Comment savoir si vous êtes touché par le nouveau bug Facebook

Marre des fuites de données personnelles chez Facebook ? Voici 5 alternatives au réseau social

RGPD : Comment remplir le registre CNIL ?

Le principe d’accountability est la responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (= documenter la conformité). Tout au long du processus de traitement des données, le responsable du traitement devra non seulement garantir mais aussi être en mesure de démontrer qu’il respecte les droits des personnes au regard des finalités du traitement et des risques inhérents au traitement.

Selon l’article 30 du RGPD,

Le Règlement expose en détail les principes relatifs au traitement des données à caractère personnel (article 5) et les conditions de licéité des traitements (article 6).

Selon le RGPD et en particulier son article 5, les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée) (limitation de la conservation) ;

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

Prospection publicitaire par voie postale : Doit-on faire une déclaration à la CNIL ?

• Une déclaration simplifiée de conformité à la norme simplifiée n°48  si le fichier et son utilisation correspondent aux caractéristiques décrites dans la norme ;
• Une déclaration normale s’ils sortent du champ d’application de cette norme (par exemple si votre société intervient dans le secteur bancaire).

Ainsi, à la question : Dans le cas de prospection publicitaire par voie postale, oit-on faire une déclaration à la CNIL ?

La réponse est Oui

Source : https://cnil.epticahosting.com/selfcnil/site/template.do;jsessionid=AFD4381DC543914E5248BE81DDE92749?id=368&back=true

Les oportunités du RGPD pour les avocats

L’auteur, Denis JACOPINI, Expert de justice en Informatique diplômé en Cybercriminalité et spécialisé en RGPD est certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005).

Je ne vous apprendrais rien en vous informant que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) entrera en application le 25 mai 2018.

Par contre, savez-vous que la plupart des obligations de ce règlement doivent déjà être respectés depuis presque un demi siècle ?

Selon moi, le RGPD a été créé pour deux principales raisons :

1. Réguler l’usage des données personnelles par les géants du Web en prévoyant des sanctions démesurées et inadaptées pour nos entreprises européennes mais suffisamment contraignantes pour faire trembler les GAFAM (Google Apple Facebook, Amazon, Microsoft) ;
2. Guider l’ensemble des entreprises manipulant nos données à caractère personnel qui, au vu des milliards d’informations volées chaque année, sont devenues malgré elles, complices de l’évolution incoercible de la cybercriminalité à travers le monde.

FAIRE DU RGPD UN BUSINESS

Vous êtes de nombreux avocats à vous être intéressé aux nouvelles technologies ces dernières années. D’une part cela est bien utile car vous utilisez la technologie, mais également ceci vous permet de vous positionner sur ce marché en y proposant vos services.

Ainsi, il parait évident que vous choisissiez d’étendre vos activités jusqu’au RGPD en proposant à vos clients de devenir leur « Délégué à la Protection des Données » ou en les accompagnant à leur « Mise en Conformité avec le RGPD ».

Basé sur la loi n°78-17 du 6 janvier 1978, même si le contenu de ce règlement est organisé en articles classés en chapitres aux noms bien législatifs, leurs détails, parfois trop incomplets pour être suivis sans risque et parfois flous, laissent place à une interprétation dont vous êtes certainement habitués.

Pourtant, si vous vous intéressez en détail à la manière de mettre en conformité un établissement, vous constaterez qu’au-delà de l’aspect réglementaire, il est question de bonnes pratiques à faire évoluer, que ça soit au niveau des décideurs, des responsables ou prestataires informatiques ou des utilisateurs.

Ainsi, mettre en conformité avec RGPD un établissement revient d’abord à faire le point sur les processus existants manipulant des Données à Caractère Personnel puis à identifier les points ne respectant pas le Règlement Général sur la Protection des Données pour enfin appliquer des corrections adhoc.

Certes, une bonne connaissance du texte réglementaire est nécessaire pour parfaire une mise en conformité RGPD, mais pour récolter les éléments de l’audit, ou aborder les changements à mettre en oeuvre, en plus des compétences en gestion de projet et en psychologie dont il faut faire preuve, il est également nécessaire de bien maîtriser une méthode relative à l’analyse des risques en informatique.

Ces compétences, également rares chez les informaticiens sont à mon avis les bases minimales pour entamer la mise en conformité avec le RGPD d’un établissement.

SE METTRE EN CONFORMITE

Que vous souhaitiez ou non proposer à vos clients des services de mise en conformité RGPD, comme chaque professionnel, administration ou association Européenne, vous devez appliquer cette démarche à votre organisme. Certes, vous pouvez considérer le RGPD comme une immense contrainte qui va vous faire perdre du temps et ajouter une charge non négligeable à vos cabinets, mais suivre les guides fournis par la CNIL et les recommandations des spécialistes dans ce règlement vous permettra enfin de vous préoccuper d’un élément fondamental de la sécurité informatique oublié même par des grands cabinets jusqu’à aujourd’hui : « Se protéger contre la fuite de données ».

En matière de sécurité informatique, il est fort probable que vous vous soyez préoccupé de vos sauvegardes pour éviter de perdre vos données numériques, d’un VPN pour assurer un minimum de confidentialité, d’un Firewall pour limiter les intrusions mais avez-vous pensé à la protection contre la fuite de données ?

Le risque peut aussi bien exister à l’intérieur de vos cabinets (personnel, visiteurs, prestataires) qu’à l’extérieur (prestataires ayant accès à distance, pirates informatiques).

L’avantage de la démarche RGPD, c’est qu’elle amène l’auditeur à vous poser un ensemble de questions qui amène à l’identification de failles dans votre organisation, failles dont vous auriez déjà pu être victime. La démarche vous fait également prendre conscience de risques jusqu’alors bien souvent négligés !

Ainsi, au terme d’un audit et d’une mise en conformité RGPD, il est fort probable que votre système informatique, aussi perfectionné ou récent qu’il soit ait besoin d’améliorations nécessaires pour boucher les failles dont personne ne se serait soucié sans que ce règlement soit appliqué.

La mise en conformité RGPD est une démarche qualité qui se soucie enfin des données à caractère personnel que détiennent les professionnels, administrations et associations. Il ne faut pas la considérer comme une contrainte mais plutôt comme une opportunité d’être guidé dans une démarche que vous auriez dû réaliser un jour ou l’autre et d’afficher votre démarche pour rassurer les vrais propriétaires de vos données.

« RGPD : Tant qu’il existe un risque que des personnes non autorisées aient accès aux Données à Caractère Personnel que vous détenez, avec des conséquences possibles sur leurs propriétaires, vous devez revoir votre copie ».

L’auteur, Denis JACOPINI, Expert de justice en Informatique diplômé en Cybercriminalité et spécialisé en RGPD est certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005).

Information importante sur le RGPD – Devoir d’information

A cet effet, les administrations, professionnels et associations, doivent réaliser une démarche de mise en conformité avec le RGPD.
Vous êtes concerné et pouvez assurer vous même cette action ou bien faire appel à des experts.
Quels que soient votre choix et position, entamez d’ores et déjà une démarche de mise en conformité.
Sachez que depuis 2010 nous accompagnons des organismes dans ces formalités.

Plus d’informations sur www.cnil.fr/fr/rgpd-par-ou-commencer ou sur notre site Internet www.leNetExpert.fr dans la rubrique Mise en conformité avec le RGPD

RGPD et les Administrations : Faîtes au moins les premières démarches !

25 mai 2018, c’est la date de mise en application du RGPD (Règlement Général sur la Protection des Données n°2016/679). Tout le monde en parle et beaucoup vous font peur. Cependant, la Présidente de la CNIL l’a dit : « Cette date ne sera pas une date couperet ».

Sauf pour la désignation officielle d’un Délégué à la Protection des Données et pour des cas spécifiques de traitement de données à caractère sensible au titre de la Loi Informatique et Libertés et du RGPD où vous devez déjà avoir entamé une démarche de mise en conformité, les administrations doivent planifier cette action mise en conformité sur plusieurs mois voire plusieurs années.

Le plus dur est de commencer. De nombreux guides de la CNIL ont été rédigés pour vous accompagner de la phase d’accompagnement jusqu’au suivi de vos systèmes de traitements de données à caractère personne. Une fois les premières démarches accomplies, la tenue d’une mise en conformité est très simple. Encore faut-il avoir appris ce qu’il faut faire !

Fort de mes années d’expérience de Collectivités, Expert de justice en Informatique spécialisé en cybercriminalité et en RGPD, je me tiens à votre disposition si vous souhaitez traiter de ce sujet au cours de conférences, réunions, formations ou tout simplement envisager un accompagnement dans cette mise en conformité.

A votre rythme mettez-vous en conformité avec le RGPD

Juste pour vous informer que le RGPD rentre officiellement est application à partir le 25 mai 2018 et que la présidente de la CNIL (AAI chargée de faire respecter ce règlement en France) a laissé un délai supplémentaire aux entreprises avant de démarrer les contrôles.

A partir du 25 mai 2018, vous n’allez pas voir débarquer chez vous les militaires, et la vie de votre organisme ne va pas s’en trouver bloquée, cependant, les risques de piratage, de contrôle de la CNIL et les montants des sanctions augmentant de manière significative.

Même si votre démarche de mise en conformité n’est qu’à ces débuts, à votre rythme, poursuivez-la. Prenez contact avec un expert en RGPD, participez à une formation, démarrage des 6 étapes (https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes), faîtes ce que vous voulez mais faîtes au moins quelque chose.

RGPD : Le 25 mai 2018 est passé et vous n’êtes pas encore en conformité avec le règlement ? Que risquez-vous vraiment ?

Comme l’a encore indiqué récemment Isabelle Falque-Pierrotin, la présidente de la CNIL, « Le 25 mai ne sera pas une date couperet pour les sanctions » contre entreprises, administrations et associations concernées par la nouvelles réglementation européenne sur la Protection des Données à caractère personnel.

24 MAI 2018 23h59

La France est déjà bien endormie et, mis à part quelques rares entreprises Européennes ayant déjà entamé une démarche de mise en conformité depuis l’ancienne réglementation relative à la protection des données à caractère personnel, des millions d’entreprises n’ont absolument aucune conscience du top départ de nouvelles obligations et sanctions applicables en référence au RGPD.

Plus que quelques secondes avant le 25 mai 2018 0h00 et des milliers d’entreprises, administrations et administrations sont en stress à la suite des millions de messages alarmants envoyés ces derniers mois sur les obligations à mettre en place au plus tard à cette date limite.

DÉMARCHE LONGUE MAIS PAS FORCÉMENT COÛTEUSE

Cette démarche est longue car elle n’a pas de fin et « on ne devient pas conforme avec le RGPD » (puisqu’il n’existe pas de référentiel et que le contexte à analyser est sans cesse en mouvement) mais « on met en place une démarche de mise en conformité avec le RGPD ». Cette démarche doit être prise en compte et s’intégrer dans la continuité de l’activité de l’organisme, sans la révolutionner, mais juste l’adapter à des obligations vieilles de plus de 40 ans, la Loi n° 78-17 du 6 janvier 1978 dite Loi Informatique & Libertés ou aussi Loi I&L.

De plus, cette démarche n’est pas forcément coûteuse, car elle dépend avant tout de la manière dont vous souhaitez y participer en mouillant le maillot. Bien que recommandée, la contractualisation d’un service d’accompagnement par un professionnel n’est nullement obligatoire. Par contre, nous vous conseillons la mise en place de démarches de formations qui seront utiles à la fois pour acquérir une autonomie et profiter de la prise en charge financière des formations permettant justement d’acquérir cette autonomie. Des aides financières existent pour ça. Rapprochez-vous de votre comptable ou de votre organisme collecteur de vos charges sociales.

A PARTIR DU 25 MAI 2018 0H00

La CNIL a aujourd’hui conscience qu’au lieu de mettre en place les nouvelles mesures de  conformité avec le RGPD depuis le 27 avril 2016 comme cela avait prévu, avec la possibilité d’appliquer les nouvelles sanctions maximales (20 millions d’euros ou 4% du Chiffre d’Affaire mondial) le 25 mai 2018, une très grande partie des entreprises, administrations et associations se sont réveillées pour la plupart au mois de mars, avril et même mai 2018 pour certains dans le but d’initier cette longue démarche réglementaire.

Même si vous avez très peu de risque d’être contrôlé LE 25 mai 2018, avec quelques années d’expérience et le rapports d’activités de la CNIL de ces dernières années en main, ne pas avoir entamé de démarche de mise en conformité à partir de cette date vous expose toutefois à quelques situations dont le risque ne peu être négligeable :

• En 2017, 8360 plaintes ont été déposées à la CNIL. 100% des plaintes ont été prises en compte, c’est-à-dire qu’elle a demandé des explications à chacun des organismes concernés qui ont du montrer patte blanche. En raison d’un salarié mécontent ou licencié, d’un concurrent peu diligent ou d’un vif ennemi, vous pouvez facilement vous retrouver à devoir donner des explications à la CNIL. Il vaut mieux que le jour où ça vous arrive, vous ayez déjà entamé une démarche de mise en conformité et que vous soyez diligents vis-à-vis de la CNIL, sinon, vous pourriez bien voir arriver chez vous ses contrôleurs, assermentés avec pouvoir de sanctionner sans le moindre jugement (la CNIL étant une autorité administrative indépendante comme l’ARCEP et une cinquantaine d’autres en France) ;
• En 2017, 62% des contrôles ont été effectués à l’initiative de la CNIL, notamment au vu de l’actualité. Ceci signifie que les contrôles ne dépendent pas du hasard ni de votre position géographique dans une ville ou le numéro de votre rue, mais les contrôles de la CNIL dépendent de faits liés à des risques bien réels constatés auprès d’autres organismes ayant la même activité que la votre ;
• En France en 2017, selon Symantec, il y a eu 19 millions de victimes de la cybercriminalité. Parmi ces victimes, il n’est pas rare de voir des entreprises, des administrations ou des associations qui ont subit un vol de données. A partir du 25 mai 2018 à 0h00, tous ces organismes doivent signaler dans les 72 heures à la CNIL qu’ils ont été victimes d’un vol de données. Il est évident que pour la plupart des fuites de données, la CNIL demandera des explications à leur détenteur et responsable de leur confidentialité. Vous devrez là aussi donner des explications à la CNIL au sujet de l’absence de démarche de mise en conformité avec la CNIL ;
• Enfin, parmi les grands changements du RGPD nous trouvons la suppression des déclarations préalables. C’est-à-dire qu’avant le 25 mai 2018 0h00 vous devez toujours avoir des démarches déclaratives de vos traitements de données à caractères personnel, à partir du 25 mai 2018, vous devez avoir une démarche de « privacy by design » (protection de la vie privée obligatoire) et devrez rendre compte à la CNIL de vos démarche seulement sur demande de sa part. Cependant, tous les employés de la CNIL qui étaient chargés de traiter les déclarations pourraient bien se voir affectés aux contrôles, renfonçant ainsi les capacités de contrôle de la CNIL pour en augmenter leur volume. Moins de formalités à la CNIL pour avoir plus de temps pour les contrôles ?

QUE VA CHANGER LA MISE EN APPLICATION DU RGPD

Le Règlement Général sur la Protection des Données est une poursuite de la Loi n°78/16  Informatique & Libertés avec toutefois quelques mesures en faveur des individus mais aussi quelques nouveautés parmi lesquelles :

• Conséquence n°1 : Pas en conformité avec le RGPD = fin du travail avec ou pour les administrations ou sous-traitants d’administrations. En effet, toutes les administrations, obligées de ce conformer à ce règlement, devront désigner un délégué à la Protection des Données (DPD en français ou DPO Data Protection Officer en anglais). Le DPD aura obligation d’entamer une démarche de mise en conformité auprès de son organisme mais aussi auprès de tous les sous-traitants de l’organisme, sous peine de ne pas être lui même en règle; Tous les organismes qui travaillent avec les administrations et leurs sous-traitants devront donc obligatoirement, pour prétendre se positionner sur des marchés publics, se mettre en conformité ;
• Conséquence n°2 : La mise en application de sanctions bien plus importantes (20 millions d’euros ou 4% du chiffre d’affaire en lieu et place de 150 000 euros ;
• Conséquence n°3 : Désormais plus de 80%  des utilisateurs d’Internet déclarent être soucieux de la protection mise en place par les sites Internet et les fournisseurs autour de leurs données personnelles. Beaucoup ne veulent plus communiquer leur vrai nom, leur adresse perso ou leur numéro de téléphone perso. Beaucoup utilisent des pseudos ou des adresses e-mail poubelle pour ne pas risquer de se voir polluer ou pire pirater leur boite. Ne pas montrer auprès de ses contacts qu’une démarche de mise en conformité est en place aboutira tôt ou tard à une fuite des clients ou adhérents vers d’autres organismes affichant et prouvant leur respect des droits et libertés des personnes ;
• Conséquence n°4 et pas des moindres : Vous devrez obligatoirement obtenir le consentement de quelqu’un avant de traiter ses données. L’obligation du consentement des propriétaires de données personnelles n’ayant pour la plupart du temps jamais été sollicité par les organismes, c’est la raison pour laquelle pour pouvez recevoir des e-mails vous demandant si vous êtes toujours d’accord pour recevoir des informations de la part d’un contact, fournisseur, ou tout simplement parfois un pollueur… Un bon moyen pour réduire le nombre de mails dans sa boite de réception mais aussi de faire le ménage dans les coordonnées utilisées par les expéditeurs ;
• Conséquence n°5 : Si vous êtes victime d’une fuite de données et qu’une personne victime de cette fuite décide de vous attaquer, vous êtes pénalement responsable. Votre niveau de responsabilité et le montant des sanctions appliquées seront immédiatement en corrélation avec les démarches que vous avez déjà accomplies. Au plus vous prouvez votre bonne fois par une prise en prise en compte (par le biais de formations et de démarches internes)  des démarches visant à protéger les libertés fondamentales et individuelles de vos contacts, au plus la CNIL sera bienveillante. Au plus vous ferez preuve de mauvaise foi sans apporter le moindre élément montrant la prise en compte de vos obligations relatives au RGPD, plus forte sera la sanction.
• Conséquences n°6 : Un nouveau droit à la portabilité, la majorité numérique et un droit à l’effacement apparaissent également.

CONCLUSION

Vous l’autre compris, à partir du 25 mai 2018 0h00, vous n’allez pas voir débarquer chez vous les militaires, et la vie de votre organisme ne va pas s’en trouver bloquée, cependant, les risques de piratage, de contrôle de la CNIL et les montants des sanctions augmentant de manière significative, même si votre démarche de mise en conformité n’est qu’à ces débuts, à votre rythme, poursuivez-la. Prenez contact avec un expert en RGPD, participez à une formation, mettez en application les 6 étapes recommandées par la CNIL (https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes), faîtes ce que vous voulez mais faîtes au moins quelque chose.

RGPD : Que se passera t-il si le 25 mai 2018 un établissement n’est pas en conformité ?

RGPD : « Le 25 mai ne sera pas une date couperet pour les sanctions », assure la CNIL

La présidente de la CNIL, Isabelle Falque-Pierrotin, se veut rassurante. La Commission contrôlera d’abord la mise en mouvement de l’entreprise plutôt que la complète conformité au règlement général sur la protection des données (RGPD). En tout cas durant les premiers mois.

Vous avez reconnu que toutes les entreprises ne seront pas prêtes le 25 mai. Faut-il craindre une vague de contrôles lors de l’entrée en vigueur du RGPD ?
Il ne faut pas voir le 25 mai comme une date couperet, synonyme d’une intervention massive de la CNIL. Le fait qu’un bon nombre d’entreprises ne soient pas 100 % conformes n’est pas très grave. L’important est que l’ensemble des acteurs actent le changement d’état d’esprit et lancent un plan pour décliner les nouvelles obligations dans leurs différents processus. Ils doivent comprendre que l’enjeu de la protection des données personnelles a changé de positionnement, ce n’est plus seulement une affaire de la direction juridique mais une problématique qui traverse toute l’entreprise. Pour cela, le régulateur qu’est la CNIL se met à leur service – notamment via la publication d’outils – pour les accompagner vers la conformité.

Concernant les nouvelles obligations du RGPD, la date du début des sanctions n’est pas actée. Il n’y aura pas d’automatisme et nous examinerons au cas par cas, afin de savoir si l’entreprise s’est effectivement préoccupée de la protection des données personnelles….[lire la suite]