RGPD : Est-ce que la collecte d’une pièce d’identité est contraire au règlement ?

C’est une question qui m’a été posée par un organisme partenaire qui m’a amené à réfléchir à la question. Il me paraissait intéressant de partager ma réponse avec vous, chers fidèles lecteurs de mes articles.

RGPD : Des changements en matière de protection des données

Ces règles concernent tout organisme qui traite des données à caractère personnel (notamment, à des fins commerciales, à des fins de surveillance ou encore, pour des raisons de sécurité).

Parmi ces organismes, on y trouve toutes les entreprises, même unipersonnelles et les entrepreneurs, toutes les associations et toutes les administrations excepté les services de renseignements et judiciaires.

Depuis mai 2018, sauf dans certains cas, ces organismes ne doivent plus notifier, ni solliciter des autorisations préalables de traitement de données personnelles auprès de la Commission nationale pour la protection des données (CNPD). Cependant, ces organismes doivent assurer à chaque instant le respect des nouvelles règles en matière de protection des données et être en mesure de le démontrer en documentant leur conformité.

Pour prévenir des risques inhérents au traitement de ces données, la désignation d’un délégué à la protection des données (DPO) est encouragée.

La désignation d’un DPO est obligatoire pour :

• les organismes publics et autorités publiques ;
• une entreprise dont les activités de base, du fait de leur nature, de leur portée et/ou de leurs finalités, l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• une entreprise dont les activités de base l’amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et à des infractions.

Le DPO doit être désigné, sur base :

• de ses qualifications professionnelles notamment, en matière de protection des données ;
• de sa capacité à accomplir ses missions ;
• de ne pas être à l’origine ou avoir autorité sur les traitements suivis .

Le responsable informatique ou RSSI ne peut pas être DPO ?

Denis JACOPINI : J’entends très souvent qu’afin d’éviter un conflit d’intérêt, le responsable informatique ne peut pas devenir DPO.

Si vous ne savez pas si vous avez le droit ou non de devenir DPO et éviter ainsi d’être à la fois juge et partie, posez-vous la question suivante :

En cas de problème, qui a le pouvoir de stopper un traitement ou qui à le dernier mot dans le choix de stopper ou non un traitement ?

C’est vous ? Alors vous ne pouvez pas prétendre à des fonctions de Délégué à la Protection des Données (DPO).

Victime de phishing, la banque évoque la  négligence pour ne pas le rembourser

La banque s’était opposée à ses demandes en lui reprochant une négligence grave dans la garde et la conservation de ses données personnelles du dispositif de sécurité des instruments de paiement. Le client avait reçu des courriels portant le logo parfaitement imité de sa banque, accompagnés d’un « certificat de sécurité à remplir attentivement » qu’il avait scrupuleusement renseignés. Il avait même demandé à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat.

La cour d’appel avait ordonné le remboursement des sommes au client considérant que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices comme les fautes d’orthographe du message, étaient de nature à l’alerter.

Mais l’arrêt est cassé. La Cour de cassation a considéré que le client avait commis une négligence grave. Pour la Cour, l’utilisateur d’un service de paiement qui communique les données personnelles du dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité.

RGPD et droit d’accès : qui peut consulter, quelles sont les limites ?

Qui peut demander un droit d’accès et sous quel délai ?

Si vous avez raté le reportage Cyberattaques : les braqueurs de l’ombre – Envoyé spécial du 14 décembre 2017 (France 2)

Vous êtes tranquillement installé derrière votre ordinateur, vous ouvrez un mail anodin… et soudain, un message d’alerte apparaît : votre ordinateur est bloqué, tous vos documents sont cryptés, vous devez payer une rançon pour en retrouver l’usage. Vous venez de vous faire braquer par un « rançongiciel », ces programmes informatiques qui diffusent des virus et qui vous réclament de l’argent : 150 euros pour un particulier, 6 000 euros pour une PME, des millions d’euros pour une multinationale. Et vous n’avez que quelques heures pour payer, sinon vous perdez tout ! Une enquête de Clément Le Goff et Guillaume Beaufils, diffusée dans « Envoyé spécial » le 14 décembre 2017….[lire la suite]

Comment protéger vos enfants sur les Réseaux Sociaux ?

Internet est un outil formidable pour s’informer, jouer, se divertir… à condition de savoir l’utiliser. Et quand on voit que les enfants y sont confrontés de plus en plus tôt (66,5% des 2-17 ans se sont connectés au moins une fois au cours du mois de juin 2018 selon Médiamétrie), on peut s’inquiéter des dangers générés par la Toile. Surtout si ces jeunes ne sont pas au fait des menaces multiples qui les guettent, que ce soit les virus, le phishing ou encore le cyber-harcèlement (40% des élèves de 13-17 ans avouaient avoir subi une agression en ligne en 2017, selon le site e-enfance).

Il est donc primordial d’apprendre aux enfants et aux adolescents à protéger correctement leur réputation en ligne et à utiliser internet et les réseaux sociaux en toute sécurité. Un sujet est suffisamment sensible pour que soit lancée pour la première fois en France, le 4 octobre prochain, la « Journée du droit » à l’attention des élèves de 5ème. Cette initiative, menée conjointement par le Conseil National des Barreaux et le ministère de l’Education nationale, consistera en une matinée d’échanges entre un avocat et les élèves autour des règles de droit sur les réseaux sociaux et du cyber-harcèlement en milieu scolaire.

…[lire la suite]

Windows 10 : une faille de sécurité permet aux pirates d’installer un malware sur votre ordinateur

Le pirate connait votre mot de passe et vous demande de payer pour garder le silence

La campagne Sextortion implique des mots de passe volés dans les anciennes violations de données

Les internautes doivent se méfier d’une nouvelle escroquerie par hameçonnage, un schéma de sextorsion qui utilise les anciens mots de passe des utilisateurs. Les escrocs prétendent avoir enregistré des images de la victime qui regardait du porno. Ils prétendent également avoir le mot de passe de la victime qu’ils ont utilisé pour installer des logiciels espions sur l’ordinateur ciblé et lorsque la victime a visité des sites Web de pornographie, ils ont activé la webcam pour enregistrer des images .

Les experts en sécurité ont réussi à identifier les messages que ces attaquants pourraient initier avec les victimes.

Ce qui est tout à fait préoccupant, c’est qu’en général, le mot de passe mis en évidence dans l’e-mail envoyé par les escrocs est légitime, que la victime avait précédemment utilisé. Les experts en sécurité affirment qu’il est assez probable que les cybercriminels utilisent d’anciens mots de passe obtenus diverses violations de données à grande échelle tels que ceux subis par Yahoo , Uber, LinkedIn , Tumblr , Dropbox et Sous protection , etc., pour faire chanter les utilisateurs. Ils correspondent simplement aux anciens mots de passe avec des identifiants utiles tels que les identifiants de courrier électronique. Après avoir réussi à localiser la victime, ils peuvent lancer une campagne de chantage facilement…[lire la suite]

RGPD : comment répondre à une demande de droit d’accès ?

Toute personne physique qui en fait la demande a le droit d’obtenir la confirmation que des données la concernant sont traitées et peut obtenir la copie de ses données faisant l’objet d’un traitement. Ce droit est renforcé par le Règlement Général sur la Protection des Données (RGPD).

Par exemple, une personne exercer son droit d’accès :

• auprès de son employeur : pour accéder aux données de son dossier personnel ;
• auprès de son médecin : pour obtenir une copie des données de son dossier médical ;
• auprès d’une administration : pour obtenir la confirmation que des données la concernant sont traitées.

En tant que responsable du traitement de données personnelles, vous devez :

• Informer les personnes concernées sur l’existence de leur droit d’accès au moment où vous collectez leurs données ;
• Donner accès aux personnes concernées à des modalités pratiques (formulaire, coordonnées) pour exercer leur droit d’accès facilement ;
• Mettre en place un parcours interne efficace au sein de votre entité pour le traitement des demandes de droit d’accès. Cela nécessite de prévoir des procédures en interne permettant de remonter les demandes de droit d’accès au bon interlocuteur afin d’être en mesure de traiter la demande dans les délais impartis ;
• Prévoir des modalités de réponse auprès des personnes concernées qui soient compréhensibles, accessibles, formulées en des termes clairs et simples.

Qui peut exercer cette demande ?

C’est à la personne voulant accéder à ses données personnelles de vous saisir.

Cette personne peut donner un mandat à une personne de son choix pour exercer son droit d’accès. Dans ce cas, la personne choisie doit présenter un courrier précisant l’objet du mandat (exercice du droit d’accès), l’identité du mandant (identité du demandeur qui exerce son droit d’accès à ses données personnelles) et du mandataire (son identité). Elle doit justifier de son identité et de celle du demandeur.

Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche.

Les limites au droit d’accès

Le droit d’accès doit s’exercer dans le respect du droit des tiers : par exemple, il n’est pas possible de demander à accéder aux données concernant son conjoint ; un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié.

De même, le droit d’accès ne peut porter atteinte au secret des affaires ou à la propriété intellectuelle (droit d’auteur protégeant le logiciel par exemple).

Les délais pour répondre à une demande

Actuellement, vous devez répondre dans les meilleurs délais à une demande de droit d’accès, dans un délai maximum d’un mois (article 12.3). Cependant, une possibilité de prolonger de deux mois ce délai est prévue, « compte tenu de la complexité et du nombre de demandes », à condition d’en informer la personne concernée dans le délai d’un mois suivant la réception de la demande (article 12.3).

Focus sur le droit d’accès à des données de santé : En ce qui concerne l’accès aux données de santé, les délais sont différents. La communication des données de santé (exemple : dossier médical) doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne –  dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois (article L.1111-7 du code de la santé publique).

Les frais de reproduction

Le RGPD prévoit un principe de gratuité pour les copies fournies dans le cadre d’une demande d’accès (article 12.5).

Vous pouvez demander le paiement de « frais raisonnables basés sur les coûts administratifs » :

• pour toute copie supplémentaire demandée par la personne concernée ;
• si la demande est manifestement infondée ou excessive.

Attention : le coût des « frais raisonnables basés sur les coûts administratifs » ne doit pas être une entrave à l’exercice du droit d’accès.

Les modalités de la communication des données

Les demandes peuvent être faites sur place ou par écrit (voie postale ou électronique).

Si la demande est formulée sur place et que vous ne pouvez pas y apporter une réponse immédiatement, vous devez remettre au demandeur un avis de réception daté et signé.

Si la demande est formulée par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement (article 12.3). Dans ce cas, attention aux modalités de transmission des informations qui doivent se faire de manière sécurisée.

Si la demande est faite par écrit et que vous avez besoin de précisions ou de compléments pour y répondre, vous devez prendre contact avec le demandeur (courrier postal ou électronique).

Si vous envoyez les données personnelles par voie postale, il est souhaitable de le faire par le biais d’un courrier recommandé avec accusé de réception.

Si les données sont communiquées par clé USB, vous pouvez remettre la clé USB en main propre à la personne qui vous a saisi ou l’envoyer par courrier. Vous devez prendre des mesures appropriée pour protéger les données contenues sur ce support, en particulier s’il s’agit de données sensibles. Afin d’éviter que ces données soient accessibles à tous, il est ainsi possible de les chiffrer.  Le code de déchiffrement devra alors être communiqué dans un autre courrier ou par un autre moyen (SMS, courriel …).

Afin de vous aider pour le chiffrement des données, vous pouvez consulter les conseils de la CNIL en la matière.

Et mon sous-traitant ? Le règlement prévoit que le sous-traitant aide le responsable de traitement à s’acquitter de ses obligations en matière de droit d’accès (article 28 e). Par exemple : un employeur pourrait demander à son sous-traitant lui ayant fourni un dispositif de géolocalisation, son appui afin de fournir aux employés qui en feraient la demande, des données de géolocalisations « sous une forme accessible » ; lorsque le responsable de traitement ne dispose que d’une analyse des données, il pourrait se rapprocher du sous-traitant qui aurait conservé les données identifiantes.

Les refus

Vous n’êtes pas tenus de répondre aux demandes de droit d’accès si :

• elles sont manifestement infondées ou excessives notamment par leur caractère répétitif  (par exemple, demandes multiples et rapprochées dans le temps d’une copie déjà fournie) ;
• les données ne sont plus conservées / ont été effacées : dans ce cas, l’accès est impossible (ex : les enregistrements réalisés par un dispositif de vidéosurveillance sont conservés normalement 30 jours maximum. Ils sont détruits à l’issue de ce délai).

A noter : le fait qu’une personne demande de nouveau communication de ses données auxquelles elle a déjà eu accès ne doit pas être considéré systématiquement comme une demande excessive. En effet, il faut notamment apprécier le délai entre les deux demandes, la possibilité que des nouvelles données aient été collectées etc.

Si vous ne donnez pas suite à une demande, vous devez motiver votre décision et informer le demandeur des voies et délais de recours pour contester cette décision.

Piratage informatique : les fraudeurs s’adaptent à tous les profils