Vers une nouvelle loi relative à la protection des données personnelles

Le projet de loi déposé à l’Assemblée nationale vise la réalisation en droit français du paquet protection des données personnelles de l’Union européenne au 25 mai 2018. Les délais sont courts pour les acteurs qui doivent se conformer à un texte dont la lisibilité est complexe.
Par Olivia Tambou Le nouveau projet de loi français relatif à la protection des données personnelles était attendu. Il permet de concrétiser en droit français la réforme du droit européen de la protection des données personnelles adoptée en avril 2016¹. L’ambition affichée est d’adapter ce droit aux évolutions technologiques en facilitant la libre circulation des données personnelles tout en assurant un niveau de protection élevé des individus. Cette harmonisation opère un changement de paradigme à l’échelle de l’Union européenne. Elle propose un renforcement de la régulation par les responsables de traitement, leurs sous-traitants et les autorités de la protection des données sous le contrôle des juges. L’objectif est d’inculquer aux acteurs une véritable culture de la protection des données personnelles prise en compte dès la conception de leurs produits et services, et dans leur organisation interne. Il suffit ici d’évoquer la nécessité de pouvoir documenter le respect de ses obligations, de procéder à une analyse d’impact préalable ou encore l’obligation de désigner un délégué de la protection des données personnelles (DPO) pour certains traitements aux risques élevés au regard des droits et libertés des individus….[lire la suite]

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : Vers une nouvelle loi relative à la protection des données personnelles – Atteinte à la personne | Dalloz Actualité

Failles dans les microprocesseurs Meltdown & Spectre

Failles dans les microprocesseurs Meltdown & Spectre

Ces derniers jours, il y a eu beaucoup de bruit dans la sphère de la sécurité informatique. Les mots Meltdown et Spectre ont fait la une de plusieurs journaux et sites d’information, qu’ils soient spécialisés ou généralistes. Cet article est une mise à plat de ma compréhension du sujet, une explication qui j’espère permettra à d’autres de mieux comprendre les mécanismes et la portée de ces attaques.

Les mécanismes en jeu

Ces deux attaques sont différentes de celles dont nous entendons parler majoritairement. Elles touchent le matériel, ou hardware, et non pas des applications. Pour comprendre ces attaques, il est nécessaire de faire un petit récapitulatif sur le fonctionnement et l’optimisation d’un processeur.

Fonctionnement d’un processeur

Un processeur, ce n’est rien d’autre qu’une calculatrice. Au début, des calculs étaient envoyés à un processeur, celui-ci effectuait les calculs qu’on lui envoyait dans l’ordre, les uns après les autres, puis il retournait les résultats.

Lorsqu’un programme est exécuté, les données à traiter sont dans la mémoire vive (qu’on appelle aussi simplement mémoire), ou RAM. Pour traiter une instruction, les données nécessaires au traitement doivent être envoyées depuis la mémoire vive vers la mémoire interne du processeur pour qu’il les traite. Ensuite, le résultat est enregistré à nouveau en mémoire.

Si le temps de traitement des données par le processeur est environ le même que le temps de récupération des données en mémoire, tout ça se coordonne très bien. En effet, pendant que le processeur traite une instruction, les données de la prochaîne instruction sont rapatriées, permettant d’avoir un flux tendu.

Avec le temps, le matériel a évolué, et les processeurs sont devenus très, très rapides. Tellement rapides qu’ils ont largement devancé les accès en mémoire. Ainsi, aujourd’hui, le traitement d’une instruction se fait environ en 0.5 nano-seconde, tandis qu’un accès mémoire se fait en 20 nano-secondes.

Par conséquent, si jamais le processeur traitait les instructions linéairement, il passerait la plupart de son temps à attendre les données, au lieu de travailler.

C’est pourquoi les constructeurs se sont penchés sur le sujet afin d’optimiser le processus de traitement de leurs processeurs…[lire la suite]

LE NET EXPERT

ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
- ANALYSE DE VOTRE ACTIVITÉ
- CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
- IDENTIFICATION DES RISQUES
- ANALYSE DE RISQUE (PIA / DPIA)
- MISE EN CONFORMITÉ RGPD de vos traitements
- SUIVI de l’évolution de vos traitements
FORMATIONS / SENSIBILISATION :
RECHERCHE DE PREUVES (outils Gendarmerie/Police)
- ORDINATEURS (Photos / E-mails / Fichiers)
- TÉLÉPHONES (récupération de Photos / SMS)
- SYSTÈMES NUMÉRIQUES
EXPERTISES & AUDITS (certifié ISO 27005)
- TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
- SÉCURITÉ INFORMATIQUE
- SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Source : Attaques Meltdown & Spectre – hackndo

Carphone Warehouse condamné à une amende de 500 000 par la CNIL équivalente au Royaume-Uni

Le Carphone Warehouse du Royaume-Uni condamné à une amende de 540 000 $ pour piratage de 2015

Carphone Warehouse condamné à une amende de 500 000 par la CNIL équivalente au Royaume-Uni

L’organisme de surveillance des données du Royaume-Uni a infligé une amende de 400 000 £ à l’opérateur de téléphonie mobile Carphone Warehouse, soit un peu moins que les 500 000 £ actuellement accordés par l’organisme de réglementation.

Les données client compressées comprenaient: les noms, adresses, numéros de téléphone, dates de naissance, état civil et, pour plus de 18 000 clients, les détails historiques des cartes de paiement. Tandis que les dossiers exposés pour certains employés de Carphone Warehouse, y compris le nom, les numéros de téléphone, le code postal, et les détails d’immatriculation de voiture.

Commentant la pénalité dans un communiqué, Elizabeth Denham, commissaire britannique à l’information, a déclaré: «Une entreprise aussi grande, bien dotée en ressources et établie que Carphone Warehouse, aurait dû évaluer activement ses systèmes de sécurité des données et s’assurer que les systèmes étaient robustes et non vulnérables. à de telles attaques.

« Carphone Warehouse devrait être au sommet de son jeu en matière de cybersécurité, et il est inquiétant de constater que les échecs systémiques que nous avons relevés sont liés à des mesures rudimentaires et banales. »

Le Bureau du Commissaire à l’information a déclaré avoir identifié de multiples insuffisances dans l’approche de la société en matière de sécurité des données au cours de son enquête et a déterminé que la société n’avait pas pris de mesures adéquates pour protéger les informations personnelles.

Les intrus ont été en mesure d’utiliser des informations d’identification valides pour accéder au système de Carphone Warehouse via un logiciel WordPress obsolète, a indiqué l’ICO.

Les insuffisances dans les mesures techniques de sécurité de l’organisation ont également été mises en évidence par l’incident, les éléments importants du logiciel utilisé sur les systèmes affectés étant obsolètes et l’entreprise ne procédant pas aux tests de sécurité de routine.

Il y avait aussi des mesures inadéquates en place pour identifier et purger les données historiques, a-t-il ajouté.

« Il y aura toujours des tentatives pour briser les systèmes des organisations et les cyber-attaques deviennent plus fréquentes à mesure que les adversaires deviennent plus déterminés. Mais les entreprises et les organismes publics doivent prendre des mesures sérieuses pour protéger les systèmes, et surtout, les clients et les employés « , a déclaré Denham.

« La loi dit qu’il est de la responsabilité de l’entreprise de protéger les informations personnelles des clients et des employés. Les étrangers ne devraient pas avoir accès à de tels systèmes en premier lieu. Avoir un système de sécurité en couches efficace aidera à atténuer toute attaque – les systèmes ne peuvent pas être exploités si les intrus ne peuvent pas entrer. « ..[lire la suite]

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : Le Carphone Warehouse du Royaume-Uni condamné à une amende de 540 000 $ pour piratage de 2015

RGPD : Les 5 règles à respecter

A partir du 25 mai 2018, toutes les entreprises gérant et collectant des données sur les personnes devront respecter chacune des obligations du Règlement européen pour la protection des données, le RGPD. Toutes les entreprises sont donc concernées par ce règlement que vous fassiez de l’outbound ou de l’inbound marketing… Le règlement prévoit également de lourdes sanctions en cas de violation de clauses : votre entreprise est-elle prête ?

Avez-vous préparé votre entreprise aux nouvelles normes de protection des données ? Faisons le point sur les 5 règles majeures à respecter.

La protection réelle des données, le principe du Privacy by design
Le consentement du consommateur
Le vrai droit à l’oubli ou « droit à l’effacement »
L’accès de l’utilisateur à ses données
Le délégué à la protection des données – DPO

En amont même de la réalisation du projet, dès les premières étapes de sa conception, la protection des données personnelles devra s’imposer comme une exigence, dans le cahier des charges. C’est le principe du Privacy by design, soit la protection dès la conception du projet, du service, du produit ou du système. Corrélativement, la règle de la sécurité par défaut devra être appliquée : toute entreprise concernée devra disposer d’un système sécurisé.

Il est obligatoire de demander et d’obtenir le consentement du consommateur pour collecter ses données. Il est obligatoire de faire cocher la case, et il est interdit d’utiliser une case – ou autre dispositif – autorisant par défaut la collecte (exemple : case déjà cochée).

Dès lors qu’un individu en fait la demande, tous les acteurs concernés par le RGPD auront un délai de 30 jours pour supprimer ses données.

De la même manière, il est obligatoire pour le responsable des données de notifier ce droit, ainsi que le droit à la limitation dans l’utilisation des données et le droit de rectification des données. L’utilisateur a le droit d’accès permanent, et de contrôle sur ses propres données.

Nommé au sein de l’entreprise, le DPO (pour rappel le délégué à la protection des données) doit mettre en œuvre 3 principes :

Privacy by design
le Privacy by default, par lequel le plus haut niveau de protection est assuré
l’Accountability, soit la transparence et la démonstration de sa parfaite conformité devant les autorités.

[lire la suite]

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : RGPD : les changements à prévoir, comment se conformer sur la protection des données personnelles ?

RGPD : Obligations des pharmacies

Épicerie, L'Homme, Sac À Provisions, Isolé, Adulte, Sac

RGPD : Obligations des pharmacies

Tous les établissements de santé sont concernés par le RGPD en tant que responsables de traitement de données personnelles dans leur organisme, et parfois également comme sous-traitants (dans le cadre d’un groupement par exemple) ;

Pour rappel, l’article 35 du RGPD (Règlement Européen sur la Protection des Données personnelles) indique :

« Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro. »

Le RGPD porte sur toutes les données personnelles issues des activités de l’établissement de santé, et pas uniquement sur les données de santé générées par la prise en charge des personnes ;

De nombreuses actions sont à mener dès à présent, y compris pour les établissements qui disposent déjà d’un correspondant informatique et libertés (CIL). En effet, le règlement entre en application en mai 2018. Ces actions s’inscrivent dans la démarche globale de gestion des risques portée par l’établissement pour améliorer la qualité et la sécurité des soins, et s’intègrent notamment aux procédures de conformité de l’établissement, ainsi qu’à la gestion des risques de sécurité des systèmes d’information de l’établissement.

2 qualifications juridiques

D’une manière générale, l’établissement est responsable de multiples traitements de données personnelles, impliquant ou non des données de santé. Dans certains cas, l’établissement peut être considéré comme un sous-traitant, lorsqu’il agit pour le compte d’un tiers, notamment dans le cadre de certains groupements.

> L’établissement traite des données personnelles qui ne sont pas des données de santé (les données de ressources humaines par exemple) pour lesquelles le RGPD s’applique.
> L’établissement de santé collecte, génère et traite également des données de santé.

De façon identique au régime actuel, le RGPD fixe un principe d’interdiction de collecte de ces données en raison de leur sensibilité. Toutefois, ce principe est assorti de plusieurs exceptions, comme dans la loi Informatique et Libertés. A titre d’exemple, il est possible de créer un traitement de données de santé à caractère personnel lorsque la personne concernée donne son consentement exprès. Autre fondement possible utilisé dans le cadre de l’activité quotidienne des établissements de santé, les traitements créés pour une finalité relative :

– aux diagnostics médicaux, à la prise en charge sanitaire ou sociale, ou à la gestion des systèmes et des services de soins de santé ;
– à l’intérêt public dans le domaine de la santé publique, aux fins de recherche, de la médecine préventive ou de la médecine du travail.

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : CNIL

La Cnil inflige une amende de 100 000 euros à Darty

Le groupe est sanctionné pour ne pas avoir suffisamment sécurisé les données des clients ayant eu recours au service après-vente en ligne.

En février 2017, la CNIL a été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de la société ETABLISSEMENTS DARTY ET FILS.

Lors d’un contrôle en ligne réalisé début mars 2017 les équipes de la CNIL ont pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles.

Le contrôle sur place réalisé quinze jours plus tard a révélé que le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par un prestataire commercialisant un logiciel de service après-vente « sur étagère ». Lors du contrôle, la société ETABLISSEMENTS DARTY ET FILS a indiqué avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident.

Les vérifications opérées par la CNIL ont pourtant permis de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n’avaient pas été désactivées. Elles ont également révélé que le prestataire n’avait pas mis en place de filtrage des adresses URLs, qui aurait permis d’empêcher à des tiers non autorisés d’accéder aux données des clients contenues dans l’outil de gestion des demandes de service après-vente via le formulaire défectueux.

Alors même qu’elle avait informé la société de cet incident de sécurité, la CNIL a constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps. Le soir même du second contrôle, la société l’informait des mesures prises pour remédier à cet incident.

La Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société ETABLISSEMENTS DARTY ET FILS.

La formation restreinte de la CNIL a prononcé une sanction d’un montant de 100.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

La formation restreinte a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.

Par ailleurs, en sa qualité de responsable de traitement, la société aurait dû procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente. A ce titre, la formation restreinte a considéré qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La formation restreinte a néanmoins tenu compte notamment de l’initiative du responsable de traitement de diligenter un audit de sécurité après cette atteinte à la sécurité des données ainsi que de sa bonne coopération avec les services de la CNIL.

Pour approfondir

> Délibération n°SAN-2018-001 du 8 janvier 2018 Délibération de la formation restreinte n° SAN-2018-001 du 08/01/2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS Etat: VIGUEUR

Faille non réparée après un premier contrôle

La Commission révèle en avoir rapidement informé Darty. Pourtant « la Cnil a constaté que les fiches des clients étaient toujours accessibles entre le premier et le second contrôle et que de nouvelles fiches avaient été créées dans ce laps de temps ».

Cette faille provenait en fait d’un logiciel de service après-vente proposé par un sous-traitant. Mais la Cnil a considéré « que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son l’obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement »…[lire la suite]

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : DARTY : sanction pécuniaire pour une atteinte à la sécurité des données clients

RGPD : Comment gagner la confiance des clients ?

Comment Tirer Parti Du RGPD Pour Améliorer La Relation Client ? | Forbes France

RGPD : Comment gagner la confiance des clients ?

L’entrée en vigueur imminente du Règlement Général sur la Protection des Données Personnelles (RGPD), en mai 2018, va considérablement modifier la façon dont les entreprises gèrent, stockent et sécurisent les données de leurs clients. Destiné à unifier les politiques de protection des données des différents pays européens, il prévoit en effet plusieurs points essentiels parmi lesquels le droit à l’oubli, un profilage client plus restreint, plus de transparence sur l’utilisation des données et l’obligation de faire part dans les 72 heures de toute violation constatée.

L’année écoulée a été marquée par plusieurs grosses affaires de violation de données, telle que la cyberattaque d’Uber, qui ont mis sur le devant de la scène les questions de confidentialité et de sécurité des données client. Sensibilisés par ces événements, les consommateurs souhaitent plus que jamais être rassurés au sujet de la protection de leurs informations personnelles. Ainsi, à en croire une récente étude réalisée par l’ICO*, 80 % des Britanniques ne font pas confiance aux organisations à cet égard.

Si cette méfiance s’explique en partie par une mauvaise compréhension de l’utilisation qui est faite de leurs données, comme chez 92 % des sondés, le besoin de transparence est évident. La confidentialité des données, plus qu’un simple détail annexe, doit véritablement être intégrée à la structure même de l’entreprise.

En permettant aux organisations de prouver qu’elles ne prennent pas à la légère les données qui leur sont confiées et qu’elles n’utiliseront ces dernières que pour améliorer la relation qu’elles entretiennent avec leurs consommateurs, le RGPD va certainement favoriser la confiance et l’engagement client.

C’est en effet toute la relation client qui va changer et se renforcer : en ayant la possibilité de donner (ou non) son consentement quant à la possession et à l’utilisation de ses données par l’entreprise, la finalité de cette utilisation, la durée de stockage, le lieu de traitement et le recours dans la prise de décision automatisée, entre autres, le consommateur sera désormais beaucoup plus impliqué. Il sera aussi plus enclin à poursuivre sa relation avec les marques qui auront rapidement devancé l’appel du RGPD…[lire la suite]

LE NET EXPERT

ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
- ANALYSE DE VOTRE ACTIVITÉ
- CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
- IDENTIFICATION DES RISQUES
- ANALYSE DE RISQUE (PIA / DPIA)
- MISE EN CONFORMITÉ RGPD de vos traitements
- SUIVI de l’évolution de vos traitements
FORMATIONS / SENSIBILISATION :
RECHERCHE DE PREUVES (outils Gendarmerie/Police)
- ORDINATEURS (Photos / E-mails / Fichiers)
- TÉLÉPHONES (récupération de Photos / SMS)
- SYSTÈMES NUMÉRIQUES
EXPERTISES & AUDITS (certifié ISO 27005)
- TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
- SÉCURITÉ INFORMATIQUE
- SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Source : Comment Tirer Parti Du RGPD Pour Améliorer La Relation Client ? | Forbes France

RGPD : les changements à prévoir pour se conformer à la protection des données personnelles

A partir du 25 mai 2018, toutes les entreprises gérant et collectant des données sur les personnes devront respecter chacune des obligations du Règlement européen pour la protection des données, le RGPD. Toutes les entreprises sont donc concernées par ce règlement que vous fassiez de l’outbound ou de l’inbound marketing… Le règlement prévoit également de lourdes sanctions en cas de violation de clauses : votre entreprise est-elle prête ?

1-QU’EST-CE QUE LE RGPD ?

Le Règlement général pour la protection des données – RGPD – a été adopté par le Parlement européen le 4 avril 2016. En anglais Il est le GDPR pour « General Data Privacy Regulation ». Il vise à protéger toutes les données à caractère personnel des individus au sein de l’Union Européenne à travers trois objectifs ambitieux et précis :

L’uniformisation européenne de la règlementation sur la protection des données
La responsabilisation des entreprises
Le renforcement du droit des personnes

Le règlement n’a besoin d’aucune transposition légale en fonction du pays de l’entreprise : son application concerne directement tous les pays européens, à partir d’un même texte. L’intérêt majeur de cette uniformisation à échelle européenne est la simplification des mesures, centralisées vers un interlocuteur unique. Les entreprises pourront s’adresser directement à l’autorité de protection des données pour l’Etat membre dans lequel se situe l’établissement principal.

La simplification des formalités pour les entreprises doit aussi permettre de les responsabiliser dans le traitement et la gestion des données. Les rôles, les responsabilités, les fonctions sont réparties et précisées, avec un ensemble de points à suivre : chaque entreprise doit mettre en place une politique de protection des données personnelles, et s’assurer qu’à chaque étape de la gestion des données, le RGPD est respecté.

De nouveaux droits sont introduits, comme le droit à la portabilité, qui permet aux personnes de récupérer les données fournies, pour un contrôle total de ses propres de données. On peut citer aussi le droit à réparation des dommages matériels et moraux, des droits spécifiques pour les enfants et le traitement de leurs données, des droits aux recours collectifs.

2 – LE RGPD, POUR QUI ?

Le RGPD est applicable sur toutes les données à caractère personnel de chacun des citoyens et résidents européens, soit « toute information se rapportant à une personne physique identifiée ou identifiable » selon la définition du RGPD. Il permet même de faire valoir ses droits face à une entreprise non européenne.

Dès lors qu’une entreprise européenne traite des données personnelles – noms, e-mails, numéro de téléphone… elle est concernée. Collecte, enregistrement, conservation, classement, utilisation, diffusion… le RGPD s’applique aux entreprises privées comme publiques des 28 Etats-membres de l’Union européenne, ou pour être plus précis :

Aux entreprises proposant des biens et des services sur le marché européen
Aux entreprises collectant des données à caractère personnel sur les résidents de l’UE
Aux entreprises non implantées dans l’UE, dès qu’elles collectent et traitent de données personnelles appartenant à un résident de l’Union européenne…[lire la suite]

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article

Source : RGPD : les changements à prévoir, comment se conformer sur la protection des données personnelles ?

En matière de sécurité informatique, la faille, c’est l’humain

En matière de sécurité informatique, la mise à jour régulière d’un antivirus performant est indispensable. Mais, à en croire l’expert Benoît Grunemwald, rien ne saurait remplacer l’éducation du « maillon faible » : l’humain.

Baptisée Eset, en hommage à la déesse de la guérison de la mythologie égyptienne, la petite entreprise née en 1992 à Bratislava (Tchécoslovaquie) est aujourd’hui le quatrième acteur mondial du secteur de la sécurité informatique. Ses antivirus arrivent régulièrement en tête des tests de fiabilité et de sécurité. Toujours détenue par ses trois cofondateurs, elle a réalisé 460 millions de chiffre d’affaires en 2016… et bloque 300.000 attaques par heure ! Benoît Grunemwald, directeur des opérations Eset France, livre ses conseils pour sécuriser au maximum les données d’une entreprise.

Management : Concrètement, à quoi s’expose une entreprise qui néglige sa sécurité informatique ?

Benoît Grunemwald : A une perte de productivité liée à l’arrêt de son système, à une fuite de données, et à une atteinte à son « e-réputation » avec une dégradation de son site Web ou son détournement dans le but de répandre des malwares…[lire la suite]

LE NET EXPERT

ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
- ANALYSE DE VOTRE ACTIVITÉ
- CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
- IDENTIFICATION DES RISQUES
- ANALYSE DE RISQUE (PIA / DPIA)
- MISE EN CONFORMITÉ RGPD de vos traitements
- SUIVI de l’évolution de vos traitements
FORMATIONS / SENSIBILISATION :
RECHERCHE DE PREUVES (outils Gendarmerie/Police)
- ORDINATEURS (Photos / E-mails / Fichiers)
- TÉLÉPHONES (récupération de Photos / SMS)
- SYSTÈMES NUMÉRIQUES
EXPERTISES & AUDITS (certifié ISO 27005)
- TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
- SÉCURITÉ INFORMATIQUE
- SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Source : En matière de sécurité informatique, c’est l’humain qui est la faille – Capital.fr

Alerte : Deux failles importantes découvertes. Mettez à jour !

De quoi s’agit-il ? Le 3 janvier 2018, deux failles importantes de sécurité baptisées Meltdown et Spectre ont été révélées publiquement. Ces failles touchent à des niveaux variables les microprocesseurs de la très grande majorité des ordinateurs personnels (PC), mais aussi des serveurs informatiques, des tablettes, des téléphones mobiles (smartphones) dans le monde entier.

Quel est le risque ?

Un attaquant qui parviendrait à exploiter ces failles pourrait avoir accès aux informations personnelles des utilisateurs des machines vulnérables (données personnelles, mots de passe, coordonnées bancaires…).

Ces failles étaient connues depuis quelques mois maintenant des principaux constructeurs de microprocesseurs (Intel, AMD, ARM), des grands éditeurs de logiciels (Microsoft, Apple, Google, Mozilla…) ainsi que des éditeurs d’anti-virus qui préparaient depuis lors des correctifs de sécurité.

Suite aux révélations publiques de ces failles, la manœuvre s’accélère pour les corriger avant que les cybercriminels n’arrivent à en profiter et les premiers correctifs ont commencé à être diffusés.

Etes-vous concernés ?

Certainement. Comme évoqué ci-dessus, la grande majorité des ordinateurs, des tablettes, des téléphones mobile, mais aussi des serveurs dans le monde entier est touchée par ces failles. Ces failles concernent aussi bien les machines qui fonctionnent sous Microsoft Windows, que celles qui fonctionnent sous Apple macOS-iOS, Google Android ou les différentes versions de GNU/Linux.

Que devez-vous faire pour vous protéger ?

Vous assurer de bien installer toutes les mises à jour de sécurité que vous avez peut-être déjà reçues et que vous allez recevoir dans les prochains jours, semaines voire mois des éditeurs de vos systèmes d’exploitation (Microsoft, Apple, Google, GNU/Linux), de vos navigateurs Internet (Microsoft, Google, Mozilla, Apple…), de vos anti-virus.

Pensez à bien vérifier que tous les systèmes de vérification des mises à jour de vos équipements sont bien activés.

Pensez à contrôler également que les mises à jour de sécurité que vous réalisez proviennent bien de vos éditeurs et constructeurs. Des cybercriminels pourraient essayer de profiter de cet événement pour se faire passer pour vos éditeurs ou constructeurs et vous envoyer de fausses mises à jour qui contiendraient un virus. N’acceptez donc par exemple aucune mise à jour que vous recevriez par mail, car c’est une pratique totalement inhabituelle.

Si vous faites vos mises à jour, serez-vous complètement protégés ?

Ce n’est pas complètement certain. Rien ne permet même d’attester que ces failles pourront être intégralement corrigées. Mais les différents correctifs de sécurité qui seront diffusés rendront certainement la tâche bien plus difficile pour les cybercriminels qui voudraient en tirer partie.

Toutes ces mises à jour qui arrivent en même temps peuvent-ils produire des dysfonctionnements de vos matériels ?

Ce n’est pas impossible. Mais le risque de dysfonctionnement est certainement bien moindre que celui de se voir voler ses données personnelles les plus confidentielles (mots de passe, numéros de carte bancaire…) par des cybercriminels.

Vous avez entendu que vos matériels risquaient de ralentir après les mises à jour de sécurité, qu’en est-il ?

Ce n’est pas impossible non plus, mais il est bien trop tôt pour l’affirmer. Vous pouvez même ne pas constater la moindre différence. Quoiqu’il en soit, si tel était le cas, mieux vaut aller un peu moins vite en sécurité, que plus vite en prenant des risques inconsidérés.

Vous avez entendu que ces failles étaient difficilement exploitables, alors devez-vous vraiment en tenir compte ?

Oui, car la cybercriminalité ne cesse de progresser en compétence technique. La vague d’attaques par le rançongiciel (ransomware) Wannacry du printemps 2017 est là pour le rappeler. A peine quelques semaines après la révélation d’une vulnérabilité de haut niveau, les cybercriminels ont réussi à l’exploiter pour une attaque qui a frappé le monde entier.

En conclusion ?

Ces failles sont sérieuses et touchent tous les équipements informatiques ou presque. Il est donc primordial de se sentir concerné et d’appliquer avec sérieux toutes les mises à jour de sécurité officielles que vous recevez de vos constructeurs ou éditeurs

[Original sur cybermalveillance.gouv.fr]

LE NET EXPERT

ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
- ANALYSE DE VOTRE ACTIVITÉ
- CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
- IDENTIFICATION DES RISQUES
- ANALYSE DE RISQUE (PIA / DPIA)
- MISE EN CONFORMITÉ RGPD de vos traitements
- SUIVI de l’évolution de vos traitements
FORMATIONS / SENSIBILISATION :
RECHERCHE DE PREUVES (outils Gendarmerie/Police)
- ORDINATEURS (Photos / E-mails / Fichiers)
- TÉLÉPHONES (récupération de Photos / SMS)
- SYSTÈMES NUMÉRIQUES
EXPERTISES & AUDITS (certifié ISO 27005)
- TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
- SÉCURITÉ INFORMATIQUE
- SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nous

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Source : Alerte sécurité – Failles Meltdown & Spectre – CYBERMALVEILLANCE.GOUV.FR