Formation Data protection officer (DPO)

D’ici le 25 mai 2018, les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir aux services d’un data protection officer (DPO).

Quel est son rôle et ses obligations ?

Data protection officer : définition

Les données sont présentes en masse dans les entreprises. Ce qui peut poser des risques en matière de sécurité mais aussi de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le data protection officer (DPO).

Sa mission est la suivante : s’assurer que son employeur ou son client respecte la législation lorsqu’il utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Son rôle est donc transversal, ce qui l’amène à travailler avec de nombreux départements : direction générale, marketing, développement ou encore RH. En cas de manquement à la loi, il est tenu d’alerter sa direction dans les plus brefs délais.

Son rôle est très polyvalent. En plus de connaissances en informatique et en cybersécurité, le data protection officer est tenu de posséder une grosse culture juridique, notamment en droit des nouvelles technologies de l’information et de la communication (NTIC). Aujourd’hui, des juristes spécialistes des NTIC, des informaticiens, des ingénieurs en cybersécurité peuvent exercer des fonctions de data protection officer au sein d’entreprises ou de cabinets de conseil.

Arnaque au renouvellement de Nom de Domaine de votre site Internet

« Bloctel », la nouvelle « liste rouge » contre les spams téléphoniques

Depuis le 1er juin, les particuliers qui le désirent peuvent inscrire gratuitement leurs numéros (fixe et portable) sur la liste d’opposition au démarchage téléphonique « Bloctel » (bloctel.gouv.fr), mise en place par l’Etat.

Elle va remplacer la liste « Pacitel » créée en 2011, à l’initiative du gouvernement, par la Fédération française des télécoms. Cette dernière regroupe les principaux opérateurs (hors Free). Contrairement à Pacitel, l’ensemble des entreprises de démarchage auront obligation de se conformer à cette nouvelle liste Bloctel, sous peine d’amende allant jusqu’à 75 000 euros. Ils devront chaque mois retirer de leurs bases de données les numéros de téléphone inscrits sur la liste.

LA MAJORITÉ DES DÉMARCHAGES SE FAIT DEPUIS L’ÉTRANGER

Martine Pinville, secrétaire d’Etat en charge du commerce, qui a pris la succession de Carole Delga, à l’origine de l’entrée en vigueur de ce système, se dit « confiante » dans le succès de cette plate-forme. Mais elle précise que si un démarchage abusif est constaté, « il faudra à ce moment-là relever le numéro de téléphone et, si possible, le nom de la société qui a appelé, afin de nous le signaler sur Bloctel ou à la DGCCRF. Nous ferons les poursuites nécessaires ». Difficile toutefois d’identifier un numéro bien souvent masqué. L’autre écueil réside dans le fait que la majorité des démarchages se fait depuis l’étranger… [Lire la suite]

Victime d’une fraude sur votre carte de paiement ? L’état met à votre disposition une nouvelle plateforme : Percev@l

Un tel service était nécessaire et attendu depuis longtemps. En effet, la fraude aux cartes de paiement a lieu essentiellement sur Internet aujourd’hui (à plus de 70% selon les statistiques publiées par l’Observatoire de la sécurité des moyens de paiement). Cela veut dire que le lieu où se commet réellement l’infraction n’a en général aucun rapport avec l’endroit où se trouve la victime. De surcroît, c’est le cumul des informations provenant des nombreuses victimes qui permettra d’identifier les fraudeurs et leur mode opératoire et facilitera la coopération internationale (plus facile si on peut identifier un préjudice conséquent lié aux mêmes auteurs).

Lorsqu’on constate un paiement frauduleux avec son numéro de carte bancaire (en consultant son relevé de compte en ligne, ou encore en étant prévenu par sa banque ou son prestataire de paiement), les opérations suivantes peuvent maintenant être réalisées par les victimes:

• Mettre sa carte en opposition en contact son organisme de paiement (en général par un simple appel téléphonique)
• Réaliser son signalement sur le téléservice Percev@l (on le retrouve simplement sur le site service-public.fr en cherchant Percev@l ou « fraude carte bancaire »)
• Transmettre le récépissé fourni par Percev@l à sa banque pour faciliter les opérations de remboursement

[lire la suite]

La durée du travail de tous les salariés peut être contrôlée par un système de géolocalisation ?

Il n’est pas possible pour l’employeur d’utiliser les résultats de la géolocalisation si ce n’est pas déclaré à la CNIL (Commission nationale de l’informatique et des libertés) et sans que le sache le salarié, encore moins si l’entreprise possède déjà un moyen de contrôler la durée de travail. Si un salarié a une liberté de son temps de travail, c’est surtout le résultat qui compte.

Comment se prémunir du phishing

[popup show= »ALL »]

Un phénomène actuel omniprésent

L’actualité ne cesse d’en rapporter les méfaits :l’attaque de TV5 Monde, la création d’un phishing Google qui ressemble comme deux gouttes d’eau au célèbre moteur de recherche et l’élaboration d’une opération phishing pour s’évader d’une prison sont autant de phénomènes d’actualité qui démontrent que ce genre de fraude est de plus en plus perfectionné. Il est d’ailleurs estimé qu’un Internaute sur 10 se laisserait prendre au piège, c’est ce que révèle un article de Metronews. Afin de contrer ce phénomène,l’association Phishing-Initiative a été créée dans le but de protéger les internautes et de freiner les tentatives de phishing, toujours plus nombreuses.

Comment reconnaître un mail frauduleux ?

Comment repérer le vrai du faux ? Voici quelques méthodes qui permettent de voir si vous avez à faire à une tentative de phishing par e-mail :

• Votre e-mail semble provenir de votre banque et a l’air d’en être une copie originale, avec son logo et ses couleurs. Commencez par lire le message, si vous trouvez des erreurs d’orthographe ou des erreurs d’affichage, vous saurez qu’il ne s’agit alors que d’une pâle copie.
• Un message vous invite à vous rendre sur une page externe. Méfiance ! Avant de cliquer sur le lien, passez la souris sur le lien sans cliquer dessus. En bas à droite, vous découvrirez une URL « bizarre », qui n’a rien à voir avec l’entreprise.
• Le mail est trop insistant (dans le pire des cas, vous prédit une catastrophe) et vous demande expressément de donner vos codes bancaires et informations personnelles.

En voici un exemple type :

Flicker – phishing_exemple hameconnage pardownloasource.fr, CC BY 2.0, Certains Droits Réservés

Comment effectuer un paiement en ligne sécurisé ?

• Comment éviter la fraude et payer en toute sécurité quand vous faites vos achats en ligne ? Comment savoir s’il ne s’agit pas d’une tentative de phishing ? Vérifiez toujours lors de votre paiement que le site est sécurisé : l’URL débute par « https» et est accompagnée d’un petit cadenas, de cette façon :

Flickr – https par Sean MacEntee, CC BY 2.0, Certains Droits Réservés Et si vous ne souhaitez pas livrer vos coordonnées bancaires lors d’un achat en ligne, il existe des modes de paiements alternatifs qui ne nécessitent pas vos données bancaires. Pus sûrs, ils ne sont toutefois pas infaillibles :

•  PayPal, que l’on ne présente plus, permet de la même manière d’acheter ou de vendre en ligne sans livrer le moindre code bancaire grâce à un compte virtuel qu’il est possible de remplir selon vos besoins. Si des systèmes tels que PayPal sont régulièrement confrontés à des tentatives de phishing (vigilance donc !), le fraudeur ne peut cependant remonter à votre compte en banque, ce qui vous offre une sécurité supplémentaire.

• La carte virtuelle prépayée autorise un paiement en ligne sécurisé puisqu’en aucun cas vous ne livrez vos coordonnées bancaires sur Internet. Pour comprendre comment cela fonctionne, vous pouvez vous fier aux instructions de Paysafecard.

• Concernant le m-paiement, soit le paiement par mobile, Apple Pay utilise les concepts de jetons de paiement et l’identification biométrique pour une protection optimale. Mais, malgré la technologie développée par Apple, des hackers ont réussi à mener une vaste fraude bancaire en volant des données bancaires et en les installant sur de nouveaux Iphone.

Quel que soit votre moyen de paiement en ligne, restez vigilants !

Accompagnement  à la mise en conformité avec le RGPD de votre établissement

2 SOLUTIONS POUR SE METTRE EN CONFORMITÉ AVEC LE RGPD

1. Vous faîtes appel à un expert / formateur qui vous accompagne dans la mise en conformité avec le RGPD de votre établissement (ci-dessous).

2. Vous apprenez à vous mettre en conformité avec le RGPD en suivant une formation (Consultez notre page « Initiation au RGPD, Formation RGPD pour DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats et Experts comptables »).

Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

Pour cela, j’ai créé des services sur mesure :

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisissez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » (nous vous apprenons et vous poursuivez le maintien de la mise en conformité tout en ayant la sécurité de nous avoir à vos cotés si vous en exprimez le besoin) ;
• ou « Nous laisser faire » (nous réalisons les démarches de mise en conformité de votre établissement en totale autonomie et vous établissons régulièrement un rapport des actions réalisées opposable à un contrôle de la CNIL).

contactez-nous avec le formulaire ci-dessous

Pour ceux qui veulent apprendre à faire, nous proposons 3 niveaux de formation

1. Une formation d’une journée pour vous sensibiliser au RGPD : « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » ;
2. Une formation de deux jours pour les futurs ou actuels DPO : « Je veux devenir le Délégué à la Protection des Données de mon établissement » ;
3. Une formation sur 4 jours pour les structures qui veulent apprendre à mettre en conformité leurs clients : « J’accompagne mes clients dans leur mise en conformité avec le RGPD ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

Crypter les données, un nouveau métier ?

Je prends la peine d’écrire cet article car ces formes d’attaques feront dans les prochains mois, toujours partie non seulement des techniques les plus simples pour les pirates (2 milliards d’e-mails sont envoyés dans le monde chaque seconde dont la très grande majorité par des serveurs piratés), des plus rentables (même si seulement 0,01% des personne se font infectées, je vous laisse calculer ou imaginer le nombre colossal de victime chaque jour), et des moins risqués (en raison des technonologies d’anonymisation facilement accessibles).

Qu’est-ce que les crypto lockers

Ce sont des programmes malveillants qui peuvent se cacher dans des pièces jointes de mails ouqui peuvent s’attraper en consultant des pages WEB infectées (des mails peuvent aussi transporter des pages WEB).

A l’ouverture des informations piégées, ces programmes malveillants se lancent automatiquement et commencent à crypter (coder les informations dans un code incompréhensible par l’humain), avec un code qui peut parfois être inconnu par les pirates eux-même, la totalité des informations de vos disques durs (internes, amovibles, externes, réseaux…) et vous affichent, vers la fin de son travail, un message vous demandant de passe à la caisse.

Un règlement en bitcoins (monnaie virtuelle et anonye de rigueur) vous sera demandé en échange du code permettant de décrypter vos données.

Si vous ne payez pas, vous êtes sur que vos données ne seront pas décryptées; si vous payez, vous avez peut-être une chance de recevoir en échange de votre obole (quelques centaines d’euros) le code permettant de retrouver vos données comme avant.

Ces logiciels sont aussi appelés des rançongiciels ou des ransomwares (logiciel à rançon en français)

Comment s’en protéger

• Avoir des sauvegardes dignes de ce nom (automatisées, externalisées, historisées, contrôlées…) au cas ou vou svous faîtes infecter ;
• Avoir une suite de sécurité capable de de bloquer les logiciels malveillants, les mails infectés ou les sites malveillants ;
• Redoubler de vigilance, surtout sur les sites proposant gratuitement des choses payantes (multimédia mais aussi pornographique).

Une solution que nous recommandons depuis plusieurs années :

Et si c’est trop tard

• Profiter enfin des sauvegardes que vous avez réalisées contraint et forcé sans vraiment croire qu’un jour vous en aurez besoin ;
• Vous tourner vers un professionnel ou un service ayant l’outil de décryptage de vos données
• Payer en espérant :
• 1 : que vos données seront bien décryptées après paiemetn de la rançon;
• 2 : qu’un seul logiciel malveillant ait crypté vos données (et qu’il n’y ait pas un logiciel qui vous a crypté des données déjà cryptées)
• 3 : qu’aucun autre logiciel malveillant viendra vous refaire la même chose dans quelques jours car même si vous payez, rien ne vous garanti que, sans avoir activé des protections efficaces, vous ne vous rafassiez pas infectree.

Le dirigeant est responsable de ses #déclarations à la CNIL

Quelles mesures les entreprises doivent-elles prendre pour être en règle avec la CNIL (commission nationale de l’informatique et des libertés), notamment pour le respect des données privées ? 

Les entreprises doivent protéger les données personnelles, selon la loi Informatique et libertés ?

C’est une obligation légale des entreprises : elles doivent protéger les données personnelles de leurs salariés comme de leurs clients. Une donnée personnelle est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement .

Certaines données peuvent sembler évidentes : nom, prénom, date de naissance, adresse postale, empreinte digitale. D’autres viennent moins spontanément à l’esprit : adresse IP, habitudes de consommation, entourage familial, plaque d’immatriculation.

L’entreprise se doit donc de sécuriser les informations personnelles qui transitent par son site Internet (ne serait-ce qu’à travers un formulaire de contact), par l’enregistrement des appels, la vidéosurveillance, l’annuaire interne, les contrôles d’accès aux locaux, etc.

Que doit faire l’entreprise pour être en conformité avec la loi ?

Informer les instances représentatives et mettre en œuvre une charte informatique ne suffit pas. Le site Internet de l’entreprise doit comporter des mentions légales, elle doit assurer la confidentialité des données, définir une durée de conservation des données, effectuer les déclarations préalables à la mise en place d’un dispositif de collecte auprès de la CNIL, respecter l’objectif de la collecte annoncé, etc.

Le dirigeant de l’entreprise est responsable et doit prendre les mesures nécessaires au traitement des données personnelles. Il est aussi fortement conseillé, dans les entreprises de taille importante, de mettre en place un CIL, un correspondant informatique et libertés, et de sensibiliser les utilisateurs et les salariés aux risques informatiques et à la loi informatique et libertés. Il peut aussi être utile de faire un inventaire des traitements des données à caractère personnel (site Internet, fichiers clients, prospects, fournisseurs, téléphonie, vidéo-surveillance, gestion de la paie, fichiers métiers).

Le coût de la mise en place de ces mesures varie en fonction de la taille de l’entreprise, donc du temps nécessaire à l’analyse des risques.

Quelles sanctions l’entreprise et son dirigeant risquent-ils ?

Au-delà des sanctions légales, c’est la réputation et la crédibilité de l’entreprise qui sont en jeu : son image et son patrimoine sont exposés.

Néanmoins, l’absence de mentions légales peut déboucher sur une amende de 6000 €, la surveillance permanente des zones réservées dans une entreprise ou la collecte de données sur la vitesse d’un véhicule, 5000 € ; le non respect des obligations de sécurisation des données personnelles peut aller jusqu’à 300 000 € d’amendes.
 Toutefois, la CNIL joue pour l’instant avant tout un rôle de prévention plus que de sanction.

Quid de la loi sur le renseignement qui oblige les opérateurs à mettre en place des dispositifs automatiques de collecte des données ?

Ce type de loi ne pose pas de problème dans une démocratie et remplit ses objectifs de sécurité. En revanche, la question se poserait de façon plus grave sous un autre régime.

ATTENTION !

Nous attirons votre attention particulièrement sur le fait que certains professionnels du monde informatique, de l’internet ou de la communication, concernés par un devoir d’information auprès de leurs clients, remplissent les déclarations à la CNIL de leurs clients pour leur simplifier les démarches.

Il faut savoir que la déclaration à la CNIL d’un système de traitement se compose d’abord d’un audit technique et logique de l’existant, tant au niveau organisationnel qu’au niveau technique jusqu’à la sécurité informatique mise en place.

Une déclaration incomplète ou ne correspondant pas à la réalité peut vite se transformer en FAUSSE DECLARATION.

#Prospection par messagerie électronique : que risque une société qui ne respecte pas la loi ?

Une société qui ne respecte pas cette règle risque des sanctions pénales et des amendes de 750 euros par message expédié.

De son côté, la CNIL peut prononcer des sanctions pouvant aller jusqu’à 300.000 Euros d’amende lorsque des messages sont adressés à des personnes physiques sans leur consentement.