Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ? | Denis JACOPINI

Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ?

Depuis 2000, la validité comme preuve juridique des documents numériques est reconnue , au même titre que la preuve écrite sur papier et ce à condition de pouvoir justifier de son authenticité et de son intégrité.

Comment obtenir ces deux conditions pour pouvoir utiliser en justice un document numérique ?

Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ?

Depuis 2000, la validité comme preuve juridique des documents numériques est reconnue, au même titre que la preuve écrite sur papier et ce à condition de pouvoir justifier de son authenticité et de son intégrité par la loi n°2000-230 modifiant le Code civil.

LOI n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique

L’article 1316-1 du Code stipule aujourd’hui : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. »

La signature électronique, une solution ?

La signature électronique est le procédé retenu pour garantir l’authenticité et l’intégrité d’un document numérique. Il s’agit d’un procédé qui prend une empreinte d’une information à un instant précis et y applique un algorithme de chiffrement à clé publique, c’est-à-dire dont la clé de déchiffrement figure sur un certificat appartenant nominalement à l’émetteur du document. Le déchiffrement permet ainsi de comparer l’empreinte du document envoyé avec celle du document initial et de constater d’éventuelles modifications.

Le décret d’application de la loi du 13 mars 2000, en date du 30 mars 2001, détaille les modalités de mise en place de la signature électronique.

La conservation de la signature électronique sur le long terme est un enjeu archivistique important, puisque sans elle le document perd sa valeur probante. Elle a fait l’objet d’une étude par Jean-François Blanchette, professeur canadien à l’Université de Californie à Los Angles (UCLA). Voir la note d’information DITN/RES/2004/004 du 18 octobre 2004.

Note d’information DITN-RES-2004-004 – Résumé du rapport de Jean-François Blanchette sur La conservation de la signature élctronique

Conservation de la version papier ?

Les administrations posent fréquemment la question de savoir si elles ont la possibilité d’éliminer des documents originaux papier après leur numérisation. Les archives de France ont, sur ce sujet, rédigé l’instruction : DITN/DPACI/RES/2005/001 du 14 janvier 2005.

Modalités de délivrance du visa d’élimination des documents

Dans ce cadre juridique, la question de l’archivage électronique est très liée à l’adoption de la signature électronique. Voir notamment le décret n°2005-973 du 10 août 2005 relatif aux actes établis par les notaires, le décret n°2005-972 du 10 août 2005 relatif au statut des huissiers de justice et enfin l’arrêté du 21 juin 2011 relatif à la signature électronique ou numérique en matière pénale et la note d’information à ce sujet DGP/SIAF/2011/018 en date du 18 octobre 2011.

Note d’information DITN-RES-2004-004 – Résumé du rapport de Jean-François Blanchette sur La conservation de la signature élctronique

La procédure dématérialisée de vérification des données à caractère personnel contenues dans les actes d’état civil instaurée par le décret n° 2011-167 et l’arrêté du 23 décembre 2011 met également en jeu la signature électronique. Voir à ce sujet la note d’information DGP/SIAF/2012/002

Note d’information relative aux échanges par voie électronique des données à caractère personnel contenues dans les actes d’état civil

Cet article vous à plu ? Laissez-nous un commentaire
(notre source d’encouragements et de progrès)

Références :

http://www.archivesdefrance.culture.gouv.fr/gerer/archives-electroniques/administration-electronique/la-valeur-probante-de-l-ecrit-numerique/

L’absence de formalité auprès de la CNIL, lorsqu’elle est obligatoire, peut constituer une infraction pénale | Nous pouvons vous aider à vous mettre en conformité | Denis JACOPINI

L’absence de formalité auprès de la CNIL, lorsqu’elle est obligatoire, peut constituer une infraction pénale | Nous pouvons vous aider à vous mettre en conformité

L’absence de formalité auprès de la CNIL, lorsqu’elle est obligatoire, peut constituer une infraction pénale.

Art. 226-16 de la Loi Informatique et Libertés
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Informatique assermenté, consultant et formateur en sécurité informatique, en mise en conformité de vos déclarations à la CNIL et en cybercriminalité.
Nos domaines de compétence :

Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
Consultant en sécurité informatique, cybercriminalité, en accompagnement aux mises en conformité et déclarations à la CNIL ;
Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL et accompagnement de Correspondant Informatique et Libertés.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : Denis JACOPINI

Illustration : http://claudinelepage.eu/?p=8261

Anti-phishing, Anti-Malware et protection des transactions bancaires pour ce logiciel de sécurité | Denis JACOPINI

#Anti-phishing, #Anti-Malware et protection des transactions bancaires pour ce logiciel de sécurité

Maintes fois récompensées par les critiques et les bêta-testeurs, les Editions 2016 des solutions de sécurité ESET sont enfin disponibles. Au programme, de nouvelles interfaces entièrement repensées et un nouvel outil pour sécuriser les transactions bancaires sur ESET Smart Security 9.

Afficher l'image d'origine

En plus des technologies indispensables comme l’anti-phishing (pour se protéger des e-mails de phishing) et l’anti-malware (pour se protéger des malwares cachés dans des e-mails ou des sites internet infectés) qui protègent les clients contre les menaces d’Internet, ESET Smart Security 9 contient une toute nouvelle protection des transactions bancaires. Cette fonction met à disposition l’ouverture d’un navigateur sécurisé pour veiller à ce que toutes les transactions financières en ligne soient effectuées en toute sécurité. L’utilisateur peut également paramétrer lui-même tous les sites bancaires de paiement en ligne qu’il consulte le plus fréquemment.

Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
Consultant en sécurité informatique, cybercriminalité, en accompagnement aux mises en conformité et déclarations à la CNIL ;
Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL et accompagnement de Correspondant Informatique et Libertés.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.tuitec.com/face-a-la-hausse-des-cyberattaques-en-tunisie-eset-lance-ses-nouvelles-solutions/

GDPR compliance: Request for costing estimate

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer

GDPR compliance: Request for costing estimate

You seem to express an interest in the GDPR (perhaps a little by obligation) and you want to tell us about a project. We thank you for your confidence.
Intervening on Data Protection missions since 2012, after having identified different types of expectations, we have adapted our offers so that they best meet your needs.

Thus, we can assist you in bringing your structure into compliance in several ways : :

Are you looking for autonomy ?
We can assist you to learn the essentials of European regulations relating to the Protection of Personal Data and the necessary to understand and start a compliance. Once the training is completed, you are independent but can always count on our support either in the form of personalized training, or in the form of personalized support;
At the end of this training, we will give you a certificate proving the implementation of a process to bring your establishment into compliance with the GDPR (General Data Protection Regulations). For information, we are referenced to the CNIL.
Do you want to be accompanied for the implementation of compliance ?
We carry out for you the audit which will highlight the points to be improved. At the end of this stage you can, if you wish, achieve compliance or let us proceed with the improvements that you have validated;
At the end of this audit, we will give you a report proving the implementation of corrections as part of your process to bring your establishment into compliance with the GDPR (General Data Protection Regulations).
Do you want to entrust all of your compliance?
In a perfectly complementary way with your IT service provider and possibly with your legal department, we can take care of the entire process of bringing your establishment into compliance with the GDPR (General Data Protection Regulation) and the various regulations relating to the protection of Personal Data.
From the audit to the follow-up, you can count on our technical and educational expertise so that your establishment is supported externally.

In order to send you a personalized proposal adapted both to the needs of your structure, in accordance with your strategy and your priorities, we would like you to answer these few questions :

We guarantee extreme confidentiality on the information communicated. Persons authorized to consult this information are subject to professional secrecy.

Do not hesitate to communicate as many details as possible, this will allow us to better understand your expectations.

Your First Name / NAME (required)

Your Organization / Company (required)

Your email address (required)

A telephone number (will not be used for commercial prospecting)

You can write us a message directly in the free text area. However, if you want us to establish precise costing for you, we will need the information below.

In order to better understand your request and establish a quote, please provide us with the information requested below and click on the "Send entered informations" button at the bottom of this page for us to receive it. You will receive an answer quickly.

YOUR ACTIVITY
Details about your activity :
Are you subject to professional secrecy?	YesNoI don't know
Does your activity depend on regulations?	YesNoI don't know
If "Yes", which one or which ones?

YOUR COMPUTER SYSTEM
Can you describe the composition of your computer system. We would like, in the form of an enumeration, to know the equipment which has any access to personal data with for each device ALL the software (s) used and their function (s) . Examples : - 1 WEB server with website to publicize my activity; - 1 desktop computer with billing software to bill my clients; - 2 laptops including: > 1 with email software to correspond with clients and prospects + word processing for correspondence + billing software to bill my clients ... > 1 with email software to correspond with customers and prospects + accounting software to do the accounting for my company ; - 1 smartphone with email software to correspond with customers and prospects.

Do you have one or more websites?	YesNoI don't know
What is (are) this (thoses) website (s)?
Do you have data in the Cloud?	YesNoI don't know
Which cloud providers do you use?

YOUR PERSONAL DATA PROCESSING
If you have already established it, could you provide us with the list of processing of personal data (even if it is incomplete)?

SIZING YOUR BUSINESS
Number of employees in your structure :	0123456 à 1010 to 2020 to 5050 to 100more than 100more than 1 000more than 10 000
How many of these employees use computer equipment ?	0123456 à 1010 to 2020 to 5050 to 100more than 100more than 1 000more than 10 000
Number of departments or departments ** in your structure (example: Commercial service, technical service ...) :	0123456 à 1010 to 2020 to 5050 to 100more than 100
Please list the services or departments ** of your structure:

SERVICE PROVIDERS & SUBCONTRACTORS
Do you work with sub-contractors?	YesNoI don't know
Please list these subcontractors :
Do you work with service providers who work on your premises or in your agencies (even remotely) ?	YesNoI don't know
Please list these providers :
How many IT companies do you work with ?	0123456789more...
Please list these IT companies indicating the products or services for which they operate and possibly their country of establishment :

YOUR SITUATION TOWARDS THE GDPR
Does your establishment exchange data with foreign countries ?	YesNoI don't know
If "Yes", with which country(ies)?
Have you already been made aware of the GDPR ?	YesNoI don't know
Have people using IT equipment already been made aware of the GDPR ?	YesNoI don't know
If you or your employees have not been made aware of the GDPR, would you like to undergo training ?	YesNoI don't know

YOUR WORKPLACE
The analysis of the data processing conditions in your professional premises or your professional premises is part of the compliance process.
Do you have several offices, agencies etc. legally dependent on your establishment ?	YesNo
If "Yes", how much ?	0123456 to 1010 to 2020 to 5050 to 100more than 100
In which city (ies) (and country if not in France) do you or your employees work ?

TYPE OF SUPPORT DESIRED
We can support you in different ways. A) We can teach you to become autonomous (training) ; B) We can support you at the start and then help you become independent (support, audit + training) ; C) We can choose to entrust us with the entire process of compliance (support) ; D) We can accompany you in a personalized way (thank you to detail your expectations). What type of support do you want from us (A / B / C / D + details) ?


END OF QUESTIONNAIRE
If you wish, you can send us additional information such as: - Emergency of your project; - Any additional information that you deem useful to allow us to better understand your project.

Les informations recueillies sont enregistrées dans la messagerie électronique et le système informatique de LeNetExpert pour les traitements correspondant à la gestion de vos demandes et la proposition de services correspondant à votre demande. Le lieu de traitement de stockage et de sauvegarde se situe en France et auprès d'établissements respectant le bouclier de protection des données UE-États-Unis (en anglais : EU-US Privacy Shield). Elles sont conservées 3 ans après notre dernier échange et sont destinées aux services internes. Une démarche de mise en conformité a été entamée en interne depuis 2010 et jusqu'à ce jour par des formations régulières, l'identification des traitements, la réalisation d'un registre des traitements, une analyse de risques sur nos traitements manipulant des données sensibles ou des « données à caractère hautement personnel » pour lesquels leur violation pourrait avoir de graves conséquences dans la vie quotidienne des personnes concernées et un suivi semestriel. Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit RGPD (Règlement Général sur la Protection des Données), à la loi n°78-17 dite «Informatique et Libertés» du 6 janvier 1978 et à la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant Le Net Expert, Monsieur le Délégué à la Protection des Données – 1 les Magnolias – 84300 CAVAILLON par Recommandé avec accusé de réception. Enfin, sur le fondement des articles 131-13, 222-17, 222-18, 222-18-1, 322-12, 322-13, R-621-1, R-621-2, R-623-1, R-624-3, R-624-4, R 631-1 et R634-1 du code Pénal et l'article 29 de la loi du 29 juillet 1881 sur la liberté de la presse, votre adresse IP horodatée est également collectée.

Sauf indication contraire ou information publique, nous nous engageons à la plus totale discrétion et la plus grande confidentialité concernant les informations que vous nous communiquez.

** = for example, commercial service, technical service, educational service, administrative and financial service ...

Δdocument.getElementById( "ak_js_1" ).setAttribute( "value", ( new Date() ).getTime() );

or send an email to rgpd[at]lenetexpert.fr

Denis JACOPINI is our Expert who will accompany you in your compliance with the GDPR.

Let me introduce myself: Denis JACOPINI. I am an expert in sworn IT and specialized in GDPR (protection of Personal Data) and in cybercrime. Consultant since 1996 and trainer since 1998, I have experience since 2012 in compliance with the regulations relating to the Protection of Personal Data. First technical training, CNIL Correspondent (CIL: Data Protection Correspondent) then recently Data Protection Officer (DPO n ° 15845), as a compliance practitioner and trainer, I support you in all your procedures for compliance with the GDPR.

« My goal is to provide all my experience to bring your establishment into compliance with the GDPR. »

RGPD : Que se passe t-il si le 25 mai 2018 nous n’avons pas terminé notre mise en conformité ?

Le RGPD en 10 questions. Par François-Xavier Boulin, Avocat.

RGPD : Que se passe t-il si le 25 mai 2018 nous n’avons pas terminé notre mise en conformité ?

Le Net Expert : Denis JACOPINI, vous êtes spécialisé dans l’accompagnement des PME dans la mise en conformité avec le RGPD depuis plusieurs années. Que se passe t-il si le 25 mai 2018 nous n’avons pas terminé notre mise en conformité avec le RGPD ?

Si le 25 mai 2018 vous n’avez pas terminé votre mise en conformité avec le RGPD ou pire, vous venez à peine de l’initier pour votre entreprise, association ou administration, stricto sensu, en tant que responsable de traitement pénalement responsable, vous devenez amendable et les sanctions encourues, forcément pécuniaires selon les cas, pourraient être accompagnées de peines de prison comme le précise l’article 226-17 du Code pénal.

Ainsi, le Règlement sera « obligatoire dans tous ses éléments et directement applicable dans tout État membre », dont la France dès le 25 mai 2018, et puisqu’il s’agit d’un règlement, celui-ci entrera directement en vigueur, sans nécessiter de législation de transposition.

En réalité, avant que soient engagées des sanctions à votre encontre, vous serez contacté par la CNIL, laquelle vous demandera certainement de justifier les mesures prises à l’égard du Règlement Européen. Il est clair qu’au plus vous faites preuve de négligence, de mauvaise foi et de résistance, les sanctions risquées se rapprocheront du maximum à savoir la plus grande valeur entre 4% de votre chiffre d’affaire mondial ou 20 millions d’euros.

Si par contre, vous avez entamé une démarche de mise en conformité à savoir au minimum commencé à suivre une formation, désigné officiellement une personne (interne ou externe à votre entreprise) à cette démarche réglementaire et même si vous en êtes seulement au stade où vous avez commencé à établir la liste de vos traitements avec les risques inhérents à la vie privée et aux libertés fondamentales des propriétaires des données à caractère personnel et si possible vous avez commencé à mettre en place des mesures correctives, vous montrerez ainsi à l’autorité administrative indépendante de contrôle du bon respect de la réglementation relative à la protection des données à caractère personnel (la CNIL en France) que vous avez pris en compte cette démarche dans votre organisation, pris au sérieux des défaillance en matière juridique ou technique de votre organisation et que des améliorations sont en cours. L’ensemble des démarches accomplies même après le 25 mai 2018 joueront en votre faveur en anéantissant les risques de sanction, bien évidemment à condition que vous ne fassiez aucune victime en cas de fuite de données avant.

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : Denis JACOPINI (Expert Informatique spécialisé RGPD)

La cybercriminalité, un vrai risque pour les chefs d’entreprises | Denis JACOPINI

La cybercriminalité, un vrai risque pour les chefs d’entreprises

Alors que le numérique fait désormais partie intégrante de nos vies personnelles et professionnelles, la sécurité est trop rarement prise en compte dans nos usages.
Les nouvelles technologies, omniprésentes, sont pourtant porteuses de nouveaux risques pesant lourdement sur les entreprises.

Par exemple, les données les plus sensibles (fichiers clients, contrats, projets en cours…) peuvent être dérobées par des attaquants informatiques ou récupérées en cas de perte ou vol d’un ordiphone (smartphone), d’une tablette, d’un ordinateur portable.La sécurité informatique est aussi une priorité pour la bonne marche des systèmes industriels (création et fourniture d’électricité, distribution d’eau…). Une attaque informatique sur un système de commande industriel peut causer la perte de contrôle, l’arrêt ou la dégradation des installations.

Ces incidents s’accompagnent souvent de sévères répercussions en termes de sécurité, de pertes économiques et financières et de dégradation de l’image de l’entreprise.
Ces dangers peuvent néanmoins être fortement réduits par un ensemble de bonnes pratiques, peu coûteuses et faciles à mettre en oeuvre dans l’entreprise.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : Denis JACOPINI

Vidéoprotection / vidéosurveillance : le public doit-il être informé qu’il est filmé ? | Denis JACOPINI

Vidéoprotection / vidéosurveillance : le public doit-il être informé qu’il est filmé ?

Les personnes filmées dans un espace public (rue, administration, gare, centre commercial, banque etc.) doivent en être informées, au moyen de panneaux affichés de façon visible comportant :

Un pictogramme représentant une caméra
Le nom ou la qualité et le numéro de téléphone du responsable

Ces panneaux doivent être affichés en permanence dans les lieux concernés et doivent être compréhensibles par tous les publics.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Informatique assermenté, consultant et formateur en sécurité informatique et en mise en conformité de vos déclarations à la CNIL.
Nos domaines de compétence :

Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : https://cnil.epticahosting.com/selfcnil/site/template.do;jsessionid=514319E089C032799DD14161D6197C4C?name=Vid%C3%A9oprotection%2Fvid%C3%A9osurveillance+%3A+le+public+doit-il+%C3%AAtre+inform%C3%A9+qu%27il+est+film%C3%A9+%3F&id=409

Données personnelles, e-commerce et CGV. Par Sarah Garcia, Avocate. | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer

Données personnelles, e-commerce et CGV

Considérées comme le socle de la relation contractuelle, les #conditions générales de vente (CGV) désignent l’ensemble des clauses qui constituent l’offre émise par un vendeur professionnel à destination des acquéreurs potentiels de ses produits.

Avec le développement du commerce en ligne, la protection des données personnelles devient un enjeu important en termes d’image de l’entreprise, mais aussi et surtout en termes de confiance que l’utilisateur a dans le site. Comme le souligne la présidente de la CNIL, « la protection des données personnelles est un avantage concurrentiel pour les entreprises ».

La protection des données personnelles est au cœur du fonctionnement du site e-commerce, à travers le recueil d’informations relatives à l’identification des personnes (nom, adresse, numéro de téléphone, numéro de carte bancaire…)

La loi informatique et libertés du 6 janvier 1978 modifiée assure à travers une série de règles la protection de ces données personnelles. La création et le traitement de données à caractère personnel sont soumis à des obligations destinées à protéger la vie privée des personnes des prospects et les libertés individuelles.

Sans être exhaustif, nous allons aborder les règles qu’impose la CNIL dans le cadre du respect des #droits des clients, la durée de conservation de ces données personnelles, les règles applicables dans le cadre de la prospection commerciale, qui sont autant de domaines qui touchent à la protection des données personnelles.

1. Le respect des droits des clients

Les conditions générales de vente lorsqu’elles recueillent des données personnelles doivent mentionner les droits des personnes dont les données sont recueillies.

Les CGV doivent donc mentionner les procédés mis en œuvre par le site de e-commerce afin de garantir les droits de ces personnes.

Le droit d’être préalablement informé (article 32 de la loi Informatique et Libertés).

Le droit de consentir (article 7 de la loi informatique et libertés).

Le #droit d’accès (article 39, I, 4° de la loi informatique et libertés)

Le #droit de rectification (article 40 de la loi informatique et libertés)

Le #droit d’opposition (article 38 de la loi informatique et libertés).

En règle générale, une clause de ces conditions générales doit renvoyer aux conditions de mise en œuvre. Il est également possible de rédiger séparément une #politique de protection des données personnelles sur le site.

2. La #durée de conservation des données

La loi informatique et libertés prévoit qu’un traitement ne peut porter que sur des données à caractère personnel qui sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ( article 6, 5°).

En pratique, la CNIL recommande de respecter les durées suivantes :

Concernant les éléments d’identité des clients habituels et occasionnels : 5 ans à compter de la clôture du compte ou de la relation commerciale.

Concernant les documents et informations relatifs aux opérations faites par les clients. Il peut s’agir du dépôt, du retrait, des virements, des prélèvements, des opérations concernant les cartes. La durée de conservation est de 5 ans à compter de l’exécution de l’opération.

Toutes ces informations peuvent figurer aussi bien dans les conditions générales de vente que dans un document intitulé « politique de protection des données personnelles » et mis à la disposition des utilisateurs sur le site internet.

3. Le #recueil du consentement dans le cadre de la prospection commerciale et du parrainage

Cette prospection commerciale se fait généralement par voie électronique, appel téléphonique ou centre d’appel.

Le recueil du consentement du prospect est important. Le site d’e-commerce peut en effet s’exposer à payer une amende ou une peine d’emprisonnement.

En cas de prospections commerciales effectuées par voie postale, ou par appel téléphonique depuis un centre d’appel, l’envoi de publicité par voie postale est possible sous réserve que la personne soit, au moment de la collecte de ses coordonnées informée de leur utilisation à des fins de prospection et en mesure de s’opposer à cette utilisation de manière simple et gratuite. Telle est la préconisation de la CNIL. C’est le système de l’op out.

En matière de publicité par voie électronique, le principe en la matière est de recueillir l’accord préalable du destinataire. C’est le système de l’op in. La CNIL a ainsi récemment condamnée la Société Prisma Media a payé une amende de 15.000 euros pour envoi sans le consentement des prospects de lettres d’information électronique contenant de la prospection [1]

En effet, la CNIL subordonne l’envoi de publicité à des prospects par la voie électronique à un consentement. Dans la pratique, ce consentement doit être matérialisé par une case à cocher.

Toutefois des exceptions demeurent :

Si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits ou des services analogues à ceux déjà fournis par l’entreprise.

Si la prospection n’est pas de nature commerciale.

Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie :

– être informée que son adresse électronique sera utilisée à des fins de prospection,

– être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

En ce qui concerne les professionnels, le principe est celui de l’information préalable et le droit d’opposition. Il faut ainsi que la personne soit informée que son adresse électronique est utilisée à des fins de prospection commerciale, et être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

Le consentement doit être recueilli sans aucune ambiguïté. Ainsi, l’utilisation d’une case pré-cochée est à proscrire.

Le non-respect de ces dispositions est sanctionné par une amende de 750 euros par message expédié et 5 ans d’emprisonnement et 300.000 euros d’amende.

4. Le parrainage et les jeux concours

La recherche de nouveaux prospects, le site e-commerce peut organiser un système de parrainage ou des jeux concours. Ils ne sont pas interdits, mais il est nécessaire de respecter la protection des données personnelles.

a. Le parrainage

Qu’est-ce que le parrainage ? Il a pour objet de demander à une personne de renseigner les coordonnés d’un tiers qui peut être intéressé par une offre commerciale.

Comment respecter le droit relatif à la protection des données personnelles ? La CNIL précise que le destinataire de l’offre doit connaître l’identité de son parrain lorsqu’il est contacté par l’entreprise. Ensuite, les données du parrainé ne peuvent être utilisées qu’une seule fois pour lui adresser l’offre commerciale, l’article de presse ou l’annonce suggéré par le parrain. Enfin, l’entreprise ne pourra conserver les données du parrainé pour lui adresser d’autres messages que si elle a obtenu son consentement exprès.

Tout comme l’organisation des jeux concours, le parrainage ne doit pas être dilué dans les conditions générales de vente.

b. Les jeux concours

L’organisation des jeux concours est attractive et peut permettre de capter la clientèle. L’internaute doit pouvoir participer à un jeu concours sans être obligé de recevoir de la prospection.

La CNIL précise que les informations recueillies concernant le joueur ne peuvent être utilisées que dans le cadre du jeu et la remise du lot. Les coordonnées électroniques du participant ne peuvent pas être utilisées à des fins publicitaires, sauf consentement exprès de sa part.

Il est essentiel que le responsable du fichier reprenne les mentions de la loi « informatique et libertés » sur le formulaire de participation au jeu-concours. Il doit être remis au participant le règlement du jeu concours dans lequel figurera une rubrique « vie privée ».

La CNIL précise par ailleurs que le consentement préalable doit être recueilli par un moyen simple et gratuit, comme une case à cocher par exemple. Pour que le consentement soit valide, la case ne doit pas être « pré-cochée ».

5. La #gestion des cookies

a. Le cadre juridique applicable.

Le législateur européen a posé le principe (directive 2009/136/CE) d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son équipement ou l’accès à des informations déjà stockées. Ce consentement préalable n’est pas nécessaire si les actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

b. Quels sont les cookies concernés et nécessitant un consentement préalable ?

Sont concernés les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé tels qu’un ordinateur, un smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet. Il s’agit par exemple de cookies http, ou de cookie flash…

Ces obligations sont requises que les cookies collectent des données à caractère personnel ou non.

Pour les cookies nécessitant une information préalable et une demande de consentement, on peut notamment citer ceux liés aux opérations relatives à la publicité ciblée ; certains cookies de mesure d’audience ou encore les cookies des réseaux sociaux engendrés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées. Cette liste n’est pas exhaustive.

Il convient de souligner que le cookie de mesure d’audience est exempté dans certains cas de consentement de l’internaute.

c. La mise en conformité du site

L’obligation est donc double pour le site : une information préalable et un consentement préalable.

En règle générale, l’internaute doit avoir un affichage d’un bandeau d’information sur la première page du site visité.

Un modèle pourrait être libellé comme suit :

« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et (par exemple, réaliser des statistiques de visites]. »

Pour en savoir plus et paramétrer les traceurs : Source la CNIL.

En définitive, la politique de protection des données personnelles est un élément que le site e-commerce doit prendre en compte dans la rédaction des conditions générales de vente et dans la gestion de son site. Éléments essentiels et incontournables, les sites de e-commerce doivent intégrer cette réalité. Car un respect de ces obligations légales est aussi un outil marketing pour le développement de ces sites.

Réagissez à cet article

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

Quel sont nos principales activités ?

RGPD

CYBERCRIMINALITÉ
- FORMATIONS / SENSIBILISATION D'UTILISATEURS
- RECHERCHE DE PREUVES

EXPERTISES

Denis JACOPINI DPO n°15945 Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI »

Besoin d'un Expert ? contactez-nous

Source : http://www.village-justice.com/articles/Donnees-personnelles-commerce-CGV,20003.html
Par Sarah Garcia, Avocate

Qui peut le consulter le fichier des impayés de la téléphonie mobile Préventel ? | Denis JACOPINI

CNIL Besoin d’aide ? - Préventel (fichier des impayés de la téléphonie mobile) : qui peut le consulter ?

Qui peut le consulter le fichier des impayés de la téléphonie mobile Préventel ?

Le fichier peut être consulté par le GIE Preventel et par les les services des membres du GIE Préventel chargés de la gestion des abonnements et des recouvrements.

Le fichier est consulté pour chaque nouvelle demande d’abonnement mobile par les services chargés de l’ouverture de ligne.

Les vendeurs en boutique n’ont pas directement accès au fichier PREVENTEL.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=4A1F561B7B702AD8312BAF603CB6F9F0?name=Pr%C3%A9ventel+(fichier+des+impay%C3%A9s+de+la+t%C3%A9l%C3%A9phonie+mobile)+%3A+qui+peut+le+consulter+%3F&id=378

Qu’est-ce que le registre RGPD ?

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer

Qu’est-ce que le registre RGPD ?

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
les catégories de données traitées,
à quoi servent ces données (ce que vous en faites),
qui accède aux données et à qui elles sont communiquées,
combien de temps vous les conservez,
et comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.

Qui est concerné ?

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Dispositions pour les organismes de moins de 250 salariés

Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :

les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

En pratique, cette dérogation est donc limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, comme par exemple une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées. En cas de doute sur l’application de cette dérogation à un traitement, la CNIL vous recommande de l’intégrer dans votre registre.

Un registre spécifique pour les activités de sous-traitance des données personnelles

Les organismes qui traitent des données personnelles pour le compte d’un autre organisme(les sous-traitants comme, par exemple, des prestataires de services informatiques ou des agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients) doivent également tenir un registre de leurs activités de sous-traitant impliquant le traitement de données.

Pour plus de précisions : voir le guide RGPD pour les sous-traitants

Que contient le registre ?

L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.

En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :

un pour les traitements de données personnelles dont vous êtes vous-même responsable,
un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.

[lire la suite]

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945 Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL. ».

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Réagissez à cet article

Source : Le registre des activités de traitement