Une entreprise peut-elle être condamnée pour défaut de sécurisation de l’accès à ses outils informatiques ?

Une entreprise peut être sanctionnée par la CNIL, par exemple, si l’organisme juge que les mots de passe sont peu sécurisants : les noms des employés, inchangés depuis quelques années. Avec les nouvelles réglementations européennes entrées en vigueur en 2018, les amendes peuvent s’élever à 20 millions d’euros voire 4% du chiffre d’affaires mondial…

Mise en conformité RGPD, les conseils de notre Expert 

Depuis le 25 mai 2018, les établissements public ou privés, les associations, les entreprises etc. doivent se mettre en conformité avec un règlement Européen sur la Protection des Données dit  RGPD. Face au flou présenté aux organismes, il nous paraissait important d’éclaircir la première étape d’une mise en conformité RGPD : l’Audit RGPD.

Art. 30 du  RGPD

« Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »

Le Net Expert : Monsieur JACOPINI, quels conseils donnerez-vous à tous ceux qui souhaitent mettre en conformité leur établissement ?

Denis JACOPINI :Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données.

Sachez qu’ pour réaliser ces démarches de mise en conformité.

Formation Data protection officer (DPO)

D’ici le 25 mai 2018, les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir aux services d’un data protection officer (DPO).

Quel est son rôle et ses obligations ?

Data protection officer : définition

Les données sont présentes en masse dans les entreprises. Ce qui peut poser des risques en matière de sécurité mais aussi de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le data protection officer (DPO).

Sa mission est la suivante : s’assurer que son employeur ou son client respecte la législation lorsqu’il utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Son rôle est donc transversal, ce qui l’amène à travailler avec de nombreux départements : direction générale, marketing, développement ou encore RH. En cas de manquement à la loi, il est tenu d’alerter sa direction dans les plus brefs délais.

Son rôle est très polyvalent. En plus de connaissances en informatique et en cybersécurité, le data protection officer est tenu de posséder une grosse culture juridique, notamment en droit des nouvelles technologies de l’information et de la communication (NTIC). Aujourd’hui, des juristes spécialistes des NTIC, des informaticiens, des ingénieurs en cybersécurité peuvent exercer des fonctions de data protection officer au sein d’entreprises ou de cabinets de conseil.

Accompagnement  à la mise en conformité avec le RGPD de votre établissement

2 SOLUTIONS POUR SE METTRE EN CONFORMITÉ AVEC LE RGPD

1. Vous faîtes appel à un expert / formateur qui vous accompagne dans la mise en conformité avec le RGPD de votre établissement (ci-dessous).

2. Vous apprenez à vous mettre en conformité avec le RGPD en suivant une formation (Consultez notre page « Initiation au RGPD, Formation RGPD pour DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats et Experts comptables »).

Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

Pour cela, j’ai créé des services sur mesure :

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisissez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » (nous vous apprenons et vous poursuivez le maintien de la mise en conformité tout en ayant la sécurité de nous avoir à vos cotés si vous en exprimez le besoin) ;
• ou « Nous laisser faire » (nous réalisons les démarches de mise en conformité de votre établissement en totale autonomie et vous établissons régulièrement un rapport des actions réalisées opposable à un contrôle de la CNIL).

contactez-nous avec le formulaire ci-dessous

Pour ceux qui veulent apprendre à faire, nous proposons 3 niveaux de formation

1. Une formation d’une journée pour vous sensibiliser au RGPD : « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » ;
2. Une formation de deux jours pour les futurs ou actuels DPO : « Je veux devenir le Délégué à la Protection des Données de mon établissement » ;
3. Une formation sur 4 jours pour les structures qui veulent apprendre à mettre en conformité leurs clients : « J’accompagne mes clients dans leur mise en conformité avec le RGPD ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

Le dirigeant est responsable de ses #déclarations à la CNIL

Quelles mesures les entreprises doivent-elles prendre pour être en règle avec la CNIL (commission nationale de l’informatique et des libertés), notamment pour le respect des données privées ? 

Les entreprises doivent protéger les données personnelles, selon la loi Informatique et libertés ?

C’est une obligation légale des entreprises : elles doivent protéger les données personnelles de leurs salariés comme de leurs clients. Une donnée personnelle est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement .

Certaines données peuvent sembler évidentes : nom, prénom, date de naissance, adresse postale, empreinte digitale. D’autres viennent moins spontanément à l’esprit : adresse IP, habitudes de consommation, entourage familial, plaque d’immatriculation.

L’entreprise se doit donc de sécuriser les informations personnelles qui transitent par son site Internet (ne serait-ce qu’à travers un formulaire de contact), par l’enregistrement des appels, la vidéosurveillance, l’annuaire interne, les contrôles d’accès aux locaux, etc.

Que doit faire l’entreprise pour être en conformité avec la loi ?

Informer les instances représentatives et mettre en œuvre une charte informatique ne suffit pas. Le site Internet de l’entreprise doit comporter des mentions légales, elle doit assurer la confidentialité des données, définir une durée de conservation des données, effectuer les déclarations préalables à la mise en place d’un dispositif de collecte auprès de la CNIL, respecter l’objectif de la collecte annoncé, etc.

Le dirigeant de l’entreprise est responsable et doit prendre les mesures nécessaires au traitement des données personnelles. Il est aussi fortement conseillé, dans les entreprises de taille importante, de mettre en place un CIL, un correspondant informatique et libertés, et de sensibiliser les utilisateurs et les salariés aux risques informatiques et à la loi informatique et libertés. Il peut aussi être utile de faire un inventaire des traitements des données à caractère personnel (site Internet, fichiers clients, prospects, fournisseurs, téléphonie, vidéo-surveillance, gestion de la paie, fichiers métiers).

Le coût de la mise en place de ces mesures varie en fonction de la taille de l’entreprise, donc du temps nécessaire à l’analyse des risques.

Quelles sanctions l’entreprise et son dirigeant risquent-ils ?

Au-delà des sanctions légales, c’est la réputation et la crédibilité de l’entreprise qui sont en jeu : son image et son patrimoine sont exposés.

Néanmoins, l’absence de mentions légales peut déboucher sur une amende de 6000 €, la surveillance permanente des zones réservées dans une entreprise ou la collecte de données sur la vitesse d’un véhicule, 5000 € ; le non respect des obligations de sécurisation des données personnelles peut aller jusqu’à 300 000 € d’amendes.
 Toutefois, la CNIL joue pour l’instant avant tout un rôle de prévention plus que de sanction.

Quid de la loi sur le renseignement qui oblige les opérateurs à mettre en place des dispositifs automatiques de collecte des données ?

Ce type de loi ne pose pas de problème dans une démocratie et remplit ses objectifs de sécurité. En revanche, la question se poserait de façon plus grave sous un autre régime.

ATTENTION !

Une déclaration incomplète ou ne correspondant pas à la réalité peut vite se transformer en FAUSSE DECLARATION.

#Prospection par messagerie électronique : que risque une société qui ne respecte pas la loi ?

Une société qui ne respecte pas cette règle risque des sanctions pénales et des amendes de 750 euros par message expédié.

De son côté, la CNIL peut prononcer des sanctions pouvant aller jusqu’à 300.000 Euros d’amende lorsque des messages sont adressés à des personnes physiques sans leur consentement.

Formation RGPD pour TPE / PME / DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats, Experts comptables et 

consultants

2 SOLUTIONS POUR SE METTRE EN CONFORMITÉ AVEC LE RGPD

1. Vous apprenez à vous mettre en conformité avec le RGPD en suivant une formation (ci-dessous) ;

2. Vous faîtes appel à un expert / formateur qui vous accompagne dans votre mise en conformité avec le RGPD de votre établissement (Consultez notre page « Services d’accompagnement à la mise en conformité avec le RGPD »).

   Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il m’est ainsi aisé d’expliquer le coté pragmatique de la démarche de mise en conformité avec le RGPD.

« Mon objectif est de vous transmettre mon savoir, vous dévoiler mes techniques mes outils car c’est bien ce que les personnes qui souhaitent s’inscrire à une formation RGPD attendent. »

Pour cela,  j’ai créé 3 niveaux de formation.

1. Une formation d’une journée pour les indépendants, TPE et les PME « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer ». Cette formation a pour objectif de vous faire découvrir l’essentiel de ce règlement Européen, de vous apprendre les principes du RGPD permettant à la fois de comprendre l’intérêt de la démarche de mise en conformité RGPD et de réaliser les premières actions ;
2. Une formation de deux jours pour les DPO « Je veux devenir le Délégué à la Protection des Données de mon établissement ». Que vous soyez bientôt ou soyez déjà désigné « Délégué à la Protection des Données » ou « DPO », nous vous conseillons cette  formation. Cette formation vous permettra de rentrer en profondeur dans le Règlement Européen et vous présentera des éléments concrets afin de mettre en place durablement une mise en conformité avec le RGPD au sein de votre établissement ;
3. Une formation sur 4 jours pour les consutlants « J’accompagne mes clients dans leur mise en conformité avec le RGPD ». Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable et souhaitez accompagner vos clients dans leur mise en conformité avec le RGPD,  cette formation est composée de 2 jours de théorie et 2 jours de pratique dont 1 dans l’établissement de votre choix (le votre ou celui d’un client). Suivez LA formation qui vous apportera la plus grande autonomie avec le RGPD de tout notre catalogue.

et des services sur mesure.

1. Vous souhaitez tout faire -> Nous vous apprendrons à mettre votre établissement en conformité. La plupart du temps, le contenu de ces formations est personnalisé et adapté à vos besoins spécifiques ;
2. Vous ne savez pas par où commencer -> Nous ferons l’état des lieux, mettrons en place le registre puis nous vous apprendrons à maintenir la conformité des traitements ;
3. Vous ne souhaitez rien faire -> Nous nous occuperons de tout.

Plus d’information sur nos services d’accompagnement
à la mise en conformité avec le RGPD ici

Formation pour TPE/PME « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » : 1 jour
(Découvrez et comprenez la démarche de mise en conformité)

Découvrez l’essentiel du RGPD, apprenez les principes du RGPD permettant à la fois de comprendre l’intérêt de la démarche de mise en conformité RGPD et de réaliser les premières actions.

Consultez les dates de nos prochaines formations
« Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer »

Formation pour DPO « Je veux devenir le Délégué à la Protection des Données de mon établissement » : 2 jours
(Mettez en place une démarche de mise en conformité RGPD)

Que vous soyez bientôt ou soyez déjà désigné « Délégué à la Protection des Données » ou « DPO », nous vous conseillons cette  formation. Cette formation vous permettra de rentrer en profondeur dans le Règlement Européen et vous présentera des éléments concrets afin de mettre en place durablement une mise en conformité avec le RGPD au sein de votre établissement.

Consultez les dates de nos prochaines formations
« Je veux devenir le Délégué à la Protection des Données de mon établissement »

Formation pour consultants « J’accompagne mes clients dans leur mise en conformité avec le RGPD » : 3 jours + 1 jour dans votre établissement
(C’est le moment ou jamais de vendre des services autour du RGPD)

Enfin,  si votre objectif est avant tout de développer l’activité de mise en conformité avec le RGPD afin de vendre cette prestation auprès de vos clients, cette formation est faite sur-mesure pour vous en vous apportant l’ensemble des mesures et des cas qu’il est nécessaire de maîtriser pour que vos clients soient mis sur le chemin de la mise en conformité. Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable, un consultant et souhaitez accompagner vos clients dans leur mise en conformité avec le RGPD,  cette formation se passe sur 3 jours en groupe plus une journée supplémentaire en individuel pour superviser la mise en place du RGPD dans votre établissement ou chez un de vos clients (frais liés au déplacement dans cet établissement en sus). Suivez LA formation qui vous apportera la plus grande autonomie dans la mise en conformité de tout notre catalogue.

Consultez les dates de nos prochaines formations
« J’accompagne mes clients dans leur mise en conformité avec le RGPD »

Formation RGPD « Mise en conformité RGPD sur mesure » (pour TPE/PME)
(Pour ceux qui souhaitent une formation ou un accompagnement personnalisé dans la mise en conformité RGPD)

Que ayez bientôt ou déjà désigné « Délégué à la Protection des Données » ou « DPO » dans votre établissement, si vous souhaitez que nous établissions un programme de formation personnalisé dans son contenu ou dans son organisation, nous nous ferons un plaisir d’étudier votre demande et d’élaborer une proposition adaptée à vos besoins.

Accompagnement à la mise en conformité RGPD de mon établissement

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisisez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » ;
• ou « Nous laisser faire ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

N’hésitez pas à contacter notre équipe.

Intéressé pour assister à une de nos sessions de formation en France, choisissez la ville qui vous intéresse. Vous souhaitiez que nous nous déplacions au sein de votre établissement pour une formation ou pour un accompagnement individuel, indiquez-le dans les commentaires.

Nos formations s’organisent en groupe. Le lieu de la formation sera facilement accessible à Métro à Paris, facilement accessible en tramway à Lyon et à proximité d’une gare TGV et disposera d’un parking à Marseille. Votre place ne sera réservée qu’à la réception de votre acompte. Si la formation était annulée (nombre de participants insuffisants ou en cas de force majeure), votre acompte sera remboursé en intégralité dans les 5 jours (les chèques seront encaissés à partir du jour de la formation). En cas d’annulation de votre part moins de 48 heures avant la formation, l’acompte pourra ne pas être remboursé car destiné à régler les frais de réservation de salle et d’organisation, eux même non remboursables.

LE FORMATEUR : Denis JACOPINI

Denis JACOPINI est Expert de Justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel). Il est diplômé en Cybercriminalité, e, Droit de l’Expertise Judiciaire et est Certifié en Gestion des Risques des Systèmes d’ Information. IL est formateur depuis 1998 et consultant depuis 1996, il a une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique dans la sécurité informatique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d’expliquer le coté pragmatique de la démarche de mise en conformité avec le RGPD à tout public.

« Mon objectif est de vous transmettre mon savoir, vous dévoiler mes techniques mes outils car c’est bien ce que les personnes qui souhaitent s’inscrire à une formation RGPD attendent. »

Les grands principes de la cryptologie et du chiffrement

Protection des données personnelles : Les entreprises ne respectent pas la Loi et jouent avec les données de leur clients. Ca pourrait bien leur coûter cher !

A quoi sert la CNIL ?

Positionnez-vous d’abord en tant que consommateur. Lorsque vous commandez, achetez, communiquez, savez-vous où vont les informations personnelles ou confidentielles que vous confiez aveuglément ?Seriez-vous d’accord si toutes les données (coordonnées postales, e-mail, bancaires, santé, politique, religion, habitudes de consommation etc.) que vous communiquez en toute confiance à des tiers se retrouvent dispersées dans la nature et à la vue de tout le monde ? J’imagine que non ! Vous vous attendez plutôt à ce que tous les tiers prennent soin de conserver précieusement vos informations qui sont pour chacun d’entre nous précieuses et confidentielles pour certaines.

A la place de ça, que font les entreprises ?
Ils utilisent vos coordonnées pour envoyer de la publicité et surcharger votre boite e-mail, votre téléphone, votre boite aux lettres. Plus grave, certains vont vendre ou louer vos coordonnées à des tiers pour monnayer vos informations personnelles. Plus grave encore, d’autre encore vont stocker vos précieux éléments sur des systèmes informatiques non sécurités… Et c’est aussi comme ça qu’on se retrouve rapidement noyé par les spams ou les virus, victime d’usurpation d’identité ou pire…   C’est pour canaliser cela que la CNIL (Commission Nationale de l’Informatique et des Libertés) existe. Sa mission officielle est de « veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Qui est concerné ?
Tout professionnel, organisme, association qui gère un fichier client, contact, mail, salariés, élèves, patients… que ce fichier soit informatisé ou géré sur papier. Les seuls qui n’ont pas à faire de telles déclarations sont les particuliers et les association, mais seulement pour les traitements qui concernent les données de leurs membres.

Les réactions les plus courantes lors de mes conférences
Lorsque j’anime des ateliers, des tables rondes ou des conférences sur le sujet des risques juridiques du chef d’entreprise face aux nouveaux usages de l’informatique ou des obligations des entreprises vis à vis de la CNIL, et que le volet des obligations par rapport à la #loi Informatique et Libertés est abordé, il m’est systématiquement posé la question suivante :

« Mais, comment se fait-il qu’on ne soit pas informé de ces obligations ? »

Et ma réponse au chef d’entreprises est systématiquement toujours la même :
« Par pure négligence de votre part . Que votre entreprise ait 0 ou 100 000 salariés, les obligations sont les mêmes et existent depuis 1978 au travers de la Loi Informatique et Libertés. Lorsque vous avez créé votre entreprise, vous vous êtes engagés à respecter la réglementation pendant toute la vie de votre entreprise. Et cette loi, je vous l’accorde, longtemps restée dans l’ombre, fait partie des règles qui doivent être obligatoirement respectées. Comme vous avez vu tout à l’heure, si vous vous positionnez en tant que consommateur, il vous semble évident que vos données personnelles soient protégées. Comme cette précaution absolue n’est pas une priorité naturelle pour les entreprises, un gendarme a été créé pour informer, surveiller, contrôler et sanctionner les entreprises fautives. Vous faites certainement partie des patrons qui essaient de gérer leur entreprise du mieux possible et avec vos problèmes et vos priorités vous y arriver je pense très bien. Vous vous souciez probablement d’abord de la réglementation à respecter en matière sociale, fiscale et en rapport de votre activité professionnelle. Je sais qu’il est matériellement impossible de tout savoir, et de connaitre toutes les lois. C’est ce que moi j’appelle faire des impasses. Sauf que là, c’est des impasses qui peuvent vous coûter jusqu’à 300 000 euros. »

Pourquoi parle-t-on de la CNIL si souvent aujourd’hui ?
Parce qu’elle tire la sonnette d’alarme devant les changements de nos habitudes et l’évolution de la technologie Fait très important qui s’est passé depuis le début des années 80 : L’informatique s’est répandue dans quasiment tous les domaines sans réellement tenir compte de la sécurité des données. Peu savent que depuis les années 90, Internet qui s’impose à nous utilise un protocole de communication qui à la base ne sont pas sécurisées . Ensuite, nous sommes entrés dans l’ère des objets connectés avec un risque permanent de se faire « pomper » nos données. On ne va plus seulement parler de coordonnées postales téléphoniques ou bancaires, mais aussi de données de santé, d’habitudes alimentaires, de sommeil, de sortie, de loisirs… Que vos joujoux hi-tech connectés, votre smartphone ou votre ordinateur soient perdus ou piratés, les données qu’ils stockent sont librement accessibles… De plus, il ne se passe pas un jour sans qu’un opérateur, une société Web, une entreprise se fasse pirater son système informatique et par la même occasion les données de ses clients. Il y a deux types de cibles : celles qui ont beaucoup de trésorerie à se faire voler, et les millions de malchanceux qui dont le manque de sécurité a été automatiquement détecté qui vont être la proie de cybercriminels. Pour vous donner une idée, 144 milliards d’emails sont échangés chaque jour et 68,8% d’entre eux sont des spams et nombreux cachent des réseaux cybercriminels. 400 Millions de personnes sont concernées par des cyberattaques chaque année. Vous comprenez maintenant pourquoi il devient urgent de canaliser tous ces usages et déjà les premier débordements avant que ça continue à s’aggraver.

Est-ce risqué de ne pas respecter la Loi Informatique t Libertés
Même si en référence la loi du 29 mars 2011 relative au défenseur des droits, la CNIL peut rendre publiques les sanctions pécuniaires qu’elle prononce, il n’y a jusqu’à maintenant eut que très peu de sanctions prononcées. En 2013, 414 contrôles ont aboutit à 14 sanctions.

On eut en avoir  liste sur http://www.cnil.fr/linstitution/missions/sanctionner/les-sanctions-prononcees-par-la-cnil/

Cependant, le niveau de risque devrait exploser en 2015 ou du moins, dès la mise en application du règlement européen relatif aux traitements de données à caractère personnel. Selon les infractions, le montant des sanctions peut aujourd’hui s’élever jusqu’à 300 000 euros. Cenpendant, compte tenu de leur chiffre d’affaire démesuré, certaines entreprises peuvent continuer à sourire avec de telles amendes (par exemple google et ses 60 milliards de chiffre d’affaire, ou Facebook, Appel, Orange…) .

Devant ces situations, la Commission Européenne décidé de frapper un grand coup avec un règlement européen et au travers de deux principales actions répressives :

1) Augmenter plafond des amendes jusqu’à 5% du chiffre d’affaire ( ça pourrait donner 3 milliards de dollars d’amende maximale par infractions pour google)

2) Rendre Obligatoire pour toute entreprise, de déclarer sous 24h à la CNIL le moindre incident de sécurité (virus, perte données, perte ou  vol de matériel, piratage…), laquelle pourra vous obliger d’informer tous vos clients que la sécurité de leurs donées personnelles a été compromise. Cette obligation existe déjà depuis juin 2013 mais seulement pour les OIV (Opérateurs d’importance Vitale).
Souvenez-vous l’affaire du piratage d’Orange en janvier et avril 2014 et les articles de presse peux valorisants pour la marque et inquiétant pour ses clients. Le règlement européen prévoir d’obliger toutes les entreprises d’informer l’ensemble des propriétaires dont la sécurité a été compromise suite à un piratage, une perte ou à un vol de données personnelles ou de matériel contenant des données personnelles. Ainsi, on ne parle plus d’un risque financier, mais d’un risque de mauvaise réputation des entreprises face à leurs clients et concurrents…

Concrètement, que faut-il faire pour de mettre en conformité avec la CNIL ?
L’aritcle premier de la Loi définit que l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

L’article 2 précise que la loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers.

Enfin l’article 22 indique que les traitements de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL

En d’autres termes, pour se mettre en conformité, il faut déclarer à la CNIL l’ensemble des traitements de données qui concernent des informations permettant d’identifier des personnes.

Je tiens à préciser qu’on ne déclare pas ou on ne donne pas à la CNIL ses données, on ne déclare que des traitements de données à caractères personnel.

Lien vers le Loi Informatique et Libertés http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

Mon conseil en 4 étapes pour se mettre en conformité avec la CNIL
1) Identifier l’ensemble des traitements de données permettant d’identifier des personnes.

2) Procéder à l’analyse détaillée de ses traitements et corriger les actions qui ne sont pas conformes à la Loi Informatique et Libertés en terme de sécurité des fichiers, de confidentialité des données, de durée de conservation des documents, d’information des personnes, de demande d’autorisation et de finalité des traitements.

3) Déclarer le traitement à la CNIL ou désigner un Correspondant Informatique et Libetés  qui sera chargé de tenir à jour un registre des traitements sans avoir à les déclaréer séparément.

4) Faire un à deux points par an pour reporter dans le registre les changements sur les traitements existants et les y ajouter les nouveaux.

En cas d’impossibilité d’adapter votre traitement de données personnelles par rapport à la loi Informatique et Libertés, une demande d’avis ou d’autorisation doit être formulée à la CNIL.

Bien évidemment, la réponse de la CNIL doit être attendue avant d’utiliser le traitement concerné.

Une fois ces étapes de « mise sur rails » accomplie, la personne qui aura en charge la fonction de correspondant dans votre entreprise aura obligation de tenir un registre des traitements mis en œuvre au sein de l’organisme (consultable par la CNIL ou tout demandeur sur simple demande) et de veiller au respect des dispositions de la loi « informatique et libertés » au sein de l’organisme.

Est-on obligé de faire une déclaration pour chaque traitement ?
Oui et Non

Non si vous nommez un #correspondant Informatique et Libertés (#CIL). Qu’il soit interne à l’entreprise ou externe (si vous souhaitez déléguer la responsabilité  à quelqu’un d’externe à l’entreprise, comme je le fais pour de nombreuses entreprises). Le Cil n’aura alors qu’à tenir à jour un registre répertoriant l’ensemble des traitements de données à caractères personnel et leurs caractéristiques détaillées. Ce registre devra pouvoir être consultable par la CNIL mais auss par quiconque vous en fera la demande.

Oui si vous décidez de ne pas déclarer un Correspondant Informatique et Libertés.

Qui peut être ou devenir CIL ?
La loi prévoit que le correspondant Informatique et Libertés est une personne bénéficiant des qualifications requises pour exercer ses missions.
Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée.
Néanmoins, le CIL doit disposer de compétences variées et adaptées à la taille comme à l’activité du responsable des traitements.
Ces compétences doivent porter tant sur l’informatique et les nouvelles technologies que sur la réglementation et législation relative à la protection des données à caractère personnel.
…
L’absence de conflit d’intérêts avec d’autres fonctions ou activités exercées parallèlement est également de nature à apporter les garanties de l’indépendance du CIL. C’est pourquoi la fonction de correspondant est incompatible avec celle de responsable de traitements. Sont concernés le représentant légal de l’organisme (ex. : le maire / le PDG) et les autres personnes participant à la prise de décisions en matière de mise en oeuvre des traitements (ex. : les conseillers municipaux / les personnes disposant d’une délégation de pouvoirs).

Des difficultés pour vous mettre en conformité ?
Pour vous mettre en conformité avec la CNIL, il vaut mieux être sensibilisé à la loi Informatique et Libertés et aux règles et obligations qui en découlent (obligation d’information, droit d’accès, traitement des réclamations…).

Pour que votre mise en règle se fasse dans de bonnes conditions, nous pouvons nous charger de former et de suivre une personne de votre entreprise qui jouera le rôle de CIL (Correspondant Informatique et Libertés) ou bien, si vous le préférez, pour encore plus de tranquillité, Denis JACOPINI, expert Informatique spécialisé en protection des données personnelles, peut se charger d’être votre CIL externe en se chargeant de prendre en charge l’ensemble des formalités.

Plus de détails sur la CNIL
La CNIL est une AAI (Autorité Administrative Indépendante). C’est une structure gérée par l ‘état qui ne dépent d’aucun ministère et qui peut dresser des procès verbaux et sanctionner sans même à avoir à passer par un juge. La CNIL dépend directement du premier ministre qui peut en dernier recours, directement prendre des mesures pour mettre fin aux manquements.

Quelques chiffres

Combien de temps une crèche peut-elle conserver des informations sur vous et vos enfants ?

La durée de conservation de ces informations ne doit pas dépasser la durée nécessaire aux finalités pour lesquelles ces informations sont collectées et traitées.

Dans le cas de l’accueil de jeunes enfants, la CNIL recommande que ces informations soient effacées au plus tard trois ans après leur départ. Au-delà de ce délai, elles ne peuvent être conservées que de manière anonymisée, dans un but statistique par exemple.