La protection des données à caractère personnel dans le monde

Cette carte vous permet de visualiser les différents niveaux de protection des données des pays dans le monde. Vous pouvez afficher les autorités de protection des données à l’aide de l’icône « calque » située en haut à gauche de la carte.

Retenez que les Pays auprès desquels vous pouvez envoyer des données à caractère personnel sans vous poser de questions sont :

• Tous les pays membres de l’UE ou de l’EEE,
• les Départements ou Régions français d’Outre-Mer,
• la Suisse,
• l’Uruguay,
• l’Argentine,
• la Nouvelle Zélande,
• les Iles, Féroé,
• les Terres Australes Françaises,
• Israël.

La Protection des données à caractère personnel dans le monde

Ailleurs, il est interdit d’envoyer des données à caractère personnel sans vous assurer que le destinataire est en adéquation partielle avec la législation française ou européenne relative à la protection des données à caractère personnel.

Le cryptojacking peut-il débarrasser le web de la publicité ? Avis de Denis JACOPINI

La ruée vers l’or immatériel continue. Un rapport publié par la Cyber Threat Alliance fait état d’une augmentation de 459% des attaques dites de « cryptojacking » entre 2017 et 2018. Cette pratique cybercriminelle consiste à exploiter la puissance de calcul d’ordinateurs tiers pour miner des cryptomonnaies.

Pour rappel, le terme « mining » désigne les calculs qui permettent de vérifier les transactions en monnaies virtuelles et de les consigner dans un registre public, la blockchain. Le mining est un procédé long, coûteux en ressources informatiques et néanmoins indispensable. De ce fait, ceux qui s’en acquittent peuvent toucher une récompense financière sous la forme de nouvelles unités de cryptomonnaie.

Suivant ce principe, la recette des cryptojackers est simple : en insérant quelques lignes de code malveillant (CoinHive, par exemple) sur un site web, ils peuvent s’approprier les ressources informatiques des visiteurs à leur insu pour miner. Difficile pour les internautes d’identifier cette spoliation : le seul signe visible est un léger ralentissement de leur machine. En septembre, Europol a décrit cette pratique comme « la nouvelle tendance en matière de cybercrime. »

…

Pour Denis Jacopini, ingénieur expert en cybercriminalité, ce modèle économique à grande échelle sur le web est « parfaitement envisageable : c’est un mode de fonctionnement qui est amené à se généraliser. » Il insiste en revanche sur la nécessité de penser la dimension éthique de cette pratique. Tout site qui envisagerait de rétribuer ses créateurs grâce au minage doit avant tout faire preuve de transparence vis-à-vis de ses utilisateurs…[lire la suite]

Certification des compétences des DPO – Ce que va proposer la CNIL

La certification des personnes physiques

La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.

Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.

Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.

L’agrément des organismes certificateurs par la CNIL

Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ). La demande devra respecter les exigences prévues dans le référentiel d’agrément.

Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels. Les éventuelles modifications du référentiel d’agrément ou du référentiel de certification seront sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.

Ces référentiels pourront être partagés avec les autres autorités de protection européennes au sein du CEPD (Comité européen de la protection des données).

L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.

[Lien vers la source]

Vers la fin des mots de passe simples

Les mots de passe «admin» et autre «password» risquent bientôt de devoir quitter le hit-parade des plus populaires de la Toile. En vigueur dès 2020, la mesure vise particulièrement les objets connectés qui se multiplient. Cela implique la constitution d’un sésame unique ou d’une procédure de démarrage obligeant le client à générer son propre code lorsqu’il utilise le gadget pour la première fois, explique le site TheRegister….[lire la suite]

Données personnelles – Les WiFi publics sont dangereux

En effet, se connecter à ces réseaux peut être un risque pour vos données personnelles qu’il s’agisse de photos, de pages internet consultées ou pire, de vos informations bancaires.

Ainsi, lorsque vous vous connecterez dans un endroit public à l’avenir pensez à ne pas laisser d’accès à des dossiers partagés, à n’effectuer des paiements que sur des sites sécurisés, ou encore à éviter de cliquer sur des liens disponibles sur les réseaux sociaux de type Twitter, Facebook ou encore Instagram.

Pour ce dernier point, gardez toujours en tête que certaines offres sont justement trop belles pour être vraies.

Pensez également à regarder si les sites sur lesquels vous vous trouvez sont effectivement sécurisés (sites mentionnant dans la barre d’adresse des connexions via HTTPS vs la connexion http, non sécurisée).

Conseil de Denis JACOPINI

Afin de palier au risque des Wifi Publics, nous vous recommandons :

• de partager et d’utiliser l’accès à Internet de votre smartphone en veillant à vérifier que vous êtes au moins en communication 3G, 4G ou +
• d’utiliser un VPN (Virtual Private Network) qui aura pour effet de crypter l’ensemble des échanges Internet entrants et sortants. Notez toutefois que l’utilisation d’un VPN ne protégera pas votre ordinateur contre les intrusions via le Wifi Public. Ainsi, une intrusion étant toujours possible, nous vous recommandons de ne connecter au Wifi Public que des équipements sécurisés avec un logiciel de sécurité,  ne contenant aucune donnée stratégique.
• Si vous n’avez pas le choix et vous devez absolument vous connecter  un Wifi Public pour accéder à votre messagerie par exemple, nous vous recommandons de vérifier que vous vous rendez bien sur un site Internet dont l’URL commence par « https » et de ne réaliser que des échanges non confidentiels sur cette ligne, évitez ainsi de communiquer votre numéro de CB !

Même si on entend beaucoup parler du RGPD qui a pour objectif de protéger nos données à Caractère Personnel, sachez qu’il ne sagît qu’un Réglement et qu’il ne protège pas des pirates informatiques.

RGPD : Est-ce que la collecte d’une pièce d’identité est contraire au règlement ?

C’est une question qui m’a été posée par un organisme partenaire qui m’a amené à réfléchir à la question. Il me paraissait intéressant de partager ma réponse avec vous, chers fidèles lecteurs de mes articles.

RGPD : Des changements en matière de protection des données

Ces règles concernent tout organisme qui traite des données à caractère personnel (notamment, à des fins commerciales, à des fins de surveillance ou encore, pour des raisons de sécurité).

Parmi ces organismes, on y trouve toutes les entreprises, même unipersonnelles et les entrepreneurs, toutes les associations et toutes les administrations excepté les services de renseignements et judiciaires.

Depuis mai 2018, sauf dans certains cas, ces organismes ne doivent plus notifier, ni solliciter des autorisations préalables de traitement de données personnelles auprès de la Commission nationale pour la protection des données (CNPD). Cependant, ces organismes doivent assurer à chaque instant le respect des nouvelles règles en matière de protection des données et être en mesure de le démontrer en documentant leur conformité.

Pour prévenir des risques inhérents au traitement de ces données, la désignation d’un délégué à la protection des données (DPO) est encouragée.

La désignation d’un DPO est obligatoire pour :

• les organismes publics et autorités publiques ;
• une entreprise dont les activités de base, du fait de leur nature, de leur portée et/ou de leurs finalités, l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• une entreprise dont les activités de base l’amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et à des infractions.

Le DPO doit être désigné, sur base :

• de ses qualifications professionnelles notamment, en matière de protection des données ;
• de sa capacité à accomplir ses missions ;
• de ne pas être à l’origine ou avoir autorité sur les traitements suivis .

Le responsable informatique ou RSSI ne peut pas être DPO ?

Denis JACOPINI : J’entends très souvent qu’afin d’éviter un conflit d’intérêt, le responsable informatique ne peut pas devenir DPO.

Si vous ne savez pas si vous avez le droit ou non de devenir DPO et éviter ainsi d’être à la fois juge et partie, posez-vous la question suivante :

En cas de problème, qui a le pouvoir de stopper un traitement ou qui à le dernier mot dans le choix de stopper ou non un traitement ?

C’est vous ? Alors vous ne pouvez pas prétendre à des fonctions de Délégué à la Protection des Données (DPO).

Victime de phishing, la banque évoque la  négligence pour ne pas le rembourser

La banque s’était opposée à ses demandes en lui reprochant une négligence grave dans la garde et la conservation de ses données personnelles du dispositif de sécurité des instruments de paiement. Le client avait reçu des courriels portant le logo parfaitement imité de sa banque, accompagnés d’un « certificat de sécurité à remplir attentivement » qu’il avait scrupuleusement renseignés. Il avait même demandé à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat.

La cour d’appel avait ordonné le remboursement des sommes au client considérant que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices comme les fautes d’orthographe du message, étaient de nature à l’alerter.

Mais l’arrêt est cassé. La Cour de cassation a considéré que le client avait commis une négligence grave. Pour la Cour, l’utilisateur d’un service de paiement qui communique les données personnelles du dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité.

RGPD et droit d’accès : qui peut consulter, quelles sont les limites ?

Qui peut demander un droit d’accès et sous quel délai ?

Si vous avez raté le reportage Cyberattaques : les braqueurs de l’ombre – Envoyé spécial du 14 décembre 2017 (France 2)

Vous êtes tranquillement installé derrière votre ordinateur, vous ouvrez un mail anodin… et soudain, un message d’alerte apparaît : votre ordinateur est bloqué, tous vos documents sont cryptés, vous devez payer une rançon pour en retrouver l’usage. Vous venez de vous faire braquer par un « rançongiciel », ces programmes informatiques qui diffusent des virus et qui vous réclament de l’argent : 150 euros pour un particulier, 6 000 euros pour une PME, des millions d’euros pour une multinationale. Et vous n’avez que quelques heures pour payer, sinon vous perdez tout ! Une enquête de Clément Le Goff et Guillaume Beaufils, diffusée dans « Envoyé spécial » le 14 décembre 2017….[lire la suite]