Mettre son entreprise en conformité avec la CNIL, secrets et mode d’emploi

– Quels sont les étapes indispensables et les pièges à éviter pour que cette mise en conformité ne se transforme pas en fausse déclaration ?

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

[block id="24761" title="Pied de page HAUT"]

---

 

Source : Denis JACOPINI

Lutte contre le blanchiment d’argent : quelles formalités à la CNIL ?

• Par une déclaration simplifiée de conformité à l’autorisation unique 003 si le fichier correspond aux caractéristiques énoncées dans ce texte ;
• Par une demande d’autorisation si le fichier sort du cadre de cette norme.

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do?id=537&back=true

#Vidéosurveillance en entreprise : règles et limites

Le cadre législatif de la vidéosurveillance

C’est la loi dite « informatique et libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, qui fixe le cadre de mise en place d’une vidéosurveillance sur un lieu à usage professionnel.

Ainsi dans des lieux non accessibles au public (bureaux, entrepôts, réserves, locaux d’administration) l’installation d’une vidéosurveillance doit faire l’objet d’une déclaration à la CNIL (Commission Nationale Informatique et Libertés).

C’est également une obligation pour les guichets de réception de clients et les commerces, lorsque le système enregistre les images dans un fichier et permettant de conserver d’identité des personnes filmées.

Si toutefois les fichiers ne sont pas conservés à des fins d’identification, un assouplissement de la loi permet de solliciter une simple autorisation préfectorale (pour les lieux accueillant du public).

Information des salariés et du public

Une information préalable est requise auprès des représentants des salariés avant tout installation d’un dispositif de vidéosurveillance, en mettant l’accent sur les objectifs de sécurité et en spécifiant que les enregistrements ne sont pas conservés plus d’un mois.

De la même manière, l’entreprise doit mettre en place une signalisation informant les visiteurs de la présence d’un système de vidéosurveillance.

Cet affichage doit se faire dès l’entrée dans l’établissement, en précisant les raisons ainsi que les coordonnées de l’autorité ou de la personne chargée de l’exploitation du système et en rappelant les modalités d’exercice du droit d’accès des personnes filmées aux enregistrements qui les concernent (loi du 6 août 2004).

Le principe de proportionnalité

On pourrait dire aussi principe de bon sens. L’employeur doit en premier lieu démontrer l’intérêt légitime à la mise en place d’un système de surveillance. Il peut s’agir de la nécessité de protéger des personnes ou des biens, ou de se prémunir contre des risques tels que le vol.

Partant de là, le dispositif installé doit être proportionnel au regard des intérêts à protéger.

Il y a une différence notoire entre installer une caméra dans un entrepôt à des fins de sécurité et le fait d’en installer une permettant d’observer en permanence des postes de travail.

Bien évidemment des caméras installées dans des lieux de repos des salariés ou dans des toilettes constituent une surveillance excessive. La CNIL a récemment mis à l’amende des entreprises pour des situations de surveillance jugées excessives et non proportionnées par rapport aux risques à prévenir.

La CNIL a fait valoir que des caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation, ou encore filmer les zones où de la marchandise ou des biens de valeur sont entreposés. Pas question en revanche de filmer en permanence un employé sur son poste de travail, sauf si celui-ci manipule par exemple de l’argent, en vertu du principe de proportionnalité.

En synthèse, bien que frappée du sceau du bon sens, la mise en place d’un système de vidéosurveillance doit s’accompagner de certaines précautions. Eventuellement prenez avis auprès de votre conseiller en assurances, qui saura vous orienter vers un prestataire de vidéosurveillance homologué et bien au fait des contraintes législatives.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.comptanoo.com/assurance-prevention/actualite-tpe-pme/23794/videosurveillance-entreprise-regles-et-limites

Règlement européen sur la protection des données : Transparence et responsabilisation

Réagissez à cet article

Règlement européen sur la protection des données : Renforcement des droits des personnes

Réagissez à cet article

Règlement européen sur la protection des données : Evolution du cadre juridique

Réagissez à cet article

Géolocalisation des véhicules de l’entreprise : la CNIL modifie la donne !

Géolocalisation d’un salarié : les règles à suivre

La géolocalisation est un procédé qui équipe les véhicules d’entreprise d’un dispositif GPS permettant leur localisation géographique immédiate. Dans le BTP, il peut être utilisé, par exemple, pour contrôler et vérifier les déplacements du personnel de chantier.

Il est possible d’y recourir à condition de ne pas aboutir à un contrôle permanent du salarié.

La mise en œuvre du dispositif de géolocalisation doit être proportionnelle au but recherché et justifiée par l’activité de l’entreprise.

Le CE doit être informé et consulté (ou à défaut les DP), préalablement à tout projet de mise en place d’un dispositif de géolocalisation au sein des véhicules de l’entreprise. Ensuite, vous devrez en informer l’ensemble du personnel (lettre remise en mains propres, note de service, etc.).

Pour cela, les Editions Tissot mettent à votre disposition un modèle d’attestation d’information de mise en place d’un système de géolocalisation extrait de la documentation « Formulaire Social BTP commenté ».

Il faut également déclarer le dispositif à la CNIL.

La CNIL a en effet adopté en 2006, une recommandation portant sur la géolocalisation des véhicules utilisés par les salariés.

L’objectif étant d’encadrer la mise en œuvre d’un tel dispositif tout en respectant la loi relative à l’informatique et aux libertés mais également au Code du travail. De cette recommandation est née une norme simplifiée dite « Norme 51 ».

Ainsi, dès lors que vous souhaitez équiper vos véhicules d’un système de géolocalisation, vous devez au préalable effectuer une déclaration de conformité à la norme 51 auprès de la CNIL afin d’attester que vous respectez scrupuleusement ce que prescrit la CNIL.

Or cette norme 51 vient d’être modifiée par la CNIL.

Géolocalisation : les principales modifications apportées par la CNIL

La nouvelle norme du 4 juin 2015, consolidée le 29 juin 2015, vous défend de collecter des données de géolocalisation durant le trajet domicile/travail mais également pendant le temps de pause de vos salariés. En effet, la précédente norme précisait seulement que le salarié avait la possibilité de désactiver le dispositif en dehors de son temps de travail ou bien durant son temps de pause.

En revanche, cette nouvelle norme rend possible la désactivation par le salarié du dispositif et ce à tout moment de la journée. En effet, l’article 6 de ladite norme précise que : « les employés doivent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules, en particulier à l’issue de leur temps de travail ou pendant leur temps de pause ».

Toutefois, ce droit dont bénéficie le salarié s’accompagne d’une contrepartie vous permettant de recueillir toutes explications de sa part en cas de désactivations trop fréquentes.

Par ailleurs, s’agissant du recueil des données traitées, il est possible de collecter la date ainsi que l’heure d’une activation ou d’une désactivation du dispositif par le salarié et ce durant le temps de travail. En conséquence, une procédure disciplinaire pourrait être engagée à l’encontre d’un salarié qui désactive fréquemment le dispositif de géolocalisation sans raison valable.

Enfin, la norme vous rappelle que le dispositif de géolocalisation n’a pas pour objectif de contrôler la vitesse de vos salariés. En effet, vous ne pourrez relever des infractions aux dispositions relatives au Code de la route puisque celles-ci ont trait à des données à caractère personnel que seuls les agents de services compétents peuvent sanctionner.

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.batiactu.com/edito/geolocalisation-vehicules-entreprise-cnil-modifie-donne-42230.php

Dispositif biométrique d’accès à la cantine : quelles formalités à la CNIL ?

Les établissements qui souhaitent installer ce type de dispositifs doivent faire une déclaration simplifiée, en sélectionnant dans l’onglet « Finalité » l’autorisation unique AU-009.

Le responsable du dispositif s’engage ainsi à se conformer aux caractéristiques décrites dans ce texte.

Les autres dispositifs biométriques (réseaux veineux, empreintes digitales, reconnaissance faciale, etc.) doivent faire l’objet d’une demande d’autorisation préalable auprès de la CNIL.

Lire la suite….

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do?name=Dispositif+biom%C3%A9trique+d%27acc%C3%A8s+%C3%A0+la+cantine+%3A+quelles+formalit%C3%A9s+%C3%A0+la+CNIL+%3F&id=281

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).