Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.

>Télécharger l’extension

Texte officiel

> Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe

…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Arnaques par courriel (scam, phishing) : la CNIL peut-elle agir ?

Si vous en êtes victime, signalez-les sur le service PHAROS du ministère de l’Intérieur (http://www.internet-signalement.gouv.fr) et au service phishing-initiative (http://www.phishing-initiative.com) mis en place par plusieurs acteurs de l’internet.

Vous pouvez également joindre par téléphone le service Info Escroquerie de la police nationale au 0811 02 02 17 (coût d’un appel local).

Combien de temps doivent être conservées les données utilisées pour le suivi du temps de travail ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=0245F4689A67B389E322EB9815FEF32B?name=Contr%C3%B4le+des+horaires+%3A+combien+de+temps+sont+conserv%C3%A9es+les+donn%C3%A9es+%3F&id=365

Quelles précautions prendre avant de fermer la messagerie professionnelle d’un employé ?

 
Une fois que l’employé a quitté l’organisme, l’employeur doit supprimer son adresse électronique nominative.

La CNIL invite les employeurs à définir, en concertation avec les représentants des personnels, des chartes d’utilisation des outils informatiques.

Réagissez à cet article

Consomateurs, exercez vos droits auprès de la CNIL

Grâce à la loi Informatique et Libertés, vous bénéficiez de droits spécifiques que vous pouvez – dans la plupart des cas – faire valoir vous-mêmes.

Droit d’accès

Droit de rectification

Droit d’opposition

Droit au déréférencement

Réagissez à cet article

Depuis le 27 avril 2016, le RGPD doit être mis en application et les collectivité doivent réaliser certaines démarches supplémentaires en plus de celles incombant à tous les autres organismes privés et associatifs.

Exemple : Article 37 alinéa 1 du RGPD

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

Les collectivités doivent donc obligatoirement désigner un Délégué à la Protection des données quelle que soit la taille de la structure.

Notre conseil : Pour des réductions de coûts, le délégué à la protection des données peut être mutualisé !

Le Délégué à la Protection des données (aussi appelé le DPO pour Data Protection Officer) sera le référent « Data Protection ». Il veillera à la bonne application, dans l’organisme qui l’emploie, de la loi “Informatique et Libertés” relative à la protection des données personnelles du règlement européen. … Parallèlement, le DPO doit aussi former le personnel de l’organisme à la législation Informatique et Libertés.

Denis JACOPINI, Expert informatique, accompagne depuis plusieurs années les futurs DPO à la mise en place de la démarche de mise en conformité avec le RGPD.

Accompagnement RGPD sur mesure

• Que vous souhaitiez apprendre à réaliser une démarche de mise en conformité RGPD,
• Que vous souhaitiez que nous réalisions pour vous vos démarches de mise en conformité RGPD,
• Que vous souhaitiez que nous vous accompagnons de manière personnalisée dans vos démarches de mise en conformité RGPD

Que ça soit sous la forme de formation ou de prestation d’audit ou d’accompagnement : Contactez-nous

Denis JACOPINI est depuis 1996 spécialisé en sécurité informatique, Expert Informatique depuis 2011, Correspondant CNIL depuis 2012, formateur auprès de la Direction du Travail de l’Emploi et de la Formation Professionnelle depuis 1998,  formé par la CNIL depuis 2012 et sa certification en Analyse de Risques sur la Sécurité des Systèmes d’Information (ISO 27005 Risk Manager) a été obtenue avec l’organisme internationalement reconnu :  LTSI. Enfin, notre organisme est inscrit au Datadock.

17/11/2016 – Denis JACOPINI au Conseil de l’Europe lors de la conférence Octopus 2016 pour présenter des projets de synergies entre les différents acteurs pour favoriser la lutte de la cybercriminalité.

15/12/2016 – Réunion thématique AN2V » Quelles innovations dans le domaine de la prise d’image mobile ? « . Denis JACOPINI explique que les entreprises présentes ne se sentent malheureusement que trop peu concernées par les risques lis à la cybercriminalité. Il est peut-être temps de réagir et de considérer la cybersécurité comme un domaine dans lequel les entreprises doivent désormais réagir.

19/09/2016

Étape par étape : comment bien effacer et conserver vos données informatiques stockées sur votre ordinateur professionnel si vous changez de travail à la rentrée (et pourquoi c’est très important)

13/10/2016 – IT Tour à Nantes organisé par Le Monde Informatique en présence d’une centaine de personnes et du robot Peeper.

Pour cet IT Tour 2016 à Nantes, le plateau d’intervenants était constitué (de gauche à droite) de Cédric Cartau (RSSI du CHU de Nantes), Malika El Abed (Directrice des projets informatiques et Libertés chez Nantes Métropole Habitat), David Léaurant (DSI Vet’Affaires), Yannick Michel (Directeur organisation et systèmes d’information – Groupe Confluent Nouvelles Cliniques Nantaises) et Denis Jacopini (Expert Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles).

19/09/2016

« Données personnelles en danger : pourquoi il est très important de supprimer vos comptes en ligne que vous n’utilisez plus (et pas seulement de les fermer) »

19/09/2016

«  Des difficultés pour supprimer les comptes Internet de proches récemment décédés ? Cette nouvelle loi pourrait bien vous aider »

 La Méthode EBIOS désormais adaptée aux traitements de données à caractère personnel et à la CNIL

Formation RGPD pour DPO externe mutualisé et Délégués à la protection des données externalisé

Formation pour DPO externe ou Délégué à la ptotection des données externalisé : « J’accompagne mes clients dans leur mise en conformité avec le RGPD » : 3 jours + 1 jour d’accompagnement personnalisé
(C’est le moment ou jamais de vendre des services « RGPD »)

Si votre objectif est avant tout de développer l’activité de mise en conformité avec le RGPD afin de vendre cette prestation auprès de vos clients, cette formation est faite sur-mesure pour vous en vous apportant l’ensemble des mesures et des cas qu’il est nécessaire de maîtriser pour que vos clients soient mis sur le chemin de la mise en conformité. Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable, un consultant et souhaitez accompagner vos clients dans leur mise en conformité avec le RGPD,  cette formation se passe sur 3 jours en groupe plus une journée supplémentaire en individuel pour superviser la mise en place du RGPD dans votre établissement ou chez un de vos clients (frais liés au déplacement dans cet établissement en sus). Suivez LA formation qui vous apportera la plus grande autonomie dans la mise en conformité de tout notre catalogue.

Consultez les prochaines dates d’animation autour de chez vous ?

Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il m’est ainsi aisé d’expliquer le coté pragmatique de la démarche de mise en conformité avec le RGPD.

« Mon objectif est de vous transmettre mon savoir, vous dévoiler mes techniques mes outils car c’est bien ce que les personnes qui souhaitent s’inscrire à une formation RGPD attendent. »

Nos formations s’organisent en groupe. Le lieu de la formation sera facilement accessible à Métro à Paris, facilement accessible en tramway à Lyon et à proximité d’une gare TGV et disposera d’un parking à Marseille. Votre place ne sera réservée qu’à la réception de votre acompte. Si la formation était annulée (nombre de participants insuffisants ou en cas de force majeure), votre acompte sera remboursé en intégralité dans les 5 jours (les chèques seront encaissés à partir du jour de la formation). En cas d’annulation de votre part moins de 48 heures avant la formation, l’acompte pourra ne pas être remboursé car destiné à régler les frais de réservation de salle et d’organisation, eux même non remboursables.

Pendant les vacances continuez à protéger vos données personnelles

• Les dangers du Wi-fi public

Lorsque vous rejoignez un réseau Wi-Fi public ouvert à votre café préféré, vous pouvez obtenir plus qu’un expresso. Vous pourriez potentiellement être victime d’un vol d’informations. En outre, un pirate peut avoir créé un faux réseau Wi-Fi qui semble réel (avec un nom similaire par exemple). L’utilisation d’un VPN est donc fortement recommandée.

• Les dangers des applications

Les applications sur votre smartphone peuvent vous espionner. Soyez très prudent lorsque vous sélectionnez des applications. Jetez un œil aux fonctionnalités dictées par le développeur. Maximisez les paramètres de confidentialité autant que possible.

• Les dangers des médias sociaux

Évitez les quiz Facebook qui peuvent relever toutes vos données (Cambridge Analytica). Minimisez les informations que vous partagez sur les réseaux sociaux. N’acceptez pas les demandes de personnes que vous ne connaissez pas.

Tout le monde peut prétendre être quelqu’un d’autre en ligne – prenez des mesures supplémentaires pour assurer votre sécurité et celle de votre famille. En conclusion, n’hésitez pas à vous référer à des conseils, guides, vidéos de la part des professionnels du secteur et autres associations, sans oublier le site de la CNIL et ses guides qui fournissent de bons conseils et recommandations.

[Lire l’article complet sur LaTrinune.fr]

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).