Comment supprimer une information gênante sur Internet ?

1 Où supprimer

• soit de connaître l’url (Uniform Resource Locator) utilisées pour identifier les pages et les sites web (par exemple : https://www.lenetexpert.fr/contacter-denis-jacopini-expert-judiciaire-en-informatique-correspondant-cnil-cil/)
• soit on passe par des outils permettant de rechercher de l’information (ex : http://www.google.fr et on recherche « Contacter Denis JACOPINI »)
• soit on passe par des outils spécialisés dans la recherche d’information qui vont scruter dans différents type de services Web (annuaires, réseaux sociaux, espaces de partage, de microblogage…)

Bien évidemment cette liste de conseils pas exhaustive et n’attend que vos avis et commentaires pour l’enrichir

#Anti-phishing, #Anti-Malware et protection des transactions bancaires pour ce logiciel de sécurité

En plus des technologies indispensables comme l’anti-phishing (pour se protéger des e-mails de phishing) et l’anti-malware (pour se protéger des malwares cachés dans des e-mails ou des sites internet infectés) qui protègent les clients contre les menaces d’Internet, ESET Smart Security 9 contient une toute nouvelle protection des transactions bancaires. Cette fonction met à disposition l’ouverture d’un navigateur sécurisé pour veiller à ce que toutes les transactions financières en ligne soient effectuées en toute sécurité. L’utilisateur peut également paramétrer lui-même tous les sites bancaires de paiement en ligne qu’il consulte le plus fréquemment.

Mise en conformité RGPD, les conseils de notre Expert 

Depuis le 25 mai 2018, les établissements public ou privés, les associations, les entreprises etc. doivent se mettre en conformité avec un règlement Européen sur la Protection des Données dit  RGPD. Face au flou présenté aux organismes, il nous paraissait important d’éclaircir la première étape d’une mise en conformité RGPD : l’Audit RGPD.

Art. 30 du  RGPD

« Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »

Le Net Expert : Monsieur JACOPINI, quels conseils donnerez-vous à tous ceux qui souhaitent mettre en conformité leur établissement ?

Denis JACOPINI :Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données.

Sachez qu’il n’est pas obligatoire de passer par un organisme pour réaliser ces démarches de mise en conformité.

Mieux que ça, une démarche de mise en conformité RGPD peut être aidée et même dans certains cas vous coûter 0€.

En effet, à l’instar du document unique ou d’une démarche qualité, la réalisation de cette démarche par un professionnel n’est pas obligatoire.

Comment faire pour profiter de cet avantage ?

En étant accompagné par un organisme de formation inscrit au datadock.
En effet, si vous disposez d’un budget formation, la mise en conformité RGPD de votre organisme sera prise en charge.

Vous ne vous sentez pas capable ?
Sachez que depuis 2011 j’accompagne des établissements à se mettre en conformité et qu’en seulement 2 entretiens, des personnes apprennent la méthodes et sont en mesure de l’appliquer.

• Lors du premier entretien, j’explique la démarche et l’essentiel des connaissances pour bien démarrer,
• Après quelques mises en pratique, je vous explique lors d’une second entretien les procédures en détail pour que vous atteignez l’autonomie.

En fonction du temps à votre disposition, nous pouvons aussi bien vous apprendre à réaliser ces démarches en toute autonomie (nous sommes organisme de formation et inscrits au Datadock et pouvons vous apprendre à réaliser vous même ces démarches) ou bien les réaliser pour vous ou bien un mix des deux.

Pour en savoir plus sur les démarches RGPD que nous proposons, consultez le lien :
https://www.lenetexpert.fr/mise-en-conformite-rgpd-accompagnement-personnalise.

Si vous voulez en savoir plus sur le formateur, vous pouvez consulter cette page : En savoir plus sur Denis JACOPINI et son équipe).

Intéressé par une démarche de mise en conformité avec la CNIL ?

Contatez-nous

Denis JACOPINI
DPO n°15945
formateur n°93 84 03041 84

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

[block id="24761" title="Pied de page HAUT"]

---

 

Sources : Denis JACOPINI

Arnaque au renouvellement de Nom de Domaine de votre site Internet

Comment se prémunir du phishing

[popup show= »ALL »]

Un phénomène actuel omniprésent

L’actualité ne cesse d’en rapporter les méfaits :l’attaque de TV5 Monde, la création d’un phishing Google qui ressemble comme deux gouttes d’eau au célèbre moteur de recherche et l’élaboration d’une opération phishing pour s’évader d’une prison sont autant de phénomènes d’actualité qui démontrent que ce genre de fraude est de plus en plus perfectionné. Il est d’ailleurs estimé qu’un Internaute sur 10 se laisserait prendre au piège, c’est ce que révèle un article de Metronews. Afin de contrer ce phénomène,l’association Phishing-Initiative a été créée dans le but de protéger les internautes et de freiner les tentatives de phishing, toujours plus nombreuses.

Comment reconnaître un mail frauduleux ?

Comment repérer le vrai du faux ? Voici quelques méthodes qui permettent de voir si vous avez à faire à une tentative de phishing par e-mail :

• Votre e-mail semble provenir de votre banque et a l’air d’en être une copie originale, avec son logo et ses couleurs. Commencez par lire le message, si vous trouvez des erreurs d’orthographe ou des erreurs d’affichage, vous saurez qu’il ne s’agit alors que d’une pâle copie.
• Un message vous invite à vous rendre sur une page externe. Méfiance ! Avant de cliquer sur le lien, passez la souris sur le lien sans cliquer dessus. En bas à droite, vous découvrirez une URL « bizarre », qui n’a rien à voir avec l’entreprise.
• Le mail est trop insistant (dans le pire des cas, vous prédit une catastrophe) et vous demande expressément de donner vos codes bancaires et informations personnelles.

En voici un exemple type :

Flicker – phishing_exemple hameconnage pardownloasource.fr, CC BY 2.0, Certains Droits Réservés

Comment effectuer un paiement en ligne sécurisé ?

• Comment éviter la fraude et payer en toute sécurité quand vous faites vos achats en ligne ? Comment savoir s’il ne s’agit pas d’une tentative de phishing ? Vérifiez toujours lors de votre paiement que le site est sécurisé : l’URL débute par « https» et est accompagnée d’un petit cadenas, de cette façon :

Flickr – https par Sean MacEntee, CC BY 2.0, Certains Droits Réservés Et si vous ne souhaitez pas livrer vos coordonnées bancaires lors d’un achat en ligne, il existe des modes de paiements alternatifs qui ne nécessitent pas vos données bancaires. Pus sûrs, ils ne sont toutefois pas infaillibles :

•  PayPal, que l’on ne présente plus, permet de la même manière d’acheter ou de vendre en ligne sans livrer le moindre code bancaire grâce à un compte virtuel qu’il est possible de remplir selon vos besoins. Si des systèmes tels que PayPal sont régulièrement confrontés à des tentatives de phishing (vigilance donc !), le fraudeur ne peut cependant remonter à votre compte en banque, ce qui vous offre une sécurité supplémentaire.

• La carte virtuelle prépayée autorise un paiement en ligne sécurisé puisqu’en aucun cas vous ne livrez vos coordonnées bancaires sur Internet. Pour comprendre comment cela fonctionne, vous pouvez vous fier aux instructions de Paysafecard.

• Concernant le m-paiement, soit le paiement par mobile, Apple Pay utilise les concepts de jetons de paiement et l’identification biométrique pour une protection optimale. Mais, malgré la technologie développée par Apple, des hackers ont réussi à mener une vaste fraude bancaire en volant des données bancaires et en les installant sur de nouveaux Iphone.

Quel que soit votre moyen de paiement en ligne, restez vigilants !

Accompagnement  à la mise en conformité avec le RGPD de votre établissement

2 SOLUTIONS POUR SE METTRE EN CONFORMITÉ AVEC LE RGPD

1. Vous faîtes appel à un expert / formateur qui vous accompagne dans la mise en conformité avec le RGPD de votre établissement (ci-dessous).

2. Vous apprenez à vous mettre en conformité avec le RGPD en suivant une formation (Consultez notre page « Initiation au RGPD, Formation RGPD pour DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats et Experts comptables »).

Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

Pour cela, j’ai créé des services sur mesure :

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisissez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » (nous vous apprenons et vous poursuivez le maintien de la mise en conformité tout en ayant la sécurité de nous avoir à vos cotés si vous en exprimez le besoin) ;
• ou « Nous laisser faire » (nous réalisons les démarches de mise en conformité de votre établissement en totale autonomie et vous établissons régulièrement un rapport des actions réalisées opposable à un contrôle de la CNIL).

contactez-nous avec le formulaire ci-dessous

Pour ceux qui veulent apprendre à faire, nous proposons 3 niveaux de formation

1. Une formation d’une journée pour vous sensibiliser au RGPD : « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » ;
2. Une formation de deux jours pour les futurs ou actuels DPO : « Je veux devenir le Délégué à la Protection des Données de mon établissement » ;
3. Une formation sur 4 jours pour les structures qui veulent apprendre à mettre en conformité leurs clients : « J’accompagne mes clients dans leur mise en conformité avec le RGPD ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

Formation RGPD pour TPE / PME / DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats, Experts comptables et 

consultants

2 SOLUTIONS POUR SE METTRE EN CONFORMITÉ AVEC LE RGPD

1. Vous apprenez à vous mettre en conformité avec le RGPD en suivant une formation (ci-dessous) ;

2. Vous faîtes appel à un expert / formateur qui vous accompagne dans votre mise en conformité avec le RGPD de votre établissement (Consultez notre page « Services d’accompagnement à la mise en conformité avec le RGPD »).

   

« Mon objectif est de vous transmettre mon savoir, vous dévoiler mes techniques mes outils car c’est bien ce que les personnes qui souhaitent s’inscrire à une formation RGPD attendent. »

Pour cela,  j’ai créé 3 niveaux de formation.

1. Une formation d’une journée pour les indépendants, TPE et les PME « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer ». Cette formation a pour objectif de vous faire découvrir l’essentiel de ce règlement Européen, de vous apprendre les principes du RGPD permettant à la fois de comprendre l’intérêt de la démarche de mise en conformité RGPD et de réaliser les premières actions ;
2. Une formation de deux jours pour les DPO « Je veux devenir le Délégué à la Protection des Données de mon établissement ». Que vous soyez bientôt ou soyez déjà désigné « Délégué à la Protection des Données » ou « DPO », nous vous conseillons cette  formation. Cette formation vous permettra de rentrer en profondeur dans le Règlement Européen et vous présentera des éléments concrets afin de mettre en place durablement une mise en conformité avec le RGPD au sein de votre établissement ;
3. Une formation sur 4 jours pour les consutlants « J’accompagne mes clients dans leur mise en conformité avec le RGPD ». Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable et souhaitez accompagner vos clients dans leur mise en conformité avec le RGPD,  cette formation est composée de 2 jours de théorie et 2 jours de pratique dont 1 dans l’établissement de votre choix (le votre ou celui d’un client). Suivez LA formation qui vous apportera la plus grande autonomie avec le RGPD de tout notre catalogue.

et des services sur mesure.

1. Vous souhaitez tout faire -> Nous vous apprendrons à mettre votre établissement en conformité. La plupart du temps, le contenu de ces formations est personnalisé et adapté à vos besoins spécifiques ;
2. Vous ne savez pas par où commencer -> Nous ferons l’état des lieux, mettrons en place le registre puis nous vous apprendrons à maintenir la conformité des traitements ;
3. Vous ne souhaitez rien faire -> Nous nous occuperons de tout.

Plus d’information sur nos services d’accompagnement
à la mise en conformité avec le RGPD ici

Formation pour TPE/PME « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » : 1 jour
(Découvrez et comprenez la démarche de mise en conformité)

Découvrez l’essentiel du RGPD, apprenez les principes du RGPD permettant à la fois de comprendre l’intérêt de la démarche de mise en conformité RGPD et de réaliser les premières actions.

Consultez les dates de nos prochaines formations
« Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer »

Formation pour DPO « Je veux devenir le Délégué à la Protection des Données de mon établissement » : 2 jours
(Mettez en place une démarche de mise en conformité RGPD)

Que vous soyez bientôt ou soyez déjà désigné « Délégué à la Protection des Données » ou « DPO », nous vous conseillons cette  formation. Cette formation vous permettra de rentrer en profondeur dans le Règlement Européen et vous présentera des éléments concrets afin de mettre en place durablement une mise en conformité avec le RGPD au sein de votre établissement.

Consultez les dates de nos prochaines formations
« Je veux devenir le Délégué à la Protection des Données de mon établissement »

Formation pour consultants « J’accompagne mes clients dans leur mise en conformité avec le RGPD » : 3 jours + 1 jour dans votre établissement
(C’est le moment ou jamais de vendre des services autour du RGPD)

Enfin,  si votre objectif est avant tout de développer l’activité de mise en conformité avec le RGPD afin de vendre cette prestation auprès de vos clients, cette formation est faite sur-mesure pour vous en vous apportant l’ensemble des mesures et des cas qu’il est nécessaire de maîtriser pour que vos clients soient mis sur le chemin de la mise en conformité. Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable, un consultant et souhaitez accompagner vos clients dans leur mise en conformité avec le RGPD,  cette formation se passe sur 3 jours en groupe plus une journée supplémentaire en individuel pour superviser la mise en place du RGPD dans votre établissement ou chez un de vos clients (frais liés au déplacement dans cet établissement en sus). Suivez LA formation qui vous apportera la plus grande autonomie dans la mise en conformité de tout notre catalogue.

Consultez les dates de nos prochaines formations
« J’accompagne mes clients dans leur mise en conformité avec le RGPD »

Formation RGPD « Mise en conformité RGPD sur mesure » (pour TPE/PME)
(Pour ceux qui souhaitent une formation ou un accompagnement personnalisé dans la mise en conformité RGPD)

Que ayez bientôt ou déjà désigné « Délégué à la Protection des Données » ou « DPO » dans votre établissement, si vous souhaitez que nous établissions un programme de formation personnalisé dans son contenu ou dans son organisation, nous nous ferons un plaisir d’étudier votre demande et d’élaborer une proposition adaptée à vos besoins.

Accompagnement à la mise en conformité RGPD de mon établissement

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisisez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » ;
• ou « Nous laisser faire ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

N’hésitez pas à contacter notre équipe.

Intéressé pour assister à une de nos sessions de formation en France, choisissez la ville qui vous intéresse. Vous souhaitiez que nous nous déplacions au sein de votre établissement pour une formation ou pour un accompagnement individuel, indiquez-le dans les commentaires.

Nos formations s’organisent en groupe. Le lieu de la formation sera facilement accessible à Métro à Paris, facilement accessible en tramway à Lyon et à proximité d’une gare TGV et disposera d’un parking à Marseille. Votre place ne sera réservée qu’à la réception de votre acompte. Si la formation était annulée (nombre de participants insuffisants ou en cas de force majeure), votre acompte sera remboursé en intégralité dans les 5 jours (les chèques seront encaissés à partir du jour de la formation). En cas d’annulation de votre part moins de 48 heures avant la formation, l’acompte pourra ne pas être remboursé car destiné à régler les frais de réservation de salle et d’organisation, eux même non remboursables.

LE FORMATEUR : Denis JACOPINI

Denis JACOPINI est Expert de Justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel). Il est diplômé en Cybercriminalité, e, Droit de l’Expertise Judiciaire et est Certifié en Gestion des Risques des Systèmes d’ Information. IL est formateur depuis 1998 et consultant depuis 1996, il a une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique dans la sécurité informatique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d’expliquer le coté pragmatique de la démarche de mise en conformité avec le RGPD à tout public.

« Mon objectif est de vous transmettre mon savoir, vous dévoiler mes techniques mes outils car c’est bien ce que les personnes qui souhaitent s’inscrire à une formation RGPD attendent. »

Info pratique : Attitude à adopter en cas de réception d’un e-mail étrange voire douteux

Protection des données personnelles : Les entreprises ne respectent pas la Loi et jouent avec les données de leur clients. Ca pourrait bien leur coûter cher !

A quoi sert la CNIL ?

Positionnez-vous d’abord en tant que consommateur. Lorsque vous commandez, achetez, communiquez, savez-vous où vont les informations personnelles ou confidentielles que vous confiez aveuglément ?Seriez-vous d’accord si toutes les données (coordonnées postales, e-mail, bancaires, santé, politique, religion, habitudes de consommation etc.) que vous communiquez en toute confiance à des tiers se retrouvent dispersées dans la nature et à la vue de tout le monde ? J’imagine que non ! Vous vous attendez plutôt à ce que tous les tiers prennent soin de conserver précieusement vos informations qui sont pour chacun d’entre nous précieuses et confidentielles pour certaines.

A la place de ça, que font les entreprises ?
Ils utilisent vos coordonnées pour envoyer de la publicité et surcharger votre boite e-mail, votre téléphone, votre boite aux lettres. Plus grave, certains vont vendre ou louer vos coordonnées à des tiers pour monnayer vos informations personnelles. Plus grave encore, d’autre encore vont stocker vos précieux éléments sur des systèmes informatiques non sécurités… Et c’est aussi comme ça qu’on se retrouve rapidement noyé par les spams ou les virus, victime d’usurpation d’identité ou pire…   C’est pour canaliser cela que la CNIL (Commission Nationale de l’Informatique et des Libertés) existe. Sa mission officielle est de « veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Qui est concerné ?
Tout professionnel, organisme, association qui gère un fichier client, contact, mail, salariés, élèves, patients… que ce fichier soit informatisé ou géré sur papier. Les seuls qui n’ont pas à faire de telles déclarations sont les particuliers et les association, mais seulement pour les traitements qui concernent les données de leurs membres.

Les réactions les plus courantes lors de mes conférences
Lorsque j’anime des ateliers, des tables rondes ou des conférences sur le sujet des risques juridiques du chef d’entreprise face aux nouveaux usages de l’informatique ou des obligations des entreprises vis à vis de la CNIL, et que le volet des obligations par rapport à la #loi Informatique et Libertés est abordé, il m’est systématiquement posé la question suivante :

« Mais, comment se fait-il qu’on ne soit pas informé de ces obligations ? »

Et ma réponse au chef d’entreprises est systématiquement toujours la même :
« Par pure négligence de votre part . Que votre entreprise ait 0 ou 100 000 salariés, les obligations sont les mêmes et existent depuis 1978 au travers de la Loi Informatique et Libertés. Lorsque vous avez créé votre entreprise, vous vous êtes engagés à respecter la réglementation pendant toute la vie de votre entreprise. Et cette loi, je vous l’accorde, longtemps restée dans l’ombre, fait partie des règles qui doivent être obligatoirement respectées. Comme vous avez vu tout à l’heure, si vous vous positionnez en tant que consommateur, il vous semble évident que vos données personnelles soient protégées. Comme cette précaution absolue n’est pas une priorité naturelle pour les entreprises, un gendarme a été créé pour informer, surveiller, contrôler et sanctionner les entreprises fautives. Vous faites certainement partie des patrons qui essaient de gérer leur entreprise du mieux possible et avec vos problèmes et vos priorités vous y arriver je pense très bien. Vous vous souciez probablement d’abord de la réglementation à respecter en matière sociale, fiscale et en rapport de votre activité professionnelle. Je sais qu’il est matériellement impossible de tout savoir, et de connaitre toutes les lois. C’est ce que moi j’appelle faire des impasses. Sauf que là, c’est des impasses qui peuvent vous coûter jusqu’à 300 000 euros. »

Pourquoi parle-t-on de la CNIL si souvent aujourd’hui ?
Parce qu’elle tire la sonnette d’alarme devant les changements de nos habitudes et l’évolution de la technologie Fait très important qui s’est passé depuis le début des années 80 : L’informatique s’est répandue dans quasiment tous les domaines sans réellement tenir compte de la sécurité des données. Peu savent que depuis les années 90, Internet qui s’impose à nous utilise un protocole de communication qui à la base ne sont pas sécurisées . Ensuite, nous sommes entrés dans l’ère des objets connectés avec un risque permanent de se faire « pomper » nos données. On ne va plus seulement parler de coordonnées postales téléphoniques ou bancaires, mais aussi de données de santé, d’habitudes alimentaires, de sommeil, de sortie, de loisirs… Que vos joujoux hi-tech connectés, votre smartphone ou votre ordinateur soient perdus ou piratés, les données qu’ils stockent sont librement accessibles… De plus, il ne se passe pas un jour sans qu’un opérateur, une société Web, une entreprise se fasse pirater son système informatique et par la même occasion les données de ses clients. Il y a deux types de cibles : celles qui ont beaucoup de trésorerie à se faire voler, et les millions de malchanceux qui dont le manque de sécurité a été automatiquement détecté qui vont être la proie de cybercriminels. Pour vous donner une idée, 144 milliards d’emails sont échangés chaque jour et 68,8% d’entre eux sont des spams et nombreux cachent des réseaux cybercriminels. 400 Millions de personnes sont concernées par des cyberattaques chaque année. Vous comprenez maintenant pourquoi il devient urgent de canaliser tous ces usages et déjà les premier débordements avant que ça continue à s’aggraver.

Est-ce risqué de ne pas respecter la Loi Informatique t Libertés
Même si en référence la loi du 29 mars 2011 relative au défenseur des droits, la CNIL peut rendre publiques les sanctions pécuniaires qu’elle prononce, il n’y a jusqu’à maintenant eut que très peu de sanctions prononcées. En 2013, 414 contrôles ont aboutit à 14 sanctions.

On eut en avoir  liste sur http://www.cnil.fr/linstitution/missions/sanctionner/les-sanctions-prononcees-par-la-cnil/

Cependant, le niveau de risque devrait exploser en 2015 ou du moins, dès la mise en application du règlement européen relatif aux traitements de données à caractère personnel. Selon les infractions, le montant des sanctions peut aujourd’hui s’élever jusqu’à 300 000 euros. Cenpendant, compte tenu de leur chiffre d’affaire démesuré, certaines entreprises peuvent continuer à sourire avec de telles amendes (par exemple google et ses 60 milliards de chiffre d’affaire, ou Facebook, Appel, Orange…) .

Devant ces situations, la Commission Européenne décidé de frapper un grand coup avec un règlement européen et au travers de deux principales actions répressives :

1) Augmenter plafond des amendes jusqu’à 5% du chiffre d’affaire ( ça pourrait donner 3 milliards de dollars d’amende maximale par infractions pour google)

2) Rendre Obligatoire pour toute entreprise, de déclarer sous 24h à la CNIL le moindre incident de sécurité (virus, perte données, perte ou  vol de matériel, piratage…), laquelle pourra vous obliger d’informer tous vos clients que la sécurité de leurs donées personnelles a été compromise. Cette obligation existe déjà depuis juin 2013 mais seulement pour les OIV (Opérateurs d’importance Vitale).
Souvenez-vous l’affaire du piratage d’Orange en janvier et avril 2014 et les articles de presse peux valorisants pour la marque et inquiétant pour ses clients. Le règlement européen prévoir d’obliger toutes les entreprises d’informer l’ensemble des propriétaires dont la sécurité a été compromise suite à un piratage, une perte ou à un vol de données personnelles ou de matériel contenant des données personnelles. Ainsi, on ne parle plus d’un risque financier, mais d’un risque de mauvaise réputation des entreprises face à leurs clients et concurrents…

Concrètement, que faut-il faire pour de mettre en conformité avec la CNIL ?
L’aritcle premier de la Loi définit que l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

L’article 2 précise que la loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers.

Enfin l’article 22 indique que les traitements de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL

En d’autres termes, pour se mettre en conformité, il faut déclarer à la CNIL l’ensemble des traitements de données qui concernent des informations permettant d’identifier des personnes.

Je tiens à préciser qu’on ne déclare pas ou on ne donne pas à la CNIL ses données, on ne déclare que des traitements de données à caractères personnel.

Lien vers le Loi Informatique et Libertés http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

Mon conseil en 4 étapes pour se mettre en conformité avec la CNIL
1) Identifier l’ensemble des traitements de données permettant d’identifier des personnes.

2) Procéder à l’analyse détaillée de ses traitements et corriger les actions qui ne sont pas conformes à la Loi Informatique et Libertés en terme de sécurité des fichiers, de confidentialité des données, de durée de conservation des documents, d’information des personnes, de demande d’autorisation et de finalité des traitements.

3) Déclarer le traitement à la CNIL ou désigner un Correspondant Informatique et Libetés  qui sera chargé de tenir à jour un registre des traitements sans avoir à les déclaréer séparément.

4) Faire un à deux points par an pour reporter dans le registre les changements sur les traitements existants et les y ajouter les nouveaux.

En cas d’impossibilité d’adapter votre traitement de données personnelles par rapport à la loi Informatique et Libertés, une demande d’avis ou d’autorisation doit être formulée à la CNIL.

Bien évidemment, la réponse de la CNIL doit être attendue avant d’utiliser le traitement concerné.

Une fois ces étapes de « mise sur rails » accomplie, la personne qui aura en charge la fonction de correspondant dans votre entreprise aura obligation de tenir un registre des traitements mis en œuvre au sein de l’organisme (consultable par la CNIL ou tout demandeur sur simple demande) et de veiller au respect des dispositions de la loi « informatique et libertés » au sein de l’organisme.

Est-on obligé de faire une déclaration pour chaque traitement ?
Oui et Non

Non si vous nommez un #correspondant Informatique et Libertés (#CIL). Qu’il soit interne à l’entreprise ou externe (si vous souhaitez déléguer la responsabilité  à quelqu’un d’externe à l’entreprise, comme je le fais pour de nombreuses entreprises). Le Cil n’aura alors qu’à tenir à jour un registre répertoriant l’ensemble des traitements de données à caractères personnel et leurs caractéristiques détaillées. Ce registre devra pouvoir être consultable par la CNIL mais auss par quiconque vous en fera la demande.

Oui si vous décidez de ne pas déclarer un Correspondant Informatique et Libertés.

Qui peut être ou devenir CIL ?
La loi prévoit que le correspondant Informatique et Libertés est une personne bénéficiant des qualifications requises pour exercer ses missions.
Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée.
Néanmoins, le CIL doit disposer de compétences variées et adaptées à la taille comme à l’activité du responsable des traitements.
Ces compétences doivent porter tant sur l’informatique et les nouvelles technologies que sur la réglementation et législation relative à la protection des données à caractère personnel.
…
L’absence de conflit d’intérêts avec d’autres fonctions ou activités exercées parallèlement est également de nature à apporter les garanties de l’indépendance du CIL. C’est pourquoi la fonction de correspondant est incompatible avec celle de responsable de traitements. Sont concernés le représentant légal de l’organisme (ex. : le maire / le PDG) et les autres personnes participant à la prise de décisions en matière de mise en oeuvre des traitements (ex. : les conseillers municipaux / les personnes disposant d’une délégation de pouvoirs).

Des difficultés pour vous mettre en conformité ?
Pour vous mettre en conformité avec la CNIL, il vaut mieux être sensibilisé à la loi Informatique et Libertés et aux règles et obligations qui en découlent (obligation d’information, droit d’accès, traitement des réclamations…).

Pour que votre mise en règle se fasse dans de bonnes conditions, nous pouvons nous charger de former et de suivre une personne de votre entreprise qui jouera le rôle de CIL (Correspondant Informatique et Libertés) ou bien, si vous le préférez, pour encore plus de tranquillité, Denis JACOPINI, expert Informatique spécialisé en protection des données personnelles, peut se charger d’être votre CIL externe en se chargeant de prendre en charge l’ensemble des formalités.

Plus de détails sur la CNIL
La CNIL est une AAI (Autorité Administrative Indépendante). C’est une structure gérée par l ‘état qui ne dépent d’aucun ministère et qui peut dresser des procès verbaux et sanctionner sans même à avoir à passer par un juge. La CNIL dépend directement du premier ministre qui peut en dernier recours, directement prendre des mesures pour mettre fin aux manquements.

Quelques chiffres

Audit en sécurité informatique : Liste des risques

Risques physiques

• Incendie ;
• Dégât des eaux, crue ;
• Pollution ;
• Accidents majeurs.

Risques naturels

• Phénomène climatique ;
• Phénomène sismique, volcanique ;
• Phénomène météorologique.

Perte de services essentiels

• Défaillance de la climatisation ;
• Perte d’alimentation énergétique ;
• Perte des moyens de télécommunication.

Rayonnements

• Rayonnements électromagnétiques ;
• Rayonnements thermiques.

Compromission des informations et des fonctions

• Interception de signaux parasites compromettants ;
• Espionnage à distance ;
• Ecoute passive ;
• Vol de supports ;
• Vol de documents ;
• Vol de matériels ;
• Divulgation interne ;
• Divulgation externe ;
• Piégeage du matériel ;
• Utilisation illicite du matériel ;
• Abus de droit ;
• Usurpation de droit ;
• Fraude ;
• Altération du logiciel ;
• Copie frauduleuse du logiciel ;
• Utilisation de logiciels contrefaits ou copiés ;
• Altération des données ;
• Utilisation de données personnelles dans autorisation ;
• Traitement de données personnelles nos déclarés
• Atteinte à la disponibilité du personnel.

Défaillances techniques

• Panne du matériel ;
• Dysfonctionnement du matériel ;
• Saturation du matériel ;
• Dysfonctionnement logiciel ;
• Atteinte à la maintenabilité du SI.

Agressions Physiques, Erreurs

• Destruction des matériels ;
• Reniement d’actions ;
• Erreurs de saisie ;
• Erreur d’utilisation.