Demande d’annulation du Privacy Shield par UFC Que Choisir

Après l’invalidation en 2015 par la Cour de justice de l’Union européenne de l’accord encadrant le transfert de données entre les Etats-Unis et l’Europe, le « Safe Harbour », compte tenu du niveau de protection insuffisant des consommateurs européens, l’Union européenne a négocié un nouvel accord avec les Etats-Unis, le Privacy Shield. Cet accord a été adopté le 8 juillet 2016, malgré les inquiétudes formulées par le Parlement européen, plusieurs gouvernements, les CNIL et les associations de consommateurs européennes.
Loin de renforcer significativement le cadre juridique du transfert des données personnelles aux Etats-Unis et d’offrir un niveau de protection « adéquate », comme exigé par les textes communautaires, le nouvel accord n’offre qu’une protection lacunaire aux ressortissants européens :
L’admission d’une collecte massive et indifférenciée des données personnelles par les services de renseignements américains

 
Les lois américaines autorisent encore aujourd’hui, malgré les critiques formulées dans le cadre de l’invalidation du Safe Harbour, la collecte massive d’information par la NSA et les services de renseignement américains auprès des entreprises détentrices de données personnelles, incluant des données de consommateurs français qui ont été transférées aux Etats unis.
Bien que le gouvernement américain se soit moralement engagé à réduire cette collecte autant que possible, aucune mesure concrète n’a encore été mise en place pour limiter ces traitements de données personnelles.
Cette situation est d’autant plus inquiétante que les autorités américaines sont aussi autorisées, sur la seule base de vos données personnelles, à rendre des décisions susceptibles de produire des effets juridiques préjudiciables à votre égard. Ainsi, suite à l’envoi d’un message privé sur Facebook, exprimant une opinion politique ou critiquant la collecte à tous crins des données par les multinationales américaines, vous pourriez vous voir interdire l’entrée aux Etats Unis par les autorités américaines !

 
Un ersatz de droit au recours pour les consommateurs européens

Alors que le droit européen exige un droit au recours effectif et un accès à un tribunal impartial, le dispositif de réclamation prévu par le Privacy Shield est stratifié et complexe… Le principal recours en cas de décision préjudiciable rendue par les autorités américaines à l’encontre d’un ressortissant européen, est un médiateur… nommé par le Secrétaire d’état américain.
Enfin, le droit de s’opposer à un traitement est prévu uniquement en cas de «modification substantielle de la finalité du traitement », alors même que le droit européen offre le droit de s’opposer à un traitement de ses données personnelles à tout moment, aussi bien lors de la collecte, qu’en cours de traitement de données personnelles.
Dans le contexte de mondialisation des échanges et de transfert des données vers des Etats avec des niveaux moindres de protection que le niveau européen, ces risques sont loin d’être théoriques comme l’a souligné récemment l’association s’agissant de la collecte de données via des jouets connectés ou des applications mobiles et leur transfert vers les Etats-Unis.
Au vu de ces éléments inquiétants, deux recours en annulation ont été déposés en septembre 2016 devant le Tribunal de l’Union européenne : l’un par le ‘Digital Right Ireland’, groupe lobbyiste Irlandais de défense de la vie privée sur Internet, l’autre par les ‘Exégètes amateurs’, groupe de travail regroupant trois associations françaises…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment devenir délégué à la protection des données (DPD ou DPO)

Lignes directrices du G29

> Guidelines on Data Protection Officers (‘DPOs’)

> WP243 ANNEX – Frequently asked questions

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Publication de contenus à caractére privé sur internet : La Cdp condamne et agite des sanctions

La CNIL qui est censée protéger nos données informatiques fait elle assez de contrôles ?

La Cnil s’énerve contre Brandvalley mais la sanction est faible

La surveillance au travail pourrait être modifiée

Un patron pourrait bientôt ne plus avoir besoin de demander une autorisation préalable à la Commission nationale pour la protection des données (CNPD) avant de placer ses employés sous vidéosurveillance au travail. Cette mesure fait partie d’un projet de loi concernant la protection des données privées que les députés ont commencé à étudier lundi et qui s’inscrit dans le nouveau règlement européen qui entrera en vigueur le 25 mai 2018.

Le texte supprime la liste de traitement des données qui est aujourd’hui soumis à autorisation préalable de la CNPD, dont les traitements effectués à fin de surveillance. La CNPD fera, selon le projet de loi, des contrôles a posteriori, dans un but de simplification administrative. Un changement qui a suscité l’inquiétude de plusieurs députés, soucieux de protéger les citoyens d’une surveillance illégale par leurs employeurs.

La Chambre des salariés avait émis un avis défavorable en novembre, «dénonçant d’emblée la suppression de l’autorisation préalable (…). Elle s’oppose plus particulièrement, et de manière formelle, à cette exemption en faveur des traitements à des fins de surveillance sur le lieu de travail», expliquant que la loi actuelle, de 2002, «traduisait justement la volonté expresse du législateur luxembourgeois de protéger les personnes physiques de certains traitements « susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées »». À noter que le projet de loi introduit également des sanctions financières.

(JW/JV/L’essentiel)

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Ce que les entreprises doivent savoir pour se mettre en conformité avec Règlement européen de protection des données en vigueur dans 18 mois

Qui est concerné?

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » Ce règlement s’applique à toute structure (responsable de traitement des données ou sous-traitant) ayant un établissement dans l’Union européenne ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Les actions de profilage visant cette cible sont également concernées. Ainsi, alors que la loi Informatique et libertés se basait sur des critères d’établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d’application est désormais le traitement des données d’une personne se trouvant au sein de l’UE.

Qu’est-ce qu’une donnée à caractère personnel?

L’une des difficultés posées par le RGPD va consister à définir les données personnelles concernées. Le règlement stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement. Des données indirectement identifiantes, telles qu’un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d’actions marketing de profilage), si elles sont corrélées à une identité, deviennent des données à caractère personnel. Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées. À noter, le RGPD prévoit des exceptions selon les traitements concernés, notamment au niveau des traitements de données RH (recrutement, contrat de travail…), pour lesquels les États membres peuvent prévoir « des règles plus spécifiques pour assurer la protection des droits et libertés » (article 88).

Quelles obligations pour les entreprises?

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l’entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation…), mais aussi les contrats passés avec les sous-traitants et clients sont impactés. « Le règlement couple des notions techniques et juridiques », souligne Thomas Beaugrand, avocat au sein du cabinet Staub & Associés. Il introduit des nouveaux principes et concepts qui renvoient désormais vers plus de précautions techniques. Par ailleurs, les entreprises ont, entre autres, l’obligation de donner la finalité précise de la collecte des données (il s’agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées).

Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection de la data, qui permet de distribuer les responsabilité en fonction de la mainmise de chacun sur les données.

Enfin, parmi les changements majeurs, la nomination d’un DPO, ou délégué à la protection des données, qui sera obligatoire dans tout le secteur public, ainsi que dans les structures privées qui font des traitements de données exigeant un suivi régulier et systématique des personnes à grande échelle (dans le secteur du marketing, notamment). Il sera le garant de la conformité au règlement (voir encadré en page suivante)…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Piratage de ses comptes de réseaux sociaux. Comment réagir ?

Prévenir un piratage

1. Choisissez des mots de passe complexes, différents et non-signifiants !

Aucune personne ou ordinateur ne doit être en mesure de le deviner. La CNIL publie des conseils pour créer un mot de passe efficace, le retenir et le stocker dans une base.

2. Ne communiquez pas votre mot de passe

Il est vivement déconseillé de communiquer votre mot de passe à une tierce personne, de l’enregistrer dans un navigateur si vous n’avez pas défini de mot de passe maitre ou dans une application non sécurisée.

3. Activez un dispositif d’alerte en cas d’intrusion

La double authentification est une option activable sur la plupart des réseaux sociaux. Lorsque vous vous connectez depuis un poste informatique inconnu, le réseau social vous demandera de confirmer l’accès en entrant un code que vous aurez reçu par sms ou par courrier électronique. D’autres fonctions proposent simplement de vous alerter si une personne extérieure tente de se connecter à votre compte depuis un terminal inconnu (PC, smartphone, tablette, mac).

4. Déconnectez à distance les terminaux encore liés à votre compte

Là encore, cette option disponible sur la plupart des réseaux sociaux vous permet d’identifier l’ensemble des terminaux avec lesquels vous vous êtes connectés à votre compte. Lorsque cela est possible, il est conseillé de désactiver le lien avec les terminaux dont vous ne vous servez plus. Une connexion identifiée depuis un navigateur inconnu ou une ville inconnue pourra vous mettre la puce à l’oreille.

5. Désactivez les applications tierces connectées à votre compte

Il arrive que les applications tierces connectées à votre compte soient vulnérables à une attaque extérieure. Il est conseillé de désactiver les applications tierces dont vous avez autorisés l’accès par le passé et qui ne vous servent plus.

6. Réglez vos paramètres de confidentialité

En devinant votre nom, votre fonction, votre liste d’amis, une personne mal intentionnée pourrait facilement déduire des informations qui servent à réinitialiser votre compte ou simplement à usurper votre identité afin de changer votre mot de passe par exemple.

Repérer un piratage

• votre mot de passe est invalide
• des tweets/posts imprévus sont envoyés depuis votre compte
• des messages privés sont envoyés de façon non volontaires
• des comportements inhabituels ont lieu sur votre compte sans consentement (comme suivre, se désabonner, ou bloquer)
• une notification de la part du réseau social vous informe que « Vous avez récemment changé l’adresse électronique associée à votre compte. »

Réagir en cas de piratage

1. Signalez le compte piraté auprès du réseau social
2. Demandez une réinitialisation de votre mot de passe
3. Une fois votre compte sécurisé, n’oubliez pas de parcourir les rubriques « sécurité » proposées par ces réseaux sociaux

Notre métier : Au delà de nos actions de sensibilisation, nous répondons à vos préoccupations en matière de cybersécurité par des audits sécurité, par des actions de sensibilisation sous forme de formations ou de conférences. Vous apprendrez comment vous protéger des pirates informatiques et comment vous mettre en conformité avec le Règlement Européen sur la Protection des Données Personnelles. Audits sécurité, animations de formations en cybercriminalité et accompagnement à la mise en conformité avec le règlement sur la protection des données personnelles. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Denis JACOPINI réalise des audits et anime dans toute le France et à l’étranger des formations, des conférences et des tables rondes pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles. Enfin, nous vous accompagnons dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Nouveau décret relatif au vote par voie électronique

Le décret n° 2016-1676 du 5 décembre 2016 relatif au vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise est publié au Journal Officiel du 6 décembre 2016. Il modifie le code du travail.

A retenir (DILA) : « le décret précise les modalités du vote électronique pour les élections des délégués du personnel et du comité d’entreprise prévues en l’absence d’accord. »

Consulter le décret n° 2016-1676 sur Legifrance :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033538273&dateTexte=&categorieLien=id

Alerte Que Choisir sur les jouets connectés et nos données personnelles

L’étude technique commanditée par notre homologue norvégien, Forbrukerradet, souligne que Cayla et i-Que, en apparence inoffensifs, ne garantissent pas le respect de la vie privée et de la sécurité des données personnelles de vos enfants.

Faille de sécurité du Bluetooth intégré

Ces jouets disposent d’un microphone intégré qui se connecte par Bluetooth à une application mobile, préalablement téléchargée par l’utilisateur sur son smartphone ou sa tablette. Le jouet peut alors comprendre ce que lui dit l’enfant et y répondre. Mais, les sociétés fabricantes, ont fait le choix d’implanter dans Cayla et i-Que, une technologie Bluetooth sujette à des risques de failles de sécurité élevées.

En effet, si les sociétés ont fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter. Résultat : un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti. La connexion peut même se faire à travers une fenêtre ou un mur en béton et le nom du Bluetooth, « Cayla » et « i-Que », permet très simplement d’identifier les poupées. Plus grave encore… Un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet.

Conditions contractuelles et utilisation des données personnelles

La protection des données personnelles des utilisateurs français est prévue par la loi Informatique et Libertés mais semble avoir été oubliée par les sociétés fabricantes.

Les conditions contractuelles les autorisent, sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au stricte fonctionnement du service. Ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés. Les données sont aussi transférées hors de l’Union européenne, sans le consentement des parents: « aux Etats-Unis, ou vers les autres territoires concernés où les lois sur la protection de la vie privée ne sont peut-être pas aussi complètes que celles du pays où vous résidez et/ou dont vous êtes ressortissant»!

Matraquage publicitaire ciblé

Les sociétés fabricantes n’hésitent pas à faire de la publicité ciblée à destination de vos enfants. Les conditions contractuelles supposent que le simple fait de visualiser une publicité ciblée, constitue de votre part, un accord express à recevoir de telles publicités ciblées. L’étude a ainsi révélé que Cayla et i-Que prononcent régulièrement des phrases préprogrammées, faisant la promotion de certains produits – notamment des produits Disney ou des références aux dessins animés de Nickelodeon.

Loin d’être des cas isolés, Cayla et i-Que reflètent un problème général de sécurité et de données personnelles des jouets connectés. En effet, l’étude commanditée par nos homologues norvégiens souligne que la poupée Hello Barbie (pas encore commercialisée en France) est sujette aux mêmes griefs.

Au vu de ces éléments inquiétants, l’UFC-Que Choisir:

• appelle les parents à réfléchir à deux fois avant d’acheter la poupée Cayla et le robot i-Que ; rappelle qu’en cas de vente à distance, ils bénéficient d’un délai de rétractation de 14 jours. Pour ceux déjà équipés et qui souhaitent le conserver, l’association les invite à n’utiliser le jouet connecté qu’en leur présence, ou à défaut de l’éteindre.
• saisit d’une part la CNIL pour qu’elle diligente sans délai un contrôle du respect de la protection des données personnelles des utilisateurs de la poupée Cayla et du robot i-Que, et d’autre part, la DGCCRF afin que ses services enquêtent sur le niveau de sécurité des jouets connectés et sanctionnent tout manquement aux dispositions légales et réglementaires.

Notre métier : Nous réalisons des audits sécurité, nous vous apprenons par des formations ou des conférences, comment vous protéger des pirates informatiques. Nous vous accompagnons également dans votre mise en conformité avec le Règlement Européen sur la Protection des Données Personnelles. Audits sécurité, animations de formations en cybercriminalité et accompagnement à la mise en conformité avec le règlement sur la protection des données personnelles. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Denis JACOPINI réalise des audits et anime dans toute le France et à l’étranger des formations, des conférences et des tables rondes pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles. Enfin, nous vous accompagnons dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article