Les entreprises ne sont pas prêtes pour la nouvelle législation européenne sur la protection des données | Denis JACOPINI

Les entreprises ne sont pas prêtes pour la nouvelle législation européenne sur la protection des données

Les entreprises ne sont pas prêtes pour la nouvelle législation européenne sur la protection des données
Varonis a mené une enquête en mars auprès des informaticiens professionnels participant au CeBIT, le plus grand salon IT d’Allemagne, afin de recueillir leur opinion sur la nouvelle réglementation régissant la protection des données qui doit entrer en vigueur cette année ou l’année prochaine. Le constat est sans appel : les entreprises ne sont pas prêtes pour la nouvelle législation européenne sur la protection des données. Les professionnels interrogés par Varonis ne pensent pas que leurs entreprises soient en mesure de respecter les délais imposés par l’UE pour la notification des violations de données. 

 

Il ressort de cette enquête que 80 % des personnes interrogées pensent qu’une banque sera très probablement la première entreprise à être frappée par l’amende maximale de 100 millions d’euros pour non-respect de la réglementation européenne sur la protection des données. À la question concernant le pays le plus probable de cette banque, les répondants indiquent l’Allemagne (30 %), les États-Unis (28 %) et 22 % mentionnent un autre pays européen. 48 % seulement des personnes interrogées pensent que leur entreprise pourrait signaler une violation dans le délai obligatoire de 72 heures.

Seuls 31 % disposent d’un plan leur permettant de se conformer à la nouvelle législation et seulement un tiers des personnes enquêtées a mis en place les processus et la technologie nécessaires pour empêcher leur entreprise de se voir infliger une amende importante dans le cadre de cette loi. 71 % des répondants sont incapables de dire ce que les entreprises doivent faire pour se conformer à la nouvelle réglementation.

Seuls 22 % des répondants savaient que l’amende maximale prévue par la nouvelle législation est de 100 millions d’euros, 41 % pensaient qu’elle ne serait que de 10 millions d’euros et 32 % l’estimaient à 1 million d’euros, avec un nombre réduit de personnes interrogées croyant qu’elle pouvait s’élever à un milliard d’euros. Un tiers a déclaré que la réglementation européenne sur la protection des données entrera en vigueur en 2015, 28 % ont indiqué que tel serait le cas en 2016, 7 % estiment que la loi ne verra jamais le jour et 32 % des personnes interrogées ont dit ne pas savoir quand la loi entrerait en vigueur.

« Nous pouvons attendre une refonte majeure de la loi européenne sur la protection des données au cours des prochains 12 à 24 mois », déclare David Gibson, vice-président du marketing de Varonis. « Les amendes devraient s’élever à 2 % du revenu annuel avec un plafond de 100 millions d’euros ou de dollars pour la non-protection des données personnelles des citoyens européens. Il pourrait également y avoir un nombre important de plaintes individuelles en plus des amendes et les sommes mises en jeu pourraient donc représenter des coûts substantiels, même pour les grandes entreprises. La nouvelle loi marquera aussi le passage d’un environnement autoréglementé à un régime d’application obligatoire qui aura une incidence sur toute entreprise stockant des informations d’identification personnelle concernant les citoyens européens (y compris sur les sociétés américaines menant des activités dans l’UE). Les entreprises doivent être préparées à protéger les données de leurs clients et prouver qu’elles le font avec le soin approprié, rendre compte de toute violation et supprimer les données à la demande des citoyens de l’UE. »

« Compte tenu de la vaste portée de la nouvelle réglementation et de l’importance accrue des amendes, cette enquête révèle des inquiétudes très importantes quant aux efforts que les entreprises sont prêtes à fournir pour se conformer aux conditions de la réglementation et gérer les scénarios de violation de données », indique Mark Deem, partenaire de Cooley LLP au Royaume-Uni. « En fait, l’échelle des amendes potentielles sera plus proche de celles infligées pour corruption ou violation antitrust, ou dans le secteur des services financiers. La conformité en matière de protection des données sera tout aussi importante que la conformité aux réglementations de la FCA. Même si la législation n’entre pas en vigueur avant 2017, un travail considérable doit être accompli par ceux qui souhaitent offrir des biens et des services aux habitants de l’UE et s’assurer qu’ils se trouvent dans la meilleure situation possible pour respecter la loi. »

Varonis propose 7 conseils pour garantir la conformité des données non structurées et permettre aux entreprises de se préparer à la réglementation européenne sur la protection des données :

 

1. Minimiser la collecte des données : la proposition de loi de l’UE comporte de fortes exigences en ce qui concerne la limitation des données recueillies auprès des consommateurs.

 

2. Favoriser le signalement des violations de données : la notification des atteintes à la protection des données constitue une nouvelle exigence que les entreprises européennes devront respecter.

 

3. Conserver les données avec attention : les règles de minimisation de la nouvelle loi concernent non seulement l’étendue des données collectées, mais aussi leur durée de rétention. En d’autres termes, une entreprise ne doit pas stocker les données plus longtemps que nécessaire aux fins prévues.

 

4. Nouvelle définition des identifiants personnels : l’UE a étendu la définition des identifiants personnels et ce changement s’avère important parce que les lois de l’UE portent sur la protection de ces identifiants.

 

5. Employez un langage clair : il faudra à une entreprise le consentement préalable et explicite des consommateurs lors de la collecte des données.

 

6. Bouton d’effacement : le « droit d’effacement » signifie qu’en cas de retrait du consentement accordé par les consommateurs, les sociétés devront supprimer les données concernées.

 

7. Le Cloud computing n’échappe pas à cette nouvelle loi de l’UE, car celle-ci suit les données.

 

 

Méthodologie de l’enquête

Les 145 personnes interrogées constituent un échantillon représentatif des participants du plus grand salon informatique d’Allemagne qui a compté 221 000 visiteurs en mars 2015. Parmi les répondants, 16 % sont issus de banques allemandes, 3 % de banques américaines, 3 % de banques européennes, 45 % d’entreprises allemandes hors du secteur financier, 26 % d’entreprises européennes hors du secteur financier et 7 % d’entreprises américaines.

 

 

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 

Contactez-nous

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.infodsi.com/articles/157046/entreprises-sont-pas-pretes-nouvelle-legislation-europeenne-protection-donnees.html

 

 


Loi Renseignement : la boîte à outils pour apprendre à protéger votre vie privée, en chiffrant vos données et communications | Denis JACOPINI

Loi Renseignement : la boîte à outils pour apprendre à protéger votre vie privée, en chiffrant vos données et communications
Maintenant que la Loi Renseignement est votée, et en attendant la suite du processus législatif, apprenons à résister à la surveillance de masse avec quelques outils cryptographiques plus ou moins simples, mais efficaces et légaux.

 

 

Nous sommes le soir du mardi 5 mai, et c’est un jour funeste pour la démocratie. La France s’était autoproclamée « pays des Lumières » parce qu’il y a 250 ans notre pays  éclairait l’Europe et le monde grâce aux travaux philosophiques et politiques de Montesquieu, qui prônait la séparation des pouvoirs, et de Voltaire et Rousseau.

À dater d’aujourd’hui, jour du vote en première lecture du projet de loi sur le renseignement, à cause d’une classe politicienne d’une grande médiocrité, s’enclenche un processus au terme duquel le peuple français va probablement devoir subir une loi dangereuse, qui pourrait s’avérer extrêmement liberticide si elle tombait entre de mauvaises mains, par exemple celles de l’extrême droite.

Même si la loi doit encore passer devant le Sénat puis peut-être revenir en seconde lecture à l’Assemblée Nationale, même si une saisine du Conseil Constitutionnel va être déposée par une soixantaine de courageux députés en complément de celle déjà annoncée par François Hollande, mieux vaut se préparer au pire, en imaginant que cette loi sera un jour promulguée. En faisant un peu de mauvais esprit, j’ai imaginé un nom pour le dispositif qui sera chargé de collecter nos données personnelles afin de détecter les comportements suspects : « Surveillance Totalement Automatisée via des Systèmes Informatiques » et bizarrement l’acronyme est STASI !

Dès lors, à titre préventif et sans préjuger de l’avenir, il me semble important d’apprendre à protéger sa vie privée. Ceci passe par le chiffrement de ses communications, qu’il s’agisse d’échanges sur Internet ou via SMS, et cela peut se faire au moyen de différents outils à la fois efficaces et légaux.

Bien évidemment, les « vrais méchants » que sont les terroristes, djihadistes, gangsters et autres trafiquants connaissent et utilisent déjà ces outils : vous vous doutez bien qu’ils n’ont pas attendu ce billet de blog pour les découvrir….

 

 

Une boîte à outils pour protéger votre vie privée

Anonymat sur Internet

Pour protéger votre identité sur Internet et notamment sur le web, vous pouvez combiner l’utilisation d’un réseau privé virtuel, ou VPN, et de TOR, un système d’anonymisation qui nécessite l’installation d’un logiciel spécifique, TOR Browser. Je ne vous donne pas de référence particulière en matière de VPN, car l’offre est pléthorique.

 

MAJ : un lecteur m’a indiqué l’existence de La brique Internet, un simple boîtier VPN couplé à un serveur. Pour que la Brique fonctionne, il faut lui configurer un accès VPN, qui lui permettra de créer un tunnel jusqu’à un autre ordinateur sur Internet. Une extension fournira bientôt aussi en plus un accès clé-en-main via TOR en utilisant la clé wifi du boîtier pour diffuser deux réseaux wifi : l’un pour un accès transparent via VPN et l’autre pour un accès transparent via Tor.

 

 

Chiffrement des données

Pour chiffrer le contenu de vos données, stockées sur les disques durs de vos ordinateurs ou dans les mémoires permanentes de vos smartphones, vous pouvez mettre en œuvre des outils tels que LUKS pour les systèmes Linux ou TrueCrypt  pour les OS les plus répandus : même si TrueCrypt a connu une histoire compliquée, son efficacité ne semble pas remise en cause par le dernier audit de code effectué par des experts.

 

Je vous signale aussi que l’ANSSI – Agence nationale de la sécurité des systèmes d’information –  signale d’autres outils alternatifs comme Cryhod, Zed !, ZoneCentral, Security Box et StormShield. Même si l’ANSSI est un service gouvernemental il n’y a pas de raison de ne pas leur faire confiance sur ce point 🙂

 

Chiffrement des e-mails et authentification des correspondants

GPG, acronyme de GNU Privacy Guard, est l’implémentation GNU du standard OpenPGP. Cet outil permet de transmettre des messages signés et/ou chiffrés ce qui vous  garantit à la fois l’authenticité et la confidentialité de vos échanges. Des modules complémentaires en facilitent l’utilisation sous Linux, Windows, MacOS X et Android.

 

MAJ : un lecteur m’a signalé PEPS, une solution de sécurisation française et Open Source, issue d’un projet mené par la DGA – Direction générale de l’armement – à partir duquel a été créée la société MLState.

 

 

Messagerie instantanée sécurisée

OTR, Off The Record, est un plugin à greffer à un client de messagerie instantanée. Le logiciel de messagerie instantanée Jitsi, qui repose sur le protocole SIP de la voix sur IP, intègre l’outil de chiffrement ZRTP.

 

 

Protection des communications mobiles

A défaut de protéger les métadonnées de vos communications mobiles, qu’il s’agisse de voix ou de SMS, vous pouvez au moins chiffrer les données en elles-mêmes, à savoir le contenu de vos échanges :

 

RedPhon est une application de chiffrement des communications vocales sous Android capable de communiquer avec Signal qui est une application du même fournisseur destinée aux iPhone sous iOS.

 

TextSecure est une application dédiée pour l’échange sécurisé de SMS, disponible pour Android et compatible avec la dernière version de l’application Signal. Plus d’information à ce sujet sur le blog de Stéphane Bortzmeyer.

 

MAJ : un lecteur m’a indiqué l’application APG pour Android qui permet d’utiliser ses clés GPG pour chiffrer ses SMS.

 

 

Allez vous former dans les « cafés Vie Privée »

Si vous n’êtes pas geek et ne vous sentez pas capable de maîtriser ces outils sans un minimum d’accompagnement, alors le concept des « cafés Vie Privée » est pour vous : il s’agit tout simplement de se réunir pour apprendre, de la bouche ceux qui savent le faire, comment mettre en œuvre les outils dont je vous ai parlé plus haut afin de protéger sa vie privée de toute intrusion, gouvernementale ou non.

 

Tout simplement, il s’agit de passer un après-midi à échanger et à pratiquer la cryptographie. Pour cela sont proposés des ateliers d’une durée minimum de 1 heure, axés autour de la sécurité informatique et de la protection de la vie privée.

 

Et comme le disent avec humour les organisateurs, « les ateliers sont accessibles à tout type de public, geek et non-geek, chatons, poneys, loutres ou licornes. ». Bref, le « café Vie Privée » est à la protection de la vie privée ce que la réunion Tupperware était à la cuisine 🙂

 

 

Voilà, vous avez je l’espère suffisamment d’éléments pratiques pour commencer à protéger votre vie privée… en espérant vraiment que le Conseil Constitutionnel abrogera les points les plus contestables de cette loi et nous évitera d’avoir à déployer un tel arsenal sécuritaire.

 

PS : l’image « 1984 was not a manual » a été créée par Arnaud Velten aka @Bizcom.

 

 

 

Contactez-nous

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : http://www.zdnet.fr/actualites/loi-renseignement-la-bo-te-a-outils-pour-apprendre-a-proteger-votre-vie-privee-en-chiffrant-vos-donnees-et-communications-39818894.htm

Par Pierre Col

 

 


Emailing – Rappel des règles d’utilisation des données personnelles dans le cas de la prospection | Denis JACOPINI

 Les règles d'utilisation des données personnelles dans le cas de la prospection Emailing Dans le cadre de vos activités, vous pouvez être amenés à contacter par E-mail des personnes.
Quelles sont les règles à respecter ?

 

LA PROSPECTION PAR COURRIER ÉLECTRONIQUE Pour les particuliers (B to C) :

Le principe dans l’emailing : pas de message commercial sans accord préalable du destinataire

La publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur adresse électronique.

Deux exceptions à ce principe :

  • si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
  • si la prospection n’est pas de nature commerciale (caritative par exemple)
    Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie
    être informée que son adresse électronique sera utilisée à des fins de prospection,
    être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

 

LA PROSPECTION PAR COURRIER ÉLECTRONIQUE Pour les professionnels (B to B) :

Le principe : information préalable et droit d’opposition

La personne doit, au moment de la collecte de son adresse de messagerie être informée que son adresse électronique sera utilisée à des fins de prospection, être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (exemple : message présentant les mérites d’un logiciel à paul.toto@nomdelasociété , directeur informatique.)

Les adresses professionnelles génériques de type (info@nomsociete.fr, contact@nomsociete.fr, commande@nomsociete.fr) sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition.

 

DANS TOUS LES CAS :

Chaque message électronique doit obligatoirement:
– préciser l’identité de l’annonceur,
– proposer un moyen simple de s’opposer à la réception de nouvelles sollicitations (par exemple lien pour se désinscrire à la fin du message).

La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher. L’utilisation d’une case pré-cochée est à proscrire car contraire à la loi.

 

LÉGISLATION APPLICABLE

Article L.34-5 du Code des postes et des communications électroniques
Article.L.121-20-5 du Code de la consommation.

 

RÉFÉRENCES UTILES

Code de déontologie de la communication directe électronique du SNCD (Syndicat National de la Communication Directe)

Code Déontologique du e-commerce et de la vente à distance du FEVAD (Fédération du e-commerce et de la Vente à Distance)

Le rapport relatif à l’Opération boîte à spam de la CNIL

 

SANCTIONS

Amende de 750 € par message expédié
Contravention de la 4e classe prévue par l’article R.10-1 du code des postes et des communications électroniques.

5 ans emprisonnement et 300 000 € amende
Délit prévu par les articles 226-18 et 226-18-1 du code pénal.

article 47 de la loi informatique et libertés modifiée.

 

Cet article vous à plu ? Laissez-nous un commentaire
(notre source d’encouragements et de progrès)

 

 



Vidéosurveillance en entreprise : règles et limites | Denis JACOPINI

#Vidéosurveillance en entreprise : règles et limites
Un système de vidéosurveillance en entreprise se doit d’observer certaines limites pour rester dans un cadre de protection des biens et personnes. 

 

Le cadre législatif de la vidéosurveillance

C’est la loi dite « informatique et libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, qui fixe le cadre de mise en place d’une vidéosurveillance sur un lieu à usage professionnel.

Ainsi dans des lieux non accessibles au public (bureaux, entrepôts, réserves, locaux d’administration) l’installation d’une vidéosurveillance doit faire l’objet d’une déclaration à la CNIL (Commission Nationale Informatique et Libertés).

C’est également une obligation pour les guichets de réception de clients et les commerces, lorsque le système enregistre les images dans un fichier et permettant de conserver d’identité des personnes filmées.

Si toutefois les fichiers ne sont pas conservés à des fins d’identification, un assouplissement de la loi permet de solliciter une simple autorisation préfectorale (pour les lieux accueillant du public).

 

 

Information des salariés et du public

Une information préalable est requise auprès des représentants des salariés avant tout installation d’un dispositif de vidéosurveillance, en mettant l’accent sur les objectifs de sécurité et en spécifiant que les enregistrements ne sont pas conservés plus d’un mois.

De la même manière, l’entreprise doit mettre en place une signalisation informant les visiteurs de la présence d’un système de vidéosurveillance.

Cet affichage doit se faire dès l’entrée dans l’établissement, en précisant les raisons ainsi que les coordonnées de l’autorité ou de la personne chargée de l’exploitation du système et en rappelant les modalités d’exercice du droit d’accès des personnes filmées aux enregistrements qui les concernent (loi du 6 août 2004).

 

 

Le principe de proportionnalité

On pourrait dire aussi principe de bon sens. L’employeur doit en premier lieu démontrer l’intérêt légitime à la mise en place d’un système de surveillance. Il peut s’agir de la nécessité de protéger des personnes ou des biens, ou de se prémunir contre des risques tels que le vol.

Partant de là, le dispositif installé doit être proportionnel au regard des intérêts à protéger.

Il y a une différence notoire entre installer une caméra dans un entrepôt à des fins de sécurité et le fait d’en installer une permettant d’observer en permanence des postes de travail.

Bien évidemment des caméras installées dans des lieux de repos des salariés ou dans des toilettes constituent une surveillance excessive. La CNIL a récemment mis à l’amende des entreprises pour des situations de surveillance jugées excessives et non proportionnées par rapport aux risques à prévenir.

La CNIL a fait valoir que des caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation, ou encore filmer les zones où de la marchandise ou des biens de valeur sont entreposés. Pas question en revanche de filmer en permanence un employé sur son poste de travail, sauf si celui-ci manipule par exemple de l’argent, en vertu du principe de proportionnalité.

En synthèse, bien que frappée du sceau du bon sens, la mise en place d’un système de vidéosurveillance doit s’accompagner de certaines précautions. Eventuellement prenez avis auprès de votre conseiller en assurances, qui saura vous orienter vers un prestataire de vidéosurveillance homologué et bien au fait des contraintes législatives.

 

 

 

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 

Contactez-nous

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.comptanoo.com/assurance-prevention/actualite-tpe-pme/23794/videosurveillance-entreprise-regles-et-limites

 

 


Règlement européen sur la protection des données : Transparence et responsabilisation

Règlement européen sur la protection des données : Transparence et responsabilisation

Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.

Une clé de lecture : la protection des données dès la conception et par défaut (privacy by design)

Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Un allègement des formalités administratives et une responsabilisation des acteurs

Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.

De nouveaux outils de conformité :

  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduites
  • le DPO (délégué à la protection des données)
  • les études d’impact sur la vie privée (EIVP)

Les « études d’impact sur la vie privée » (EIVP ou PIA)

Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.  Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.

Si l’organisme ne parvient pas à réduire ce risque élevé par des mesures appropriées, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les « CNIL » pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.

Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements

Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.

Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

Le Délégué à la Protection des données (Data Protection Officer)

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :

  • s’ils appartiennent au secteur public,
  • si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations.

 

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
  • de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

source : CNIL

 

Consultez la liste de nos formations RGPD et services RGPD

 

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étrangerpour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL



Pourquoi supprimer vos données personnelles si vous rendez votre ordinateur professionnel à votre employeur ?

Ordinateur, Touches, Pc, Supprimer, Clé

Pourquoi supprimer vos données personnelles si vous rendez votre ordinateur professionnel à votre employeur ?
Ne pas effacer ses données personnelles sur son ordinateur de fonction est-il dommageable (risque d’accès à nos données personnelles, vol d’identité ou accès frauduleux etc…)? Si oui, pourquoi ?

 

 

Imaginez, votre ordinateur, protégé ou non, tombe entre les mains d’une personne malveillante. Il pourra :

  • Accéder à vos documents et découvrir les informations qui peuvent soit être professionnelles et être utilisées contre vous, soit personnelles permettant à un voyou de les utiliser contre vous soit en vous demandant de l’argent contre son silence ou pour avoir la paix ;
  • Accéder aux identifiants et mots de passe des comptes internet que vous utilisez (même pour des sites Internet commençant par https) et ainsi accéder à nos comptes facebook, twitter, dropbox… ;
  • Avec vos identifiants ou en accédant à votre système de messagerie, le pirate pourra facilement déposer des commentaires ou envoyer des e-mails en utilisant votre identité. Même si l’article 226-4 du code pénal complété par la loi LOPPSI du 14 mars 2011 d’un article 226-4-1,  l’usurpation d’identité numérique est un délit puni de deux ans d’emprisonnement et de 20 000 euros d’amende, il sera fastidieux d’une part pour vous, de prouver que vous n’êtes pas le véritable auteur des faits reprochés, et difficile pour les enquêteurs de retrouver le véritable auteur des faits.

 

Ne pas effacer ses données personnelles sur l’ordinateur que l’on rend, donne, vend, c’est laisser l’opportunité à un inconnu de fouiller dans vos papier, violer votre intimité et cambrioler votre vie.

Pire ! vous connaissez bien le donataire de votre matériel et vous savez qu’il n’y a aucun risque qu’il ait des intentions répréhensibles. Mais êtes vous certain qu’il sera aussi prudent que vous avec son matériel ?
Êtes-vous prêt à prendre des risques s’il perdait ce matériel ?
Dormiriez-vous tranquille si vous imaginiez que votre ancien ordinateur est actuellement sous l’emprise d’un pirate informatique prêt à tout pour tricher, voler et violer en utilisant votre identité ?

 

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : 5 applications pour effacer des données de façon sécurisée – ZDNet

 



Denis JACOPINi en direct sur LCI : « Les fraudeurs ont toujours une longueur d’avance – MYTF1News | Denis JACOPINI

Denis JACOPINi en direct sur LCI : « Les fraudeurs ont toujours une longueur d’avance – MYTF1News 
Denis Jacopini, expert informatique assermenté spécialisé en cybercriminalité, explique que quoi que l’on fasse, les fraudeurs auront une longueur d’avance. Néanmoins, il y a des failles dans le système, et en particulier au niveau du cryptogramme visuel.

 

 

 

En direct sur LCI avec Serge Maître Maître, président de l’AFUB (Association Française des Usagers des Banques) et Nicolas CHATILLON, Directeur du développement-fonctions transverses du groupe BPCE et Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité débattent sur les techniques des cybercriminels pour vous pirater votre CB.

[youtube https://www.youtube.com/watch?v=zPOt_h5Qb84?feature=oembed&w=610&h=343]

 

2016 03 07-05 LCI 2016 03 07-01 LCI 2016 03 07-02 LCI 2016 03 07-04 LCI

http://lci.tf1.fr/france/societe/cartes-bancaires-les-fraudeurs-ont-toujours-une-longueur-d-avance-8722056.html

 

 

Réagissez à cet article

Source : Cartes bancaires : « Les fraudeurs ont toujours une longueur d’avance » – Société – MYTF1News



Pourquoi, malgré le danger connu, cliquons nous sur des e-mails d’expéditeurs inconnus ?

Pourquoi, malgré le danger connu, cliquons nous sur des e-mails d’expéditeurs inconnus ?
Selon une enquête de la FAU (University of Erlangen-Nuremberg), près de la moitié des utilisateurs cliqueraient sur des liens d’expéditeurs inconnus (environ 56% d’utilisateurs de boite mails et 40% d’utilisateurs de Facebook), tout en étant parfaitement conscient des risques de virus ou d’autres infections.

Le site d’information Français Pure Player Atlantico à interrogé à ce sujet Denis JACOPINI, Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles

 

Atlantico :

Pourquoi donc, selon vous, le font-ils malgré tout ? Qu’est-ce qui rend un mail d’un inconnu si attirant, quitte à nous faire baisser notre garde ?

 

 

Denis JACOPINI :

Ça-vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu.

Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ? Comment les pirates informatiques peuvent se servir de nos comportements incontrôlables ?

 

 

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles et quelques autres messages que nous recevons avec plaisir de personnes connues et puis il y a tout le reste, les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces pourriels (poubelle + e-mail) se cachent de nombreux message ayant des objectifs malveillant à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé ou vous proposer d’échanger dans le but de faire « copain copain » et ensuite vous arnaquer.

 

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants de ne pas parler à un inconnu…Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ?

 

A mon avis, les techniques d’Ingenierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qu exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l’ignorance ou de la crédulité des personnes ciblées.
Imaginez, vous recevez un message ressemblant à ça :

« Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour la quelle vous ne recevez pas les fichier jointes.

J’ai essaye de remettre les fichier jointes dans le e-mail. »

 

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y pas trop de faute d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

 

Un autre exemple d’e-mail ou similaire souvent reçu :

« Objet : Commande – CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle « Commande – CD2533″.

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE »

 

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fais partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

 

Un autre exemple : Vous recevez sur facebook un message venant à première vue d’un inconnu mais l’expéditeur a un prénom que vous connaissez (par exemple Marie, le prénom le plus porté en France en 2016). Serait-ce la « Marie » dont vous ne connaissez pas le nom de famille, rencontrée par hasard lors d’un forum ou d’une soirée qui vous aurait retrouvé sur Facebook ?

Dans le doute vous l’acceptez comme amie pour en savoir plus et engager pourquoi pas la conversation…

C’est un autre moyen utilisé par les pirates informatiques pour rentrer dans votre cercle d’amis et probablement tenter des actes illicites que je ne détaillerai pas ici.

 

Vous rappelez-vous avoir accepté une demande de mise en contact provenant d’un inconnu sur Facebook ? Peut-être que vous ne connaissiez pas les risques, mais qu’est-ce qui vous a poussé à répondre à un inconnu ? La politesse ? La curiosité ?

 

A mon avis, le principal levier utilisé pour pousser les gens à cliquer sur les emails pour en voir l’objet, cliquer sur les pièces jointes pour en voir le contenu ou cliquer sur les liens pour découvrir la suite, est une des nombreuses failles humaine : la curiosité.

 

Cette curiosité peut nous faire faire des choses complètement irresponsables, car on connaît les dangers des pièces jointes ou des liens dans les e-mails. Malgré cela, si notre curiosité est éveillée, il sera difficile de résister au clic censé la satisfaire.

 

Il est clair que la curiosité positive est nécessaire, mais dans notre monde numérique où les escrocs et pirates oeuvrent en masse le plus souvent en toute discrétion et en toute impunité, la pollution des moyens de communication numériques grand public est telle que le niveau de prudence doit être augmenté au point de ne plus laisser de place au hasard. Le jeu vaut-il vraiment la chandelle face aux graves conséquences que peut engendrer un simple clic mal placé ?

 

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

 

Réagissez à cet article

Original de l’article mis en page : One in two users click on links from unknown senders › FAU.EU



Les obligations des Associations vis à vis de la CNIL | Denis JACOPINI

 Plaque signalétique et Logo de la CNIL Les obligations des Associations vis à vis de la CNILDans le cadre de leur activité, les associations sont amenées à constituer des fichiers de leurs adhérents, de leurs donateurs ou de donateurs potentiels. Quelles sont les règles à respecter ?

 

Dans le cadre de leur activité, les associations sont amenées à constituer des fichiers de leurs adhérents, de leurs donateurs ou de donateurs potentiels. Quelles sont les règles à respecter ?

Nous allons tenter d’y répondre au travers de réponses par Oui ou par Non à des questions correspondant à des cas concrets :
Une association peut-elle céder, louer ou vendre le fichier de ses adhérents à des fins commerciales ?

OUI. La loi « informatique et libertés » n’interdit pas cette pratique. Il y a toutefois des précautions à prendre :
Il faut d’abord informer les adhérents de cette possible revente de leurs coordonnées à des fins commerciales et leur permettre de s’y opposer. Cette opposition peut se faire par exemple au moyen d’une case à cocher figurant sur le bulletin d’adhésion.

 

 

Une association peut-elle diffuser sur son site web l’annuaire de ses adhérents ?

OUI. Dans ce cas, comme pour la réponse précédente, les adhérents doivent en être informés au préalable. Ils ont tout à fait le droit de s’opposer à une telle diffusion compte-tenu des risques particuliers de capture des informations diffusées sur le web.
La CNIL propose des mentions type à faire figurer sur les bulletins d’adhésion pour bien informer les adhérents de leurs droits.

 

 

Mention d’information à inscrire sur le bulletin d’adhésion
Les informations recueillies sont nécessaires pour votre adhésion. Elles font l’objet d’un traitement informatique et sont destinées au secrétariat de l’association. En application des articles 39 et suivants de la loi du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à ……… [indiquez-ici le service en charge de traiter les demandes]

 

 

Il arrive que des mairies demandent aux associations de leur transmettre le fichier de ses adhérents en vue d’obtenir des subventions ? Est-ce légal ?

NON. Un maire ne peut pas demander, même au titre de la subvention qu’il accorde à une association, la liste nominative des adhérents. Une telle pratique est contraire au principe constitutionnel de la liberté d’association.

En revanche, les mairies peuvent demander, au titre du contrôle des subventions qu’elles versent aux associations, la copie certifiée du budget et des comptes de l’exercice écoulé, ainsi que la communication de tous les documents faisant apparaître les résultats de l’activité de l’association.

 

 

Un membre d’association peut-il exiger la communication de la liste de tous les autres adhérents ?

OUI, si les statuts de l’association prévoient cette possibilité. Une association est en effet libre de préciser dans ses statuts que l’adhésion implique d’accepter que ses coordonnées puissent être communiquées à tout adhérent qui en fait la demande, à la condition que cette communication ait un lien direct avec l’activité de l’association.
Dans ce cas, un membre ne peut s’opposer à cette diffusion.

 

 

Lors du renouvellement du bureau d’une association, un candidat peut-il obtenir la liste des adhérents ?

OUI. Si les statuts de l’association le prévoient, tout candidat peut demander que la liste des adhérents lui soit transmise, à partir du moment où il s’engage à ne pas l’utiliser à d’autres fins que l’élection et à la détruire à la fin des opérations électorales.

 

 

Les membres du bureau d’une association, dont les statuts ont été déposés en préfecture, peuvent ils s’opposer à la diffusion de leurs identités et coordonnées ?

NON. La loi du 1er juillet 1901 relative au contrat d’association prévoit qu’une association ne peut obtenir la capacité juridique qu’en rendant publics, par une insertion au Journal officiel, son titre, son objet, l’adresse de son siège et les noms, professions, domiciles et nationalités de ceux qui sont chargés de son administration. Cette diffusion peut aussi se faire sur en ligne via la version Internet du journal Officiel.
Néanmoins, des mesures techniques empêchent d’accéder directement à la page de l’association concernée lorsqu’on interroge les différents moteurs de recherche sur la base de l’identité des membres de son bureau.

 

Les fichiers de membres et donateurs d’une association doivent-ils être déclarés à la CNIL ?

NON, ces fichiers sont dispensés de déclaration à la CNIL.

Attention, être dispensé de déclaration n’exonère pas pour autant des obligations que la loi informatique et libertés impose aux responsables de fichiers. Cela signifie qu’il faut informer les personnes qu’un fichier est constitué et qu’elles ont un droit d’accès aux informations qui les concernent. Enfin bien sûr, le responsable du fichier doit prendre toutes les mesures utiles afin d’assurer la sécurité des informations personnelles collectées.

Source : Denis JACOPINI et www.cnil.fr

 

Cet article vous à plu ? Laissez-nous un commentaire
(notre source d’encouragements et de progrès)

 

 



Règlement européen sur la protection des données : Renforcement des droits des personnes

Règlement européen sur la protection des données : Renforcement des droits des personnes

Le règlement européen renforce les droits des personnes et facilite l’exercice de ceux-ci.

Consentement renforcé et transparence

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

L’expression du consentement est définie : les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.

De nouveaux droits

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Des conditions particulières pour le traitement des données des enfants : Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

Introduction du principe des actions collectives : Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

source : CNIL

 

Consultez la liste de nos formations RGPD et services RGPD

 

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étrangerpour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL