Est-ce que déclarer à la CNIL est obligatoire ?

Sont dispensés de cette formalité :

certains fichiers exonérés par la loi ou la CNIL : voir liste des exonérations et des dispenses ;

certains fichiers mis en oeuvre par un organisme qui a désigné un Correspondant Informatique et Libertés (CIL).

Dans les autres cas, la déclaration auprès de la CNIL est obligatoire et s’effectue sur le site internet de la Commission. L’accomplissement de cette formalité est gratuite. 

A savoir : L’absence de formalité auprès de la CNIL, lorsqu’elle est obligatoire, peut constituer une infraction pénale.
Source : http://www.aide.cnil.fr/selfcnil/site/template.do?name=D%C3%A9clarer%C2%A0%C3%A0+la+CNIL%2C+c%27est+obligatoire+%3F&id=335

#Télémédecine : l’#échange de données de santé est-il autorisé ?

Le patient doit avoir été informé au préalable de l’utilisation de la télémédecine et des actes ou examens médicaux qui seront réalisés de cette façon.

La réponse à la question : L’échange de données de santé est-il autorisé ? est donc Oui.

Conservez une preuve en vue d’une plainte à la CNIL 

Réaliser une capture d’écran depuis un ordinateur

Depuis un PC

Réalisez une capture d’écran à l’aide de la touche « impr écran » en haut à droit de votre clavier (PC). Puis ouvrez un document (traitement de texte, paint ou courrier électronique) pour coller cette copie d’écran puis l’enregistrer.

Depuis un Mac

Pressez simultanément les touches Cmd + MAJUSCULE + 4. Ouvrez un document word, ou un courrier électronique pour le coller votre copie d’écran dans le corps de votre document ou de votre message,  puis « enregistrer ».

Outre les outils et logiciels mis à disposition sur votre ordinateur, il existe des extensions gratuites (Screengrab, PageSaver…) à installer directement sur votre navigateur. Correctement paramétrées, celles-ci permettent de dater automatiquement une copie d’écran (page complète, visible ou sélection).

Réaliser une capture d’écran sur Smartphone ou tablette

A partir d’un terminal Android

Appuyez simultanément sur le bouton Marche/Veille et sur « Volume bas ». Maintenez ces boutons enfoncés jusqu’à ce que vous soyez notifié par un son ou une petite animation.

A partir d’un terminal Apple (iPhone ou iPad)

Appuyer simultanément et de manière brève sur le bouton « Menu » (ou bouton Home au milieu de l’iPhone) et le bouton « Verrouillage » (ou bouton Power au dessus de l’iPhone).

A partir d’un terminal Windows Phone

Appuyez simultanément sur les boutons « Marche /veille » et « Volume + » pour prendre une photo de votre écran.

A partir d’un smartphone Samsung

.

Pressez en même temps sur le bouton « Home » et le bouton « Power » puis maintenez ces boutons enfoncés jusqu’à la capture d’écran

Une mairie peut-elle demander le numéro de sécurité sociale (NIR) des enfants en école primaire ?

• nom, prénoms, sexe, date et lieu de naissance, adresse ;identité et adresse du responsable légal ;
• profession du responsable légal ;
• classe de l’élève ;
• école fréquentée, s’il s’agit d’un établissement public,
• et date d’entrée dans cette école.

Les communes ne doivent pas enregistrer le numéro de sécurité sociale ni l’utiliser comme identifiant de l’élève.

Elles ne sont pas autorisées non plus à demander la copie de l’attestation de sécurité sociale.

En effet, cette information n’est d’aucune utilité pour les communes.Cette donnée ne peut pas non plus être collectée par l’école ou les instituteurs.

La cybercriminalité, un vrai risque pour les administrations

Par exemple, les données les plus sensibles (fichiers administrés ou membres, contrats, projets en cours…) peuvent être dérobées par des attaquants informatiques ou récupérées en cas de perte ou vol d’un ordiphone (smartphone), d’une tablette, d’un ordinateur portable…

La sécurité informatique est aussi une priorité pour la bonne marche des systèmes informatiques. Une attaque informatique sur un système peut causer la perte de contrôle, l’arrêt ou la dégradation des installations.

Ces incidents s’accompagnent souvent de sévères répercussions en termes de sécurité, de pertes économiques et financières et de dégradation se service et de l’image de la victime.
Ces dangers peuvent néanmoins être fortement réduits par un ensemble de bonnes pratiques, peu coûteuses et faciles à mettre en oeuvre dans votre collectivité.

5 bons conseils pour sécuriser tous vos achats sur Internet

Comment réagir en cas de chantage à la webcam ?

A quoi ressemble un cas typique de chantage à la webcam ?

La victime se rend sur un site de rencontre puis entame la conversation avec une jeune femme ou un jeune homme au physique attrayant. Après lui avoir posé quelques questions sur sa vie privée,  cette personne l’invite à approfondir les échanges via une conversation vidéo plus intime. Quelque temps plus tard, un courriel ou un message Facebook apprendra à la victime que cette rencontre a été enregistrée. Le cyber-escroc menace de diffuser la vidéo de cet échange sur le compte Facebook d’un proche ou sur un site de partage de vidéos si la victime ne lui remet pas la somme de 200 euros sous 24h/48h.

Quel réflexe adopter ?

1. Ne répondez surtout pas à  un cyber-escroc

Soyez parfaitement hermétique à  toute tentative de chantage : ne communiquez aucune donnée personnelle, ne versez surtout pas d’argent quelle que soit la somme demandée.

2. Verrouillez immédiatement vos comptes sociaux

Paramétrez vos comptes sociaux professionnels et vos comptes Facebook de manière à  ce que le malfaiteur n’associe pas votre nom à  une liste d’amis / de contacts. Ne rendez accessible votre profil Facebook qu’auprès de vos amis de confiance. Enfin, ne publiez rien de personnel sur votre mur. Des personnes mal intentionnées peuvent détourner ces informations à  d’autres fins. Notre page Facebook délivre quelques conseils pour bien paramétrer vos comptes.

3. Alertez les autorités via la plateforme du Ministère de l’Intérieur

• Effectuez des captures d’écran justifiant votre situation (messages reçus, contenus à  effacer …). Voir la fiche pratique
• Signalez directement l’escroquerie sur la plateforme www.internet-signalement.gouv.fr
• Renseignez-vous via le service Info Escroqueries au 0811 02 02 17 (prix d’un appel local depuis un poste fixe ; ajouter 0.06 €/minute depuis un téléphone mobile ; Du lundi au vendredi de 9h à 18h)

4. Parlez-en à une personne de confiance

La violence des termes employés par l’escroc et le risque d’exposition de votre vie privée peuvent être vécus comme un traumatisme. Il est conseillé d’en parler avec une personne de confiance. Vous êtes mineur ? Des télé-conseillers sont gratuitement à  votre écoute au 0800 200 000 de 9h à  19h en semaine.   Voir le site Net écoute

5. Informez vos amis de l’escroquerie

Veillez à informer discrètement les personnes susceptibles d’être sollicitées par le cyber-escroc en mentionnant sobrement que vous êtes victime d’une escroquerie en ligne et qu’il ne faut ni ouvrir, ni partager, ni répondre à une éventuelle sollicitation provenant d’un inconnu.

6. Effectuez régulièrement des recherches à  votre nom

Vous pouvez par exemple programmer une alerte à votre nom qui vous enverra un message sur votre messagerie électronique dès qu’un contenu associé à votre nom est mis en ligne. Certains services existent iciou là.

Si la vidéo a été diffusée …

7. Demandez systématiquement au site de dépublier le contenu gênant

Exemple : si la vidéo a été mise en ligne sur Youtube : demandez à  Youtube de supprimer cette vidéo. Si le site ne répond pas à  votre demande sous deux mois, adressez vous à  la CNIL en suivant la procédure de notre formulaire de plainte en ligne.

8. En parallèle, demandez au moteur de recherche de déréférencer le contenu en cause

Depuis un récent arrêt de la cour de justice européenne, les internautes peuvent saisir les moteurs de recherche d’une demande de déréférencement d’un contenu associé à  leurs nom et prénom.  Le droit au déréférencement

D’autres solutions existent

9. Créer du contenu bien référencé à  votre nom

Vous pouvez créer rapidement des contenus valorisants associés à  votre nom et donc bien référencés. Il peut s’agir d’un blog consacré à une passion ou d’une page de curation de contenus (outil qui permet de sélectionner, éditer et partager des pages/liens web sur un sujet précis). Attention à ne pas communiquer d’éléments personnels.

10. Faire appel à  une agence spécialisée

Certains cas peuvent nécessiter l’intervention d’une agence spécialisée dans l’effacement de contenus gênants. Soyez néanmoins vigilant sur les compétences vantées dans l’annonce. N’hésitez pas à  vous rendre sur des forums pour vous renseigner sur la réputation de ces agences.

Votre image est en ligne : comment demander son retrait ?

Une personne qui conteste la diffusion de son image sur un site web peut s’adresser soit au responsable de site en application du droit d’opposition prévu par la loi informatique et libertés, soit au juge en s’appuyant sur les principes du droit à l’image (obligation de recueil du consentement).

Deux procédures existent : l’une dans le cas où vous souhaitez que le gestionnaire des droits de l’image supprime votre image, l’autre dans le cas où vous souhaitez demander au site de dépublier votre photo/vidéo. Vous pouvez effectuer ces demandes en parallèle.

« DEMANDER AU PHOTOGRAPHE LE RETRAIT D’UNE PHOTO AU NOM DU DROIT A L’IMAGE »

Situation type : « J’ai donné mon accord pour être pris en photo et ne souhaite plus voir ma photo en ligne aujourd’hui »

Il faut bien dissocier la protection des données personnelles – champ qui relève de la loi informatique et libertés – du « droit à l’image », qui est en fait le droit à la vie privée prévu dans le code pénal **.

Le « droit à l’image » permet à toute personne de faire respecter son droit à la vie privée. Un internaute pourra par exemple refuser que son image ne soit reproduite ou diffusée sur n’importe quel support sans son autorisation expresse.

Étape 1 – Assurez vous que cette photo permet de vous identifier

Étape 2 – Assurez vous que vous n’avez à aucun moment consenti à cette prise de vue

Le fait d’autoriser l’exploitation de votre image restreint votre capacité de contester sa diffusion ou sa réutilisation sauf si les termes de l’accord écrit ne correspondent pas au cadre prévu par la loi.

Forme de l’accord écrit : ce « contrat » passé entre le photographe/vidéaste est le plus souvent un engagement écrit daté et signé de votre part et qui vous demande votre consentement à être photographié/filmé et votre autorisation à ce que votre image soit diffusée et ce , dans un cadre bien précis : quels supports seront diffusées les photos ? Quels sont les objectifs de cette diffusion ? Sur quelle durée porte cette autorisation ? Pour en savoir plus …

A noter : dans le cas d’images prises dans les lieux publics, seule l’autorisation des personnes qui sont isolées et reconnaissables est nécessaire.

Votre enfant est mineur ? Soyez particulièrement vigilants à ce que le photographe vous demande une autorisation écrite parentale. Quelques modèles sont téléchargeables depuis le site eduscol.education.fr

Étape 3 (Facultative) – Contactez l’auteur de la diffusion

Dans le cas d’une initiative d’un particulier, il peut s’agir du photographe à l’origine de la photo ou de la personne qui a publié votre image. Dans un contexte plus professionnel (clip musical, spot publicitaire …) il peut s’agir de l’organisme qui utilise ces images à des fins de communication.

Si le photographe/vidéaste refuse de dépublier/flouter votre image, vous avez la possibilité de saisir le juge civil*/pénal** afin qu’il prononce des sanctions à l’encontre de l’auteur de la diffusion litigieuse. Vous disposez d’un délai de 3 ans à partir de la diffusion de l’image.

Les sanctions prévues en cas de non-respect

* Sur le fondement de l’article 9 du code civil, « Chacun a droit au respect de sa vie privée »

** L’article 226-1 du code pénal punit d’un an d’emprisonnement et 45 000 € d’amende le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé.

Par ailleurs, l’article 226-8 du code pénal punit d’un an emprisonnement et de 15 000€ d’amende le fait de publier, par quelque voie que ce soit, le montage réalisé avec l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention.

« JE SOUHAITE DEMANDER AU SITE DE DÉPUBLIER MA PHOTO »

Situation type  « Je n’ai pas donné mon accord pour être pris en photo », « J’ai donné mon accord pour me faire photographier mais pas pour une diffusion en ligne… ».

Étape 1 – Assurez vous que cette photo permet de vous identifier …

Dès lors qu’elle se rapporte à une personne identifiée ou identifiable, l’image d’une personne est une donnée à caractère personnel. Pour vous appuyer sur les droits prévus par la loi « informatique et libertés » vous devez prouver que l’on vous reconnait.

Étape 2 – contactez le responsable du site sur lequel est publiée l’image

Écrire au site/réseau social/service en ligne pour lui demander de dépublier l’image. « Conformément à l’article 38 de la loi informatique et libertés, je souhaite m’opposer à ce que cette image – qui constitue une donnée personnelle – fasse l’objet d’un traitement pour le(s) motif(s) suivant(s) (…)

Il est important d’indiquer les motifs légitimes de votre demande d’opposition. Votre courrier doit être signé et vous devez préciser l’adresse à laquelle doit parvenir la réponse de l’organisme.

Joindre un justificatif d’identité. Votre demande doit – en principe – être accompagnée de la photocopie d’un titre d’identité comportant votre signature. Attention, le responsable du fichier ne doit pas vous demander des pièces justificatives disproportionnées par rapport à votre demande.

Remarque : Le droit d’opposition est un droit personnel ! Vous ne pouvez en aucun cas exercer ce droit au nom d’une autre personne sauf les cas de représentation de mineurs ou de majeurs protégés.

Étape 3 (facultative) – Si la réponse n’est pas satisfaisante

Si aucune réponse satisfaisante n’a été formulée par le site sous deux mois, contactez la CNIL, via son formulaire de plainte en ligne, en n’oubliant pas de joindre une copie des démarches effectuées auprès du site.

Vous avez également la possibilité de saisir une juridiction.

Situations particulières

Usage domestique. La loi « informatique et libertés » ne s’applique pas pour l’exercice d’activités purement personnelles ou domestiques. Par exemple, la photographie d’un parent ou d’un ami prise depuis un smartphone puis diffusée à un nombre limité de correspondants sur un site dont l’accès est restreint, ne rentre pas dans le champ de compétence de la CNIL.

Usage artistique. La publication de photographies de personnes identifiables aux seules fins d’expression artistique n’est pas soumise aux principales dispositions de la loi informatique et libertés.

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).