L’intelligence artificielle bouleverse la comptabilité

La RGPD et la relation client : les principaux points d’attention

La protection des données à caractère personnel dans le monde

Cette carte vous permet de visualiser les différents niveaux de protection des données des pays dans le monde. Vous pouvez afficher les autorités de protection des données à l’aide de l’icône « calque » située en haut à gauche de la carte.

Retenez que les Pays auprès desquels vous pouvez envoyer des données à caractère personnel sans vous poser de questions sont :

• Tous les pays membres de l’UE ou de l’EEE,
• les Départements ou Régions français d’Outre-Mer,
• la Suisse,
• l’Uruguay,
• l’Argentine,
• la Nouvelle Zélande,
• les Iles, Féroé,
• les Terres Australes Françaises,
• Israël.

La Protection des données à caractère personnel dans le monde

Ailleurs, il est interdit d’envoyer des données à caractère personnel sans vous assurer que le destinataire est en adéquation partielle avec la législation française ou européenne relative à la protection des données à caractère personnel.

Le cryptojacking peut-il débarrasser le web de la publicité ? Avis de Denis JACOPINI

La ruée vers l’or immatériel continue. Un rapport publié par la Cyber Threat Alliance fait état d’une augmentation de 459% des attaques dites de « cryptojacking » entre 2017 et 2018. Cette pratique cybercriminelle consiste à exploiter la puissance de calcul d’ordinateurs tiers pour miner des cryptomonnaies.

Pour rappel, le terme « mining » désigne les calculs qui permettent de vérifier les transactions en monnaies virtuelles et de les consigner dans un registre public, la blockchain. Le mining est un procédé long, coûteux en ressources informatiques et néanmoins indispensable. De ce fait, ceux qui s’en acquittent peuvent toucher une récompense financière sous la forme de nouvelles unités de cryptomonnaie.

Suivant ce principe, la recette des cryptojackers est simple : en insérant quelques lignes de code malveillant (CoinHive, par exemple) sur un site web, ils peuvent s’approprier les ressources informatiques des visiteurs à leur insu pour miner. Difficile pour les internautes d’identifier cette spoliation : le seul signe visible est un léger ralentissement de leur machine. En septembre, Europol a décrit cette pratique comme « la nouvelle tendance en matière de cybercrime. »

…

Pour Denis Jacopini, ingénieur expert en cybercriminalité, ce modèle économique à grande échelle sur le web est « parfaitement envisageable : c’est un mode de fonctionnement qui est amené à se généraliser. » Il insiste en revanche sur la nécessité de penser la dimension éthique de cette pratique. Tout site qui envisagerait de rétribuer ses créateurs grâce au minage doit avant tout faire preuve de transparence vis-à-vis de ses utilisateurs…[lire la suite]

Certification des compétences des DPO – Ce que va proposer la CNIL

La certification des personnes physiques

La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.

Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.

Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.

L’agrément des organismes certificateurs par la CNIL

Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ). La demande devra respecter les exigences prévues dans le référentiel d’agrément.

Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels. Les éventuelles modifications du référentiel d’agrément ou du référentiel de certification seront sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.

Ces référentiels pourront être partagés avec les autres autorités de protection européennes au sein du CEPD (Comité européen de la protection des données).

L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.

[Lien vers la source]

Données personnelles – Les WiFi publics sont dangereux

En effet, se connecter à ces réseaux peut être un risque pour vos données personnelles qu’il s’agisse de photos, de pages internet consultées ou pire, de vos informations bancaires.

Ainsi, lorsque vous vous connecterez dans un endroit public à l’avenir pensez à ne pas laisser d’accès à des dossiers partagés, à n’effectuer des paiements que sur des sites sécurisés, ou encore à éviter de cliquer sur des liens disponibles sur les réseaux sociaux de type Twitter, Facebook ou encore Instagram.

Pour ce dernier point, gardez toujours en tête que certaines offres sont justement trop belles pour être vraies.

Pensez également à regarder si les sites sur lesquels vous vous trouvez sont effectivement sécurisés (sites mentionnant dans la barre d’adresse des connexions via HTTPS vs la connexion http, non sécurisée).

Conseil de Denis JACOPINI

Afin de palier au risque des Wifi Publics, nous vous recommandons :

• de partager et d’utiliser l’accès à Internet de votre smartphone en veillant à vérifier que vous êtes au moins en communication 3G, 4G ou +
• d’utiliser un VPN (Virtual Private Network) qui aura pour effet de crypter l’ensemble des échanges Internet entrants et sortants. Notez toutefois que l’utilisation d’un VPN ne protégera pas votre ordinateur contre les intrusions via le Wifi Public. Ainsi, une intrusion étant toujours possible, nous vous recommandons de ne connecter au Wifi Public que des équipements sécurisés avec un logiciel de sécurité,  ne contenant aucune donnée stratégique.
• Si vous n’avez pas le choix et vous devez absolument vous connecter  un Wifi Public pour accéder à votre messagerie par exemple, nous vous recommandons de vérifier que vous vous rendez bien sur un site Internet dont l’URL commence par « https » et de ne réaliser que des échanges non confidentiels sur cette ligne, évitez ainsi de communiquer votre numéro de CB !

Même si on entend beaucoup parler du RGPD qui a pour objectif de protéger nos données à Caractère Personnel, sachez qu’il ne sagît qu’un Réglement et qu’il ne protège pas des pirates informatiques.

RGPD : Des changements en matière de protection des données

Ces règles concernent tout organisme qui traite des données à caractère personnel (notamment, à des fins commerciales, à des fins de surveillance ou encore, pour des raisons de sécurité).

Parmi ces organismes, on y trouve toutes les entreprises, même unipersonnelles et les entrepreneurs, toutes les associations et toutes les administrations excepté les services de renseignements et judiciaires.

Depuis mai 2018, sauf dans certains cas, ces organismes ne doivent plus notifier, ni solliciter des autorisations préalables de traitement de données personnelles auprès de la Commission nationale pour la protection des données (CNPD). Cependant, ces organismes doivent assurer à chaque instant le respect des nouvelles règles en matière de protection des données et être en mesure de le démontrer en documentant leur conformité.

Pour prévenir des risques inhérents au traitement de ces données, la désignation d’un délégué à la protection des données (DPO) est encouragée.

La désignation d’un DPO est obligatoire pour :

• les organismes publics et autorités publiques ;
• une entreprise dont les activités de base, du fait de leur nature, de leur portée et/ou de leurs finalités, l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• une entreprise dont les activités de base l’amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et à des infractions.

Le DPO doit être désigné, sur base :

• de ses qualifications professionnelles notamment, en matière de protection des données ;
• de sa capacité à accomplir ses missions ;
• de ne pas être à l’origine ou avoir autorité sur les traitements suivis .

Le responsable informatique ou RSSI ne peut pas être DPO ?

Denis JACOPINI : J’entends très souvent qu’afin d’éviter un conflit d’intérêt, le responsable informatique ne peut pas devenir DPO.

Si vous ne savez pas si vous avez le droit ou non de devenir DPO et éviter ainsi d’être à la fois juge et partie, posez-vous la question suivante :

En cas de problème, qui a le pouvoir de stopper un traitement ou qui à le dernier mot dans le choix de stopper ou non un traitement ?

C’est vous ? Alors vous ne pouvez pas prétendre à des fonctions de Délégué à la Protection des Données (DPO).

RGPD et droit d’accès : qui peut consulter, quelles sont les limites ?

Qui peut demander un droit d’accès et sous quel délai ?

RGPD : comment répondre à une demande de droit d’accès ?

Toute personne physique qui en fait la demande a le droit d’obtenir la confirmation que des données la concernant sont traitées et peut obtenir la copie de ses données faisant l’objet d’un traitement. Ce droit est renforcé par le Règlement Général sur la Protection des Données (RGPD).

Par exemple, une personne exercer son droit d’accès :

• auprès de son employeur : pour accéder aux données de son dossier personnel ;
• auprès de son médecin : pour obtenir une copie des données de son dossier médical ;
• auprès d’une administration : pour obtenir la confirmation que des données la concernant sont traitées.

En tant que responsable du traitement de données personnelles, vous devez :

• Informer les personnes concernées sur l’existence de leur droit d’accès au moment où vous collectez leurs données ;
• Donner accès aux personnes concernées à des modalités pratiques (formulaire, coordonnées) pour exercer leur droit d’accès facilement ;
• Mettre en place un parcours interne efficace au sein de votre entité pour le traitement des demandes de droit d’accès. Cela nécessite de prévoir des procédures en interne permettant de remonter les demandes de droit d’accès au bon interlocuteur afin d’être en mesure de traiter la demande dans les délais impartis ;
• Prévoir des modalités de réponse auprès des personnes concernées qui soient compréhensibles, accessibles, formulées en des termes clairs et simples.

Qui peut exercer cette demande ?

C’est à la personne voulant accéder à ses données personnelles de vous saisir.

Cette personne peut donner un mandat à une personne de son choix pour exercer son droit d’accès. Dans ce cas, la personne choisie doit présenter un courrier précisant l’objet du mandat (exercice du droit d’accès), l’identité du mandant (identité du demandeur qui exerce son droit d’accès à ses données personnelles) et du mandataire (son identité). Elle doit justifier de son identité et de celle du demandeur.

Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche.

Les limites au droit d’accès

Le droit d’accès doit s’exercer dans le respect du droit des tiers : par exemple, il n’est pas possible de demander à accéder aux données concernant son conjoint ; un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié.

De même, le droit d’accès ne peut porter atteinte au secret des affaires ou à la propriété intellectuelle (droit d’auteur protégeant le logiciel par exemple).

Les délais pour répondre à une demande

Actuellement, vous devez répondre dans les meilleurs délais à une demande de droit d’accès, dans un délai maximum d’un mois (article 12.3). Cependant, une possibilité de prolonger de deux mois ce délai est prévue, « compte tenu de la complexité et du nombre de demandes », à condition d’en informer la personne concernée dans le délai d’un mois suivant la réception de la demande (article 12.3).

Focus sur le droit d’accès à des données de santé : En ce qui concerne l’accès aux données de santé, les délais sont différents. La communication des données de santé (exemple : dossier médical) doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne –  dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du code de la santé publique).

Les frais de reproduction

Le RGPD prévoit un principe de gratuité pour les copies fournies dans le cadre d’une demande d’accès (article 12.5).

Vous pouvez demander le paiement de « frais raisonnables basés sur les coûts administratifs » :

• pour toute copie supplémentaire demandée par la personne concernée ;
• si la demande est manifestement infondée ou excessive.

Attention : le coût des « frais raisonnables basés sur les coûts administratifs » ne doit pas être une entrave à l’exercice du droit d’accès.

Les modalités de la communication des données

Les demandes peuvent être faites sur place ou par écrit (voie postale ou électronique).

Si la demande est formulée sur place et que vous ne pouvez pas y apporter une réponse immédiatement, vous devez remettre au demandeur un avis de réception daté et signé.

Si la demande est formulée par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement (article 12.3). Dans ce cas, attention aux modalités de transmission des informations qui doivent se faire de manière sécurisée.

Si la demande est faite par écrit et que vous avez besoin de précisions ou de compléments pour y répondre, vous devez prendre contact avec le demandeur (courrier postal ou électronique).

Si vous envoyez les données personnelles par voie postale, il est souhaitable de le faire par le biais d’un courrier recommandé avec accusé de réception.

Si les données sont communiquées par clé USB, vous pouvez remettre la clé USB en main propre à la personne qui vous a saisi ou l’envoyer par courrier. Vous devez prendre des mesures appropriée pour protéger les données contenues sur ce support, en particulier s’il s’agit de données sensibles. Afin d’éviter que ces données soient accessibles à tous, il est ainsi possible de les chiffrer.  Le code de déchiffrement devra alors être communiqué dans un autre courrier ou par un autre moyen (SMS, courriel …).

Afin de vous aider pour le chiffrement des données, vous pouvez consulter les conseils de la CNIL en la matière.

Et mon sous-traitant ? Le règlement prévoit que le sous-traitant aide le responsable de traitement à s’acquitter de ses obligations en matière de droit d’accès (article 28 e). Par exemple : un employeur pourrait demander à son sous-traitant lui ayant fourni un dispositif de géolocalisation, son appui afin de fournir aux employés qui en feraient la demande, des données de géolocalisations « sous une forme accessible » ; lorsque le responsable de traitement ne dispose que d’une analyse des données, il pourrait se rapprocher du sous-traitant qui aurait conservé les données identifiantes.

Les refus

Vous n’êtes pas tenus de répondre aux demandes de droit d’accès si :

• elles sont manifestement infondées ou excessives notamment par leur caractère répétitif  (par exemple, demandes multiples et rapprochées dans le temps d’une copie déjà fournie) ;
• les données ne sont plus conservées / ont été effacées : dans ce cas, l’accès est impossible (ex : les enregistrements réalisés par un dispositif de vidéosurveillance sont conservés normalement 30 jours maximum. Ils sont détruits à l’issue de ce délai).

A noter : le fait qu’une personne demande de nouveau communication de ses données auxquelles elle a déjà eu accès ne doit pas être considéré systématiquement comme une demande excessive. En effet, il faut notamment apprécier le délai entre les deux demandes, la possibilité que des nouvelles données aient été collectées etc.

Si vous ne donnez pas suite à une demande, vous devez motiver votre décision et informer le demandeur des voies et délais de recours pour contester cette décision.

Que faire lorsque vous envisagez de modifier un traitement de données de recherche, étude ou évaluation dans le domaine de la santé ?