Données personnelles : mais à quoi sert la CNIL ? diffusion du mardi 6 octobre 2015

Des espions partout

En France, l’un des principaux acteurs de ce secteur inconnu du grand public est une filiale de La Poste, l’une des entreprises préférées des Français. « Cash Investigation » révèle que même votre facteur collecte des informations pour constituer ces bases de données qui seront vendues à n’importe quelle entreprise qui le demande.

L’enquête se poursuit à la caisse de votre supermarché. Car il y a des espions dans votre portefeuille : les cartes de fidélité. Celles qui vous permettent de bénéficier de petites ristournes. Grâce à ces cartes, les grandes enseignes recueillent des milliers d’infos sur votre consommation, et donc sur vous : l’historique de vos achats, la liste de tout ce qui remplit votre Caddie chaque semaine, sur plusieurs années. Un pic d’achat de couches pour nourrissons ? Félicitations ! Votre magasin sait qu’un heureux événement est venu élargir votre famille. Une info qui peut aussi intéresser, par exemple, les vendeurs de berlines qui vous proposent leurs nouveaux modèles avant même que vous pensiez en avoir besoin.

Tout le monde paie pour Apple…

Dans ce monde merveilleux du marketing, une entreprise impose sa loi : Apple. Les journalistes de « Cash Investigation » ont eu accès à un document ultraconfidentiel. Sous peine de rupture de contrat, la firme californienne oblige les opérateurs français à privilégier les iPhones et les produits Apple au détriment des concurrents. Même les pubs à la télé sont payées par les opérateurs. Un diktat qui leur coûte très cher : 10 millions d’euros pour SFR, par exemple. Et à la fin, ce sont tous les abonnés qui paient la facture, même ceux qui ne possèdent pas d’appareil de la marque américaine.

Pour le dernier volet de cette enquête, direction l’Indonésie. Dans les quartiers pauvres de Jakarta, de nombreux enfants souffrent de malnutrition. En cause, le lait en poudre que l’on donne aux nourrissons. Il augmente les risques de maladie par rapport à l’allaitement au sein. Les sages-femmes poussent les jeunes mères à nourrir leur bébé avec du lait maternisé, en particulier celui vendu par une filiale du géant français Danone. Une pratique proscrite par l’Organisation mondiale de la santé, et désormais interdite par la loi indonésienne. « Cash Investigation » révèle comment, en échange de séances de formation, de fournitures professionnelles gratuites ou de cadeaux, les sages-femmes se transforment en ambassadrices de la marque. Le marketing n’a décidément pas de limite.

Consultez la vidéo

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.francetvinfo.fr/internet/cash-investigation-donnees-personnelles-mais-a-quoi-sert-la-cnil_1109973.html

Facebook : vous serez prévenu en cas de piratage par un Etat. Vraiment ?

Facebook souhaite renforcer la sécurité des données personnelles des utilisateurs et annonce, dans un post de blog signé par son RSSI, son intention de signaler les tentatives de piratage menées par des groupes liés aux gouvernements contre les utilisateurs de ses services. Une notification spécifique sera ainsi affichée sur les comptes répondant aux critères retenus par Facebook, invitant les utilisateurs à activer l’authentification double facteur proposé par le site.

Facebook propose déjà des alertes dans les cas où il soupçonne une authentification frauduleuse : ainsi, quand l’utilisateur se connecte depuis une adresse IP différente, celle-ci est notifiée sur le compte. L’authentification à double facteur empêche entièrement de se connecter depuis une IP inconnue de Facebook si l’utilisateur n’est pas en mesure d’entrer un code que le service envoie sur son téléphone.

Un air de déjà vu?

Beau geste de la part de Facebook, mais le réseau social reste particulièrement avare en terme de précisions. Ainsi, Facebook ne communique pas sur les critères qu’il retient pour déterminer l’implication d’un gouvernement dans le piratage d’un compte : la tache n’a pourtant rien d’aisé tant on sait que l’attribution des cyberattaques est une science qui n’a rien d’exact. Alex Stamos explique ainsi que ces critères sont tenus secrets pour « protéger l’intégrité de nos méthodes » mais que ces notifications ne seront utilisées que dans les cas « où les preuves viennent fortement appuyer nos suppositions. »

On peut également s’interroger sur la mise en place d’un système à deux vitesses : il paraît évident que Facebook notifiera un utilisateur américain victime d’un piratage d’origine chinoise ou russe, mais en fera-t-il autant pour un citoyen russe victime d’un piratage orchestré par la NSA ? Difficile à dire, Facebook reste peu disert sur la question.

La mise en place de cette mesure par Facebook est en tout point similaire à ce qu’avait déployé Google en 2012 : chez le géant du moteur de recherche, on se garde également de mentionner les critères retenus pour qualifier l’attaque et on pousse l’utilisateur à mettre en place un mécanisme d’authentification à deux facteurs.

Denis JACOPINI est Expert Informatique assermenté, consultant et formateur en sécurité informatique et en mise en conformité de vos déclarations à la CNIL.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/facebook-vous-serez-prevenu-en-cas-de-piratage-par-un-etat-vraiment-39826746.htm

Traitements de données personnelles par les partis politiques : Les règles datent de 2006…

JO N°263 du 14 novembre 2006

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques, et notamment son article L.34-5 ;

Vu le code électoral, et notamment ses articles L. 28 et R. 16 ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ;

Vu la loi n° 88-227 du 11 mars 1988 modifiée relative à la transparence financière de la vie politique ;

Vu la loi n° 90-55 du 15 janvier 1990 modifiée relative à la limitation des dépenses électorales et à la clarification du financement des activités politiques ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives recourent à des traitements de données à caractère personnel pour gérer leurs fichiers de membres, de sympathisants ou de personnes s’étant mises en relation avec eux, organiser des élections internes ou réaliser des opérations de communication politique. Compte tenu du caractère sensible des données traitées, la Commission estime nécessaire de préciser les modalités selon lesquelles les principes de protection des données à caractère personnel doivent s’appliquer à ces traitements afin de garantir pleinement le respect des droits et libertés des personnes. Tel est l’objet de la présente recommandation, qui abroge et remplace la délibération du 3 décembre 1996.

Rappelle :

Au regard de la loi, les partis ou groupements à caractère politique, élus et candidats sont responsables des traitements qu’ils mettent en œuvre et ce, quand bien même ils feraient appel à des prestataires extérieurs. A ce titre, ils doivent veiller au respect de l’ensemble des dispositions de la loi « informatique et libertés » du 6 janvier 1978 modifiée en août 2004 et, en particulier, celles prévues à l’article 8 qui garantit une protection spécifique au traitement des données relatives aux opinions politiques des personnes.

Recommande :

I. Sur la gestion des fichiers internes mis en œuvre par les élus, candidats, partis ou groupements à caractère politique,

Conformément à l’article 8 de la loi du 6 janvier 1978 modifiée, les partis ou groupements à caractère politique qui mettent en œuvre des traitements relatifs à leurs membres ou aux personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leur activité politique (par exemple, les personnes qui versent des fonds, qui soutiennent de manière régulière l’action du parti ou de l’organisme politique concerné ou qui sont abonnées à une lettre d’information éditée par le parti ou le groupement à caractère politique) n’ont pas à effectuer de déclaration auprès de la CNIL ni à recueillir le consentement des personnes dont les données sont traitées.

En revanche, les traitements mis en œuvre par les élus ou les candidats et les traitements mis en œuvre par les partis ou groupements à caractère politique qui comprennent des données relatives aux personnes s’étant occasionnellement mises en relation avec eux (à l’occasion de l’envoi d’une pétition, d’une demande de documentation ou d’une visite sur un « blog » par exemple) doivent être déclarés à la CNIL. Ces traitements peuvent être déclarés en référence à la norme simplifiée n° 34 adoptée par la Commission.

Lorsque ces traitements sont susceptibles de faire apparaître les opinions politiques, réelles ou supposées, des personnes, la loi impose le recueil de leur consentement écrit. L’ensemble des traitements mis en œuvre par un parti, un groupement à caractère politique, un élu ou un candidat doit respecter les conditions suivantes en manière d’information des personnes,  d’exercice de droits des personnes et de confidentialité des informations traitées.

A. l’information des personnes lors de la collecte de leurs données

Les personnes doivent être informées, au moment de la collecte de leurs données :

de l’identité de celui qui procède à cette collecte : s’agit-il d’un parti politique, d’un comité de soutien extérieur au parti, d’un candidat, d’un groupe de sympathisants ? ;

de la ou des finalité(s) de cette collecte : les données collectées sont-elles utilisées à des fins de gestion de l’adhésion et  des cotisations, pour l’envoi de journaux et autres documents de  communication politique ? Les données collectées sont-elles destinées à être diffusées sur un site web de soutien à un candidat ? etc. ;

du caractère obligatoire ou facultatif de leurs réponses et des conséquences en cas de défaut de réponse ;

des destinataires des informations collectées : les données sont-elles uniquement destinées à la fédération locale, sont-elles transmises au siège du parti ?

des modalités selon lesquelles elles peuvent exercer leur droit d’accès, de rectification et de radiation auprès du service ou de la personne désignée pour répondre à ces demandes.

Ces mentions doivent figurer sur les bulletins d’adhésion et sur l’ensemble des supports (tracts, pages web, etc.) permettant un recueil de données à caractère personnel.  En outre, les sites web peuvent utilement comporter une rubrique « informatique et libertés/ protection des données personnelles » accessible dès la page d’accueil.

B. les droits des personnes dont les données sont traitées

Les personnes doivent pouvoir exercer facilement, et dans des délais rapides, les droits qui leur sont reconnus par la loi. En particulier, le droit :

d’obtenir, en justifiant de leur identité, communication et copie de l’ensemble des informations les concernant, ainsi que celui de se faire communiquer l’origine des ces informations ;

d’exiger que les informations les concernant qui sont inexactes, incomplètes, équivoques ou périmées soient rectifiées, complétées, mises à jour ou effacées ;

de s’opposer, à tout moment, à la conservation par l’élu, le candidat, le parti ou le groupement politique des données à caractère personnel les concernant.

L’exercice de ces droits doit être facilité par la mise en place d’une adresse postale ou d’une adresse de courrier électronique spécifiquement dédiée à cet effet dont l’existence aura été portée clairement à la connaissance des personnes intéressées sur les différents supports de collecte des données. Enfin, les données recueillies ne peuvent être cédées à des tiers, sauf accord écrit des personnes concernées.

C. Les conditions de sécurité, d’accès et de communication des données traitées par les partis ou groupements à caractère politique, les élus ou les candidats

La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. La Commission appelle l’attention des élus, candidats, partis ou groupements à caractère politique sur le respect de cette obligation, en particulier au regard de la nature sensible des données collectées.

Ainsi, la Commission recommande que l’accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. En effet, eux seuls peuvent, dans le cadre de leur fonction au plan national ou local, légitimement y prétendre, aux côtés des personnels administratifs habilités à gérer ces traitements.

Les conditions de ces accès devraient être précisées dans les statuts du parti ou du groupement à caractère politique.

Les accès individuels aux traitements devraient être garantis, par exemple, par l’attribution d’un identifiant et d’un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification.

La transmission, à des fins de communication politique, de la liste des adhérents à un candidat à une élection interne à un parti politique est possible sous réserve que ce dernier s’engage à ne pas en faire un usage autre. En cas d’organisation d’une élection interne par vote électronique, la Commission préconise le respect des dispositions de sa recommandation en date du 1er juillet 2003.

L’utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s’accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier.

II. Sur l’organisation d’opérations de communication politique,

A. L’utilisation de fichiers constitués par le candidat ou le parti politique lui-même,

Un parti, un groupement à caractère politique, un élu ou un candidat  peut  utiliser, à des fins de communication politique, les fichiers qu’il détient dès lors que les données ont été collectées en conformité avec les principes rappelés ci-dessus et sous réserve de permettre aux personnes démarchées de s’opposer à tout moment à la réception de nouveaux messages et de se faire radier, le cas échéant, du fichier utilisé.

B. L’interdiction d’utiliser les fichiers des administrations ou des collectivités locales,

Les fichiers mis en œuvre dans les administrations et les collectivités locales ne peuvent être utilisés que pour les seules finalités pour lesquelles ils ont été constitués dans le cadre des missions de service public qui leur sont imparties. Toute autre utilisation est susceptible de constituer un détournement de finalité, constitutive d’une infraction pénale. Dès lors, l’utilisation de ces fichiers à des fins de communication politique ne peut être admise. Ainsi, à titre d’exemple, les registres d’état civil, les fichiers de taxes et redevances, les fichiers d’aide sociale, les fichiers de parents d’élèves, les adresses de courrier électronique collectées à partir d’un site web institutionnel et, d’une façon générale, les fichiers d’administrés et d’usagers ne peuvent en aucun cas être utilisés à des fins de communication politique.

C. L’utilisation de la liste électorale,

Aux termes de l’article L. 28 du code électoral, tout électeur, tout candidat et tout parti ou groupement politique peut prendre communication et copie de la liste électorale auprès des communes concernées, à la condition de ne pas en faire un usage commercial. Cette disposition n’interdit pas aux élus, candidats ainsi qu’aux partis et groupements politiques, d’utiliser les informations issues des listes électorales à des fins de recherche de moyens de financement. Il est possible d’opérer, à partir des listes électorales obtenues, des extractions en fonction de l’âge ou du bureau de vote de rattachement des électeurs afin d’effectuer une opération de communication politique ciblée. En revanche, la Commission estime qu’un traitement consistant à opérer des tris sur la base de la consonance du nom des électeurs, sur leur département ou leur lieu de naissance afin de s’adresser à eux en raison de leur appartenance, réelle ou supposée, à telle communauté ethnique ou religieuse, ne constitue pas, au regard des articles 6 et 8 de la loi, une collecte loyale et licite de données. Un tel traitement doit donc être proscrit car comportant un risque de sélection et de discrimination susceptible de porter atteinte aux droits et libertés des personnes. La Commission recommande que tout courrier adressé à un électeur à partir de la liste électorale indique l’origine des informations utilisées pour le lui faire parvenir.

D. L’utilisation des fichiers commerciaux,

Seuls les fichiers loués ou cédés à des fins de prospection commerciale (fichiers de clients ou de prospects) peuvent être utilisés par un candidat, un élu ou un parti politique à des fins de communication politique.

Ainsi, les fichiers de gestion interne (par exemple, les fichiers de gestion et de paie du personnel) ne peuvent être utilisés à des fins de communication politique.

L’élu, le candidat ou le parti ou le groupement à caractère politique est responsable du traitement mis en œuvre dans le cadre d’une opération de prospection politique, quand bien même l’organisation de cette campagne ne le conduit pas à traiter directement les données à caractère personnel des personnes démarchées, c’est-à-dire lorsqu’il fait appel aux services de sociétés extérieures qui gèrent elles-mêmes l’organisation et la réalisation technique de l’opération de prospection.

A ce titre, il doit procéder à la déclaration du traitement à la CNIL et s’assurer, notamment par l’insertion de clauses spécifiques dans le contrat de location du fichier dont l’utilisation est envisagée, que les personnes ont été informées de l’utilisation à des fins de prospection politique de leurs données et des droits qui leur sont ouverts au titre de la loi « informatique et libertés ». Une sélection des personnes à démarcher, notamment sur la base de leur centre d’intérêt (par exemple, la politique), de leur âge ou de leur résidence géographique est possible à la condition qu’elle ne se base pas sur la consonance des noms des personnes ou sur leur lieu de naissance et qu’elle ne fasse pas apparaître, directement ou indirectement, les origines raciales, ou ethniques ou les opinions politiques, réelles ou supposées, des personnes concernées.

La particularité des opérations de prospection politique conduit la Commission à recommander une information particulière des personnes dont les données sont traitées, d’une part, lors de la collecte de leurs données, d’autre part, lors de la réception du message.

1. la nécessité d’une information claire et transparente des personnes lors de la collecte de leurs données

La Commission recommande que les personnes soient averties, lors du recueil de leurs données par le prestataire détenteur du fichier dont l’utilisation est envisagée, de la possible utilisation de leurs données à des fins de prospection politique.

concernant l’organisation d’opérations de prospection par voie postale ou téléphonique,

Les personnes doivent, en outre, être averties de leur droit de s’opposer à cette utilisation et à la transmission à des tiers de leurs données – ici, le parti, le groupement à caractère politique, le candidat ou l’élu – par un moyen simple et immédiat, une case à cocher par exemple.

concernant l’organisation d’opérations de prospection par voie électronique,

La loi pour la confiance dans l’économie numérique du 21 juin 2004 a posé le principe du consentement préalable des personnes concernant la réception de messages de « prospection directe », entendu au sens de commerciale, fournis notamment au moyen de courriers électroniques, mais n’a pas abordé le cas de la prospection politique.

Face au silence de la loi, la Commission estime que ce régime devrait s’appliquer aux opérations de prospection politique opérées par voie électronique et, dès lors, appelle l’attention du Gouvernement sur l’intérêt qui s’attacherait à ce qu’une disposition législative vienne préciser le régime juridique applicable aux opérations de prospection politique opérées par voie électronique.

La Commission estime dès à présent que les opérations de prospection politiques opérées par courrier électronique devraient n’utiliser que des bases de données de personnes ayant exprimé leur consentement à être démarchées, dits fichiers « opt-in ». (exemple de recueil de consentement par une case à cocher : «  Oui, j’accepte de recevoir par e-mail des sollicitations de vos partenaires commerciaux, d’associations ou de groupements à caractère politique »).

Prenant acte du fait que les personnes dont les adresses de courrier électronique sont aujourd’hui contenues dans les fichiers de prospection commerciale n’ont pas été informées de la possible utilisation de leurs données à des fins de prospection politique, la Commission recommande que les gestionnaires de bases de données souhaitant proposer la location de leur base à des fins de prospection politique adressent un courrier électronique à chacune des personnes présentes dans leur base pour les informer que leur adresse électronique est dorénavant susceptible d’être utilisée à des fins de prospection politique et de la faculté qu’elles ont de s’y opposer.

2. la nécessité de renforcer l’information des personnes lors de la réception d’un message de prospection politique

La Commission préconise que le message envoyé aux personnes sollicitées, quel que soit le support utilisé, précise de façon claire et visible :

l’origine du ou des fichiers utilisés ou du programme de fidélisation auquel elles se seraient inscrites (par exemple : « Vous recevez cet e-mail/ ce courrier parce que vous vous êtes inscrit auprès de ….  Si vous ne souhaitez plus recevoir de messages de sa part, cliquez ici/ écrivez à l’adresse ci-dessous ») ;

le fait que le candidat, l’élu ou le parti à l’origine de la campagne ne dispose pas de l’adresse utilisée mais a eu recours à un prestataire extérieur (par exemple : « Ce message vous a été envoyé par un prestataire pour le compte de notre parti qui n’a pas connaissance de votre adresse ») ;

du droit de s’opposer, à tout moment, à recevoir de tels messages. L’exercice de ce droit doit permettre à l’internaute de ne plus recevoir de message à vocation de prospection politique du fichier à partir duquel ses coordonnées électroniques ont été utilisées.

3. la gestion des radiations exprimées par les personnes

Un parti, un groupement à caractère politique, un élu ou un candidat ne peut traiter lui-même dans un fichier (type « liste rouge ») les données des personnes ne souhaitant plus être démarchées. En effet, la constitution d’un tel fichier pourrait révéler, directement ou indirectement, les opinions politiques des personnes qui y sont inscrites. Il revient donc aux prestataires de gérer le fichier des oppositions exprimées par les personnes, en évitant toute indication susceptible de révéler indirectement les opinions politiques des personnes, à savoir la campagne à l’origine de la demande de désinscription.

4. l’utilisation d’autres moyens de communications électroniques

Au regard du caractère particulièrement intrusif de la prospection opérée par télécopieurs ou par automates d’appel, la Commission recommande que les candidats, élus ou partis et groupements à caractère politique s’abstiennent d’utiliser ces moyens de communication pour effectuer une opération de prospection politique. La Commission relève que le format actuel des messages qui peuvent être envoyés sur les téléphones portables (SMS) ne permet généralement pas de fournir aux personnes démarchées les informations nécessaires dans le cadre d’une opération de prospection politique. En conséquence, elle préconise de ne pas utiliser ce moyen de communication afin de réaliser des opérations de communication politique.

III.   Sur l’organisation d’opérations de parrainage,

Les partis, groupements à caractère politique, élus ou candidats peuvent vouloir organiser des opérations de parrainage leur permettant de s’adresser directement à une personne dont les données leur auront été communiquées par un tiers. Les opérations de parrainage constituant un mode de collecte indirecte de données, la Commission recommande qu’il soit adressé à la personne ainsi parrainée un seul et unique message l’informant de l’identité de la personne lui ayant transmis ses coordonnées (le parrain) et l’invitant à entrer en contact avec le  parti, le groupement à caractère politique, l’élu ou le candidat à l’origine du message et, qu’à défaut, les coordonnées soient effacées à l’issue de cette opération (exemple : « Votre adresse nous a été transmise par M. X. Elle n‘est pas conservée et n’a été utilisée que pour vous faire parvenir ce message vous invitant à rentrer en contact avec nous en nous contactant à l’adresse suivante / par l’intermédiaire de notre site web).

Le président, Alex Türk

Le projet de loi numérique plus en détail

Qu’est-ce que les associations, organisations et entreprises ont pensé du projet de loi numérique mis en ligne au début du mois ? Ils ont été nombreux à donner leur avis, approuvant des articles, en critiquant d’autres, proposant des modifications, suppressions ou ajouts. Voici ce qu’ils demandent :

Open data

Si la plupart des acteurs saluent les avancées des articles 1 à 7 concernant l’open data, à l’image de l’Afnic et du Syndicat des éditeurs de la presse magazine, ils sont aussi nombreux à réclamer des précisions ou des mesures allant plus loin que celles avancées par le gouvernement. Le Conseil National du Numérique propose d’élargir massivement les obligations de diffusion des documents des organismes publics, tout comme Regards Citoyens, qui réclame un droit à la publication en Open Data pour tous les citoyens et CCM Benchmark (éditeur du JDN), qui réclame par ailleurs de réduire les délais de mise à disposition des données publiques –revendication partagée par le syndicat de la presse indépendante d’information en ligne.

Le Medef, s’il se dit favorable à l’open data par défaut, et demande une précision quant à la nature des documents visés, « afin d’éviter un champ large de documents concernés pouvant porter atteinte aux droits de propriété intellectuelle (…) ou encore au secret en matière commerciale et industrielle. » L’organisation patronale vote par ailleurs contre la réutilisation des données des services publics industriels et commerciaux, l’ouverture des données des délégations de service public et des subventions publiques.

L’INA pose la question des redevances

L’INA, de son côté, pose la question des redevances dans le cadre du droit d’accès des organismes publics aux données publiques : « Des redevances pourront-elles être établies, compte tenu notamment des coûts générés pour répondre à ces demandes de transmission ? » L’avenir de la Cada est aussi débattu : Le CCNum veut renforcer ses droits, CCM Benchmark s’oppose à une fusion avec la Cnil.

Se sont aussi exprimés sur le sujet la FIEEC, fédération de l’industrie, qui réclame le déploiement du protocole ouvert IPv6, l’AFNUM, syndicat professionnel qui représente les industriels des réseaux, des terminaux de l’électronique grand public, de la photographie et des objets connectés, ou encore l’Association des archivistes français (AAF).

Avis de consommateurs

L’article 15 du projet de loi, qui vise à « mieux informer les consommateurs sur les avis en ligne » en imposant aux sites Internet d’indiquer, de manière explicite, si les avis ont été vérifiés ou non, fait débat. S’il a reçu 421 votes positifs, contre seulement 49 mitigés et 18 négatifs, plusieurs acteurs proposent d’apporter des précisions au texte de loi. L’agence de voyage Nomade Aventure réclame de rendre obligatoire l’affichage de tous les avis et leur classement par défaut par ordre chronologique pour plus de neutralité. Afnor Certification, qui délivre divers labels de qualité aux entreprises, demande à aller plus loin en mettant en place des outils pour informer les internautes dont les avis auraient été rejetés ou en instaurant un droit de réponse du responsable du produit ayant fait l’objet d’une critique.

Neutralité du Net

Le volet sur la neutralité du Net a recueilli 1 370 votes positifs, 45 mitigés et seulement 11 contre. Le Syndicat des éditeurs de la presse magazine a par exemple salué la disposition, tout comme l’Afnum et l’Afnic.

Alcatel-Lucent : des réserves sur la Neutralité du Net

Alcatel-Lucent se prononce cependant contre le texte en expliquant que la notion de « classe de service » est nécessaire et pas incompatible avec un Internet « ouvert et transparent : « la classification des paquets et la réservation de la bande passante pour la transmission de certains flux s’avère nécessaire à un bon fonctionnement des réseaux et à une bonne expérience utilisateur. » Le Syntec Numérique explique de son côté juger inutile la disposition discutée en ce moment au niveau européen et a critiqué l’extension des pouvoirs de l’Arcep aux « personnes fournissant des services de communication en ligne ».

Loyauté des plateformes

Le projet de loi numérique veut imposer aux plateformes l’obligation de fournir une information loyale et claire sur leurs liens capitalistiques ou de rémunération avec les fournisseurs des offres qu’elles référencent (lire : « Loyauté des plateformes : ce que va changer la Loi sur le numérique », du 14/10/15). Globalement bien reçu, le texte a tout de même enregistré certaines réserves. L’Afnum, d’abord, estime « qu’il est trop tôt pour légiférer au niveau national » et qu’il serait « préférable de traiter ce sujet au niveau européen ». Le CNNum réclame de son côté l’introduction du principe de contradiction dans le retrait ou déréférencement de contenus par les plateformes : « chacune des parties à un litige est en mesure de discuter et contester l’énoncé des faits et des arguments que lui oppose son adversaire ».

L’Open Internet Project estime pour sa part que la portée actuelle du texte est trop étroite. L’organisation réclame de faire état des « gatekeepers », les plateformes dominantes par lesquelles les internautes passent pour accéder à d’autres, et de leur imposer une obligation de loyauté : « l’article, s’il oblige les plateformes à informer le consommateur au sujet des relations entretenues avec ses partenaires, ne leur interdit pas pour autant de pénaliser d’autres acteurs en ayant recours à des pratiques déloyales ».

Données personnelles

Le projet de loi numérique met notamment l’accent sur la protection des données personnelles des utilisateurs à travers plusieurs articles, salués par les contributeurs.

L’Afnic réclame un tiers de confiance pour la portabilité des données

Certains acteurs de l’écosystème, cependant, s’inquiètent de la mise en œuvre des dispositions : le Syndicat des éditeurs de la presse magazine se dit ainsi contre la portabilité des données : « Un droit à la portabilité des données trop étendu, par les contraintes fortes qu’il entraînerait, risque de détourner les acteurs du numérique de leurs efforts d’investissement et d’innovation. Le sujet, complexe donc, est actuellement à l’étude dans le cadre des travaux menés au niveau européen, autour du projet de règlement de protection des données. » L’Afnic, au contraire, veut aller plus loin et réclame la possibilité de passer par un tiers de confiance pour s’assurer la portabilité de ses données.

La disposition sur la mort numérique (article 20), qui permet de décider par avance du sort de ses données en cas de décès, a été très bien reçue par les contributeurs (583 d’accord, 17 pas d’accord). Pourtant, selon Benjamin Rosoor, cofondateur de la start-up Transmitio qui permet de protéger et transmettre les informations de son entreprise, « il semble difficile d’imposer par une loi française ou même européenne des procédures à des services qui sont souvent américains ». De manière générale, les contributeurs s’interrogent sur les sanctions en cas de non-respect des services.

L’ACN, Alliance pour la confiance numérique s’est aussi exprimée sur plusieurs articles concernant les données privées. Elle propose notamment que le certificat de conformité créé par la loi, qui permettra aux entreprises d’obtenir des avis de la CNIL sur leurs méthodes de gestion des données personnelles, soit délivré par des organismes indépendants.

Domaine public informationnel

Les éditeurs vent debout contre le domaine public informationnel

L’article 8, portant sur la définition positive du domaine commun informationnel –le but étant d’interdire de revendiquer des droits sur ce qui appartient au domaine public- ne fait pas l’unanimité. Si les contributeurs se sont prononcés en majorité pour (655 d’accord contre 83 pas d’accord et 84 avis mitigés), plusieurs acteurs réclament la suppression du texte, qui pourrait constituer un précédent facheux pour leur économie, comme la Société civile des auteurs multimédias (Scam), la Société des auteurs et compositeurs dramatiques, le Syndicat national de l’édition, les éditions Actes Sud et les éditions Dalloz ou encore Hachette.

Propositions annexes

Outre commenter les articles et proposer des modifications, plusieurs acteurs ont émis des propositions subsidiaires. Regards Citoyens, par exemple, propose de publier en Open data, en plus des subventions, toutes les informations liées aux fonctions des élus, à leurs indemnités et liens d’intérêts. Le Conseil National du Numérique demande la création d’un médiateur du numérique ou encore de pouvoir ouvrir une action collective sur la protection des données personnelles. Medias-Cite réclame la création d’un label « entreprise numérique citoyenne » et propose de limiter l’obsolescence programmée en promouvant les fablabs et Repairs Cafés.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.journaldunet.com/ebusiness/le-net/1164530-projet-de-loi-numerique-que-reclament-les-acteurs-du-secteur/

Ce que va changer la Loi sur le numérique à propos de la protection des données personnelles

Le tant attendu projet de loi pour la République numérique d’Axelle Lemaire a enfin pris forme. Fruit d’une grande concertation nationale de près d’un an, le projet de loi est désormais soumis à une ultime consultation en ligne jusqu’au 18 octobre. L’occasion pour le JDN de faire le point sur les différents volets de ce projet de loi participatif.

Cette loi est « une loi de progrès du droit », explique le gouvernement. Une loi qui affirme les grands principes nécessaires à la protection des citoyens, en matière de données personnelles notamment, nous promet-on. Ainsi le projet de loi prend-t-il le soin de réaffirmer le fameux secret des correspondances dans un article 22 qui stipule que « tout traitement automatisé d’analyse du contenu de la correspondance en ligne ou des documents joints à celle-ci constitue une atteinte au secret des correspondances, sauf lorsque ce traitement a pour fonction l’affichage, le tri ou l’acheminement de ces correspondances, ou la détection de contenus non sollicités ou malveillants ». Oui, Gmail, Outlook ou Yahoo mail peuvent étudier vos échanges d’emails s’il s’agit de mettre en exergue ceux-qui sont les plus à même de vous intéresser ou, au contraire, de filtrer les spams.

Google ne pourra plus lire vos mails pour des pubs ciblées

« Ces services ne pourront en revanche plus examiner automatiquement le contenu des correspondances privées échangées en leur sein pour des fins commerciales, comme ils pouvaient le faire jusque-là », explique Alan Walter, avocat associé au sein du cabinet Walter Billet. La fin de la publicité ciblée via le scan des mails dans Gmail et consorts ? Les Français pourront en tout cas désormais invoquer l’article 226.1 et suivant du code Pénal pour poursuivre en justice les contrevenants. Mais l’histoire récente montre qu’un tel combat judiciaire ne peut se mener avec succès que s’il est mené à l’échelle européenne. Ne reste plus qu’à espérer qu’il fera effet domino chez nos voisins.

Alors que la quantité des données nous concernant, online, croît de manière exponentielle, la loi veut redonner le contrôle aux individus sur leurs données personnelles. C’est le principe de la « libre disposition de ses données » de l’article 16 qui se veut une alternative à l’absence d’un droit de propriété sur les données. Et dans cette perspective, le projet de loi fait de la Cnil un véritable garde-fou entre l’internaute et les services de traitement de données. Sur le droit à l’oubli des mineurs, celle-ci pourra être saisie en cas d’absence ou d’absence de réponse de la part du responsable de traitement. Elle se prononcera sur la demande dans « un délai de 15 jours », affirme le projet de loi. Un vœu pieux selon Alan Walter qui affirme que « l’institution va vite être dépassée ». Une prédiction que les problèmes rencontrés par Google au moment d’appliquer lui-même le droit à l’oubli (56 jours pour traiter les demandes au début) semble conforter.

Plus de prérogatives pour la Cnil… Mais quid des moyens ?

L’avocat estime qu’il en va de même pour l’article 17 qui propose au président d’assemblée parlementaire de « soumettre à l’avis de la commission une proposition de loi comportant des dispositions relatives à la protection des données à caractère personnel » et l’article 18 qui donne à la Cnil le pouvoir de « certifier la conformité du processus d’anonymisation totale ou partielles de jeux de données à caractère personnel ». « C’est très positif de donner plus de prérogatives à l’institution mais, s’il y a une nette amélioration récemment, on se rend compte que les gens de la Cnil n’ont eux-mêmes pas toujours le temps de répondre à nos sollicitations », explique-t-il. « Et je doute qu’ils soient vraiment outillés pour le faire à un tel rythme et une telle échelle avant quelques années ». D’autant que se profile dans les années à venir une fusion compliquées avec la Cada.

L’article 21 du projet de loi renforce en tout cas la procédure de sanction de la Cnil, qui pourra prononcer « une sanction immédiate lorsque le manquement ne peut pas être réparé. Dans un exercice de pédagogie, le gouvernement donne l’exemple suivant : « la CNIL pourra sanctionner financièrement une entreprise ayant perdu des milliers d’adresses email, ce qui n’est pas possible aujourd’hui (simple mise en demeure) ». Le projet de loi propose également de raccourcir les délais de mise en demeure en cas d’urgence, le ramenant à 24 heures. « On notera quand même que le montant de la sanction pécuniaire ne bouge lui pas », note Alan Walter, un brin taquin. D’un montant maximal de 150 000 euros, et, en cas de récidive, jusqu’à 300 000 euros. Un montant par vraiment dissuassif pour les géants américains.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.journaldunet.com/ebusiness/le-net/1164005-protection-des-donnees-personnelles-loi-sur-le-numerique/

Par Nicolas Jaimes – JDN

Pas assez connectée pour être menacée ? Madame Walsh s’est pourtant fait pirater

Cette grand-mère de six petits-enfants a accepté de servir de cobaye à deux hackeurs, se pensant à l’abri, puisque n’étant pas quelqu’un de « connecté ».

Mme Walsh explique ne disposer d’aucun objet connecté (montre, etc.), sa maison n’est équipée d’aucun appareil technologique récent (thermostat connecté ou autre), et elle n’est pas une grande adepte des gadgets électroniques. Bien sûr, elle dispose d’un compte Facebook, mais n’y publie jamais rien, et s’en sert uniquement pour rester en contact avec des amis. Et pourtant.

E-mail, PaylPal, télévision et garage piratés

Les hackeurs ont bien réussi à pirater Madame Walsh. Le quotidien raconte que les pirates ont successivement testé plusieurs pistes pour tenter de s’attaquer à la grand-mère. Si son compte Facebook se révèle bien protégé, la découverte d’un « J’aime » pour une page de la plateforme de pétitions Change a été le déclic.

Dix minutes plus tard, les hackeurs adressent à Mme Walsh un faux e-mail émanant de Change.org proposant de signer une fausse pétition. Bingo, la grand-mère clique, et entre son identifiant et son mot de passe. La voilà victime de « phishing ».

Madame Walsh confesse au « New York Times » utiliser le même mot de passe sur l’ensemble des services internet. Les pirates sautent sur la brèche et s’introduisent dans sa messagerie e-mail pour récupérer ses données de sécurité sociale et d’assurance maladie, et de ses comptes PayPal et Miles.

Pis, les hackeurs s’introduisent également dans le compte e-mail de sa fille, dont le code était « caché » dans un message. Enfin, ils laissent sur l’ordinateur de Mme Walsh un virus qui enregistre tout ce qui est tapé et remplace les publicités des sites visités afin de leur générer des revenus.

Pas repus, les deux hackeurs se sont attaqués à sa maison. En une heure et demie, ils ont pris le contrôle de sa télé (l’installateur du câble n’avait pas protégé la connexion) et trouvé un moyen d’ouvrir à distance la porte de son garage (via un procédé de « brute force » qui a essayé des centaines de combinaisons possibles avant de tomber sur la bonne pour la porte électrique).

Le phishing, risque numéro un

L’exemple du « New York Times » est extrême mais illustre bien que personne n’est à l’abri d’un piratage, même ceux qui se pensent « trop peu connecté pour être en danger ». Et le risque premier demeure le phishing, aussi appelé hameçonnage.

Aujourd’hui, plus de 90% des attaques dans le monde démarrent par un e-mail de phishing », affirme Ismet Geri, directeur général pour la France et l’Europe du Sud de Proofpoint, société spécialisée dans la sécurité des e-mails.

Un e-mail sur 392 serait une tentative de phishing, estime l’entreprise de sécurité informatique Symantec dans son dernier rapport. Au total, 37,3 millions d’internautes sont tombés dans le panneau dans le monde, affirme une enquête de la société de sécurité Kaspersky. La France se classe septième pays au monde dans les victimes avec un internaute sur 30 floué.

LIRE »J’ai cliqué » : chronique d’un phishing ordinaire

L’objectif des pirates est simple : récupérer des coordonnées bancaires, mais aussi des informations personnelles. Selon Symantec, au marché noir, les détails d’une carte de crédit se revendent entre 0,50 et 20 dollars, un passeport scanné 1 à 2 dollars, l’accès à un compte cloud 7 à 8 dollars, l’accès à un compte de jeux vidéo en ligne 10 à 15 dollars, etc.

L’utilisation de ces données est évidente. Les données bancaires permettent d’effectuer des achats en ligne, tandis que les informations personnelles vont permettre de s’identifier sur l’ensemble des services. Surtout que le sésame identifiant/mot de passe devient un Graal, quand on sait que 75% des Français utilisent toujours le même mot de passe.

Je m’estimais plutôt malin, je m’étais trompé ! », a confié le blogueur Thomas Messias au « Parisien » après un piratage de ses comptes. « Evidemment, j’utilisais le même mot de passe pour eBay et pour tous les autres sites… »

Voilà Madame Walsh prévenue. Et pour ce qui est de la maison, de nombreux experts en informatique démontraint régulièrement comment prendre le contrôle d’objets usuels. Cet été, le hackeur Samy Kamkar a démontré comment ouvrir des portes de garage à partir d’un jouet Mattel en moins de 10 secondes :

Denis JACOPINI est Expert Informatique, conseiller et formateur en entreprises et collectivités et chargé de cours à l’Université.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://tempsreel.nouvelobs.com/tech/20151015.OBS7721/pas-assez-connectee-pour-etre-menacee-madame-walsh-s-est-pourtant-fait-pirater.html#xtor=EPR-1-ObsActu8h-20151016

Oups ! Uber dévoile les données personnelles de chauffeurs

Uber l’assure, ses services sont bons pour l’économie et créent de l’emploi – pas salarié cependant, les chauffeurs ne signant pas de contrat de travail avec la multinationale. En France, la société a dû faire face au mécontentement, et pas des taxis cette fois, mais des chauffeurs eux-mêmes.

La faille de sécurité dont a été victime cette semaine le service devrait probablement moins affecter ces travailleurs que la diminution tarifaire imposée par Uber. La société a ainsi, accidentellement, divulgué les données personnelles de plusieurs centaines de chauffeurs.

Un bug de débutant, mais des conséquences mineures

Cette fuite de données est la conséquence d’un bug logiciel. Elle a abouti à la divulgation de l’identité de conducteurs Uber, dont leurs numéros de sécurité sociale, parmi d’autres données sensibles. En enregistrant des documents d’assurance auprès d’Uber, des chauffeurs ont constaté que s’affichaient les informations d’autres utilisateurs de la plateforme.

Mais pas de panique, assure la société américaine. Selon cette dernière, qui a notamment été interrogée par The Register, moins de 700 chauffeurs américains sont concernés par cet incident. Et par ailleurs, poursuit Uber, le bug a été corrigé dans les 30 minutes qui ont suivi sa découverte.

Selon Gawker, ce bug pourrait être lié à la sortie d’une nouvelle application  : Uber Partner. Celle-ci permet aux conducteurs de gérer leurs comptes et de suivre leurs courses, mais aussi de transmettre des données pour l’enregistrement des nouveaux chauffeurs.

En comparaison de la faille de sécurité du début d’année, la dernière semble mineure. Une base de données de 50.000 chauffeurs Uber avait en effet fuité sur GitHub. La société a été critiquée à plusieurs reprises pour ses pratiques en matière de sécurité et de confidentialité des données.

Pour redorer son blason et améliorer la sécurité de ses développements, Uber a créé cette année un poste de responsable de la sécurité informatique (RSSI) et embauché deux hackers renommés, Charlie Miller et Chris Valasek.

Denis JACOPINI est Expert Informatique, conseiller et formateur en entreprises et collectivités et chargé de cours à l’Université.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/oups-uber-devoile-les-donnees-personnelles-de-chauffeurs-39826600.htm

Les PME pourraient être victimes de la remise en cause du Safe Harbor

Mais ce n’est pas le seul moyen d’acheminer des données des deux côtés de l’Atlantique. Les entreprises américaines et européennes peuvent signer, entre elles, des clauses contractuelles standards. Elles peuvent aussi obtenir le consentement des utilisateurs, mais ce cas ne fonctionne que pour les entreprises s’adressant aux particuliers, pas aux professionnels. Enfin, elles peuvent demander une autorisation à la Cnil.

D’autres plaintes ?

Ces autres possibilités dressent en tout cas, en négatif, le portrait des probables « victimes » de ce nouveau flou : les petites et moyennes entreprises, européennes ou américaines, qui n’ont pas de service juridique fourni en interne pour pouvoir signer des clauses contractuelles ou s’occuper de la question rapidement. « Nous sommes inquiets. Pas forcément pour nous, car tous nos échanges sont régis par des contrats, mais pour les petites entreprises, qui n’ont pas de service juridique ou d’avocats pour s’occuper de ces sujets », confirmait il y a quelques jours Stephen Deadman, directeur adjoint de la vie privée chez Facebook, de passage à Paris.

Le cabinet d’avocats Bryan Cave, de son côté, a déjà reçu plusieurs dizaines de clients inquiets ces jours-ci. « C’est d’autant plus inquiétant que les entreprises françaises ont moins l’habitude, par rapport aux entreprises anglo-saxonnes notamment, de travailler avec des conseillers juridiques, affirme l’avocat Joseph Smallhoover, de Bryan Cave, qui conseille plusieurs sociétés américaines et européennes. Et ce sont ces mêmes PME qui sont le plus créatrices d’emplois. » Et ce n’est sans doute pas fini. « En affirmant que les Etats-Unis n’ont pas un niveau de protection suffisant, la Cour européenne de Justice ouvre aussi la voie à des attaques contre les clauses contractuelles », poursuit Joseph Smallhoover. C’est pour cette raison que les responsables politiques appellent, eux, depuis plusieurs jours, à fournir un nouveau cadre aux transferts de données. La ministre de la Justice Christiane Taubira a estimé vendredi qu’il fallait «  aller vite parce qu’on ne peut pas prendre le risque ni d’un vide juridique, ni d’un manque de protection, ni d’un manque de garanties par rapport à la circulation des informations. » Les négociations entre Europe et Etats-Unis pourraient bien s’accélérer.

Denis JACOPINI est Expert Informatique, formateur et chargé de cours à l’Université.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lesechos.fr/tech-medias/hightech/021393249999-les-pme-pourraient-etre-victimes-de-la-remise-en-cause-du-safe-harbor-1164083.php

Par Nicolas RAULINE

Les 10 ans des Correspondants Informatique et Libertés CIL

La convention organisée pour les 10 ans des CIL

A la veille d’un tournant majeur de la réglementation en matière de données personnelles, la CNIL et les CIL ont dressé le bilan des 10 années d’existence de la fonction de CIL. A l’occasion d’un événement organisé le mardi 13 octobre par la CNIL, ils ont échangé sur les bonnes pratiques en matière de conformité et ont envisagé ensemble l’avenir de la profession.

La journée, introduite par la Présidente de la CNIL, Isabelle Falque-Pierrotin, a été ponctuée d’interventions et d’ateliers axés sur la préparation des CIL à un exercice efficace de leurs missions dans un contexte réglementaire renouvelé.

Après la restitution des résultats de l’étude IFOP de juillet 2015 sur la fonction de CIL menée pour la CNIL auprès des correspondants en poste, ont été évoqués les actions, outils, procédures et pratiques contractuelles propres à satisfaire le nouveau principe d’ accountability et, plus particulièrement, l’obligation relative à la sécurité des données personnelles à l’heure du tout connecté.

Enfin, un atelier a été consacré aux techniques de valorisation de la conformité auxquelles peut recourir chaque CIL pour installer et pérenniser une culture « Informatique et Libertés » au sein de son organisme.

L’opportunité a été ainsi offerte aux correspondants de partager leurs retours d’expérience et visions opérationnelles sur des sujets désormais incontournables L’objectif a été donc de prendre collectivement une longueur d’avance sur le règlement européen.

CIL aujourd’hui, délégué à la protection des données demain avec le règlement européen 

10 ans après sa création, le CIL est devenu un métier clé du paysage de la protection des données personnelles. Cette évolution est consacrée par le projet de règlement européen, qui place les futurs « délégués à la protection des données » (Data Privacy Officers ou DPO) au cœur du prochain dispositif de régulation. Ce texte est actuellement en cours de discussion et devrait être finalisé pour la fin de l’année.

Le projet de règlement prévoit : 

• un allègement des formalités préalables à accomplir par les organismes
• un renforcement des droits des personnes concernées,
• une augmentation du montant des sanctions
• la mise en place d’outils et de procédures visant à s’assurer, documenter et ainsi démontrer la prise en compte des principes de protection des données, dans une logique d’engagement responsable (« accountability »).

Dans ce nouveau cadre, la désignation d’un DPO pourrait être rendue obligatoire dans un certain nombre de cas. Son rôle de pilote de la conformité sera consacré au travers d’un renforcement de ses missions et moyens. Il deviendra un véritable « chef d’orchestre » en la matière, chargé :

• de tenir à jour la « documentation Informatique et Libertés »,
• d’informer, de conseiller et de vérifier le respect par l’organisme de ses obligations (en particulier, « privacy by design », études d’impact et notification des violations de données).
• Il sera également le point de contact de l’autorité de régulation, la consultera et coopèrera avec elle si nécessaire.

Qui sont les CIL d’aujourd’hui ?

L’étude IFOP de juillet 2015 menée auprès des CIL sur leur fonction montre que :

53% des CIL font partie du secteur privé et 47% exercent leurs fonctions au sein d’une structure de la sphère publique. La répartition par type d’organisme est la suivante :

• entreprise privée 44%,
• association 9%,
• organisme de sécurité sociale 10%,
• entreprise publique 9%,
• commune 9%,
• établissement de santé 7%,
• Etat 5%,
• EPCI 3%,
• département 2%,
• office HLM 2%,
• région 1%

La quasi-totalité des CIL sont désignés en interne (95%)

Si la plupart des CIL sont issus d’un cursus technique, les profils sont diversifiés :

• 47% sont issus du secteur des TIC/SI,
• 29% occupent ou ont occupé des fonctions juridiques,
• 10% des fonctions administratives
• et 10% des fonctions d’audit ou de conformité.

Les CIL sont principalement rattachés aux instances dirigeantes de leur organismes

• 46% sont rattachés directement au Secrétariat général ou à leur direction générale ou comité exécutif,
• pour 26% ils font partie de la direction informatique
• et 10% de la direction juridique.

Les CIL sont naturellement amenés à collaborer avec de nombreux services qui font appel à leur expertise et à leurs conseils pour la mise en place de traitement de données.

A quoi sert un CIL ? 

Pour permettre aux structures publiques et privées d’exercer leur activité tout en protégeant les données personnelles traitées, il est possible depuis l’adoption du décret n° 2005-1309 du 20 octobre 2005 de désigner un CIL et de disposer ainsi d’un précieux acteur de mise en conformité à la loi Informatique et Libertés.

La désignation d’un CIL témoigne également de la part des organismes d’un attachement aux principes de protection de la vie privée, des droits et libertés, et constitue ainsi un facteur de valorisation de l’image de l’organisme.

Cette désignation présente donc plusieurs bénéfices : 

Un renforcement de la sécurité juridique : la désignation d’un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.

Un renforcement de la sécurité informatique : le CIL conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.

Un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.

Un service dédié au sein de la CNIL 

La CNIL propose un accompagnement personnalisé des CIL dès leur désignation, en les préparant à l’exercice de leurs missions et en les guidant dans l’application des textes relatifs à la protection des données :

• réponse rapide aux demandes de conseil juridique,
• ateliers d’information exclusifs et gratuits (en 2014, plus de 1 000 participants ont suivi 34 ateliers),
• outils dédiés (extranet contenant des guides, modèles, réponses-type, référentiels, etc.),
• permanence téléphonique quotidienne.

En 2014, ce sont plus de 2 567 demandes de conseil juridique (+ 17% par rapport à 2013) et 4 808 appels traités par l’équipe du service des CIL, qui concrétise cette volonté forte d’animer et de fédérer le réseau.

Désigner un CIL : une étape vers l’obtention du label « gouvernance » de la CNIL

La désignation d’un CIL fait partie des exigences posées pour obtenir le label CNIL  « gouvernance Informatique et Libertés » qui permet d’indiquer au public que la procédure ou le produit proposé par un organisme corresponde aux exigences de la Commission. Un label de la CNIL est destiné à améliorer la confiance des utilisateurs, en termes de protection de la vie privée, envers des produits et des procédures.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Informatique, conseiller et formateur en entreprises et collectivités et chargé de cours à l’Université.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.cnil.fr/linstitution/actualite/article/article/cil-un-metier-davenir/

Gestion des clients et prospects : quelles formalités à la CNIL ?

• Par une déclaration simplifiée de conformité à la norme n°48, si le fichier correspond aux caractéristiques énoncées dans ce texte;
• Par une déclaration normale si le fichier sort du cadre de cette norme.

A noter : la norme simplifiée n°48 ne s’applique pas aux établissements bancaires ou assimilés, aux entreprises d’assurances, de santé et d’éducation.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit d’abord commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour une mise en conformité CNIL, former un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=DB87C2DC40C5190FF1ABC6E812FA9500?id=541&back=true