Règlement européen sur la protection des données : Transparence et responsabilisation

Règlement européen sur la protection des données : Transparence et responsabilisation


Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.

Une clé de lecture : la protection des données dès la conception et par défaut (privacy by design)

Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Un allègement des formalités administratives et une responsabilisation des acteurs

Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.

De nouveaux outils de conformité :

  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduites
  • le DPO (délégué à la protection des données)
  • les études d’impact sur la vie privée (EIVP)

Les « études d’impact sur la vie privée » (EIVP ou PIA)

Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.  Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.

Si l’organisme ne parvient pas à réduire ce risque élevé par des mesures appropriées, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les « CNIL » pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.

Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements

Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.

Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

Le Délégué à la Protection des données (Data Protection Officer)

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :

  • s’ils appartiennent au secteur public,
  • si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations.

 

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
  • de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

source : CNIL

 

Consultez la liste de nos formations RGPD et services RGPD

 


Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étrangerpour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles



 

Réagissez à cet article

Original de l’article mis en page : Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL




Règlement européen sur la protection des données : Renforcement des droits des personnes

Règlement européen sur la protection des données : Renforcement des droits des personnes


Le règlement européen renforce les droits des personnes et facilite l’exercice de ceux-ci.

Consentement renforcé et transparence

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

L’expression du consentement est définie : les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.

De nouveaux droits

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Des conditions particulières pour le traitement des données des enfants : Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

Introduction du principe des actions collectives : Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

source : CNIL

 

Consultez la liste de nos formations RGPD et services RGPD

 


Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étrangerpour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles



 

Réagissez à cet article

Original de l’article mis en page : Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL




Règlement européen sur la protection des données : Evolution du cadre juridique

Règlement européen sur la protection des données : Evolution du cadre juridique


Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne le 4 mai 2016 et entré en application le 25 mai 2018. L’adoption de ce texte permet à l’Europe de s’adapter aux nouvelles réalités du numérique.

Un cadre juridique unifié pour l’ensemble de l’UE

Un champ d’application étendu

  • Le critère du ciblage

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

 

  • La responsabilité des sous-traitants

Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le projet de règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

Un guichet unique : le « one stop shop »

Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal », désignée comme l’autorité « chef de file ». Cet établissement sera soit le lieu de leur siège central dans l’Union, soit l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement.  Les entreprises bénéficieront ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles, lorsqu’elles mettront en œuvre des traitements transnationaux.

Une coopération renforcée entre autorités pour les traitements transnationaux

Toutefois, dès lors qu’un traitement sera transnational – donc qu’il concernera les citoyens de plusieurs États membres –, les autorités de protection des données des différents États concernées seront juridiquement compétentes pour s’assurer de la conformité des traitements de données mis en œuvre.

Afin d’assurer une réponse unique pour l’ensemble du territoire de l’Union, l’autorité « chef de file » coopérera avec les autres autorités de protection des données concernées dans le cadre d’opérations conjointes. Les décisions seront adoptées conjointement par l’ensemble des autorités concernées, notamment en termes de sanctions.

Les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD), qui veille à l’application uniforme du droit sur la protection des données. Il a vocation à remplacer l’actuel G29.

En pratique, l’autorité « chef de file » propose les mesures ou décisions (constatant la conformité d’un traitement ou proposant une sanction, par exemple). Les autorités européennes concernées par le traitement disposent alors d’un délai de quatre semaines pour approuver cette décision ou, au contraire, soulever une objection. Si l’objection n’est pas suivie, la question est portée devant le CEPD qui rend alors un avis. Cet avis est contraignant et doit donc être suivi par l’autorité « chef de file ».

Que le CEPD soit ou non saisi, l’autorité « chef de file » portera la décision ainsi partagée par ses homologues. Il y aura donc une décision conjointe, susceptible de recours devant le juge des décisions de l’autorité « chef de file ».

 

  • Par exemple, dans le cas d’une entreprise dont l’établissement principal est en France, la CNIL sera le guichet unique de cette entreprise et lui notifiera les décisions adoptées dans le cadre de ce mécanisme de cohérence. Ses décisions seront ensuite, si elles sont défavorables, susceptibles de recours devant le Conseil d’État. Ce mécanisme permet ainsi aux autorités de protection des données de se prononcer rapidement sur la conformité d’un traitement ou sur un manquement au règlement et garantit une sécurité juridique élevée aux entreprises en leur assurant une réponse unique sur l’ensemble du territoire de l’Union.

 

source : CNIL

 

Consultez la liste de nos formations RGPD et services RGPD

 



 

Réagissez à cet article

Original de l’article mis en page : Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL




Géolocalisation des véhicules de l’entreprise : la CNIL modifie la donne ! | Denis JACOPINI

Géolocalisation des véhicules de l'entreprise : la CNIL modifie la donne !

Géolocalisation des véhicules de l’entreprise : la CNIL modifie la donne !

La CNIL avait adopté en 2006 une norme simplifiée permettant à tout employeur de recourir à un dispositif de géolocalisation tout en respectant les libertés individuelles des salariés. La CNIL vient à présent d’apporter des modifications significatives à cette norme, notamment en matière de contrôle du temps de travail. 

 

Géolocalisation d’un salarié : les règles à suivre

La géolocalisation est un procédé qui équipe les véhicules d’entreprise d’un dispositif GPS permettant leur localisation géographique immédiate. Dans le BTP, il peut être utilisé, par exemple, pour contrôler et vérifier les déplacements du personnel de chantier.

 

 

Il est possible d’y recourir à condition de ne pas aboutir à un contrôle permanent du salarié.

La mise en œuvre du dispositif de géolocalisation doit être proportionnelle au but recherché et justifiée par l’activité de l’entreprise.

Le CE doit être informé et consulté (ou à défaut les DP), préalablement à tout projet de mise en place d’un dispositif de géolocalisation au sein des véhicules de l’entreprise. Ensuite, vous devrez en informer l’ensemble du personnel (lettre remise en mains propres, note de service, etc.).

Pour cela, les Editions Tissot mettent à votre disposition un modèle d’attestation d’information de mise en place d’un système de géolocalisation extrait de la documentation « Formulaire Social BTP commenté ».

 

 

Il faut également déclarer le dispositif à la CNIL.

La CNIL a en effet adopté en 2006, une recommandation portant sur la géolocalisation des véhicules utilisés par les salariés.

L’objectif étant d’encadrer la mise en œuvre d’un tel dispositif tout en respectant la loi relative à l’informatique et aux libertés mais également au Code du travail. De cette recommandation est née une norme simplifiée dite « Norme 51 ».

Ainsi, dès lors que vous souhaitez équiper vos véhicules d’un système de géolocalisation, vous devez au préalable effectuer une déclaration de conformité à la norme 51 auprès de la CNIL afin d’attester que vous respectez scrupuleusement ce que prescrit la CNIL.

Or cette norme 51 vient d’être modifiée par la CNIL.

 

 

Géolocalisation : les principales modifications apportées par la CNIL

La nouvelle norme du 4 juin 2015, consolidée le 29 juin 2015, vous défend de collecter des données de géolocalisation durant le trajet domicile/travail mais également pendant le temps de pause de vos salariés. En effet, la précédente norme précisait seulement que le salarié avait la possibilité de désactiver le dispositif en dehors de son temps de travail ou bien durant son temps de pause.

 

En revanche, cette nouvelle norme rend possible la désactivation par le salarié du dispositif et ce à tout moment de la journée. En effet, l’article 6 de ladite norme précise que : « les employés doivent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules, en particulier à l’issue de leur temps de travail ou pendant leur temps de pause ».

 

Toutefois, ce droit dont bénéficie le salarié s’accompagne d’une contrepartie vous permettant de recueillir toutes explications de sa part en cas de désactivations trop fréquentes.

 

Par ailleurs, s’agissant du recueil des données traitées, il est possible de collecter la date ainsi que l’heure d’une activation ou d’une désactivation du dispositif par le salarié et ce durant le temps de travail. En conséquence, une procédure disciplinaire pourrait être engagée à l’encontre d’un salarié qui désactive fréquemment le dispositif de géolocalisation sans raison valable.

 

Enfin, la norme vous rappelle que le dispositif de géolocalisation n’a pas pour objectif de contrôler la vitesse de vos salariés. En effet, vous ne pourrez relever des infractions aux dispositions relatives au Code de la route puisque celles-ci ont trait à des données à caractère personnel que seuls les agents de services compétents peuvent sanctionner.

 

 


Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

  • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
  • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
  • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.batiactu.com/edito/geolocalisation-vehicules-entreprise-cnil-modifie-donne-42230.php

 

 




Dispositif biométrique d’accès à la cantine : quelles formalités à la CNIL ? | Denis JACOPINI

CNIL Besoin d’aide ? - Dispositif biométrique d'accès à la cantine : quelles formalités à la CNIL ?

Dispositif biométrique d’accès à la cantine : quelles formalités à la CNIL ?

Les dispositifs biométriques utilisant le contour de la main des élèves pour gérer l’accès à la cantine scolaire sont couverts par une autorisation unique adoptée par la CNIL. 

 

Les établissements qui souhaitent installer ce type de dispositifs doivent faire une déclaration simplifiée, en sélectionnant dans l’onglet « Finalité » l’autorisation unique AU-009.

Le responsable du dispositif s’engage ainsi à se conformer aux caractéristiques décrites dans ce texte.

Les autres dispositifs biométriques (réseaux veineux, empreintes digitales, reconnaissance faciale, etc.) doivent faire l’objet d’une demande d’autorisation préalable auprès de la CNIL.

Lire la suite….

 

 


Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

  • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
  • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
  • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.aide.cnil.fr/selfcnil/site/template.do?name=Dispositif+biom%C3%A9trique+d%27acc%C3%A8s+%C3%A0+la+cantine+%3A+quelles+formalit%C3%A9s+%C3%A0+la+CNIL+%3F&id=281

 

 




RGPD : Faire face aux exigences

«Faire face aux exigences posées par le RGPD» | Paperjam News

RGPD : Faire face aux exigences


À compter du 25 mai 2018, le nouveau règlement européen relatif à la protection des données personnelles connu sous l’acronyme RGPD s’appliquera à toutes les entreprises publiques ou privées.

 

 

Ces dernières devront entrer dans une démarche proactive de mise en conformité du nouveau règlement. L’enjeu est de taille, car tout manquement à ces nouvelles obligations pourrait être lourdement sanctionné par l’autorité de contrôle, la CNPD, qui sera habilitée dès l’entrée en vigueur du règlement à infliger des amendes allant jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires mondial.

Le champ d’application du RGPD est particulièrement large : toutes les entités, européennes ou non, sont concernées à partir du moment où elles collectent et effectuent des traitements de données à caractère personnel d’un citoyen européen. Le RGPD vient renforcer les droits de la personne, et par conséquent augmenter les devoirs et les responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux, y compris les sous-traitants fournisseurs de services. Tous les flux de données sont concernés par cette nouvelle réglementation.

Ces nouvelles contraintes s’appuient notamment sur le principe d’accountability qui impose à chaque entreprise une obligation de rendre compte, notamment en se dotant d’une politique globale de protection des données conforme à la réglementation, et en étant à même de prouver à tout moment que des mesures concrètes et des procédures adéquates ont été mises en place. Dans ce nouveau contexte, il est préconisé que les responsables de traitement aient recours à des prestataires externes leur permettant d’assurer une mise en conformité effective…[lire la suite]

 


Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD
  ?

Contactez-nous


 

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 


Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles




 

Réagissez à cet article

Source : «Faire face aux exigences posées par le RGPD» | Paperjam News




Comment sécuriser Firefox efficacement en quelques clics de souris ?

Comment sécuriser Firefox efficacement en quelques clics de souris ?


Vous utilisez Firefox est vous souhaitez que cet excellent navigateur soit encore plus sécurisé lors de vos surfs sur Internet ? Voici quelques astuces qui supprimerons la géolocalisation, le profilage de Google ou encore que vos données offline disparaissent du regard d’espions locaux.

 

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.

Article original de Damien Bancal




 

Réagissez à cet article

Original de l’article mis en page : Sécuriser Firefox efficacement en quelques clics de souris – Data Security BreachData Security Breach




Arnaques par courriel (scam, phishing) : la CNIL peut-elle agir ? | Denis JACOPINI

CNIL Besoin d’aide ? - Arnaques par courriel (scam, phishing) : la CNIL peut-elle agir ?

Arnaques par courriel (scam, phishing) : la CNIL peut-elle agir ?

Non, la CNIL n’est pas compétente dans ce domaine. 

 

Ces procédés ne sont pas liés à la protection des données personnelles : ce sont des tentatives d’escroquerie ou d’extorsion de fonds.

Si vous en êtes victime, signalez-les sur le service PHAROS du ministère de l’Intérieur et au service phishing-initiative mis en place par plusieurs acteurs de l’internet.

Vous pouvez également joindre par téléphone le service Info Escroquerie de la police nationale au 0811 02 02 17 (coût d’un appel local).

 

 


Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

  • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
  • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
  • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=5318D41E172CDCBFD4A28353ED692C06?id=194&back=true

 

 




RGPD : Impact sur l’Email Marketing

Sarbacane : Tout comprendre sur le RGPD, le règlement européen qui va impacter toutes les entreprises en 2018 - Global Security Mag Online

RGPD : Impact sur l’Email Marketing


En mai 2018 entrera en vigueur le fameux RGPD : le Règlement Européen sur la Protection des Données. Il vise avant tout à renforcer la protection des données personnelles des internautes. De nombreux articles en ont déjà parlé et beaucoup imaginent que cette réglementation touchera de plein fouets les acteurs de l’email marketing français et leurs utilisateurs.

Sarbacane Software propose une infographie* résumant les réels changements qui seront apportés par le RGPD, et son implication pratique dans le domaine de l’emailing.

 

[lire la suite]


 

LE NET EXPERT

 

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).




 

Réagissez à cet article

Source : Sarbacane : Tout comprendre sur le RGPD, le règlement européen qui va impacter toutes les entreprises en 2018 – Global Security Mag Online

et Sarbacane.com




L’adresse IP est-elle une donnée à caractère personnel ? | Denis JACOPINI

L’adresse IP est-elle une donnée à caractère personnel ? Par Zahra Reqba, Docteur en droit.

L’adresse IP est-elle une donnée à caractère personnel ?

La nature juridique de l’adresse IP ne cesse de susciter les interrogations. Si la réponse à cette question semble a priori tranchée par la loi 6 janvier 1978 modifiée en 2004 en prévoyant une définition large de la donnée personnelle permettant d’inclure aisément des données numériques à partir du moment où elles permettent d’identifier même indirectement la personne physique, ainsi que par la CNIL qui s’est prononcée en faveur à cette assimilation, la jurisprudence quant à elle, ne cesse de changer de position, tantôt elle prône pour cette qualification, tantôt elle la rejette catégoriquement.

I/ L’adresse IP au regard de la loi du 6 janvier 1978.

L’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés telle que modifiée par la loi du 6 aout 2004, définit la donnée personnelle comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

Par cette vague définition, le législateur, conscient de l’évolution rapide et constante des nouvelles technologies, a sciemment élargi la définition de la donnée personnelle afin d’y inclure toute nouvelle donnée qui est susceptible d’identifier directement ou indirectement une personne physique, dans le but de la protéger.

Ainsi, dans cet éventail d’informations, peuvent se glisser aussi bien des informations personnelles « classiques » telles que le nom, prénom, adresse postale, photo, numéro de téléphone, empreintes digitales etc, que des informations du monde numérique. Tel est le cas de l’adresse IP (Internet Protocol) d’un ordinateur.

Toutefois, le fait de ne pas dresser une nomenclature des informations qui constituent les données à caractère personnel, présente la souplesse d’inclure de nouvelles données, mais l’absence d’une telle précision laisse planer le doute en cas de conflit, d’où le nombre d’affaires porté devant les tribunaux et dont la qualification est laissée à l’appréciation des juges.

Interrogée sur cette question, la CNIL (Commission Nationale Informatique et Libertés), à travers ses interventions (recommandation ou déclaration), a répondu favorablement à la reconnaissance de l’adresse IP comme une donnée à caractère personnel en se basant sur la définition large de l’article 2 de la loi du 6 janvier 1978 précité.

II/ L’adresse IP selon les recommandations de la CNIL.

Dans un article du 2 aout 2007, la CNIL [1] [2] comme le G29 [3] ont soutenu que l’adresse IP, à l’instar d’une plaque d’immatriculation d’un véhicule ou d’un numéro de téléphone, entre dans le champ d’application large de la définition de l’article 2 de la loi du 6 janvier 1978 modifiée étant donné qu’elle permet l’identification directe ou indirecte de la personne physique [4]. La CNIL a rappelé à ce titre, que l’ensemble des autorités de protection des données des Etats membres ont précisé dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel que l’adresse IP lié à l’ordinateur d’un internaute constitue une donnée à caractère personnel. S’inquiétant ainsi des décisions judiciaires qui refusent de considérer cette donnée comme personnelle. L’évolution récente de la jurisprudence va dans ce sens.

III/ l’adresse IP et l’évolution jurisprudentielle.

La position de la CNIL n’est pas toujours partagée par la jurisprudence française. Si dans certains arrêts elle a à juste titre prôné pour cette assimilation en affirmant que « L’adresse IP, est, au sens strict, un identifiant d’une machine lorsque celle-ci se connecte sur l’Internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée ; un numéro IP associé à un fournisseur d’accès correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d’accès. L’adresse W de la connexion associée au fournisseur d’accès constitue un ensemble de moyens permettant de connaitre le nom de l’utilisateur » [5]. Dans cet arrêt, les juges du fond se sont basés sur la définition légale de la donnée personnelle de l’article 2 de la loi du 6 janvier 1978 précité comme étant une information qui peut identifier indirectement une personne physique par référence à un numéro d’identification.

Dans d’autres arrêts, les juges du fond français [6]ont refusé toute assimilation de l’adresse IP à une donnée personnelle [7] en ce qu’elle ne permet pas d’identifier l’auteur de la connexion [8]. Dans ce contexte, par un arrêt du 5 septembre 2007, la chambre criminelle de la Cour de cassation a considéré que l’adresse IP est une donnée parmi d’autres d’un faisceau d’indices, et donc, insuffisante à elle seule pour être qualifiée de donnée personnelle [9]

La problématique de l’adresse IP ne semble pas être résolue étant donné que cette question a été soulevée récemment devant la Cour d’appel de Rennes du 28 avril 2015, qui s’est prononcée en défaveur de cette qualification en considérant que « (….) le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et libertés » du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur (….) ».

Analyse.

La problématique de cette question se résume ainsi : si l’adresse IP est considérée comme donnée personnelle cela implique qu’il s’agit d’un traitement de donnée personnelle régi par la loi du 6 janvier 1978, et de ce fait, bénéficie de l’arsenal de dispositions protectrices prévu pour protéger la personne physique d’une part, et risque de tomber sous le coup des sanctions prévues en cas de non respect des dispositions légales prévues à cet effet d’autre part.

Cela implique le recours à la CNIL en amont de tout traitement pour autorisation, et en cas de conflit, c’est le tribunal de grande instance qui sera matériellement compétent. Encore faut il que cela concerne une personne physique dans la mesure où la loi du 6 janvier 1978 ne protège que cette catégorie de personnes.

Le seul moyen de mettre fin à cette incertitude c’est l’adoption d’une disposition légale claire et précise sur la notion de donnée personnelle. Cela pourra bientôt se concrétiser après l’adoption de la proposition de Règlement européen relatif à la protection des données à caractère personnel et sa transposition ultérieure dans le droit positif français.

Auteure : Zahra Reqba

 

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock


Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous


Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)