L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Ainsi, le simple fait d’accepter les conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique. L’utilisateur devra être informé, de manière claire et précise, des finalités. Celles-ci devront être accessibles pour l’utilisateur et non pas noyées dans des conditions générales.

Pour connaitre en détail le projet de recommandation, cliquez sur ce lien

Pour consulter l’étude réalisée par l’IFOP, cliquez ici.

Optimex Data agence spécialisée Solutions RGPD

Actus RGPD

Actus RGPD 1320 742 jeremy

Optimex Data a participé à la grande enquête que lance le Ministère du Travail et l’AFCDP sur le métier de DPO

La Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) du Ministère du Travail a confié à l’Agence Nationale pour la Formation Professionnelle (l’AFPA) la réalisation d’une étude de grande ampleur sur la fonction de DPO. Cette étude s’appuie sur un questionnaire en ligne conçu conjointement avec l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel). Elle permettra de mieux connaitre le métier de DPO et les conditions d’exercice au sein des structures employeuses ou en tant que DPO externe. Cette initiative a reçu le plein soutien de la CNIL.

En tant que DPO externe, Optimex Data a participé à cette enquête en répondant au questionnaire en ligne.

Les adhérents de l’AFCDP bénéficieront d’une présentation des résultats détaillés de cette enquête lors de l’une des manifestations organisées par l’association. Optimex Data vous communiquera ensuite les conclusions de cette enquête.


Bientôt la certification CNIL

Face à la multitude de DPO et au développement de cette activité, la CNIL a décidé d’encadrer ce nouveau métier. Elle a permis d’adopter des référentiels de certification, et d’agréer les organismes chargés de délivrer cette certification. La CNIL a mis en place deux référentiels :

  • un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO. Ce référentiel est prévu pour les personnes physiques.
  • un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification élaboré par la CNIL.

La liste des organismes habilités à la certification des compétences devrait bientôt être dévoilée afin de mettre en place le référentiel de certification de DPO dans les mois à venir.

Toute l’équipe Optimex Data passera la certification afin de vous apporter un gage de confiance supplémentaire dans le cadre de nos prestations.


Mises en demeures prononcées par la CNIL : des applications mobiles partagent des données avec Facebook sans le consentement des utilisateurs

La CNIL a mis en demeure et contraint plusieurs startups de la géolocalisation à changer leurs pratiques en matière de traitement des données et de recueil du consentement. Ces procédures ont mis en lumière le goût prononcé des éditeurs d’applis mobiles pour les SDK (software Development kit), des composants logiciels implémentés dans le code des apps.

Facebook comprend des SDK, qui proposent des outils comme « app events » pour la publicité sur mobile. De nombreuses apps mobiles embarquent ces couches logicielles. Combien en informent leurs utilisateurs ? En Europe, RGPD oblige, l’utilisateur doit être préalablement informé et accorder un consentement éclairé à cette collecte.

Cependant la pratique n’est pas forcément répandue, certaines apps collectent des données sensibles et éminemment personnelles, dont une partie est ensuite transmise à Facebook, que l’utilisateur ait ou non un compte sur la plateforme.

La CNIL rappelle que les mises en demeures ne sont pas des sanctions. Cependant, celles-ci étant publiques, elles peuvent avoir un impact commercial négatif sur les sociétés rappelées à l’ordre.

Optimex Data agence spécialisée Solutions RGPD

Reconnaissance faciale : un sujet polémique

Reconnaissance faciale : un sujet polémique 1317 792 jeremy

C’est à l’occasion du carnaval de Nice, qui s’est déroulé en mars dernier, que la ville de Nice a rendu opérationnel les dispositifs de vidéosurveillance dotés de la reconnaissance faciale dans les espaces publics de sa commune.

Bien que la CNIL ait limité la portée de ce test à but scientifique, qui devait recueillir le consentement préalable, libre et éclairé de la population niçoise, la mairie a finalement reconnu la vocation sécuritaire du dispositif mis en place.

La CNIL a rappelé le caractère strict de l’autorisation qui a été accordée à la commune de Nice, tout en précisant que le déploiement des dispositifs de vidéosurveillance à des fins sécuritaires serait nécessairement conditionné à la publication d’un décret pris en Conseil d’Etat ou d’une loi.

Dans le même temps, la municipalité de San Francisco prend le contrepied de l’initiative des autorités françaises en proscrivant le recours à la reconnaissance faciale à grande échelle, celle-ci ayant été qualifiée de « dangereuse et oppressive » par le conseil municipal de la ville.

Optimex Data agence spécialisée Solutions RGPD

RGPD : Modèle pour un nouveau cadre réglementaire à l’échelle mondiale

RGPD : Modèle pour un nouveau cadre réglementaire à l’échelle mondiale 1320 785 jeremy

L’entrée en vigueur du Règlement Européen sur la Protection des Données le 25 mai 2018 a constitué une opportunité sans précédent pour l’Union Européenne de proposer aux 76 pays qui composent l’Organisation Mondiale du Commerce (OMC) un projet réglementaire européen sur la protection des données les 13 et 14 mai derniers.

Le 26 avril 2019 (Forum Economique Mondial de Davos), les membres de l’OMC ont exprimé leur accord avec l’Union Européenne pour développer un nouveau cadre réglementaire adapté et largement inspiré du règlement européen sur la protection des données. 

Il n’aura donc fallu qu’un an à l’Union Européenne pour donner un essor extra-communautaire aux principes du 25 mai 2018 et ainsi réaffirmer, à l’occasion du FEM de DAVOS, que le RGPD ne constitue qu’une première étape nécessaire au consensus qui devra consacrer la protection des données personnelles sur le plan international.

Jacques Barthélemy intervient pour l’Union des Photographes Professionnels

Jacques Barthélemy intervient pour l’Union des Photographes Professionnels 1176 770 jeremy

Le 11 décembre 2018 avait lieu une Conférence de l’UPP – Union des Photographes Professionnels / Auteurs à la SEPR de Lyon. La conférence portait sur le droit d’auteur, le droit de la personne et de son image et le RGPD.

Jacques Barthélémy, co-fondateur d’Optimex Data comptait parmi les Maîtres de Conférence et est bien évidemment intervenu sur le thème du RGPD :

  • Présentation des grandes règles du RGPD ;
  • Principes de conservation des données, classement et autres obligations, telles que la tenue d’un registre détaillant l’organisation des données détenues par tout un chacun ;
  • Quelques conflits de cohérence sont pointés avec le métier de photographe, par Nedim Imre, et une réponse juridique possible, apportée par Me Brun, également Maître de Conférence ;

Au terme de son intervention, Jacques Barthélémy a pris le temps de répondre à toutes les questions qui lui étaient posées en détail et rassurant l’assemblée quant à la loi et son application, sa mission étant de sensibiliser ce corps de métier sur les aspects de mise en conformité avec la CNIL.

Optimex Data tient à remercier l’UPP de leur accueil et les participants pour leur attention et leur implication.

Loi informatique et Libertés Optimex Data

Loi informatique et Libertés 3, quoi et quand ?

Loi informatique et Libertés 3, quoi et quand ? 1380 920 jeremy

Le General Data Protection Regulation (GDPR) est entré en application mais nous sommes toujours en attente de la deuxième refonte de la loi Informatique et Libertés de 1978.

Bien que le Règlement soit directement applicable et ne nécessite théoriquement pas de loi de transposition – contrairement à une directive, ce dernier laisse 56 marges de manœuvre aux États membres de l’Union européenne.

Le contenu contesté de la loi

La nouvelle loi (LIL3) devait initialement entrer en vigueur le 6 mai 2018 mais les députés et les sénateurs n’ont pas réussi à s’entendre sur quelques points. Notamment sur la création d’une dotation spécifique et l’exonération des sanctions pour les collectivités territoriales.

Toutefois, certains points semblent tranchés : l’âge du consentement des mineurs sur Internet (15 ans, article 20 du projet de loi), la création d’un régime d’exception pour les traitements des données génétiques ou biométriques et des numéros de sécurité sociale, la possibilité pour la CNIL de « prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé » (article 1er), l’autorisation des actions de groupe afin d’obtenir réparation des préjudices matériels ou moraux (article 25 du projet de loi).

L’adoption en lecture définitive et la saisine du Conseil constitutionnel

Le 14 mai 2018, l’Assemblée nationale a adopté le projet de loi relatif à la protection des données personnelles en lecture définitive. Deux jours plus tard, le Conseil constitutionnel a enregistré une saisine présentée par au moins 60 sénateurs Affaire (n° 2018-765 DC : loi relative à la protection des données personnelles).

Cette saisine retarde l’entrée en vigueur d’au moins 8 jours et au plus tard, la loi sera en vigueur au 28 juin 2018.

Le contenu de la saisine a été révélé par Nextinpact : au moins 60 sénateurs considèrent que le projet de loi n’est pas conforme à la constitution, notamment pour manque d’accessibilité et d’intelligibilité et d’atteinte au principe de séparation des pouvoirs et à l’autonomie des pouvoirs publics constitutionnels.

Pour en savoir plus, vous pouvez trouver l’intégralité de la saisine en cliquant ici et vous abonner à notre newsletter pour ne rien manquer de l’actualité juridique en matière de protection des données (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour aller encore plus loin, Optimex Data, en tant que DPO externe, tient une veille juridique pour ses clients.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Règlement général sur la protection des données, Optimex Data vous accompagne dans la mise en conformité

Règlement Général sur la Protection des Données (RGPD) : J-100

Règlement Général sur la Protection des Données (RGPD) : J-100 1280 735 jeremy

Encore 100 jours avant l’application du règlement général sur la protection des données – RGPD et tout s’accélère.
Où en êtes-vous ? Il est temps de faire le point !

Je n’ai encore rien fait pour mon organisme :

Il est encore temps d’initier une démarche de conformité. En effet, le 25 mai 2018 n’est pas une date couperet pour la CNIL. Toutefois, il vous sera demandé (par la CNIL, par vos clients, par vos collaborateurs) d’indiquer les mesures que vous avez initié pour répondre aux exigences du Règlement.

Formation, audit des traitements, registre des traitements, procédures internes, révisions des contrats (sous-traitance), garantie des droits des personnes, désignation d’un DPO (Data Protection Officer), analyses d’impact sont autant de mesures qui peuvent vous permettre de démontrer votre bonne foi.

J’ai initié une démarche de conformité :

Vous avez un projet RGPD ? Vous vous êtes formé au règlement général sur la protection des données ? Vous avez effectué un audit des traitements de votre organisme ? Vous êtes sur la bonne voie. La conformité pour le 25 mai 2018 est possible. Vérifiez tout de même que vous êtes bien accompagné sur tous les plans : juridique, organisationnel et informatique.

Je suis déjà en conformité :

La protection des données personnelles est bien intégrée au sein de votre organisme. Vos équipes sont formées, vous avez désigné une personne chargée de la conformité au RGPD et vous tenez un registre des traitements. Vous avez révisé vos contrats avec vos sous-traitants (notamment ceux en mode SaaS) et vous communiquez à vos clients, vos partenaires et vos collaborateurs les garanties que vous présentez en matière de protection des données. Bravo, vous êtes en conformité avec les exigences du RGPD et vous êtes prêt pour le 25 mai !

Pour ceux qui n’ont pas encore initié de démarche de conformité ?

Pas de panique : toute l’équipe d’Optimex Data est à votre disposition pour vous accompagner dans votre projet de conformité au RGPD.

Vous ne savez pas par où commencer ?

Commentez ce post avec votre adresse e-mail et recevez notre livre blanc ! Il répond aux questions les plus fréquemment posées à propos du règlement général sur la protection des données et vous indique les mesures à mettre en œuvre.

Vous souhaitez bénéficier d’un projet règlement général sur la protection des données ?

Inscrivez-vous à notre permanence juridique en ligne GRATUITE en cliquant ici et posez vos questions à nos juristes directement par téléphone;

Vous souhaitez initier une démarche de conformité, bénéficier d’un accompagnement juridique ou désigner un DPO externalisé / mutualisé ?

Contactez-nous : contact@optimex-data.fr

FAQ RGDP Optimex Data agence spécialisée dans la protection des données personnelles

Règlement Européen – FAQ RGPD

Règlement Européen – FAQ RGPD 1920 1280 jeremy

Le Règlement Général sur la Protection des Données (RGPD) arrive à grands pas et vous entendez de plus en plus parler de cet acronyme qui ne vous rassure pas vraiment.

Après tout, pourquoi s’inquiéter ? « Ce n’est qu’une énième législation européenne prise par des parlementaires pour justifier leur salaire ». Permettez-nous de vous dire que vous vous trompez ! Un Règlement européen, c’est juridiquement très contraignant, et celui-ci l’est particulièrement pour les entreprises et les organismes publics.

Optimex Data vous propose de faire connaissance avec le règlement Européen via une FAQ RGPD  visant à répondre aux questions les plus fréquemment posées.

Pourquoi une nouvelle législation sur la protection des données ?

Pour faciliter les échanges de données dans l’Union européenne (grâce à une harmonisation de la législation) et pour garantir plus de transparence dans le traitement des données des citoyens (en responsabilisant davantage les entreprises).

Après tout, ce n’est que du bon sens, n’est-ce pas ?

Bien sûr, en France, nous avons la chance de bénéficier d’une législation en matière de protection de la vie privée sur Internet depuis presque 40 ans (la loi Informatique et Libertés date de 1978). Nous baignons dans une culture de protection de la vie privée et rare sont les comportements illégaux au sein des entreprises.

Je ne vends pas les données que je récolte, suis-je tout de même concerné par le Règlement ?

Oui ! Malgré votre bonne volonté et votre bonne foi vis-à-vis des données de vos clients, de vos salariés, de vos usagers, de vos partenaires, vous êtes concerné par le Règlement car le RPGD, c’est avant tout une logique de transparence et de justification.

J’ai déjà effectué des déclarations auprès de la CNIL, faut-il que j’aille plus loin ?

Comme dit ci-dessus, le RGPD vise à responsabiliser davantage les entreprises, c’est ce que le Règlement appelle « l’accountability ». Fini les déclarations à la CNIL, bonjour le registre des activités de traitement et les audits de procédure !

Pourquoi devrais-je désigner un délégué à la protection des données ?

Le délégué à la protection des données (Data Protection Officer ou DPO en anglais) est un acteur clé de la mise en conformité. C’est lui qui va vous conseiller pour chacune des obligations imposées par le RGPD. Il vous aidera à tenir un registre des traitements, à auditer vos traitements, à gérer les demandes relatives au droit des personnes, à effectuer une analyse d’impact sur la protection des données, à garantir votre conformité au RGPD !

Le droit des personnes, qu’est-ce que c’est ?

Accéder à ses données, pouvoir les rectifier, les effacer, les télécharger pour les transporter ou pouvoir refuser une prospection commerciale. Le RGPD est riche en droits des personnes et les entreprises doivent garantir chacun d’eux.

Si je ne suis pas en conformité au 25 mai 2018, que va-t-il se passer ?

Rien ! Le 25 mai 2018 n’est pas une date butoir. Toutefois, si la CNIL est amenée à contrôler votre organisme (à la suite d’une faille technique entrainant une fuite de donnée ou à la suite d’une plainte en ligne d’un de vos salariés ou clients) et que vous n’avez pas entamé une démarche de conformité, vous serez sanctionné à hauteur de votre investissement envers la protection des données.

Quels types de sanctions peut prononcer la CNIL ?

La formation restreinte de la CNIL peut prononcer des sanctions pouvant aller de l’avertissement public (dommageable pour la réputation de l’entreprise) à la sanction pécuniaire. Le RGPD prévoit à ce titre des sanctions pouvant atteindre jusqu’à 10 ou 20 millions d’euros voire 2 ou 4% du chiffre d’affaires de l’entreprise en fonction de la gravité des manquements.

La CNIL peut également vous enjoindre de cesser un traitement (ce qui peut dans certains cas coûter très cher à l’entreprise).

En espérant que notre FAQ RGPD ait répondu à vos interrogations !