Comment devenir délégué à la protection des données (DPD ou DPO)

Lignes directrices du G29

> Guidelines on Data Protection Officers (‘DPOs’)

> WP243 ANNEX – Frequently asked questions

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Publication de contenus à caractére privé sur internet : La Cdp condamne et agite des sanctions

Nouveautés dans l’organisation des votes électroniques pour les élections professionnelles

Elections professionnelles : un recours facilité au vote électronique

C’est la loi travail qui avait prévu de faciliter les modalités de recours au vote électronique. Un décret précise les choses.
Ainsi le vote électronique peut être utilisé pour les élections professionnelles des délégués du personnel ou du comité d’entreprise :

• si un accord d’entreprise ou de groupe le prévoit ;
• ou, désormais, à défaut d’accord, sur décision de l’employeur.

	Cette possibilité de décider du recours au vote électronique même sans accord s’applique depuis le 7 décembre 2016. Cela vaut aussi pour les élections partielles.

Si vous décidez de recourir au vote électronique

Si vous décidez de recourir au vote électronique, cela doit se faire en respectant le protocole d’accord préélectoral. Vous devrez aussi notamment :

• établir un cahier des charges que vous mettrez à disposition des salariés sur le lieu de travail ainsi que le cas échéant sur l’Intranet ;
• informer les organisations syndicales de salariés représentatives dans l’entreprise ou les établissements concernés, de l’accomplissement des formalités déclaratives préalables auprès de la CNIL.

	Ces règles s’appliquent si vous suivez un accord collectif mais aussi en son absence

Pendant le déroulement du scrutin

Sachez que pendant le déroulement du scrutin, aucun résultat partiel ne peut être donné mais que vous pouvez prévoir ou non de révéler le nombre de votants.

Vous pouvez autoriser ou exclure un vote à bulletin secret sous enveloppe. S’il n’a pas été exclu, l’ouverture du vote n’a lieu qu’après la clôture du vote électronique. Le président du bureau de vote dispose également, avant cette ouverture, de la liste d’émargement des électeurs ayant voté par voie électronique, de façon à être sûr que personne ne puisse voter deux fois.

Elections professionnelles : représentation équilibrée des hommes et des femmes

A partir du 1^er janvier 2017, pour chaque collège électoral, les listes électorales qui comportent plusieurs candidats vont devoir être composées d’un nombre de femmes et d’hommes correspondant à la part de femmes et d’hommes inscrits sur la liste électorale. Il va falloir alterner un candidat de chaque sexe jusqu’à épuisement des candidats d’un sexe (Code du travail, art. L. 2314-24).

Cela vaut pour l’élection des titulaires comme des suppléants.

Le protocole d’accord préélectoral doit mentionner la proportion de femmes et d’hommes composant chaque collège électoral.

Si le nombre de candidats à désigner pour chaque sexe n’est pas entier, il est arrondi :

• à l’entier supérieur en cas de décimale supérieure ou égale à 5 ;
• à l’entier inférieur en cas de décimale strictement inférieure à 5.

	Si le nombre de sièges à pourvoir est impair et que le nombre d’hommes et de femmes inscrit sur les listes est égal, la liste peut comprendre soit un homme soit une femme supplémentaire.

Attention, si un sexe est surreprésenté, ou que l’alternance hommes-femmes n’est pas respectée, l’élection de certains élus pourra être annulée.

Vous voulez en savoir plus sur les élections professionnelles ? Les Editions Tissot vous proposent leur documentation « Les représentants du personnel dans les PME ».

Anne-Lise Castell

Décret n° 2016-1676 du 5 décembre 2016 relatif au vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise, Jo du 6

Loi n° 2015-994 du 17 août 2015 relative au dialogue social et à l’emploi, Jo du 18

Une nouvelle étude démontre que les compteurs Linky ne sont pas dangereux

D’ici à 2021, la loi du 17 août 2015 prévoit que des compteurs « intelligents », capables de transmettre des données de consommation en temps réel aux fournisseurs d’énergie, soient installés dans tous les foyers français. Le compteur Linky, déployé par ERDF pour suivre la consommation d’électricité des foyers, a été de nombreuses fois pointé du doigt par des individus, des associations et des communes. En effet, il avait été imaginé que le champ électromagnétique du compteur Linky pouvait engendrer des problèmes de santé.

Cette crainte aurait déjà dû être levée après les premières expertises réalisées sur les compteurs. Mais cela n’a pas suffi et la polémique n’a cessé de gonfler, entrant dans le champ très large de « la peur des ondes ». D’autant que la justice française a dans un premier temps reconnu l’électrosensibilité comme un handicap et plus récemment, autorisé une personne électrosensible à se débarrasser de son compteur d’eau intelligent.

Et pourtant, les nouvelles conclusions de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) montrent que le compteur Linky n’est pas dangereux. 

En effet, après de nombreuses mesures sur les émissions électromagnétiques des compteurs Linky, l’agence a estimé qu’il y avait «  une faible probabilité que l’exposition aux champs électromagnétiques émis par les compteurs communicants, dans la configuration de déploiement actuelle, engendre des effets sanitaires à court ou long terme ». À vrai dire, cette faible probabilité existe déjà dans tous les foyers modernes, dans la mesure où les compteurs Linky n’émettent pas plus d’onde que «  la télévision, un chargeur d’ordinateur portable ou une table de cuisson à induction…  ». Contrairement à ces objets qui paraissent « reliés » au sol, uniquement propulsés par l’électricité, les compteurs Linky utilisent une connexion à Internet par communication CPL qui semble bien plus abstraite et donc, à tort, bien plus dangereuse.

Si le Linky n’est donc effectivement pas dangereux, l’ANSES recommande tout de même aux fournisseurs de ces technologies de faire preuve de pédagogie en donnant des informations claires aux personnes qui pourraient être réticentes à l’installation de ces engins pour des questions sanitaires. D’après elle, il faut absolument que les opérateurs de «  ces nouvelles technologies [puissent] fournir une information claire et facilement compréhensible aux usagers quant à leurs modalités de fonctionnement ».

Rappelons finalement que les angoisses sanitaires infondées autour du Linky cachent malheureusement deux problèmes fondamentaux. Le premier est scientifique : il persuade la plupart des électrosensibles que leur mal est physique alors qu’il est en réalité, bien souvent psychologique — comme la décision de justice de 2015 le laissait supposer. Elle reconnaissait effectivement des symptômes liées à l’électrosensibilité, mais nullement leur cause. Ce qui, dans les faits, reste un handicap bien réel et qui doit être compris en-dehors de toute croyance pour être correctement soigné.

Ce n’est pas le cas de la décision récente qui a autorisé une personne à se débarrasser de son compteur d’eau intelligent pour des prétextes sanitaires, qui tend à légitimer le fait que l’objet cause bel et bien un mal physique (ce qui est faux).

LE LINKY N’EST PAS DANGEREUX POUR LA SANTÉ

Le deuxième problème touche la vie privée. Comme l’avait montré CanardPC dans une excellente étude sur le Linky (accès libre, PDF), sa prétendue dangerosité sanitaire est l’arbre qui cache la forêt : s’il n’est pas dangereux pour vous, le compteur reste tout de même un mouchard pour ERDF qui peut extrapoler vos habitudes avec ses relevés…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La CNIL qui est censée protéger nos données informatiques fait elle assez de contrôles ?

La Cnil s’énerve contre Brandvalley mais la sanction est faible

Une nouvelle doctrine en matière de cybersécurité

« L’irruption du numérique dans toutes les activités de la vie quotidienne nous oblige à repenser en profondeur l’art de la guerre. » Hier, à Bruz, au sud de Rennes, dans les locaux de DGA maîtrise de l’information, « le cœur battant du ministère de la Défense », Jean-Yves Le Drian a présenté les grandes lignes de la nouvelle doctrine cyber des armées françaises.

Des combattants numériques

Cette doctrine s’appuiera sur trois piliers, a expliqué le ministre de la Défense. D’abord le renseignement, «  pour détecter les actions hostiles et leurs auteurs.  ». Ensuite, la protection et la défense : «  Nous devons bâtir d’épaisses murailles numériques. » Enfin, la lutte informatique offensive : «  Nous avons besoin de combattants numériques pour riposter et neutraliser les cyber agresseurs.  »

Jean-Yves Le Drian a annoncé la création, en janvier 2017, d’un commandement français des opérations cyber (le « CyberCom »), placé sous la responsabilité directe du chef d’état-major des armées.

Ministre de la Cyberdéfense

C’est donc un Jean-Yves Le Drian, « ministre de la Cyberdéfense »,qui a passé la journée de lundi en Bretagne. Il a commencé par inaugurer officiellement le Pôle d’excellence cyber à Rennes. Cette association regroupe les chercheurs, les écoles et universités, les entreprises, les collectivités et les industriels qui œuvrent dans le numérique, la cybersécurité et la cyberdéfense.

Deuxième inauguration, un peu plus tard, dans les locaux de la DGA (direction générale de l’armement), à Bruz, au sud de Rennes. C’est ici que sont mis au point tous les systèmes d’information et de communication et les équipements électroniques des forces armées.

Le bâtiment baptisé Louis Pouzin – du nom d’un ingénieur français, précurseur d’Internet – est un bâtiment « de haute qualité cyber » qui accueille 270 experts sur 9 000 m2. Il est équipé de plus de 7 000 capteurs de sécurité, de 4 000 prises de réseau, dont 2 000 en fibre optique, le tout enveloppé dans 7 000 m3 de béton. Ici, des ingénieurs travaillent, entre autres, à détecter et à mettre hors d’état de nuire, les ennemis qui veulent capter les conversations téléphoniques des personnalités françaises, ou qui entendent prendra la main, à distance, sur la conduite des véhicules…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La surveillance au travail pourrait être modifiée

Un patron pourrait bientôt ne plus avoir besoin de demander une autorisation préalable à la Commission nationale pour la protection des données (CNPD) avant de placer ses employés sous vidéosurveillance au travail. Cette mesure fait partie d’un projet de loi concernant la protection des données privées que les députés ont commencé à étudier lundi et qui s’inscrit dans le nouveau règlement européen qui entrera en vigueur le 25 mai 2018.

Le texte supprime la liste de traitement des données qui est aujourd’hui soumis à autorisation préalable de la CNPD, dont les traitements effectués à fin de surveillance. La CNPD fera, selon le projet de loi, des contrôles a posteriori, dans un but de simplification administrative. Un changement qui a suscité l’inquiétude de plusieurs députés, soucieux de protéger les citoyens d’une surveillance illégale par leurs employeurs.

La Chambre des salariés avait émis un avis défavorable en novembre, «dénonçant d’emblée la suppression de l’autorisation préalable (…). Elle s’oppose plus particulièrement, et de manière formelle, à cette exemption en faveur des traitements à des fins de surveillance sur le lieu de travail», expliquant que la loi actuelle, de 2002, «traduisait justement la volonté expresse du législateur luxembourgeois de protéger les personnes physiques de certains traitements « susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées »». À noter que le projet de loi introduit également des sanctions financières.

(JW/JV/L’essentiel)

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Prévisions cybercriminalité pour 2017

Denis JACOPINI

Trend Micro présente son rapport annuel des prévisions en matière de sécurité: ‘The Next Tier – 8 Security Predictions for 2017’. L’année prochaine sera marquée par des attaques de plus grande envergure à tous les niveaux. Les cybercriminels adopteront des tactiques différentes pour tirer parti de l’évolution du paysage technologique.

« Nous pensons que la General Data Protection Regulation (GDPR) va non seulement changer fondamentalement la manière dont les entreprises gèrent leurs données, mais aussi induire de nouvelles méthodes d’attaque. La tactique du ransomware va également s’étendre pour toucher plus d’appareils, tandis que la cyberpropagande influencera de plus en plus l’opinion publique”, déclare Raimund Genes, CTO de Trend Micro.

En 2016, l’on a assisté à une formidable augmentation des vulnérabilités d’Apple avec pas moins de 50 fuites. A cela s’ajoutent 135 bugs Adobe et 76 bugs Microsoft. Alors que Microsoft continue d’améliorer ses facteurs limitatifs et qu’Apple est de plus en plus considéré comme le système d’exploitation prépondérant, ce déplacement apparent des ‘exploits’ des logiciels vulnérables va encore s’accentuer en 2017.

L’IoT et l’IIoT – dans la ligne de mire des attaques ciblées

L’Internet of Things (IoT – internet des objets) et l’Industrial Internet of Things (IioT – internet industriel des objets) seront de plus en plus dans la ligne de mire des attaques ciblées en 2017. Ces attaques tirent parti de l’engouement croissant suscité par les appareils connectés en exploitant les failles et les systèmes non protégés et en perturbant des processus d’entreprise. L’usage croissant d’appareils mobiles pour surveiller les systèmes de production dans les usines et les milieux industriels, combiné au nombre important de vulnérabilités dans ces systèmes constitue une réelle menace pour les organisations.

Explosion de l’extorsion professionnelle

Le Business E-mail Compromise (BEC) et le Business Process Compromise (BPC) représentent de plus en plus une forme relativement simple et économiquement rentable d’extorsion professionnelle. En incitant un employé innocent à verser de l’argent sur le compte bancaire d’un criminel, une attaque BEC peut rapporter 140.000 dollars. Bien que le piratage direct d’un système de transaction financière exige plus d’efforts, cela représente une manne de pas moins de 81 millions de dollars pouvant tomber aux mains des criminels.

Autres faits marquants du rapport

Le nombre de nouvelles familles de ransomware ne progresse que de 25 %. Mais le ransomware s’étend désormais aux appareils IoT et aux terminaux informatiques autres que les desktops (par exemple les systèmes POS ou les distributeurs automatiques).
Les fournisseurs ne parviendront pas à protéger à temps les appareils IoT et IIoT pour éviter des attaques DoS (refus de service) ou d’autres types d’attaques.
Le nombre de failles découvertes dans les technologies Apple et Adobe augmente, ce qui vient s’ajouter aux « exploit-kits ».
46 pour cent de la population mondiale est aujourd’hui reliée à l’internet : la cyberpropagande ne va cesser d’augmenter, à présent que les nouveaux dirigeants des grands pays sont en place. L’opinion publique risque donc d’être influencée par de fausses informations.
Comme ce fut le cas lors de l’attaque de la Banque du Bangladesh plus tôt cette année, les cybercriminels parviennent à modifier des processus d’entreprise via des attaques BPC, et à en tirer largement profit. Les attaques BEC restent d’actualité pour extorquer des fonds à des employés qui ne se doutent de rien.
Le GDPR produira des changements de politique et administratifs qui auront un lourd impact sur les coûts. Cela exigera aussi des examens complexes des processus de données pour assurer la conformité réglementaire.
De nouvelles méthodes d’attaques ciblées déjoueront les techniques de détection modernes, permettant aux criminels de s’attaquer à différentes organisations.

Original de l’article mis en page : Le ransomware s’étend aux appareils connectés et à l’internet des objets – Press Releases – Informaticien.be

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Ce que les entreprises doivent savoir pour se mettre en conformité avec Règlement européen de protection des données en vigueur dans 18 mois

Qui est concerné?

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » Ce règlement s’applique à toute structure (responsable de traitement des données ou sous-traitant) ayant un établissement dans l’Union européenne ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Les actions de profilage visant cette cible sont également concernées. Ainsi, alors que la loi Informatique et libertés se basait sur des critères d’établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d’application est désormais le traitement des données d’une personne se trouvant au sein de l’UE.

Qu’est-ce qu’une donnée à caractère personnel?

L’une des difficultés posées par le RGPD va consister à définir les données personnelles concernées. Le règlement stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement. Des données indirectement identifiantes, telles qu’un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d’actions marketing de profilage), si elles sont corrélées à une identité, deviennent des données à caractère personnel. Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées. À noter, le RGPD prévoit des exceptions selon les traitements concernés, notamment au niveau des traitements de données RH (recrutement, contrat de travail…), pour lesquels les États membres peuvent prévoir « des règles plus spécifiques pour assurer la protection des droits et libertés » (article 88).

Quelles obligations pour les entreprises?

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l’entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation…), mais aussi les contrats passés avec les sous-traitants et clients sont impactés. « Le règlement couple des notions techniques et juridiques », souligne Thomas Beaugrand, avocat au sein du cabinet Staub & Associés. Il introduit des nouveaux principes et concepts qui renvoient désormais vers plus de précautions techniques. Par ailleurs, les entreprises ont, entre autres, l’obligation de donner la finalité précise de la collecte des données (il s’agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées).

Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection de la data, qui permet de distribuer les responsabilité en fonction de la mainmise de chacun sur les données.

Enfin, parmi les changements majeurs, la nomination d’un DPO, ou délégué à la protection des données, qui sera obligatoire dans tout le secteur public, ainsi que dans les structures privées qui font des traitements de données exigeant un suivi régulier et systématique des personnes à grande échelle (dans le secteur du marketing, notamment). Il sera le garant de la conformité au règlement (voir encadré en page suivante)…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article