Les 6 plaintes les plus courantes reçues par la CNIL

e-réputation : comment effacer vos casseroles numériques

1 – Les photos et commentaires mis en ligne sans votre accord sur les réseaux sociaux

Certes les procédures mises en place par les administrateurs des réseaux sociaux sont efficaces. « Par exemple sur Facebook, il est facile de demander la suppression et/ou de signaler les abus », confirme la Commission nationale informatique et libertés (CNIL). Mais pour éviter les mauvaises surprises, le bon réflexe c’est de paramétrer votre profil en soumettant par exemple les photos et les écrits de vos amis à votre validation avant publication.

2 – Les faux profils ou le piratage

Pour vous prémunir des faux profils, mettez en place une « google alert » qui vous avertira par mail dès que votre nom sera cité sur la toile. Si vous avez été piraté, contactez là encore la CNIL, compétente pour l’ensemble des litiges lié à vos données personnelles sur Internet. Dans un cas extrême, la CNIL pourra faire appel au procureur de la République qui diligentera une enquête.

3 – La diffusion des données personnelles

Sachez-le, les forums ne sont pas si privés. Certains de vos commentaires sont indexés et remontent sur les moteurs de recherche. Soyez vigilant y compris lorsque vous diffusez votre CV sur le web. N’oubliez pas qu’il contient votre téléphone, adresse et mail ! « Si vous souhaitez faire disparaître ces données, adressez-vous au responsable du site et/ou vérifiez la procédure de référencement », indique la CNIL qui pourrait être votre dernier recours.

4 – Les vidéos

Soyez attentif, le pouvoir de YouTube est immense car il y a une très forte viralité. En cas de problème, adressez-vous au plus vite au site pour supprimer le contenu. Si cela ne marche pas, contactez la CNIL.

5 – Les journaux en ligne

Un article vous cite sans raison valable ? Contactez le journal et indiquez les motifs justifiant votre requête. « L’article peut être supprimé, anonymisé ou déréférencé », explique Daniela Parrot. Si le journal ne motive pas son refus, la CNIL renvoie l’affaire devant les tribunaux.

6 – Les décisions de justice

Faites attention, les décisions de justice sont parfois référencées sur la toile. Selon le délit, cela peut être gênant ! Contactez la CNIL pour demander à ce que la décision soit rendue anonyme.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://actualites.cadremploi.fr/editorial/conseils/droit-du-travail/detail/article/e-reputation-les-7-plaintes-les-plus-courantes-recues-par-la-cnil.html#xtor=CS2-1016

Europol met en garde contre les communications chiffrées

Les informations partagés par Edward Snowden, ancien analyste à la NSA, sur les pratiques de surveillance massive orchestrées par les agences de renseignements ont fait l’effet d’une onde de choc. Du jour au lendemain, les plus grosses sociétés Internet ont été directement impliquées dans des affaires de cyber-surveillance. Autant dire que la confiance des internautes vis-à-vis des entreprises, mais également celle de ces dernières face aux gouvernements, en a pris un sacré coup.

Microsoft, Yahoo, Apple ou encore Google ont renforcé leur infrastructure et de plus en plus d’outils surgissent sur la Toile pour sécuriser les communications et la vie privée des internautes. En d’autres termes, la notion de vie privée a le vent en poupe, et ce n’est pas pour plaire à tout le monde. Pour Europol, l’existence de ces technologies est un frein à la lutte contre le terrorisme.

Dans une interview recueillie par la BBC, Rob Wainwright, directeur d’Europol, affirme que les efforts visant à chiffrer les communications par les grandes sociétés high-tech devient problématique. « C’est probablement devenu le plus gros problème pour la police et pour les services de sécurité dans leur lutte contre le terrorisme », affirme-t-il. Et d’ajouter « cela a changé la nature-même du travail contre le terrorisme lequel était jusqu’à présent fiable avec des communications que nous pouvions gérer à un autre qui ne fournit plus rien ».

Apple et Google ont pris le parti de chiffrer leurs systèmes d’exploitation mobiles, au grand dam du FBI. Aussi, Yahoo! a annoncé qu’un dispositif de chiffrement des emails serait proposé d’ici la fin de l’année sur son Webmail. Un mécanisme similaire est déjà disponible avec l’extension Mailvelope pour Chrome et Firefox. Le service sécurisé ProtonMail vient de lever 2 millions de dollars tandis que la messagerie instantanée CryptoCat gagne en popularité.

Pour M. Wainwright, les efforts des sociétés de la Sillicon Valley seraient « motivés par des impératifs commerciaux parce qu’ils perçoivent une demande des consommateurs souhaitant une meilleure vie privée pour leur communications ». D’emblée, ce n’est donc pas la vie privée des internautes qui prime mais les dangers potentiels d’une communication entre terroristes. D’emblée, les efforts des sociétés pour protéger leurs infrastructures et leurs services sont donc replacés à une campagne marketing…

Entre les agences de renseignement et les prestataires de services, le bras de fer ne fait que commencer. Le mois dernier Alex Stamos, responsable de la sécurité chez Yahoo! est monté au créneau contre le directeur de la NSA, lequel souhaite voire la mise en place d’une porte d’accès aux données de l’internaute de manière légale. Les géants du Web se sont rassemblés pour lancer un appel au Congrès américain afin que les services de renseignement cessent leurs collectes de données.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://pro.clubic.com/technologie-et-politique/actualite-761041-europol-garde-communications-chiffree.html?&svc_mode=M&svc_campaign=NL_ClubicPro_New_31/03/2015&partner=-&svc_position=916696908&svc_misc=-&crmID=639453874_916696908&estat_url=http%3A%2F%2Fpro.clubic.com%2Ftechnologie-et-politique%2Factualite-761041-europol-garde-communications-chiffree.html

Vote électronique : précisions sur la sécurité et la confidentialité

Pour élire ses délégués du personnel, la société X a décidé de mettre en place le vote électronique. Ayant déjà recouru à ce dispositif lors des précédentes élections professionnelles (en 2012), elle s’adresse au même prestataire extérieur.

Mais voilà qu’un syndicat conteste le bon déroulement des opérations et saisit la CNIL d’une plainte. Après enquête, cette dernière relève effectivement un certain nombre d’irrégularités. Aussi, elle prononce à l’encontre de l’entreprise, un avertissement et rend publique cette décision sur internet.

Contestant les manquements reprochés, et non contents de cette (mauvaise) « publicité », l’entreprise et le prestataire saisissent le Conseil d’Etat pour demander l’annulation la délibération de la CNIL.

Mais le Conseil d’Etat va approuver en tous points les manquements soulevés par la CNIL, et confirmer ainsi la sanction prise à l’encontre de la société requérante.

La pleine responsabilité de l’employeur, même en présence d’un sous-traitant

Pour rappel, l’employeur a la possibilité de confier à un prestataire la mise en place du système de vote électronique dans son entreprise. C’est l’option retenue par la  société en l’espèce et c’est précisément grâce à ce sous-traitant qu’elle va tenter de s’affranchir de sa responsabilité. Elle estime en effet que le prestataire présentait des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Pour résumer, sa responsabilité se limitait au choix d’un « bon » prestataire. Elle n’était donc pas responsable des irrégularités commises par ce dernier.

Le Conseil d’Etat ne l’a pas entendu ainsi. Il considère au contraire que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de réserver la sécurité des données ». Le sous-traitant agissant « sur instruction du responsable de traitement », c’est bien sur ce dernier que repose l’obligation de veiller au respect de la sécurité et de la confidentialité des données personnelles. Les manquements constatés étaient donc imputables à la société requérante en sa qualité de responsable de traitement.

L’exigence d’une expertise préalable indépendante à chaque scrutin

Le Code du travail (1) soumet le système de vote électronique à une expertise indépendante préalable à sa mise en place ou à toute modification de sa conception. En l’espèce, le système ayant déjà été utilisé lors des dernières élections, et n’ayant fait l’objet d’aucune modification depuis, il n’a pas été jugé nécessaire de renouveler cette expertise préalable. Première erreur, car le Conseil d’Etat a interprété un peu plus largement les dispositions légales : si la réalisation d’une expertise indépendante est nécessaire au moment de la conception initiale du système et  à chaque modification de la conception de ce système, elle l’est également « avant chaque scrutin recourant au vote électronique ». Afin de garantir la sincérité des opérations électorales par voie électronique, l’expertise aurait donc dû être renouvelée avant le scrutin.

Une transmission des moyens d’identification aux électeurs sécurisée

Au moment de voter électroniquement, l’électeur doit se connecter et se faire connaître par le moyen d’authentification qui lui a été transmis selon des modalités garantissant sa confidentialité (2). Ce moyen permet au serveur de vérifier l’identité de l’électeur et de garantir ainsi l’unicité de son vote. Il se trouve qu’en l’espèce, la transmission aux électeurs des identifiants et mots de passe, leur permettant de participer au vote, a été faite par simple courriel. Seconde erreur.

La CNIL a estimé que ce mode de transmission n’avait pas fait l’objet de mesures de sécurité spécifiques permettant de s’assurer que les électeurs en étaient les seuls destinataires(3).

Un chiffrement des bulletins de vote ininterrompu

Enfin, un arrêté ministériel (4) impose que le chiffrement (ou cryptage) et l’anonymat des bulletins de vote soit ininterrompu de l’émission du vote sur le poste de l’électeur, jusqu’à la transmission  au fichier dénommé « contenu de l’urne électronique ». Voici donc le troisième manquement commis par la société : la CNIL a relevé que le système de chiffrement ayant été interrompu à un moment donné, il ne présentait pas un niveau de sécurité suffisant.

Ce rappel des règles était nécessaire. On peut ajouter que le Conseil d’Etat pousse plus loin encore la responsabilité de l’employeur dans le respect des règles relatives au vote électronique en approuvant la sanction infligée par la CNIL alors même que ces irrégularités n’ont entraîné ici aucune atteinte effective aux données personnelles des électeurs, ni aux principes du droit électoral ou encore aux libertés publiques.

(1) Art. R. 2314-12 du Code du travail.

(2) Art. R. 2324-5 du Code du travail.

(3) Cette solution n’est pas nouvelle, elle avait déjà été retenue par la chambre sociale de la Cour de Cassation  dans un arrêt du 27 février 2013, n°12-14.415.

(4) Art. 2 de l’arrêté du ministre de l’Emploi, de la cohésion sociale et du logement pris en application du décret n°2007-602 du 25 avril 2007.

La Commission européenne conseille de quitter Facebook

« Vous devriez envisager de fermer votre compte Facebook si vous en avez un » a conseillé Bernhard Schima, l’avocat de la Commission européenne, au procureur général de la JUE Yves Bot la semaine dernière. Une recommandation lancée dans le cadre d’une audience concernant la confidentialité des données des Européens vis-à-vis de l’utilisation qu’en fait le géant américain. La question avait été soulevée il y a plusieurs années par Max Schrems, un étudiant en droit autrichien qui a déclenché en août 2014 une procédure d’action collective mondiale à l’encontre de Facebook.

Mais le procès actuellement en cours oppose Max Schrems à l’équivalent irlandais de la CNIL, contre laquelle l’Autrichien a porté plainte, refusant de voir ses données personnelles stockées par Facebook – dont le siège européen se trouve en Irlande – transférées aux Etats-Unis pour alimenter le ciblage publicitaire de l’entreprise. Le réseau social n’est pas le seul concerné : Microsoft, Apple ou encore Yahoo sont également pointés du doigt.

Ciblage et espionnage

Max Schrems considère que les révélations d’Edward Snowden concernant l’espionnage des données pratiqué par la NSA met les Européens en danger à partir du moment où leurs données personnelles transitent aux Etats-Unis. Une accusation qui remet en question l’application du Safe Harbor, un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001. Les entreprises qui adhèrent à ces principes peuvent recevoir des données en provenance de l’UE, mais la surveillance généralisée de la NSA remettrait en question l’application de ces règles.

On comprend mieux en quoi la petite phrase de l’avocat de la Commission européenne est lourde de sens : elle semble donner raison à la théorie de Max Schrems, engagé depuis longtemps contre la collecte d’information, jugée abusive, par Facebook.

Le commissaire irlandais à la protection des données considère quant à lui qu’il n’existe aucune preuve que le transfert des données de Max Schrems aux Etats-Unis lui a porté préjudice. « Ce n’est pas étonnant dans la mesure où la NSA n’est pas intéressée par les essais écrits par les étudiants en droit autrichiens » a-t-il ironisé. L’avocat général devrait rendre son avis sur l’affaire le 24 juin prochain.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://pro.clubic.com/blog-forum-reseaux-sociaux/facebook/actualite-760937-protection-donnees-personnelles-commission-europeenne-conseille-quitter-facebook.html

56 % des Français s’inquiètent de la protection de leurs données

Le rapport montre également la circonspection grandissante des consommateurs sur le sujet, leurs attentes en termes de protection et d’information, ainsi que, pour les entreprises comme pour les Etats, la valeur grandissante des données. Au vu des résultats, Symantec pense que la réticence des individus à partager leurs données va croître et va modifier leurs comportements en ligne.

Si seuls 20 % des Européens font confiance aux enseignes de distribution pour protéger leurs données, leurs actions et réactions ne reflètent pas nécessairement cette inquiétude. Le shopping en ligne continue sa croissancei ; seulement un consommateur sur quatre, voire un sur cinq en France, prend le temps de lire complètement les conditions d’utilisation d’un produit ou service, avant de partager ses données personnelles, et trois sur dix échangeraient leur adresse email pour des bénéfices ou avantages.

Symantec pense que ce n’est qu’une question de temps avant que les problèmes de sécurité ne causent un ralentissement de certaines activités en ligne. Des premiers éléments, montrés par l’étude de Symantec, sont révélateurs : 57 % évitent de poster des informations personnelles en ligne afin de protéger leur vie privée et une personne interrogée sur trois communique de fausses données pour que ses informations personnelles réelles restent privées.

A la lumière de ces résultats, Symantec suggère que nous sommes arrivés à un point critique et que les entreprises doivent utiliser la sécurité des données à leur avantage, en s’assurant que les politiques et procédures de gestion et de protection des données sont réellement solides, et que cette protection des données soit communiquée aux consommateurs comme un engagement vis-à-vis d’eux. La sécurité des données a évolué pour devenir une véritable priorité pour les consommateurs ; dès qu’elles le réaliseront pleinement, les entreprises pourront en tirer un avantage concurrentiel.

L’étude de Symantec suggère également que les consommateurs commencent à comprendre la valeur de leurs données, avec 24 % d’entre eux l’estimant à plus de 10 000 €. 88 % des consommateurs en ligne pensent que la sécurité de leurs données est un élément décisif dans l’acte d’achat, la plaçant devant la qualité du produit ou service, ou encore devant le service client.

Zoltan Precsenyi, Responsable des affaires gouvernementales de Symantec commente : « Les entreprises doivent être plus transparentes avec leurs clients sur la sécurisation de leurs données. La protection de celles-ci doit être intégrée dans la proposition de valeur des entreprises, et considérée en interne non comme un coût mais plutôt comme une exigence qui permet de gagner de nouveaux clients et de nouvelles parts de marché ».

« L’industrie informatique a l’opportunité d’aider les consommateurs à faire des choix raisonnés sur la protection des données » explique Laurent Heslault, Directeur des stratégies de sécurité de Symantec. « Le rapport « State of Privacy » montre que de nombreux consommateurs savent que leurs données ont une valeur. Les entreprises devraient donc envisager de prouver la sécurité des données qu’elles détiennent pour en faire un argument concurrentiel, qui leur permettra de développer leur activité. »

Udo Helmbrecht, Directeur exécutif de l’ENISA explique quant à lui que “les conditions d’utilisation des services en ligne sont souvent cachées, longues, difficiles à comprendre, voire même trompeuses. Nous recommandons aux sociétés et administrations de passer en revue leurs politiques de données privées et de créer des méthodes simples et plus efficaces de communication vers les consommateurs. Nous pensons que ces conditions d’utilisation doivent être plus concises, plus faciles à comprendre et que les entreprises doivent aider leurs clients à prendre le contrôle de leurs données ».

Maître Garance Mathias, Avocat à la Cour, intervenant essentiellement en droit des technologies avancées confirme : « Le rapport State of Privacy est particulièrement intéressant car il reflète le besoin d’information des consommateurs et de cadre juridique adapté à l’utilisation des données à caractère personnel en tant que moteur de l’activité économique. On voit en outre ici qu’il s’agit bien d’un enjeu européen. »

L’intégralité du rapport est disponible en téléchargement ici, et un résumé des résultats clés se trouve ci-dessous. Des commentaires supplémentaires de l’ENISA, de PwC et d’IDC sont intégrés au rapport.

Résultats clés européens et français du rapport State of Privacy de Symantec

– 56 % des Français s’inquiètent de la protection de leurs données, une inquiétude plus forte chez les 35-44 ans (61 %). Pourtant, moins d’1 Français sur 5 déclare lire complètement les conditions d’utilisation des services en ligne.

– 66 % des consommateurs européens veulent une meilleure protection de leurs données personnelles, mais ne savent pas comment faire ni vers qui se tourner. En France, ce ne sont pas moins de 72 % des individus qui partagent ces aspirations et doutes.

– 7 Européens sur 10 pensent que les institutions médicales sont les plus dignes de confiance pour la protection de leurs données. Les entreprises technologiques (moteurs de recherche ou OS informatique) (22 %), la distribution (19 %) et les réseaux sociaux inspirent le moins confiance. Les chiffres France sont identiques, avec seulement 8 % des Français qui font confiance aux réseaux sociaux pour la protection de leurs données.

– Les consommateurs sont divisés quant à savoir à qui revient la responsabilité de pourvoir à la protection des données : pour 36 % d’entre eux, c’est à l’Etat, pour 30 % aux entreprises et pour 33 % aux individus eux-mêmes de protéger au mieux leurs informations*. Pour les Français, c’est avant tout à l’Etat (37 %) et aux entreprises (36 %) et nettement moins aux individus (27 %) de prendre en charge ces mesures de protection.

– Pour 88 % des Français comme des Européens, la protection et la sécurité des données sont très importantes lors de l’achat d’un produit ou d’un service, devançant la qualité et le service client.

– Près d’un jeune sur deux (48 % des 18-24 ans) a déjà donné de fausses informations pour garder le caractère privé de ses données personnelles réelles lors d’un enregistrement quelconque.

– La majorité des personnes interrogées en France comme en Europe pensent qu’il n’est pas juste que des entreprises tirent profit de l’échange de données communiquées. Mais 3 utilisateurs sur 10 sont prêts à donner leur adresse email en échange de bénéfices ou d’avantages.

*les différences de pourcentage sont dues à l’arrondissement dans le calcul. Les données exactes sont disponibles sur demande.

A propos du rapport sur les données privées (State of Privacy) de Symantec Le rapport de Symantec sur les données privées « State of Privacy » intègre les détails d’une étude menée sur la perception et les attitudes du grand public sur la protection de ses données personnelles. Réalisée auprès de 7 000 personnes représentatives de l’Allemagne, du Danemark, de l’Espagne, de la France, de l’Italie, du Royaume-Uni, des Pays Bas, l’étude explore les comportements des consommateurs quant à la protection des données privées et lève le voile sur leur perception de la valeur de celles-ci. Le rapport identifie également des leviers spécifiques de confiance pour les entreprises et les Etats pour protéger les données personnelles. Un problème lié aux données privées se définit comme la violation des principes officiels du Data Protection Act, qui gouverne comment les informations personnelles sont utilisées par les entreprises publiques ou privées, les administrations et les Etats.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.globalsecuritymag.fr/Nouveau-rapport-Symantec-sur-les,20150316,51582.html

Les réserves de la CNIL sur le projet de loi renseignement

Le projet de loi va permettre « une surveillance beaucoup plus large et intrusive », estime un pré-rapport dont « Les Echos » ont pu prendre connaissance. Si les objectifs du gouvernement paraissent « justifiés », « les atteintes portées au respect de la vie privée doivent être limitées au strict nécessaire », écrit la CNIL.

Trois dispositifs nouveaux (collecte automatique d’informations sur les réseau, pose de sondes, sorte de mouchard permettant de collecter des informations en direct sur des personnes surveillées, et pose d’antennes à proximité de suspects) permettent de « collecter de manière indifférenciée un volume important de données » sur « des personnes relativement étrangères » aux suspects. « Ce changement a des conséquences particulièrement graves sur la protection de la vie privée et des données personnelles », avertit la CNIL.

« Aspiration massive de données »

Dans le détail, la détection « par un traitement automatique » des comportements suspects ressemble fort à de la surveillance généralisée. A Matignon, on se montre soucieux de faire de la « pédagogie » sur le sujet. L’objectif de la mesure, explique-t-on, est de détecter « les signaux faibles » permettant d’identifier des individus susceptibles de basculer dans le terrorisme. « Aujourd’hui, ceux qui partent n’ont pas été détectés avant leur départ [vers la Syrie, etc., ndlr]. Or, 89 sont morts, dont un garçon de 14 ans », rappelle-t-on à Matignon.

Pour détecter ces inconnus, les agents veulent pouvoir analyser les flux de données, savoir qui communique avec qui, et quels sont les sites jihadistes visités. Pas d’autres moyens donc que de faire de la surveillance sur le réseau des opérateurs. « Nous voulons insérer dans les équipements des opérateurs des boîtes noires contenant des algorithmes identifiant des comportements marqueurs », précise Matignon. Si en théorie, la disposition pourrait s’appliquer aux géants du Net, les agents de l’Etat préfèrent d’abord aller traiter avec les opérateurs télécoms, considérant qu’ils sauront se montrer plus ouverts à leurs requêtes.

Inévitablement, une partie des flux échappera aux services, Google ayant depuis les révélations d’Edward Snowden chiffré l’ensemble des connexions de ses utilisateurs.

Quant à la captation en temps réel des données géolocalisées de personnes mises sous surveillance (3.000 personnes environ), elle est assimilée par la CNIL à un dispositif « d’aspiration massive et directe des données par l’intermédiaire de la pose de sondes ». Enfin, le système « IMSI Catcher » (pose d’antennes relais à proximité d’un suspect) permet aussi d’intercepter des informations sur des personnes n’ayant rien à voir avec les faits, regrette la CNIL.

De leur côté, les interceptions de sécurité – les fameuses écoutes – ne sont plus « exceptionnelles », note la CNIL, même si le texte « renforce les modalités de contrôle ». Surtout, la loi donne la possibilité « par réaction en chaîne » d’écouter « des personnes qui n’auraient pas été en relation avec la personne surveillée ».

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.lesechos.fr/tech-medias/hightech/0204235783787-les-reserves-de-la-cnil-sur-le-projet-de-loi-renseignement-1103298.php

Par Sandrine Cassini

Laboratoire d’analyses médicales piraté : demande de rançon et publication de résultats médicaux

Rex Mundi demande une rançon de 20 000 euros ou des résultats d’analyse seront publiés

Aujourd’hui, rebelote avec le même groupe Rex Mundi et, là encore, avec une demande de rançon. Cette fois-ci, c’est un laboratoire français d’analyse médicale qui est visé : Labio.fr. Via l’un de ses comptes Twitter, Rex Mundi indique avoir piraté le site la semaine dernière et détenir « des centaines » de résultats d’analyses sanguines ainsi que pas moins de 40 000 noms, prénoms, identifiants et mots de passe des clients. Les revendications sont les mêmes que pour Domino’s  Pizza : si la rançon exigée n’est pas payée – 20 000 euros dans le cas présent – les documents récupérés seront publiés dans leur intégralité.

Un ultimatum était fixé. Arrivé à son terme il y a peu, le groupe Rex Mundi a mis ses menaces à exécution et a commencé à dévoiler des informations via son site hébergé sur le réseau Tor. Deux documents sont disponibles. Le premier contient 15 000 noms, prénoms, identifiants et mots de passe qui proviendraient de comptes clients Labio. Le second comporte pour sa part une dizaine de résultats d’analyse du laboratoire de recherche médicale, certains récents, d’autres plus anciens.

Suivant les patients, on y retrouve de l’immuno-sérologie, de la biochimie urinaire et sanguine, de l’hématologie, etc. Autant dire que les informations sont très sensibles :

Nous avons effacé toutes les données confidentielles avant la mise en ligne de l’image

Labio aux abonnés absents, le serveur de résultats fermé « suite à un problème technique »

Nous avons évidemment tenté de contacter par téléphone différents laboratoires affiliés Labio.fr (ils sont quatorze, répartis dans le sud-est et principalement autour de Marseille). Une fois que nous nous sommes présentés en bonne et due forme (en tant que journalistes) et que nous que nous avons expliqué les raisons de notre appel (piratage et bilans médicaux dans la nature), nos correspondants nous ont tous répondu ne pas être au courant et ne rien pouvoir faire pour nous. Impossible également de demander à parler un responsable ou d’obtenir le nom d’une personne à contacter pour évoquer ce problème. La conversation coupait généralement court très vite.

On remarquera par contre que, hasard ou pas du calendrier, dès sa page d’accueil Labio.fr informe ses clients que, « suite à un problème technique, le serveur internet de résultats est temporairement indisponible », et ce, depuis plusieurs jours maintenant. Bien évidemment, nous avons contacté la CNIL et nous attendons également son retour sur la question.

Entre obligation de sécurisation et peine encourue par les pirates

Sur son site, la  Commission nationale de l’informatique et des libertés rappelle qu’avec les données de santé, la sécurité est un « impératif » pour ceux qui les hébergent : « il vous appartient de prendre les dispositions nécessaires pour assurer la sécurité des données enregistrées et empêcher qu’elles ne soient divulguées ou utilisées à des fins détournées, surtout s’il s’agit d’informations couvertes par le secret médical » précise-t-elle. Il est notamment question du « chiffrement de tout ou partie des données », mais aussi du « chiffrement de la communication (ex. : chiffrement SSL avec une clef de 128 bits) » lorsque les données circulent sur Internet.

Pour autant, le laboratoire de recherche n’est soumis à aucune obligation de communication auprès de ses clients, seuls les opérateurs le sont (voir le cas d’Orange par exemple), et il semblerait que Labio semble bien décidé à ne pas évoquer le sujet outre mesure, avec nous tout du moins. Si le laboratoire devait répondre à nos questions (nous les avons également contactés via le formulaire présent sur leur site), nous mettrons évidemment cette actualité à jour.

Mais que risquent exactement les pirates dans cette histoire ? Selon l’article 226-16 du Code pénal, « le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ».

Quoi qu’il en soit, l’histoire n’est pas encore terminée puisque Rex Mundi indique que les publications de documents confidentiels continueront si la rançon exigée n’est pas payée.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Liste des Laboratoires Labio proche de chez-vous (http://www.labio.fr/nos-laboratoires#labs) :

Laboratoire Centraix – Aix en Provence
Laboratoire des 2 Ormes – Aix en Provence
Laboratoire Celse L’Hoste – Aix en Provence
Unité de Fertilité et de Procréation Médicalement Assistée du Pays d’Aix (PMA)
Centre Hospitalier du Pays d’Aix
Laboratoire d’Eguilles
Laboratoire des 5 Avenues – Marseille 4ème
Laboratoire de Saint Marcel – Marseille 11ème
Laboratoire de Saint Julien – Marseille 12ème
Laboratoire des 3 Lucs – Marseille 12ème
Laboratoire de Saint Jérôme – Marseille 13ème
Laboratoire de Saint Mitre- Marseille 13ème
Laboratoire de la Rotonde – Plan de Cuques
Laboratoire de Puyricard
Laboratoire de Saint Rémy de Provence

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.nextinpact.com/news/93499-labio-fr-pirate-demande-rancon-et-publication-resultats-medicaux.htm

Est-ce que l’iPhone est vulnérable ?

Selon la récente publication de The Intercept, on sait que la CIA a tenté de « casser », percé le chiffrement, des produits Apple depuis 2006. Cela signifie que l’agence américaine a bien évidemment aussi tenté de percer les sécurités de l’iPhone vu que la première édition est sortie en 2007. La grande question est de savoir si la CIA est arrivée à ses fins.

Sans revenir sur tous les détails de cette révélation faite sur la base des documents dévoilés par Edward Snowden, on peut comprendre de nombreuses choses à partir de cette nouvelle affaire d’espionnage des utilisateurs.

Pour commencer, il n’y avait pas que la NSA qui cherchait à collecter des données personnelles des utilisateurs de smartphones. Alors que les lois américaines empêchent normalement l’espionnage des citoyens américains, on peut sérieusement se poser la question si ces textes n’ont pas tout simplement été bafoués en essayant de casser le chiffrement des iPhone alors que les Américains sont friands de produits Apple.

Si découvrir des failles dans les systèmes Apple s’explique par le fait de vouloir obtenir des données des utilisateurs, on peut se poser la question de savoir pourquoi la CIA n’a pas averti Apple de l’existence de ces failles ? Il semble évident que cela aurait été un aveu de culpabilité. Par contre, un peu prendre cet aspect d’un autre point vu en considérant que ce que les agences américaines ont fait, d’autres agences de pays hostiles ont également pu le faire. De fait, ne pas communiquer ces failles serait une mise en danger des données personnelles des citoyens américains.

En sachant tout cela, on comprend parfaitement pourquoi les constructeurs, notamment Apple, ont renforcé la sécurité de leurs systèmes et refusent d’ouvrir des backdoors « légales » pour les autorités. En effet, comment pourrait-il exister une moindre confiance ?

En sachant tout cela, on ne comprend par contre pas la véhémence des agences américaines qui dénoncent les méthodes de cryptage mises en place par les entreprises. En effet, ces mesures ne visent que la protection des données des utilisateurs, notamment des biens appartenant à des Américains.

Au final, le débat sur la protection des données personnelles va encore faire couler beaucoup d’encre.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.linformatique.org/est-ce-que-liphone-est-vulnerable/

Biométrie sur le lieu de travail : quelles limites ? 

1/ Qu’est-ce que la biométrie ?

La biométrie peut être définie comme la technique d’identification d’une personne à partir de ses caractéristiques physiques (empreintes digitales, iris de l’œil,…) ou biologiques (sang, ADN,…).

Pour la CNIL, « la biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. »

La CNIL ajoute que les données biométriques sont des données à caractère personnel en que qu’elles permettent d’identifier une personne, ayant la particularité d’être uniques et permanentes.

Ainsi, elles permettent le traçage des individus, agissant comme un « identificateur unique. »

Sur le plan professionnel, la biométrie peut être utilisée à plusieurs fins, et notamment pour autoriser l’accès aux locaux de l’entreprise, contrôler le temps de travail ou allumer l’ordinateur de travail.

Ce dispositif de contrôle est cependant soumis à de nombreuses conditions, compte tenu des contraintes qu’il fait peser sur les libertés individuelles.

2/ Dans quels cas peut-elle être admise ?

La CNIL a défini un cadre applicable à certains dispositifs biométriques, permettant à l’employeur de bénéficier d’une procédure simplifiée en adressant à la CNIL une simple déclaration de conformité.

Ces dispositifs sont au nombre de trois et visent ceux reposant sur la reconnaissance :

• du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation n°AU-009) ;

• du contour de la main pour assurer le contrôle d’accès aux locaux et à la restauration sur les lieux de travail (autorisation n°AU-007) ;

• de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l’accès aux locaux professionnels (autorisation n°AU-008).

Si le dispositif biométrique obéit à l’une de ces trois finalités, l’employeur peut présenter une déclaration simplifiée auprès de la CNIL.

NB. L’utilisation de dispositifs de reconnaissance biométrique, pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration ne peut pas faire l’objet de cette demande d’autorisation.

Le recours à la biométrie n’est donc possible que dans des hypothèses très limitées, et ne saurait justifier un contrôle des horaires de travail.

Si le dispositif n’est pas conforme à l’une de ces autorisations uniques, il est possible de solliciter une autorisation spécifique auprès de la CNIL.

Cette dernière examine au cas par cas les demandes qui lui sont adressées afin de déterminer si, au regard des éléments du dossier, le dispositif est proportionné ou non à la finalité (CNIL.fr).

Cette exigence de la CNIL rejoint les dispositions de l’article L. 1121-1 du Code du travail selon lesquelles « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »

3/ Dans quelles conditions ?

Lorsqu’il est justifié, le recours à la biométrie est soumis à de nombreuses conditions de consultation et d’information.

3.1/ Information / consultation du comité d’entreprise 

L’information / consultation du comité d’entreprise est requise sur le fondement de trois articles spécifiques :

– Article L. 2323-13 du Code du travail : «  Le comité d’entreprise est informé et consulté, préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail. »

– Article L. 2323-32, alinéa 3 du Code du travail : « Il est aussi informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci.  »

– Article L. 2323-32, alinéa 3 du Code du travail : « Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés. »

La consultation du comité d’entreprise doit permettre à ce dernier de donner son avis sur la pertinence et la proportionnalité entre l’utilisation de la biométrie et la finalité recherchée.

3.2/ Information / consultation du CHSCT

Le CHSCT doit également être informé et consulté sur le recours à la biométrie, en application de l’article L. 4612-8 du Code du travail.

Ce texte dispose en effet que « le comité d’hygiène, de sécurité et des conditions de travail est consulté avant toute décision d’aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail…  »

La Cour d’appel de Paris (CA Paris 5 décembre 2007, n° 07-11402) a retenu cette solution concernant l’enregistrement automatique des communications des salariés.

Il y a lieu de considérer que la mise en place de la biométrie impose à l’employeur la saisine préalable du CHSCT, compte tenu des termes très larges de l’article L. 4612-8 du Code du travail.

3.3/ Information des salariés

Enfin, chaque salarié doit être informé, conformément à l’article L. 1222-4 du Code du travail selon lequel « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

Bien que le texte ne l’exige pas expressément, il est fortement conseillé de procéder à une information individuelle de chaque salarié, afin d’éviter toute contestation.

Expert Informatique et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.village-justice.com/articles/Biometrie-sur-lieu-travail-quelles,18886.html

Dématérialisation et aspects juridiques à ne pas négliger

La dématérialisation est aujourd’hui incontournable dans les entreprises : l’automatisation du procure to pay est en marche. A condition de ne pas négliger les aspects juridiques.

Première chose à laquelle il est nécessaire de faire attention : les conditions générales de vente (CGV) des prestataires d’hébergement en cloud computing. « Pour les contrats de cloud, la logique n’est pas de négocier les contrats. Au contraire, il s’agit de regarder les offres des différents prestataires et de s’assurer qu’elles correspondent bien à ce que l’on recherche », explique Me Isabelle Renard, avocate-ingénieure.

Un travail qu’il n’est pas toujours évident à mener, les CGV de certains prestataires étant volontairement opaques. « Ce sont parfois de vraies poupées russes, un empilement de conditions avec des liens hypertextes… C’est difficile, même pour un juriste », constate Me Renard.

S’attacher aux garanties

Les points auxquels il faut particulièrement prêter attention : la sécurité et la confidentialité des données, la localisation de ces dernières et les garanties en termes de conservation. « Les contrats bas de gamme ne garantissent pas où sont les données et il peut être dangereux de voir certaines données confidentielles sur des serveurs localisés un peu partout dans le monde », insiste Isabelle Renard.

De même, pour les documents qui doivent être conservés longtemps, il est nécessaire de s’assurer que le prestataire pourra le restituer dans un format lisible – qui n’est pas forcément le format d’origine, étant données les évolutions technologiques. « Il est important de ne pas s’attacher qu’au prix des prestations mais aussi aux garanties apportées », résume Me Renard.

L’avocate conseille également de ne pas signer avec un interlocuteur qui n’est pas installé sur le territoire de préférence français, ou a minima européen : « En cas de problèmes judiciaires, cela peut revenir très cher de devoir traiter avec un prestataire étranger, même au sein de l’Union européenne », souligne-t-elle.

Difficile dans les pays hors UE

Avant de se lancer dans la dématérialisation à tout va et dans toutes les filiales – y compris à l’international -, s’assurer également que les documents électroniques sont bien reconnus dans les pays concernés. « Au niveau de l’Union européenne, le règlement européen e-IDAS, qui sera d’application directe en France mi 2016, permet une reconnaissance globale de l’écrit électronique et de la signature électronique. Mais cela peut-être plus difficile dans les pays hors UE, et doit faire l’objet d’une vérification au cas par cas », rapporte Isabelle Renard.

Certaines normes doivent cependant être respectées pour qu’un document électronique soit reconnu. S’assurer que le prestataire sélectionné s’engage bien à les respecter.

Dans ces cas-là, avec un document électronique natif qui apporte une bonne garantie de valeur probante, il n’y a plus besoin de conserver de documents papier. Le tout dématérialisé est réellement en marche.

Consultez l’article rédigé par Denis JACOPINI sur ce thème :
L’utilisation juridique des documents numériques à l’ère de la dématérialisation à outrance

Expert Informatique et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.decision-achats.fr/Thematique/process-outils-1037/Breves/Dematerialisation-aspects-juridiques-pas-negliger-251831.htm