Denis JACOPINI et Julien COURBET vont parler du livre « CYBERARNAQUES S’informer pour mieux se protéger » ce jeudi sur C8 dans l’émission « C’est que de la télé! »

« Puisse cet ouvrage avoir de nombreux lecteurs ! Il ne devrait pas plaire aux arnaqueurs, car il est un réquisitoire contre leur perfidie et, sans aucun doute, une entrave à leur chiffre d’affaire. »
Général d’armée (2S) Watin- Augouard

Denis JACOPIN et Julien COURBET en parlent en parle ce jeudi sur C8 dans l’émission « C’est que de la télé! ». https://www.mycanal.fr/chaines/c8

Plutôt qu’un inventaire, Denis Jacopini, avec la collaboration de
Marie Nocenti, a choisi de vous faire partager le quotidien de
victimes d’Internet en se fondant sur des faits vécus, présentés
sous forme de saynètes qui vous feront vivre ces arnaques en
temps réel. Il donne ensuite de précieux conseils permettant de
s’en prémunir. Si vous êtes confronté un jour à des circonstances
similaires, vous aurez le réflexe de vous en protéger et en éviterez
les conséquences parfois dramatiques… et coûteuses.
Un livre indispensable pour « surfer » en toute tranquillité !

Denis Jacopini est expert judiciaire en informatique, diplômé en
cybercriminalité et en droit, sécurité de l’information et informatique
légale à l’université de droit et science politique de Montpellier.
Témoin depuis plus de vingt ans d’attaques de sites Internet, de
piratages d’ordinateurs, de dépouillements de comptes bancaires
et d’autres arnaques toujours plus soigneusement élaborées,
il apprend aux professionnels à se protéger des pirates informatiques.

Marie Nocenti est romancière.

Votre image est en ligne : comment demander son retrait ?

Une personne qui conteste la diffusion de son image sur un site web peut s’adresser soit au responsable de site en application du droit d’opposition prévu par la loi informatique et libertés, soit au juge en s’appuyant sur les principes du droit à l’image (obligation de recueil du consentement).

Deux procédures existent : l’une dans le cas où vous souhaitez que le gestionnaire des droits de l’image supprime votre image, l’autre dans le cas où vous souhaitez demander au site de dépublier votre photo/vidéo. Vous pouvez effectuer ces demandes en parallèle.

« DEMANDER AU PHOTOGRAPHE LE RETRAIT D’UNE PHOTO AU NOM DU DROIT A L’IMAGE »

Situation type : « J’ai donné mon accord pour être pris en photo et ne souhaite plus voir ma photo en ligne aujourd’hui »

Il faut bien dissocier la protection des données personnelles – champ qui relève de la loi informatique et libertés – du « droit à l’image », qui est en fait le droit à la vie privée prévu dans le code pénal **.

Le « droit à l’image » permet à toute personne de faire respecter son droit à la vie privée. Un internaute pourra par exemple refuser que son image ne soit reproduite ou diffusée sur n’importe quel support sans son autorisation expresse.

Étape 1 – Assurez vous que cette photo permet de vous identifier

Étape 2 – Assurez vous que vous n’avez à aucun moment consenti à cette prise de vue

Le fait d’autoriser l’exploitation de votre image restreint votre capacité de contester sa diffusion ou sa réutilisation sauf si les termes de l’accord écrit ne correspondent pas au cadre prévu par la loi.

Forme de l’accord écrit : ce « contrat » passé entre le photographe/vidéaste est le plus souvent un engagement écrit daté et signé de votre part et qui vous demande votre consentement à être photographié/filmé et votre autorisation à ce que votre image soit diffusée et ce , dans un cadre bien précis : quels supports seront diffusées les photos ? Quels sont les objectifs de cette diffusion ? Sur quelle durée porte cette autorisation ? Pour en savoir plus …

A noter : dans le cas d’images prises dans les lieux publics, seule l’autorisation des personnes qui sont isolées et reconnaissables est nécessaire.

Votre enfant est mineur ? Soyez particulièrement vigilants à ce que le photographe vous demande une autorisation écrite parentale. Quelques modèles sont téléchargeables depuis le site eduscol.education.fr

Étape 3 (Facultative) – Contactez l’auteur de la diffusion

Dans le cas d’une initiative d’un particulier, il peut s’agir du photographe à l’origine de la photo ou de la personne qui a publié votre image. Dans un contexte plus professionnel (clip musical, spot publicitaire …) il peut s’agir de l’organisme qui utilise ces images à des fins de communication.

Si le photographe/vidéaste refuse de dépublier/flouter votre image, vous avez la possibilité de saisir le juge civil*/pénal** afin qu’il prononce des sanctions à l’encontre de l’auteur de la diffusion litigieuse. Vous disposez d’un délai de 3 ans à partir de la diffusion de l’image.

Les sanctions prévues en cas de non-respect

* Sur le fondement de l’article 9 du code civil, « Chacun a droit au respect de sa vie privée »

** L’article 226-1 du code pénal punit d’un an d’emprisonnement et 45 000 € d’amende le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé.

Par ailleurs, l’article 226-8 du code pénal punit d’un an emprisonnement et de 15 000€ d’amende le fait de publier, par quelque voie que ce soit, le montage réalisé avec l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention.

« JE SOUHAITE DEMANDER AU SITE DE DÉPUBLIER MA PHOTO »

Situation type  « Je n’ai pas donné mon accord pour être pris en photo », « J’ai donné mon accord pour me faire photographier mais pas pour une diffusion en ligne… ».

Étape 1 – Assurez vous que cette photo permet de vous identifier …

Dès lors qu’elle se rapporte à une personne identifiée ou identifiable, l’image d’une personne est une donnée à caractère personnel. Pour vous appuyer sur les droits prévus par la loi « informatique et libertés » vous devez prouver que l’on vous reconnait.

Étape 2 – contactez le responsable du site sur lequel est publiée l’image

Écrire au site/réseau social/service en ligne pour lui demander de dépublier l’image. « Conformément à l’article 38 de la loi informatique et libertés, je souhaite m’opposer à ce que cette image – qui constitue une donnée personnelle – fasse l’objet d’un traitement pour le(s) motif(s) suivant(s) (…)

Il est important d’indiquer les motifs légitimes de votre demande d’opposition. Votre courrier doit être signé et vous devez préciser l’adresse à laquelle doit parvenir la réponse de l’organisme.

Joindre un justificatif d’identité. Votre demande doit – en principe – être accompagnée de la photocopie d’un titre d’identité comportant votre signature. Attention, le responsable du fichier ne doit pas vous demander des pièces justificatives disproportionnées par rapport à votre demande.

Remarque : Le droit d’opposition est un droit personnel ! Vous ne pouvez en aucun cas exercer ce droit au nom d’une autre personne sauf les cas de représentation de mineurs ou de majeurs protégés.

Étape 3 (facultative) – Si la réponse n’est pas satisfaisante

Si aucune réponse satisfaisante n’a été formulée par le site sous deux mois, contactez la CNIL, via son formulaire de plainte en ligne, en n’oubliant pas de joindre une copie des démarches effectuées auprès du site.

Vous avez également la possibilité de saisir une juridiction.

Situations particulières

Usage domestique. La loi « informatique et libertés » ne s’applique pas pour l’exercice d’activités purement personnelles ou domestiques. Par exemple, la photographie d’un parent ou d’un ami prise depuis un smartphone puis diffusée à un nombre limité de correspondants sur un site dont l’accès est restreint, ne rentre pas dans le champ de compétence de la CNIL.

Usage artistique. La publication de photographies de personnes identifiables aux seules fins d’expression artistique n’est pas soumise aux principales dispositions de la loi informatique et libertés.

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

Mise en conformité avec le RGPD. Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….
 
 
PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.
 
 

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

la CNIL et la CADA publient un guide pratique

Ce guide est composé d’une présentation du cadre juridique et d’une fiche pratique sur l’anonymisation. Ce document fait suite à une consultation publique qui s’est tenue au printemps 2019, afin « de confronter les travaux engagés pour la présentation du cadre juridique de l’open data aux attentes concrètes des acteurs concernés ». 220 contributions ont été enregistrées. « Son succès témoigne tant de l’intérêt du public porté à la question de l’open data que du besoin d’accompagnement des administrations diffusant en ligne des données publiques ainsi que des réutilisateurs de ces données », se félicitent les partenaires….[lire la suite]

Téléchargez le guide.

Collectivités territoriales : Contrôles et sanctions de la CNIL

La Commission nationale informatique et libertés (Cnil) souligne que deux axes structurent ses actions : l’accompagnement, via un plan d’action dédié aux collectivités territoriales, et la réalisation de contrôles pouvant, en cas de manquements graves, être suivis de sanctions. Comme toute personne morale manipulant les données personnelles, les collectivités peuvent faire l’objet de lourdes sanctions….[lire la suite]

GDPR toolkit (could concern all companies in the world)

Record of processing activities

Read more

Privacy Impact assessment (pia)

Read more

General Data Protection Regulation: a guide to assist processors

DU en Investigation Numérique Pénale – Denis JACOPINI témoigne

Contenu de la formation :

• Acquisition des bases et des fondamentaux en matière informatique dans le cadre d’une expertise pénale ;
• Connaissance de la Procédure pénale ;
• Connaissance des missions, de l’organisation professionnelle et des bonnes pratiques d’un enquêteur numérique ;
• Acquisition des méthodes et pratiques d’extraction de données post mortem :
• Extraction de données à partir de supports physiques
• Extraction de données à partir de terminaux mobiles
• Extraction de traces internet
• Manipulation d’objets multimédia
• Acquisition des méthodes de fouille de données

2019 06 14 Plaquette INPA5 v12

Cette formation est réalisée en partenariat avec  :

• UFIN (Union Française de l’Investigation Numérique)
• CNEJITA (Compagnie Nationale des Experts de Justice en Informatique et Techniques Associées)
• AFSIN (Association Francophone des Spécialistes de l’Investigation Numérique)
• Gendarmerie nationale

Denis JACOPINI, Expert de Justice en Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles (RGPD) témoigne :

C’est avec grand plaisir que je vous témoigne ma grande satisfaction à l’issue de cette formation. Même si j’avais déjà une expérience en tant qu’Expert de Justice en Informatique, étalée sur 8 mois, le contenu de cette formation m’a permis d’être désormais mieux équipé (mentalement, organisationnellement et techniquement) et en plus grade confiance pour les futures expertises pénales qui me seront confiées.

Un avocat obtient la relaxe pour un homme qui avait refusé de communiquer son code PIN en garde à vue

Une relaxe qui satisfait pleinement les défenseurs des libertés individuelles.

Actuellement, le code pénal dispose qu’« est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale..[lire la suite]

Denis JACOPINI : Cet avocat à bien joué en arguant le fait que, dans le cas de ces téléphones, leur protection par un code PIN n’est pas un dispositif de protection répondant à cette infraction. Brillant !