RGPD et Collectivités : tout reste à faire !

Le RGPD, une bénédiction pour les cybercriminels et les arnaqueurs

RGPD : les GAFA ne joueraient pas le jeu

RGPD : Les associations aussi concernées… Sanction de 75 000 euros pour une atteinte à la sécurité des données de demandeurs de logements

L’association ADEF a pour mission la mise à disposition de logements dans des résidences et foyers notamment pour des étudiants, des familles monoparentales et des travailleurs migrants.

En juin 2017, la CNIL a été informée de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association.

Un contrôle en ligne a été réalisé le 15 juin 2017. Au cours de ce contrôle, la CNIL a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF.

Le même jour, la CNIL a alerté l’association de cette violation de données à caractère personnel et lui a demandé d’y remédier. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de l’association. Il a été constaté que les données étaient toujours accessibles, alors que l’association indiquait avoir demandé à la société ayant développé son site web d’intervenir.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la  confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés. Elle a relevé que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site. Elle a notamment précisé que l’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL (exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie par la personne telle que « carte-identité », « cni » ou « avis imposition »). De plus, la société aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs….[lire la suite]

Réaction de notre Expert Denis JACOPINI : Une chance pour cette association d’avoir été contrôlée avant la mise en application du RGPD. En effet, depuis le 25 mai 2018 les amendes peuvent désormais être portées jusqu’à 20 millions d’euros ou 4% du CA mondial consolidé.

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

 

---

Réagissez à cet article

---

 

RGPD : Vous ne savez pas quoi répondre à vos clients ? Apprenez à les accompagner dans leur mise en conformité (spécial Informaticiens, Avocats et Experts Comptables). Session du 24/25/26 juillet 2018 à Marseille.

Notre formation « J’accompagne mes clients dans leur mise en conformité avec le RGPD » a été spécialement organisée pour tous les professionnels qui souhaitent développer une activité de mise en conformité avec le RGPD . Que ça soit pour vos clients actuels ou futurs, cette formation vous apprendra à les mettre sur le chemin de la mise en conformité. Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable ? Cette formation est faire pour vous.

Cette formation est organisée sur 4 jours (3 jours consécutifs + 1 jour supplémentaire en individuel pour superviser la mise en place du RGPD dans votre établissement ou chez un de vos clients – frais liés au déplacement dans cet établissement en sus). Suivez LA formation qui vous apportera la plus grande autonomie dans la mise en conformité de tout notre catalogue.

Formation « J’accompagne mes clients dans leur mise en conformité avec le RGPD » : 3 jours + 1 jour dans votre établissement

Prochaine session 24/25/26 juillet à Marseille.

Intitulé :

« J’accompagne mes clients dans leur mise en conformité avec le RGPD ».

Public visé :

Responsables et collaborateurs des services dédiés aux ressources humaines ;

Responsables et collaborateurs des services informatiques ;

Responsables et collaborateurs des services marketing ;

Responsables de la sécurité des systèmes d’information ;

Futurs « Délégués à la Protection des Données » ;

Avocats ;

Experts Comptables / Commissaires Aux Comptes.

Pré requis :

Cette formation nécessite quelques notions de base en sécurité informatique.

Objectifs pédagogique :

Le Règlement Général sur la Protection de Données (RGPD) est entré en application le 25 mai 2018 et toutes les entreprises, administrations et associations ne s’y étaient pas préparées. Or, quelle que soit leur taille, elles sont toutes concernées et risqueront, en cas de manquement, des sanctions financières jusqu’alors inégalées.

Découvrez l’essentiel de ce règlement Européen en vue de devenir Délégué à la Protection des Données interne à votre établissement et/ou externe mutualisé auprès d’entreprises.

Compétences visées :

Savoir accompagner ses clients dans leur mise en conformité avec le RGPD.

Durée :

4 jours.

Moyens pédagogiques, techniques et d’encadrement :

La formation sera assurée par Denis JACOPINI, Expert Informatique assermenté spécialisé en cybercriminalité et en Protection des Données à Caractère Personnel en format présentiel.

Les cours seront projetés sur écran. Dans le cas d’une formation de groupe, elle sera assurée dans une salle de formation équipée de bureaux, d’un système de vidéo projection et éventuellement d’un système de sonorisation. Dans le cas d’une formation individuelle, elle sera assurée dans les locaux du stagiaire qui devra prévoir une table par personne et un système de vidéo projection et un paper board ou un tableau blanc.

Denis JACOPINI dispose de son propre ordinateur portable.

La formation débutera par un cours magistral sur la présentation du contexte, des risques, des règles autour de la protection des données personnelles en général puis le règlement Général sur la Protection de Données (RGPD).

Au terme des exposés, le formateur présentera les bonnes pratiques sur la mise en conformité sous forme de simulations pour finir par des cas pratiques.

Un ensemble de documents seront envoyés au(x) stagiaire(s) avant le début des formations. Il devra soit disposer d’un équipement pour les consulter pendant la formation soit les imprimer (préférable).

Adaptation des modalités pédagogiques de la formation :

Nous nous appuierons sur les connaissances préexistantes du (ou des) stagiaire(s) recueillies sur la fiche « demande d’informations aux stagiaires » et combinons ensuite diverses modalités pédagogiques : des exposés théoriques, des temps d’échanges, des études de cas, permettant à l’apprenant d’être acteur de la séance de formation. Ainsi, le contenu et l’ordre du programme peut être amené à varier.

Suivi de l’exécution de l’action de formation :

En accord avec la réglementation, une feuille d’émargement sera remplie par les stagiaires au terme de chaque demi-journée afin de vérifier leur présence.

Appréciation des résultats de l’action de formation :

Une fiche d’évaluation sera distribuée au stagiaire. Cette fiche permet d’évaluer la formation par le stagiaire (contenu de la formation, points préférés, points moins appréciés, suggestions d’amélioration de la prestation de formation).

Animateur :

Denis JACOPINI

Expert judiciaire en Informatique

Diplômé en cybercriminalité

et en droit de l’Expertise Judiciaire

Certifié en Gestion des Risques sur les

systèmes d‘Information (ISO 27005 Risk Manager)

Spécialisé en cybercriminalité et en

Protection des Données à Caractère Personnel

Correspondant CNIL n°8555 à DPO n°15945

Gérant d’une SSII pendant 17 ans

 

---

Réagissez à cet article

 

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

• RGPD
  • FORMATION AU RGPD
  • FORMATION DE DPO
  • AUDITS RGPD
  • MISE EN CONFORMITÉ RGPD
  • ANALYSES DE RISQUES (PIA / DPIA)

 

• CYBERCRIMINALITÉ
  • FORMATIONS / SENSIBILISATION D'UTILISATEURS
  • RECHERCHE DE PREUVES

 

• EXPERTISES
  • EXPERTISES PRIVÉES
  • EXPERTISES DE VOTES ÉLECTRONIQUES
  • EXPERTISES JUDICIAIRES
  • RECHERCHE DE PREUVES
  • RÉCUPÉRATION DE DONNÉES PERDUES (SMS, Photos, Contacts...)

 

   Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI »

 

 

Besoin d'un Expert ? contactez-nous 

---

 

 

RGPD : Modification de l’article 11 la loi Informatique et Libertés. Version en vigueur au 20 juin 2018

I. – La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 26 et 27 ;

a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ;

b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à l’article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l’article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l’article 44, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions ;

f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il en est tenu compte, le cas échéant, pour la mise en œuvre des sanctions prévues au chapitre VII de la présente loi.

h) Elle répond aux demandes ou saisines prévues aux articles 41, 42 et 70-22 ;

i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4 ;

j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° A la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu’elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel, après qu’elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l’instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d’un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le Président de l’Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 26 et 27, lorsqu’une loi prévoit qu’un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l’arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques ;

c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques ;

f) Elle promeut, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l’Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France.

II. – Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l’exécution de sa mission.

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

 

---

Réagissez à cet article

---

 

Le RGPD, c’est quoi ? Le youtubeur Daniil le russe t’explique tout

Voilà pour la théorie. Pour expliquer cela d’une manière un peu plus ludique, on peut regarder la vidéo de Daniil le Russe. Toujours avec beaucoup d’humour, il montre en même temps certaines de nos mauvaises habitudes sur le web.

[lire la suite]

 

---

Réagissez à cet article

 

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

• RGPD
  • FORMATION AU RGPD
  • FORMATION DE DPO
  • AUDITS RGPD
  • MISE EN CONFORMITÉ RGPD
  • ANALYSES DE RISQUES (PIA / DPIA)

 

• CYBERCRIMINALITÉ
  • FORMATIONS / SENSIBILISATION D'UTILISATEURS
  • RECHERCHE DE PREUVES

 

• EXPERTISES
  • EXPERTISES PRIVÉES
  • EXPERTISES DE VOTES ÉLECTRONIQUES
  • EXPERTISES JUDICIAIRES
  • RECHERCHE DE PREUVES
  • RÉCUPÉRATION DE DONNÉES PERDUES (SMS, Photos, Contacts...)

 

   Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI »

 

 

Besoin d'un Expert ? contactez-nous 

---

 

 

« LE RGPD, pour progresser »

RGPD : Comment remplir le registre CNIL ?

Le principe d’accountability est la responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (= documenter la conformité). Tout au long du processus de traitement des données, le responsable du traitement devra non seulement garantir mais aussi être en mesure de démontrer qu’il respecte les droits des personnes au regard des finalités du traitement et des risques inhérents au traitement.

Selon l’article 30 du RGPD,

Le Règlement expose en détail les principes relatifs au traitement des données à caractère personnel (article 5) et les conditions de licéité des traitements (article 6).

Selon le RGPD et en particulier son article 5, les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée) (limitation de la conservation) ;

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

 

---

Réagissez à cet article

---

 

Les oportunités du RGPD pour les avocats

L’auteur, Denis JACOPINI, Expert de justice en Informatique diplômé en Cybercriminalité et spécialisé en RGPD est certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005).

Je ne vous apprendrais rien en vous informant que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) entrera en application le 25 mai 2018.

Par contre, savez-vous que la plupart des obligations de ce règlement doivent déjà être respectés depuis presque un demi siècle ?

Selon moi, le RGPD a été créé pour deux principales raisons :

1. Réguler l’usage des données personnelles par les géants du Web en prévoyant des sanctions démesurées et inadaptées pour nos entreprises européennes mais suffisamment contraignantes pour faire trembler les GAFAM (Google Apple Facebook, Amazon, Microsoft) ;
2. Guider l’ensemble des entreprises manipulant nos données à caractère personnel qui, au vu des milliards d’informations volées chaque année, sont devenues malgré elles, complices de l’évolution incoercible de la cybercriminalité à travers le monde.

FAIRE DU RGPD UN BUSINESS

Vous êtes de nombreux avocats à vous être intéressé aux nouvelles technologies ces dernières années. D’une part cela est bien utile car vous utilisez la technologie, mais également ceci vous permet de vous positionner sur ce marché en y proposant vos services.

Ainsi, il parait évident que vous choisissiez d’étendre vos activités jusqu’au RGPD en proposant à vos clients de devenir leur « Délégué à la Protection des Données » ou en les accompagnant à leur « Mise en Conformité avec le RGPD ».

Basé sur la loi n°78-17 du 6 janvier 1978, même si le contenu de ce règlement est organisé en articles classés en chapitres aux noms bien législatifs, leurs détails, parfois trop incomplets pour être suivis sans risque et parfois flous, laissent place à une interprétation dont vous êtes certainement habitués.

Pourtant, si vous vous intéressez en détail à la manière de mettre en conformité un établissement, vous constaterez qu’au-delà de l’aspect réglementaire, il est question de bonnes pratiques à faire évoluer, que ça soit au niveau des décideurs, des responsables ou prestataires informatiques ou des utilisateurs.

Ainsi, mettre en conformité avec RGPD un établissement revient d’abord à faire le point sur les processus existants manipulant des Données à Caractère Personnel puis à identifier les points ne respectant pas le Règlement Général sur la Protection des Données pour enfin appliquer des corrections adhoc.

Certes, une bonne connaissance du texte réglementaire est nécessaire pour parfaire une mise en conformité RGPD, mais pour récolter les éléments de l’audit, ou aborder les changements à mettre en oeuvre, en plus des compétences en gestion de projet et en psychologie dont il faut faire preuve, il est également nécessaire de bien maîtriser une méthode relative à l’analyse des risques en informatique.

Ces compétences, également rares chez les informaticiens sont à mon avis les bases minimales pour entamer la mise en conformité avec le RGPD d’un établissement.

SE METTRE EN CONFORMITE

Que vous souhaitiez ou non proposer à vos clients des services de mise en conformité RGPD, comme chaque professionnel, administration ou association Européenne, vous devez appliquer cette démarche à votre organisme. Certes, vous pouvez considérer le RGPD comme une immense contrainte qui va vous faire perdre du temps et ajouter une charge non négligeable à vos cabinets, mais suivre les guides fournis par la CNIL et les recommandations des spécialistes dans ce règlement vous permettra enfin de vous préoccuper d’un élément fondamental de la sécurité informatique oublié même par des grands cabinets jusqu’à aujourd’hui : « Se protéger contre la fuite de données ».

En matière de sécurité informatique, il est fort probable que vous vous soyez préoccupé de vos sauvegardes pour éviter de perdre vos données numériques, d’un VPN pour assurer un minimum de confidentialité, d’un Firewall pour limiter les intrusions mais avez-vous pensé à la protection contre la fuite de données ?

Le risque peut aussi bien exister à l’intérieur de vos cabinets (personnel, visiteurs, prestataires) qu’à l’extérieur (prestataires ayant accès à distance, pirates informatiques).

L’avantage de la démarche RGPD, c’est qu’elle amène l’auditeur à vous poser un ensemble de questions qui amène à l’identification de failles dans votre organisation, failles dont vous auriez déjà pu être victime. La démarche vous fait également prendre conscience de risques jusqu’alors bien souvent négligés !

Ainsi, au terme d’un audit et d’une mise en conformité RGPD, il est fort probable que votre système informatique, aussi perfectionné ou récent qu’il soit ait besoin d’améliorations nécessaires pour boucher les failles dont personne ne se serait soucié sans que ce règlement soit appliqué.

La mise en conformité RGPD est une démarche qualité qui se soucie enfin des données à caractère personnel que détiennent les professionnels, administrations et associations. Il ne faut pas la considérer comme une contrainte mais plutôt comme une opportunité d’être guidé dans une démarche que vous auriez dû réaliser un jour ou l’autre et d’afficher votre démarche pour rassurer les vrais propriétaires de vos données.

« RGPD : Tant qu’il existe un risque que des personnes non autorisées aient accès aux Données à Caractère Personnel que vous détenez, avec des conséquences possibles sur leurs propriétaires, vous devez revoir votre copie ».

L’auteur, Denis JACOPINI, Expert de justice en Informatique diplômé en Cybercriminalité et spécialisé en RGPD est certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005).