Les pires et meilleurs endroits pour stocker ses données

Forrester a disséqué le paysage complexe de la protection des données personnelles dans un nouveau rapport, assorti d’un plan interactif, qui présente son analyse de 54 entreprises et leur place dans l’écosystème de la sécurité. Parmi les résultats clés de l’étude :

• Depuis le “Heat Map” publié par Forrester en 2012, les pays européens sont clairement des leaders en termes protection des données. Une tendance actuelle veut que les pays non-européens soient actuellement en train d’adopter des dispositions similaires, les plus récents étant le Chili, l’Afrique du Sud et la Thaïlande.

• L’appui par les constitutions nationales et la surveillance gouvernementale sont les éléments de différenciation clés dans la protection des données, dans la mesure où les pays qui ont intégré des dispositions dans leur constitution pour protéger les droits personnels sont ceux qui appliquent les lois sur la protection des données personnelles. D’un autre côté, les gouvernements dont la surveillance de la population est de notoriété publique, comme les activités largement médiatisées des agences américaines, sont des exemples de pays positionnés plus bas dans le classement.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.globalsecuritymag.fr/Forrester-Les-pires-et-meilleurs,20151104,57261.html

Nouvelle réglementation Européenne sur la protection des données personnelles

Les apports du projet de règlement UE sur la protection des données personnelles en matière de gestion de crise sont nombreux et les entreprises peuvent d’ores et déjà se préparer à plusieurs niveaux.

Vous êtes le dirigeant d’une entreprise de la grande distribution, vôtre RSSI vous informe que malgré les mesures de sécurité mises en œuvre, l’entreprise est victime d’un vol massif de données clients. Vous avez conscience que c’est impactant pour votre entreprise mais heureusement les législations européennes et françaises, en matière de violation des données à caractère personnel, ne visent que les fournisseurs de communication électronique. Vous êtes épargnés d’un point de vue réglementaire… Certes, mais plus pour longtemps.

Le projet de règlement sur la protection des données destiné à remplacer la Directive 95/46/CE doit actuellement repasser devant la Commission et son adoption ne saurait tarder. Le règlement vise désormais toutes les organisations traitant des données à caractère personnel et en lien avec l’UE (territorial, résidents UE…).

Celui-ci impose notamment, que si les conséquences de la compromission de données, constituent un risque élevé pour les droits et libertés des personnes physiques concernées, l’organisation doit les informer au plus vite. Elle doit aussi en informer les autorités compétentes en matière de protection des données à caractère personnel. Pour ce faire plusieurs actions doivent être réalisées en étroite collaboration avec le soutien du Data Privacy Officer (DPO) de l’organisation.

La qualification de l’incident

L’objectif est de déterminer si le risque est élevé pour les personnes concernées. Pour ce faire il convient en premier lieu de répondre à deux questions :

• Les données volées rendent-elles les personnes concernées identifiables ?

• Les personnes concernées peuvent-elles connaître des conséquences significatives voire irrémédiables (discrimination, vol/usurpation d’identité, perte financière, atteinte à la réputation) ?

A l’issue de cette première phase, si le risque est élevé pour les personnes concernées (données identifiables et conséquences majeures), il faudra procéder à la notification de l’autorité compétente et des personnes concernées.

L’organisation ne sera toutefois pas tenue de notifier les personnes concernées par la violation si :

• Le responsable du traitement a mis en œuvre des mesures de protection technologiques appropriées rendant les données incompréhensibles à toutes personnes non autorisées à y avoir accès (ex : chiffrement) ;

• Ou si la notification risque d’entrainer des mesures disproportionnées eu égard notamment au nombre de cas concernés ;

•    Ou si la notification risque de porter atteinte à un intérêt public important.

La notification de l’incident

Pour la notification à l’autorité en charge de la protection des données, la CNIL en France,  l’organisation victime de l’attaque dispose d’un délai de 72 heures. Cette notification devra notamment comporter les éléments suivants :

•    La nature de la violation

•    Le nombre approximatif de personnes et des enregistrements concernés

•    La description des conséquences probables de la violation

•    La description des mesures prises

Pour la notification aux personnes concernées, celles-ci doivent aussi être averties sans retard injustifié. Trois éléments principaux doivent être communiqués :

•    La nature de la violation des données à caractère personnel

•    Les mesures prises ou proposées pour remédier à la violation

•    Les recommandations afin d’atténuer les effets négatifs de la violation

Durant toute la gestion de la crise ainsi que durant la sortie de crise, le responsable du traitement doit alimenter puis conserver une trace documentaire de la violation des données à caractère personnel en indiquant son contexte, ses effets et les mesures prises pour y remédier. Ce document aura valeur juridique et pourra être opposable.

En parallèle à ces actions, la gestion de la crise comporte également une gestion technique de l’attaque, une campagne de communication de crise afin de sauvegarder la réputation, ainsi qu’une démarche judiciaire et assurantielle notamment si l’organisation a adopté une cyber-assurance.

Le rôle du DPO

En temps de crise, le Data Privacy Officer (DPO) pourra veiller à ce que les mesures adaptées et la notification à l’autorité de contrôle et aux personnes concernées soient réalisées. Il pourra par ailleurs effectuer toutes les procédures requises auprès de la CNIL ainsi que suivre le dossier. En outre, les relations entre le CIL et la CNIL déjà établies en amont de la crise permettent d’alléger les procédures.

L’existence du CIL dans les entreprises peut être ainsi un élément favorisant l’adoption de réponses adaptées en temps de crise et pouvant réduire le montant de la sanction administrative dans le cas où la responsabilité du responsable de traitement ou du sous-traitant est démontrée.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itpro.fr/a/nouvelle-reglementation-ue-sur-protection-donnees-personnelles/

Par Francesca Serio – Consultante spécialisée en Gestion de crise et Continuité d’Activité – Provadys

Avec Facebook, on peut désormais savoir quand nos amis sont à proximité… et lui aussi !

Facebook veut savoir où nous sommes et souhaite également que nos amis le sachent. A partir de ce mardi, une nouvelle option apparaît sur le réseau social : « Nearby Friends », soit une bonne méthode pour scruter les activités de vos amis. L’application va ainsi envoyer une notification quand un ami de l’utilisateur se trouve à côté de lui.

Option désactivée par défaut

Les réseaux sociaux ne laissent donc plus de place aux mensonges. Impossible d’éviter un ami encombrant : « Lorsque vous allez au cinéma, ’Friends Nearby’ vous dit si des amis à vous sont proches pour que vous alliez voir le film ensemble ou pour vous retrouver ensuite », indique Facebook.

Pour l’instant, il s’agit d’une option non-obligatoire, c’est à dire qu’elle est désactivée par défaut. En revanche, il est impossible de savoir à partir de combien de kilomètres Facebook considérera qu’un ami se trouve « à proximité ».

Avec cette option, le réseau social pourrait également franchir une nouvelle étape dans la collecte des données personnelles, alors que la nouvelle application débarque au lendemain d’une injonction de la justice belge . Cette dernière a ordonné Facebook d’arrêter de tracer tous les internautes, dont ceux qui ne sont pas connectés au réseau social.

Nouvelle tendance

La nouvelle option Facebook semble s’inscrire dans une nouvelle tendance. Il y a quelques jours, c’est Google qui annonçait le lancement d’une nouvelle application indiquant aux amis d’un utilisateur si celui-ci est disponible pour sortir manger, boire un verre, etc. Baptisée « Who’s Down », l’option n’est disponible qu’aux Etats-Unis et constitue un premier test pour Google. Pour Facebook en revanche, cette phase a déjà été réalisée : l’option « Nearby Friends » a été l’ancée dès 2014 chez les anglo-saxons.

Facebook Messenger intègre la reconnaissance faciale

En Australie, le réseau social va encore plus loin en proposant une nouvelle application sur Facebook Messenger. Baptisée « Photo Magic », il s’agit d’un outil permettant de partager facilement des photos où apparaissent les personnes avec lesquelles on discute. Facebook utilise pour cela la reconnaissance faciale et scanne toutes les photos stockées sur le téléphone de l’utilisateur. Si un ami Facebook est détecté sur l’une des photos, l’application propose de la partager à la personne identifiée. Pour l’instant la fonctionnalité est optionnelle et ne devrait pas arriver tout de suite en France. Facebook a en effet cessé la reconnaissance faciale en Europe pour respecter la législation sur la protection des données personnelles.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lesechos.fr/tech-medias/hightech/021468123566-grace-a-facebook-on-peut-desormais-savoir-quand-nos-amis-sont-a-proximite-1174043.php

La CDP malienne venue s’inspi08rer de l’expérience sénégalaise

La délégation de l’Autorité malienne, avec à sa tête son Président, M. Oumarou A.G Mouhamed Ibrahim AIDARA, était composé de cinq personnes. Cette visite s’explique selon le Président de l’autorité malienne par la volonté de s’imprégner de l’expérience enregistrée par le Sénégal depuis quelques années en matière de protection des données personnelles. Elle se justifie également par les ressemblances constatées dans les deux pays.

M. Oumarou A.G Mouhamed Ibrahim AIDARA a remercié les autorités sénégalaises de leur accueil chaleureux et précisé qu’ils étaient venus pour apprendre du Sénégal.

De son côté, le Président de la CDP, le Dr Mouhamadou LO, a magnifié le début d’une fructueuse collaboration entre les deux institutions, tout en invitant ses responsables à œuvrer pour que le respect de la vie privée des personnes entre dans les habitudes quotidiennes des Maliens. Les deux autorités de protection ont émis le souhait de nouer une collaboration étroite et un appui mutuel dans le cadre de la lutte contre la violation de la vie privée au sein des deux pays.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Source : http://www.dakaractu.com/Protection-des-Donnees-Personnelles-La-CDP-malienne-venue-s-inspirer-de-l-experience-senegalaise_a100379.html

Invalidation du Safe Harbor – Un résumé pour mieux comprendre l’initiative de Max Schrems

Max Schrems, dont la croisade contre le réseau social avait débuté alors qu’il était encore étudiant, accuse entre autres Facebook Ireland Ltd., la base européenne de l’entreprise, d’enfreindre le droit européen sur l’utilisation des données, et de participer au programme de surveillance Prism de la NSA, l’Agence de sécurité nationale américaine.

Toutes les données sont conservées
Au cours de ses études de droit, Max Schrems avait pu accéder à une compilation de ses données personnelles, soit 1 222 pages qui répertorient toutes ses activités sur Facebook, y compris ce qu’il pensait avoir supprimé. Le Viennois avait accusé en août 2011 le réseau social de détention abusive de données personnelles, déposant un recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.

Octobre 1987 : Naissance de Maximilian Schrems

08/2011 : Recours comportant 22 réclamations devant l’Autorité de protection de la vie privée en Irlande (DPC), où l’entreprise américaine a son siège social européen. La DPC avait donné raison à l’étudiant et demandé à Facebook de clarifier sa politique sur les données privées.

01/08/2014 : Dépôt par Maximilian Schrems devant le tribunal de commerce de Vienne d’un recours collectif contre Facebook ayant réuni 25 000 plaignants demandant chacun 500 euros de dommages et intérêts en réparation de l’utilisation présumée illégale de leurs données personnelles.

L’initiative « Europe vs Facebook » dirigée par Max Schrems réclame que le plus grand réseau social au monde « se mette enfin en conformité avec le droit, en ce qui concerne la protection des données ».

01/07/2015  : Rejet de la plainte contre Facebook. La cour a estimé qu’elle était irrecevable dans la forme et s’est déclarée incompétente sur le fond.

06/10/2015 : Par décision de la Cour de Justice de l’Union Européenne du 06 Octobre 2015 (affaire C-362/14), le mécanisme d’adéquation  » Safe Habor  » permettant le transfert de données vers les entreprises adhérentes aux Etats-Unis a été invalidé.
En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.
La CNIL examine actuellement avec ses homologues au sein du G29 les conséquences juridiques et opérationnelles de cet arrêt. Des informations complémentaires seront mises en ligne très prochainement.

Accéder au jugement

La Cour européenne de justice pourrait-elle remettre en cause ce safe harbor ?
Tout est ouvert. La Cour peut limiter son jugement à la question préjudicielle posée ou lui donner une portée plus large, en se fondant sur l’article 8 de la Charte européenne des droits fondamentaux sur la protection des données à caractère personnel. L’avocat général Yves Bot est réputé pour appliquer le droit à la lettre, alors que le juge rapporteur, Thomas von Danwitz, est plutôt du côté des libertés civiles. Il est donc possible que la Cour ne suive pas l’avis de l’avocat général comme ça été le cas à propos de la rétention des données

Quelles pourraient être les solutions?
Il y a deux options. Dans un premier cas, les entreprises impliquées dans la surveillance de masse, Google, Microsoft, Facebook, Yahoo… ne pourraient plus transférer les données vers leurs data centers aux Etats-Unis, ce qui porterait un sérieux coup à leur business model. La question s’est déjà posée à propos de Swift, le système international de messagerie bancaire. La solution avait été de stocker les données européennes dans un data center en Suisse, ce qui les plaçaient hors de la juridiction américaine. Ce pourrait être une solution pour Microsoft et d’autres qui ont de toute façon déjà des centres en Europe, même s’il n’est pas facile à mettre en place techniquement.

Dans un second cas, les juges pourraient prendre en compte les autres mécanismes existants, en dehors du safe harbor, comme les clauses contractuelles dans lesquelles les entreprises s’engagent individuellement à respecter la législation européenne sur les données. C’est ce que fait EBay par exemple, qui n’est pas couvert par le safe harbor.

Quel serait l’impact pour les entreprises du net ?
Actuellement, les entreprises sont entre deux chaises : les autorités américaines exigent l’accès à toutes les données d’un côté et les Européens de l’autre, qui disent “non”. Elles suivent les exigences américaines parce que les conséquences juridiques d’un refus sont immédiates, alors que du côté européen, tout ce qu’elles risquent est un courrier…

A long terme, les entreprises ont intérêt à ce que cette question de juridiction soit résolue. Pour des raisons structurelles, elles tombent à la fois sous le coup de la législation américaine, parce que ce sont des entreprises américaines, et sous la juridiction irlandaise, indienne,… parce qu’elles y sont établies pour des raisons fiscales. Tout le monde a donc intérêt à ce que la Cour tranche.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Sources :
http://rue89.nouvelobs.com/2015/10/06/surveillance-max-schrems-heros-tres-discret-a-lombre-snowden-261526
http://www.lemonde.fr/pixels/article/2014/08/07/maximilian-schrems-le-but-est-de-faire-respecter-a-facebook-la-legislation-europeenne_4468090_4408996.html
http://www.usine-digitale.fr/article/rencontre-avec-le-juriste-qui-a-porte-plainte-contre-facebook-et-force-l-europe-a-trancher-sur-la-surveillance-de-masse.N351697

Mégadonnées, petits secrets? – Pas facile d’assurer la confidentialité des données personnelles à l’ère des réseaux sociaux et de l’open data

La professeure Charest compte au nombre de la dizaine de spécialistes que le Centre de recherche en données massives de l’Université Laval et l’Institut technologies de l’information et sociétés avaient réunis pour discuter du potentiel et des défis des mégadonnées, ces banques d’information si volumineuses et si complexes qu’elles exigent des méthodes de traitement particulières. D’entrée de jeu, Anne-Sophie Charest a rappelé les termes du contrat qui lie les chercheurs et les gens qui acceptent de participer à des enquêtes ou à des études. «On assure aux participants que les données resteront confidentielles et qu’elles ne seront utilisées qu’à des fins statistiques. Par contre, les chercheurs rendent publics des études ou des rapports à partir de ces informations et ils partagent même les données avec d’autres chercheurs ou avec la population. Le défi, qui existait même avant l’avènement du Big Data, est de concilier ces deux objectifs contradictoires.»

La solution intuitive, qui consiste à supprimer les informations nominatives, ne suffit pas à blinder une banque de données. À preuve, la professeure Charest a cité le cas du Massachusetts qui avait accepté, à la fin des années 1990, que les dossiers médicaux anonymisés des 135 000 employés de l’État soient mis à la disposition des chercheurs. Le gouverneur William Weld avait alors assuré que la confidentialité était garantie étant donné que les noms, les adresses et les numéros d’assurance sociale des employés avaient été supprimés. Une étudiante-chercheuse du MIT, Latanya Sweeney, aujourd’hui professeure à l’Université Harvard, avait toutefois trouvé une brèche de taille. En recoupant cette banque de données avec la liste électorale, elle a démontré qu’elle pouvait associer une bonne partie des dossiers médicaux à la personne correspondante. «Elle a même fait imprimer le dossier médical du gouverneur et elle l’a fait livrer à son bureau», raconte la professeure Charest.

Des organismes comme Statistique Canada et l’Institut de la statistique du Québec travaillent fort à assurer le respect de leur promesse de confidentialité, souligne Anne-Sophie Charest. La chercheuse explore, elle aussi, de nouvelles façons de compliquer le travail des personnes mal intentionnées qui tentent d’extraire des informations personnelles des bases de données publiques ou des publications qui en découlent. Ces différentes méthodes présentent toutefois un inconvénient important: si on les applique trop rigoureusement, on réduit l’accès aux données, ce qui n’est guère dans le ton en cette ère de l’open data, et on limite l’information utile qu’on peut en tirer.

Autre problème, il ne suffit plus que la confidentialité d’une base de données soit intrinsèquement protégée, il faut qu’elle le soit en tenant compte des recoupements possibles avec les autres sources d’informations. «Il est très difficile de prédire quelle information pourrait causer du tort au répondant si elle était rendue publique. L’approche de la confidentialité différentielle offre toutefois un compromis intéressant, estime-t-elle. Elle promet aux répondants qu’une tierce personne ne pourra rien apprendre de plus sur eux qu’ils acceptent ou non de participer à l’enquête. Cette nuance est importante considérant toute l’information que chaque personne diffuse maintenant sur elle-même. On ne peut plus fonctionner en vase clos.»

Par Jean Hamann

Source: Université Laval

Pour plus d’informations:

Organisation:Université Laval
Adresse:1160 Université Laval
Québec, Québec
Canada, G1V 0A6
www.ulaval.ca

Denis JACOPINI est Expert Informatique assermenté, consultant et formateur en sécurité informatique, en mise en conformité de vos déclarations à la CNIL et en cybercriminalité.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité, en accompagnement aux mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL et accompagnement de Correspondant Informatique et Libertés.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.rimq.qc.ca/detail_news.php?ID=551819&titre=Pas+facile+d%27assurer+la+confidentialit%C3%A9+des+donn%C3%A9es+personnelles+%C3%A0+l%27%C3%A8re+des+r%C3%A9seaux+sociaux+et+de+l%27open+data&cat=;71;21

Protection des données personnelles entre l’Europe et les U.S. – Vers un Safe Harbor II

La Commissaire européenne à la Justice, aux Consommateurs et à l’Égalité des genres, Věra Jourová, s’est exprimée hier devant le Parlement européen sur les suites à donner à la décision de la CJUE sur le Safe Harbor. Avec quelques mots d’apaisement à l’égard de l’industrie, la Commission étant sur le point de publier un guide des transferts de données internationaux.

Plus important, la Commission est parvenue à un accord de principe avec le gouvernement américain, préalable à l’élaboration d’un Safe Harbor deuxième version. « Dans les prochaines semaines, nous poursuivrons d’intensives discussions techniques et nous avons accepté d’être en contact régulier avant mon départ pour Washington mi-novembre. Ces discussions ne sont pas aisées, mais je suis confiante dans le fait que, d’ici là, nous aurons déjà progressé » indique la Commissaire. N’imaginez pas que tout reviendra à la normal dès novembre. Cependant, le temps presse pour la Commission après l’ultimatum du G29.

Deadline au 31 janvier, l’horloge tourne

Věra Jourová rappelle que la Cour demande un niveau de protection qui ne soit pas identique à celui de l’UE, mais « globalement équivalent ». C’est exactement ce que la Commissaire recherche. Elle souligne par ailleurs les efforts faits par les Etats-Unis depuis deux ans, l’USA Freedom Act notamment, mais aussi les directives de Barack Obama pour étendre la protection des données personnelles sur le sol américain aux citoyens européens. C’est le sens du Bill on Judicial Redress, prochainement examiné par le Sénat US.

En outre, le Département du Commerce américain a promis une coopération accrue avec les Cnil européennes et le traitement prioritaire des plaintes par la FTC. « Cela va transformer le système de la pure auto-régulation à un système de supervision plus sensible, proactif et protecteur, par des mesures significatives, y compris des sanctions » explique la Commissaire. Que demander de plus ?

Révision annuelle

Un examen régulier du cadre juridique peut-être ? Banco ! L’UE et les Etats-Unis travaillent de concert à la mise en place d’un système « d’examen annuel commun », lequel couvrira l’ensemble des aspects du cadre juridique y compris, je cite, « les exemptions liées aux dispositions législatives ou aux motifs de sécurité nationale ». Reste encore à concrétiser ce Safe Harbor II et à le rendre conforme au droit européen.

Věra Jourová conclut  : « la finalisation de la Réforme de la protection des données est un facteur clé pour le marché unique numérique. Les nouvelles règles devront favoriser un cercle vertueux entre la protection des droits fondamentaux, la confiance des consommateurs et la croissance économique ». Autant dire que nous nous pencherons assidûment sur le contenu de ces discussions.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.linformaticien.com/actualites/id/38321/vers-un-safe-harbor-ii.aspx

par Guillaume Périssat

Facebook continuera à transférer tranquillement vos données aux Etats-Unis

Publié il y a quelques jours, l’arrêt de la cour de justice de l’Union européenne (CJUE) à propos de l’affaire Max Schrems contre Facebook agite les entreprises du web américaines, car il pourrait remettre en cause l’un des piliers de leurs business : les transferts de données personnelles entre l’Europe et les Etats-Unis.

Jusqu’à présent, ces flux étaient principalement effectués dans le cadre dit de la « sphère de sécurité » (ou « Safe Harbor »), un accord juridique qui permet aux sociétés américaines de transférer vers leurs centres de données aux Etats-Unis les données personnelles de leurs utilisateurs européens, sans grande difficulté. Car on estimait que leurs informations y bénéficiaient d’une protection similaire (ou « adéquate »).

Les transferts se feront différemment

Mais la CJUE n’est pas de cet avis, estimant qu’aux Etats-Unis, « les exigences relatives à la sécurité nationale… l’emportent ». En d’autres termes, la sphère de sécurité n’offrirait aucune garantie de protection face à la surveillance de masse de la NSA révélée par Edward Snowden. Le CJUE invalide donc le Safe Harbor.

Facebook, en revanche, ne s’inquiète pas trop de cette nouvelle donne et prévoit de continuer tranquillement ses transferts de données transatlantiques, comme avant. « Cet arrêt ne nous impacte pas », explique Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook, de passage à Paris. « Il y a d’autres mécanismes que le Safe Harbor pour transférer les données personnelles. Ils sont plus compliqués à mettre en place, mais nous avons les ressources pour le faire », ajoute-t-il.

GK – Stephen Deadman, directeur adjoint de la confidentialité des données chez Facebook

Ces mécanismes alternatifs – qui sont d’ailleurs proposés par les autorités européennes de protection des données personnelles – portent des noms barbares tels que « Clauses contractuelles type » ou « Corporate Binding Rules ». Ils obligent les entreprises à créer des procédures internes spécifiques pour assurer la protection des données personnelles: audit, formation, gestion des plaintes, etc. Pour des acteurs tels que Facebook ou Google, cela signifie avant tout plus de paperasse à gérer, ce qui est supportable.

Incompatibilité fondamentale

Pour les utilisateurs, en revanche, toute cette situation est loin d’être satisfaisante. Il est peu probable que ces mécanismes alternatifs apportent une « protection adéquate » compte tenu du caractère très intrusif du Patriot Act, la loi américaine qui autorise la surveillance de masse aux Etats-Unis. Leur validité juridique devrait donc, là aussi, être plutôt incertaine. Mais l’arrêt de la CJUE, malheureusement, ne s’exprime pas sur ce sujet.

A ce stade, on imagine mal comment un hypothétique Safe Harbor 2, qui doit être négocié entre l’Union européenne et les Etats-Unis, pourrait régler la situation. Car le problème fondamental, c’est l’incompatibilité entre les programmes de surveillance de masse américains et les droits fondamentaux garantis par le droit européen.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://hightech.bfmtv.com/internet/safe-harbor-facebook-continuera-a-transferer-tranquillement-vos-donnees-aux-etats-unis-920849.html

L’Europe abrite officiellement Edward Snowden

Déposé par le député vert allemand Jan Philip Albrecht, cet amendement, accueilli avec enthousiasme par Edward Snowden sur Twitter, est venu se greffer à une résolution de 50 articles condamnant la surveillance des citoyens européens par les services de renseignement européens et américains. L’assemblée se dit notamment préoccupée de lois récentes votées par certains Etats membres et étendant la surveillance des citoyens. Une saillie qui vise notamment la France : le Sénat vient d’y voter un texte sur la surveillance des communications internationales, autorisant l’écoute des communications par les services secrets pour peu qu’une des parties impliquées dans l’échange soit située à l’étranger. Ce projet de loi, qui doit encore être adopté en commission mixte paritaire, fait suite à la décision du Conseil constitutionnel du 23 juillet 2015 dernier censurant certaines dispositions de la loi sur le renseignement.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.silicon.fr/europe-vote-snowden-mysql-ddos-open-source-apple-stonesoft-130344.html

Droit au déréférencement : une fiche pratique de la Cnil

Poursuivant sa mission d’explication de la protection des données à caractère personnel à tous, la Cnil présente cette fiche synthétique et didactique pour bien faire comprendre à tout un chacun quels sont les droits que lui accordent les lois européennes et l’arrêt de la CJUE du 13 mai 2014.

On peut ainsi voir posées des question essentielles telles que :

• Qu’est-ce que le déréférencement ?
• Quelle est la portée du déréférencement ?
• Comment exercer ce droit ?

Mais aussi des questions plus gênantes, notamment pour Google :

• Quelle est la portée  du déréférencement ?
• Comment se fait-il que l’application de la loi Informatique et Libertés puisse avoir des répercussions en dehors du territoire français ?

On trouve aussi des questions qui relèvent du débat de société :

• Quelles garanties pour la liberté d’expression et le droit à l’information ?
• Le déréférencement ne risque-t-il pas de conduire à une « censure » d’internet en faisant disparaître des documents ou des événements particuliers ?

La Cnil en profite, comme souvent, pour renvoyer à d’autres documents publiés sur son site sur le même sujet.

Lire la fiche sur le site de la Cnil :

www.cnil.fr/documentation/fiches-pratiques/fiche/article/le-droit-au-dereferencement-en-questions/

Documents connexes proposés par la Cnil :

Le droit au déréférencement : www.cnil.fr/vos-droits/exercer-vos-droits/le-droit-au-dereferencement/

[Infographie] Le droit au déréférencement : www.cnil.fr/vos-droits/exercer-vos-droits/le-droit-au-dereferencement/infographie-le-droit-au-dereferencement/

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.les-infostrateges.com/actu/15102072/droit-au-dereferencement-une-fiche-pratique-de-la-cnil