La loi pour une République numérique protège encore plus nos données personnelles

La loi pour une République numérique du 7 octobre 2016 crée de nouveaux droits informatique et libertés et permet ainsi aux individus de mieux maîtriser leurs données personnelles. Elle renforce les pouvoirs de sanctions de la CNIL et lui confie de nouvelles missions. Elle contribue également à une meilleure ouverture des données publiques.

Certaines dispositions anticipent le règlement européen sur la protection des données personnelles applicable en mai 2018.

Publiée au Journal Officiel du 8 octobre 2016, la loi pour une république numérique introduit de nombreuses dispositions directement applicables, d’autres doivent attendre la publication de décrets d’application. Nous recensons ci-dessous les dispositions d’application directe. Ce recensement sera mis à jour au fur et à mesure de la publication des décrets d’application.

De nouveaux droits pour les personnes

L’affirmation du principe de la maîtrise par l’individu de ses données

Le droit à l’autodétermination informationnelle s’inspire d’un droit similaire dégagé par la juridiction constitutionnelle allemande. Il renforce positivement les principes énoncés à l’article 1er de la loi Informatique et Libertés en affirmant la nécessaire maîtrise de l’individu sur ses données.

Le droit à l’oubli pour les mineurs

L’article 40 de la loi Informatique et libertés prévoit désormais un « droit à l’oubli » spécifique aux mineurs et une procédure accélérée pour l’exercice de ce droit. Lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement des données problématiques « dans les meilleurs délais ».

En l’absence de réponse ou de réponse négative de la plateforme dans un délai de un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour y répondre.

La possibilité d’organiser le sort de ses données personnelles après la mort 

Le nouvel article 40-1 de la loi Informatique et libertés permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès.

Une personne peut être désignée pour exécuter ces directives. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.

Ces directives sont :

• générales, lorsqu’elles portent sur l’ensemble des données concernant une personne ;
• ou particulières, lorsque ces directives ne concernent que certains traitements de données spécifiques.

Lorsque ces directives sont générales et portent sur l’ensemble des données du défunt, elles peuvent être confiées à un tiers de confiance certifié par la CNIL.

Lorsqu’il s’agit de directives particulières, elles peuvent également être confiées aux responsables de traitement (réseaux sociaux, messagerie en ligne) en cas de décès. Elles font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation.

En l’absence de directives données de son vivant par la personne, les héritiers auront la possibilité d’exercer certains droits, en particulier :

1. le droit d’accès, s’il est nécessaire pour le règlement de la succession du défunt ;
2. le droit d’opposition pour procéder à la clôture des comptes utilisateurs du défunt et s’opposer au traitement de leurs données.

La possibilité d’exercer ses droits par voie électronique

Le nouvel article 43 bis de la loi Informatique et Libertés impose, « lorsque cela est possible », de permettre à toute personne l’exercice des droits d’accès, de rectification ou d’opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

Plus d’information et de transparence sur le traitement des données.

L’information des personnes sur la durée de conservation de leurs données

L’obligation d’information prévue par l’article 32 de la loi Informatique et Libertés est renforcée.  Les responsables de traitements de données doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

Les compétences de la CNIL confortées et élargies

Un pouvoir de sanction renforcé 

Le plafond maximal des sanctions de la CNIL passe de 150.000€ à 3 millions € (anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial).

La formation restreinte de la CNIL peut désormais ordonner que les organismes sanctionnés informent individuellement de cette sanction et à leur frais, chacune des personnes concernées.

Elle pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.

Une consultation plus systématique de la CNIL.

La CNIL sera saisie pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Cette rédaction permettra à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique, alors que les textes actuels ne prévoient sa saisine que sur les dispositions relatives à la « protection » des données personnelles.

La publicité automatique des avis de la CNIL sur les projets de loi.

Cette disposition renforce la transparence sur les avis de la CNIL.

De nouvelles missions :

• L’affirmation de sa mission de promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.
• La certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation. L’anonymisation des bases de données est une condition essentielle à leur ouverture ou à leur partage : elle permet de prémunir les personnes des risques de ré-identification, et les acteurs (administrations émettrices de données, ré-utilisateurs, entreprises privées qui réalisent des recherches notamment statistiques), de la mise en cause de leur responsabilité en la matière. La certification ou l’homologation de méthodologies d’anonymisation ainsi que la publication de référentiels ou de méthodologies générales par la CNIL sera ainsi un gage de protection des personnes et de sécurité juridique pour les acteurs.
• La conduite par la CNIL d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques. Même si la loi Informatique et Libertés a toujours comporté une dimension éthique fondamentale, comme en témoignent tant ses conditions de création et son article 1^er, que la composition de la Commission, la révolution numérique implique une réflexion élargie sur sa dimension éthique.

L’ouverture des données publiques étendue

La loi pour une république numérique ne remet pas en cause l’équilibre entre transparence administrative et protection de la vie privée et des données personnelles. En effet, les critères de communicabilité n’ont pas changé, et la publication – donc la réutilisation – est subordonnée au caractère librement communicable du document.

Pour autant, en passant d’une logique de la demande d’un accès à une logique de l’offre de données publiques, la loi vise clairement à ouvrir très largement les données publiques. La CNIL va accompagner cette ouverture, notamment en répondant aux demandes de conseil des collectivités publiques ou  des réutilisateurs, puisque toute réutilisation de données personnelles est soumise au « droit commun » Informatique et Libertés. La possibilité pour la CNIL d’homologuer des méthodologies d’anonymisation constituera un élément important de cette régulation.

En matière de gouvernance de la donnée,  la loi prévoit un rapprochement entre la CNIL et la CADA, à travers, notamment, une participation croisée dans les deux collèges.

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment être en conformité au Règlement sur les Données Personnelles dans les temps ?

Nous le savons tous, la transformation numérique a bouleversé et continue de bouleverser notre quotidien, nos modèles économiques et modifie nos échelles de temps. On ne parle plus que d’instantanéité, de prédiction et d’anticipation. Les technologies permettent de disposer de millions de « données consommateur », de les exploiter dans l’instant, et ainsi inciter à tel achat ou tel comportement. Ces données, nous les fournissons d’ailleurs volontairement ou involontairement à travers l’utilisation quotidienne de nos smartphones, tablettes, ordinateurs et de plus en plus d’objets connectés de toutes sortes.
Mais que se passe-t-il si ces données, nos données, sont dérobées et exploitées ? Les conséquences peuvent être dévastatrices…tant pour le consommateur que pour l’entité qui les détient.
Le GDPR, nouveau règlement européen, a notamment pour ambition de faire prendre conscience aux entreprises de la valeur des données personnelles et de les responsabiliser quant à leur utilisation et donc à leur protection…

Seulement deux ans pour se mettre en conformité

Même si la protection des données n’est qu’un volet d’un texte qui en comporte beaucoup d’autres (droit à l’oubli, portabilité des données, gestion des consentements…), en mai 2018, toute entreprise devra être en mesure de prouver à n’importe quel moment, que les données personnelles qu’elle détient (IBAN, numéros de téléphone, identifiants divers, etc.) sont protégées et surtout inexploitables en cas de vol. Le texte préconise à cet effet la « pseudonymisation » des données (c’est-à-dire les « anonymiser » de manière réversible) afin de garantir l’impossibilité de leur utilisation en cas de vol.

Pseudonymiser les données : le challenge d’y arriver seul

Outre la complexité et le coût du développement d’une technologie permettant d’anonymiser les données, la conformité au GDPR a des impacts techniques, organisationnels et juridiques importants, ne serait-ce « que » pour la gestion des consentements et le droit à l’oubli. Il faut répertorier les données, mesurer leur degré de sensibilité, mettre en œuvre des techniques permettant le niveau de protection correspondant à la finalité de leur traitement, etc. Tout ceci va bien sûr engendrer des charges importantes pour les DSI. Partir de zéro avec un délai de deux ans pour réussir est un challenge que seules les entreprises avec une DSI disponible vont pouvoir relever. Une DSI disponible ? Elle est déjà bien occupée à développer de nouveaux services, de nouvelles applications. C’est pourquoi, se reposer sur des outils et des services qui sont capables depuis des années de protéger des données sensibles de paiement en réalisant des centaines de millions d’opérations de tokenisation / dé-tokenisation par mois semble être une solution à privilégier…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Le décret du fichier biométrique TES attaqué en justice

L’offensive judiciaire est lancée. Mardi, le collectif des Exégètes Amateurs a annoncé sa décision d’engager un recours au Conseil d’État — la plus haute des instances administratives en France — contre le décret du fichier TES (Titres Électroniques Sécurisés), qui a été publié discrètement au Journal officiel le 30 octobre 2016, en plein week-end de la Toussaint.

Découvert à ce moment-là, le fichier TES inquiète. Il s’agit d’une base de données qui réunira les données personnelles et biométriques de la quasi totalité des Français. En effet, il est destiné aux passeports et aux cartes d’identité. Néanmoins, il inquiète par l’ampleur et la nature des informations qu’il est amené à recevoir. Surtout, il pourrait servir tôt ou tard à d’autres fins que celles actuellement prévues.

La stratégie exacte des Exégètes Amateurs — qui rassemble La Quadrature du Net, la fédération de FAI associatifs FFDN et l’opérateur French Data Network (FDN) — contre le décret n’a pas été précisée. La coordinatrice des campagnes de La Quadrature du Net, Adrienne Charmet, a simplement indiqué sur Twitter que les détails seront communiqués ultérieurement.

Parmi les angles d’attaque éventuels, l’avocat des nouvelles technologies Rubin Sfadj suggère sur son blog une incompatibilité du décret avec l’article 34 de la Constitution. Celui-ci expose que c’est au législateur que revient le pouvoir de fixer les règles applicables en matière de libertés publiques et de procédure pénale. Dit autrement, c’est au parlement de décider par à l’exécutif.

Les Exégètes Amateurs — une expression de l’ex-député socialiste Jean-Jacques Urvoas, désignant, de manière dédaigneuse, ceux qui s’opposent par des arguments de droit à la loi sur le renseignement dont il était le rapporteur — regroupent des juristes et bénévoles qui ont pris l’habitude de multiplier les recours en justice contre des textes législatifs et réglementaires qu’ils jugent dangereux…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Denis JACOPINI intervient au Conseil de l’Europe lors de la conférence Octopus 2016

Au programme :

• La Convention de Budapest: 15e anniversaire
• Criminalité et compétence dans le cyberespace : la voie à suivre

Ateliers

• Coopération entre les fournisseurs de service et les services répressifs en matière de cybercriminalité et de preuve électronique
• L’accès de la justice pénale aux preuves dans le Cloud: les résultats du groupe sur les preuves dans le Cloud (Cloud Evidence Group)
• Renforcement des capacités en cybercriminalité: les enseignements tirés
• L’état de la législation en matière de cybercriminalité en Afrique, en Asie/Pacifique et en Amérique latine/aux Caraïbes
• Le terrorisme et les technologies de l’information : la perspective de la justice pénale
• Coopération internationale: amélioration du rôle des points de contact 24/7
• A la recherche des synergies: politiques et initiatives en cybercriminalité des organisations internationales et du secteur privé

Participation

La conférence sera l’occasion, pour les experts en cybercriminalité des secteurs public et privé ainsi que les organisations internationales et non gouvernementales du monde entier, d’échanger.

La conférence Octopus fait partie du projet Cybercrime@Octopus financé par les contributions volontaires de l’Estonie, du Japon, de Monaco, de la Roumanie, du Royaume-Uni, des Etats-Unis d’Amérique et de Microsoft ainsi que du budget du Conseil de l’Europe.
Agenda Octopus 2016

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

L’adresse IP est une donnée personnelle, encadrée par la CNIL

Voici une jurisprudence qui devrait mettre fin à un débat : l’adresse IP est-elle une donnée personnelle ? La Cour de Cassation vient de répondre par l’affirmative dans un arrêt du 3 novembre. La plus haute juridiction judiciaire avait été saisie en pourvoi dans une affaire de piratage d’un cabinet immobilier, Logisneuf.

Petit rappel des faits, lors d’un contrôle de sécurité sur ses serveurs, le service informatique du cabinet immobilier constate des centaines de connexions illicites provenant toutes d’adresses IP n’appartenant pas à son réseau. Par recoupement, les adresses provenaient d’un cabinet immobilier nantais, Peterson. Logisneuf a donc saisi le tribunal de commerce pour qu’une ordonnance réclame aux opérateurs de révéler le nom des utilisateurs des adresses IP suspectes. Cette opération a permis d’identifier plusieurs personnes chez Peterson et une plainte a été déposée auprès du procureur de la République contre ces personnes. Or les deux sociétés ont continué à se disputer sur la question de la conservation sous forme de fichier des adresses IP et l’obligation de le déclarer à la CNIL. Un arrêt de la Cour d’Appel de Rennes avait statué que « l’adresse IP ne constituait pas une donnée même indirectement nominative » et que le fait de « conserver les adresses IP des ordinateurs… ne constitue pas un traitement des données à caractère personnel ».

Une adresse IP est une donnée à caractère personnel

La Cour de Cassation était donc invité à se positionner sur ce sujet. Dans sa décision, les juges de la Première chambre civile se sont appuyés en premier lieu sur la loi du 6 janvier 1978 modifiée en 2004 et notamment son article 2 qui définit une donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Pour la juridiction, l’adresse IP entre dans cette catégorie. Elle suit ainsi la position de la CNIL qui s’est prononcée sur le sujet depuis 2007, ainsi que l’ensemble des CNIL européennes. Le régulateur s’inquiétait des évolutions jurisprudentielles qui ne considéraient plus l’adresse IP comme une donnée personnelle. La Cour de Cassation a finalement tranché en faveur de la qualification de donnée à caractère personnel de l’adresse IP…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les données biométriques de tous les Français dans un fichier commun. Utile ou risqué ?

À la toute fin du mois d’octobre, le gouvernement a fait publier un décret qui donne le coup d’envoi à la création d’un fichier qui rassemblera les données personnelles et biométriques de la quasi totalité des Français. Destiné aux passeports et aux cartes nationales d’identité, il inquiète par son ampleur et la nature des informations qu’il est amené à recevoir. Nous vous expliquons de quoi il en retourne en quelques questions.

À QUOI ÇA SERT ?

Le fichier en question, dénommé « Titres Électroniques Sécurisés » (TES), a vocation à être une base de données centrale rassemblant des informations personnelles et biométriques relatives aux détenteurs d’un passeport et / ou d’une carte nationale d’identité. Il remplace deux fichiers précédents, l’un pour le passeport l’autre pour la carte nationale d’identité.

QUELLES SONT LES ALTERNATIVES ?

Était-il possible de faire autrement  ? Pour la commission nationale de l’informatique et des libertés (CNIL), sans aucun doute. Dans sa délibération, elle évoque un « composant électronique sécurisé dans la carte nationale d’identité » qui « serait de nature à faciliter la lutte contre la fraude documentaire, tout en présentant moins de risques de détournement et d’atteintes au droit au respect de la vie privée »

Elle ajoute que cette solution, qui n’a pas été censurée par le Conseil constitutionnel quand un précédent texte du même acabit a été présenté sous une autre majorité, « permettrait de conserver les données biométriques sur un support individuel exclusivement détenu par la personne concernée, qui conserverait donc la maîtrise de ses données, réduisant les risques d’une utilisation à son insu ».

SUIS-JE DÉJÀ FICHÉ ?

En pratique, oui. Il existe déjà deux fichiers, l’un pour le passeport, l’autre pour la carte nationale d’identité. La nouvelle base de données n’est que le prolongement de ce qui existait déjà. À moins de n’avoir jamais possédé ces titres (ils ne sont pas obligatoires), vous figurez déjà certainement dans ces fichiers. Seuls les enfants en bas âge peuvent y échapper, si aucune demande de titre d’identité n’a été faite.

EST-CE ACTÉ ?

Le système TES existe déjà pour le passeport et, pour les demandes de passeport, le dispositif n’est pas modifié par le décret ; TES est donc actif. Quant aux demandes de cartes, la CNIL nous précise que le nouveau dispositif entrera progressivement en vigueur, selon les arrêtés mentionnés dans le décret ; les empreintes seront prises à partir des dates de ces arrêtés ; le tout doit être finalisé avant le 31 décembre 2018.

POURQUOI C’EST DANGEREUX ?

« Ce que la technique a fait, la technique peut le défaire » prévient le sénateur PS Gaëtan Gorce, commissaire de la CNIL, dans une interview à Libération. Aujourd’hui, l’exécutif a pris des dispositions pour éviter certaines dérives (croisement ou remontée de données) et assurer un bon niveau de sécurité, ce que la CNIL reconnaît dans sa délibération. Mais demain ?

Comme nous l’indiquions dans notre sujet, maintenant que la base existe il pourrait bien y avoir un jour la tentation de l’utiliser pour faire de la reconnaissance automatisée des visages avec des caméras de surveillance. Un futur gouvernement, moins scrupuleux sur les questions de libertés publiques, pourrait vouloir l’employer autrement. Après tout, ne sommes-nous pas en guerre contre le terrorisme ?

QU’EN PENSE LA CNIL ?

La CNIL, garante du respect des libertés et de l’équilibre des traitements automatisés de données, fait part de « plusieurs réserves » dans sa délibération. Le contournement du législateur est regretté, au regard de « l’ampleur inégalée de ce traitement et du caractère particulièrement sensible des données qu’il réunira ». La commission demande une « évaluation complémentaire du dispositif ».

QUELS SONT LES RECOURS ?

Le gouvernement ayant fait le choix de passer par un décret, il n’a pas été possible de discuter de la création de ce fichier au cours de son parcours parlementaire s’il avait été présenté sous la forme d’un projet de loi. Interrogé à ce sujet par Libération, le sénateur PS Gaëtan Gorce, commissaire de la CNIL, explique qu’il doit être possible d’attaquer le décret par un recours devant le Conseil d’État

[Article de Numerama]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

60 millions de Français fichés dans une base de données commune des titres d’identité

Soixante millions de Français glissés, à l’occasion d’un week-end de pont de la Toussaint, dans une même base de données : un décret paru au Journal officiel dimanche 30 octobre, et repéré par le site NextInpact, officialise la création d’un « traitement de données à caractère personnel commun aux passeports et aux cartes nationales d’identité ». En clair, les données personnelles et biométriques de tous les détenteurs d’une carte d’identité ou d’un passeport seront désormais compilées dans un fichier unique, baptisé « Titres électroniques sécurisés » (TES). Cette base de données remplacera à terme le précédent TES (dédié aux passeports) et le Fichier national de gestion (dédié aux cartes d’identité), combinés dans ce nouveau fichier.

La base de données rassemblera ainsi des informations comme la photo numérisée du visage, les empreintes digitales, la couleur des yeux, les adresses physiques et numériques… Au total, la quasi-totalité des Français y figurera, puisqu’il suffit de détenir ou d’avoir détenu une carte d’identité ou un passeport pour en faire partie – les données sont conservées quinze (pour les passeports) à vingt ans (pour les cartes d’identité)…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Quelles sont les messageries qui protègent le mieux vos données personnelles ?

Amnesty International a rendu un rapport accablant sur la question, dans lequel elle effectue un classement des messageries privées.

Les onze grandes entreprises évaluées affichent toutes des engagements écrits en termes de protection de la vie privée. Et pourtant, aucune n’est irréprochable, toutes ne respectent pas les normes internationales en vigueur et peu proposent un niveau élémentaire de protection. Facebook, Apple ou Google sont en haut du classement, quand Microsoft, Snapchat, ou Tencent font figure de mauvais élèves. L’ONG a mis au point un barème.

Les critères du classement

Amnesty International attribue une note de 0 à 100 aux entreprises, selon leur résultat sur cinq critères provenant des normes internationales en la matière. Trois sont primordiaux pour assurer la sécurité des données personnelles.

Les entreprises sont jugées sur leur capacité à reconnaître les menaces contre la vie privée et la liberté d’expression. En clair, que mettent-elles en place pour protéger les droits de leurs utilisateurs ?

Elles doivent ensuite appliquer par défaut le chiffrement de bout en bout. Une question au cœur des préoccupations d’Amnesty International. L’ONG estime que seul le chiffrement de bout en bout est apte à protéger la vie privée. Ici, seul l’émetteur et le receveur détiennent la clef de chiffrement. Les acteurs intermédiaires du processus (fournisseur d’accès, entreprise de messagerie) n’ont donc pas accès au contenu de la conversation.

Les messageries doivent enfin rendre publiques les informations sur les demandes de données d’utilisateurs par des gouvernements et refuser de contourner les clefs de chiffrements.

Facebook, Apple, Telegram et Google en tête

La messagerie de Facebook est la mieux classée, avec un score de 73 points. Le bébé de Mark Zuckerberg totalise environ un milliard de fidèles quotidiens. C’est lui qui offre le plus de garanties à ses utilisateurs. Mais ses deux messageries ne sont pas équivalentes. Si WhatsApp propose un chiffrement de bout en bout par défaut (l’utilisateur n’a pas à choisir, c’est automatique), cette option récente de Facebook Messenger doit être activée.

Apple cumule 67 points. La marque à la pomme offre un chiffrement de bout en bout sur ses deux messageries (iMessenger et Facetime). Mais Amnesty International relève qu’elle « devrait adopter un protocole de chiffrement plus ouvert qui permette une vérification indépendante complète  ».

Telegram est deuxième ex aequo, avec 67 points aussi. Ce nom vous dit quelque chose ? C’est normal, cette messagerie a beaucoup defrayé la chronique car elle est l’application de messagerie instantanée la plus prisée des milieux djihadistes. Elle perd des points car son système de chiffrement n’est pas automatique et doit être activé.

Vient ensuite Google avec un score de 53. Le moteur de recherche est critiqué par Amnesty International car ses trois messageries instantanées ne proposent pas toutes des systèmes de chiffrement.

Les quatre entreprises qui caracolent en tête se sont toutes publiquement prononcées contre les moyens de contournement des clés de chiffrement par les États. Et toutes, à l’exception de Telegram, préviennent leurs utilisateurs des demandes faites par les gouvernements.

Skype, Snapchat et Tencent, les mauvais élèves

Snapchat, c’est cette messagerie qui permet de s’envoyer une photo ou un texte sur un temps très court. Skype, propriété de Microsoft, c’est celle qui vous permet de faire des appels vidéo. Les deux applications sont mauvaises élèves aux quatrième et troisième plus mauvaises places.

Aucun chiffrement de bout à bout n’est proposé par les deux géants, qui présentent tous deux un système «  très vulnérable  », selon Amnesty. Les deux sont utilisées par des millions de jeunes quotidiennement, un public très menacé et très exposé à la cybercriminalité.

BlackBerry occupe l’avant-dernière place. La messagerie privée canadienne n’offre pas un système de chiffrement de bout en bout, elle le vend. Ainsi, si on ne paie pas, on n’est pas protégé sur BlackBerry. Qui plus est, d’après le site américain Vice, BlackBerry aurait donné sa clef de chiffrement à la police canadienne qui a alors pu intercepter des messages.

À la dernière place, on retrouve Tencent, le mastodonte chinois. L’entreprise accuse un score de 0 point. Aucun des critères n’est rempli et les données personnelles de plus d’un un milliard et demi de personnes ne sont absolument pas protégées, conséquence de la censure que subit l’Internet chinois. En 2013, un développeur de Tencent confiait au journal Le Monde , «  Les autorités ont le privilège d’accéder aux historiques, donc elles savent tout sur vous dès lors que vous utilisez nos services. » Le ton est donné…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La Cnil s’énerve contre Brandvalley mais la sanction est faible

Décryptage du réglement européen sur les données personnelles

A compter du 25 mai 2018, le nouveau Règlement Européen 2019/679 sur la protection des données personnelles s’appliquera dans toutes les entreprises de l’Union Européenne. Ce texte modifie considérablement la législation en vigueur et fait peser des obligations nouvelles sur les responsables de traitements. L’AFCDP (Association française des correspondants à la protection des données personnelles) a réalisé une version française commentée de ce texte.

Le résultat de ce travail est librement accessible sur le site de l’association. Outre une rapide introduction et un index très complet, bien pratique pour retrouver des thèmes précis, l’essentiel du document est constitué par le texte même du Règlement. Les commentaires apparaissent dans une colonne sur le tiers de la page, en regard de la portion commentée. Si parfois, surtout au début, les commentaires se limitent à quelques mots, à d’autres moments ces commentaires explicitent en profondeur et contextualisent un article du Règlement.

Ne nous cachons pas que la simple mise en page du document en français est des plus agréables pour travailler. Les DSI et les directions juridiques ont en effet fort à faire d’ici 2018 et télécharger dès à présent ce document est donc des plus utiles.

Article original de Bertrand Lemaire

Réagissez à cet article