Les consommateurs réclament transparence, pertinence et simplicité dans l’utilisation des données en ligne

Pour offrir une expérience captivante en ligne, une marque doit savoir quelles sont les attentes des clients et comment les satisfaire. Pour se démarquer de la concurrence, les entreprises ont compris l’importance de nouer une relation d’engagement et d’être en capacité de la traduire rapidement en action. Mais une stratégie basée sur de bonnes idées, sur l’intuition ou même ce qui a fonctionné par le passé ne suffit plus. Les consommateurs d’aujourd’hui sont complexes et exigeants. Ils veulent être compris et traités individuellement mais se montrent intraitables quant à leur sphère privée. Pour attirer et garder leur attention, les entreprises doivent pouvoir se procurer la bonne information au bon moment et de la bonne façon.

Nous avons interrogé 2 000 adultes britanniques pour obtenir leur point de vue dans le débat qui oppose personnalisation et protection de la vie privée. Il ressort de cette étude que les consommateurs acceptent volontiers de partager des données personnelles avec les marques, du moment que cet échange virtuel de bons procédés respecte trois valeurs fondamentales : la transparence, la pertinence et la simplicité.

84 % des 18-34 ans partagent volontiers leurs données personnelles avec les marques en utilisant pour se connecter les identifiants de leur compte sur les réseaux sociaux. Dans ce contexte, voici trois pistes à suivre par les marques pour rassurer les consommateurs et se distinguer de la concurrence en instaurant des relations privilégiées.

Transparence, des gages de protection de la vie privée des consommateurs
Les consommateurs rechignent à partager des données personnelles avec les marques de peur que celles-ci en fassent un mauvais usage. Il est important de réaffirmer aux consommateurs l’importance que vous accordez à la confidentialité des données et de leur dire clairement quelle utilisation vous faites de leurs données. Chaque fois que vous avez besoin d’accéder à des données personnelles, énoncez clairement l’utilisation que vous allez en faire et l’intérêt pour vos clients de jouer le jeu.

Les clients interrogés sur ce qui les inciterait à communiquer davantage d’informations les concernant à une entreprise ou une marque ont cité deux conditions majeures : être certains que la société ne partagera pas leurs données avec un tiers et savoir quels usages la société s’engage à faire des informations ainsi collectées. Chaque entreprise devrait se doter d’une politique claire qui réaffirme son approche vis-à-vis du respect de la confidentialité des données. Plutôt que de contraindre vos clients à faire l’effort de comprendre votre approche de la gestion des données, prenez les devants et publiez une déclaration d’engagement brève et formelle. Insistez sur la volonté de votre entreprise de respecter les dernières préconisation en matière de sécurité des données et envoyez un message clair à vos clients et à vos prospects qui souligne le sérieux de votre approche de protection de la confidentialité et de la sécurité des données.

En proposant aux utilisateurs de se connecter à votre site via un tiers, à savoir le compte de leur choix sur les réseaux sociaux (Facebook, Twitter, Google, etc.), vous leur permettez de décider quelles informations ils sont d’accord de partager ou non. Vous les dispensez aussi de devoir se remémorer plusieurs combinaisons d’identifiants et de mots de passe et vous-même n’aurez pas besoin de stocker ces données et les maintenir à jour.

Pertinence, l’importance de la personnalisation
Dans un monde où les consommateurs sont confrontés à des centaines de messages de marketing par jour, la clé est de leur délivrer des annonces pertinentes et de leur faire vivre des expériences qui leur parlent. Mais pour que ces expériences reflètent les attentes et les souhaits des consommateurs d’une façon authentique et respectueuse, les entreprises ont besoin des données des personnes concernées (first-party data). Les techniques de ciblage traditionnelles, comme les cookies de traçage, relèvent d’un jeu de devinette : ce que vous apprendrez dépend des pièces du parcours de navigation que vous allez pouvoir associer. Ces techniques ne permettent pas de dépeindre le profil complet de l’utilisateur.

Les informations les plus importantes restent de côté : les loisirs, les centres d’intérêts, les marques préférées et les relations. Et si plusieurs utilisateurs se partagent le même appareil, ces données sont encore plus diluées.

De plus, les cookies ne permettent pas de faire un suivi de l’activité sur terminaux mobiles. Maintenant qu’ils sont sensibilisés à la question de la protection de leur confidentialité, de plus en plus d’utilisateurs se protègent au moyen de logiciels qui bloquent les publicités (ad blockers) et d’applications anti-tracking, au détriment des marketers qui ont recours à ces méthodes. Ceux-ci obtiennent les données du consommateur directement qui donne son accord pour recevoir des informations par e-mail, en s’abonnant à un service, ou en se connectant via un réseau social, etc. Selon les prévisions mondiales de Bloomberg, deux milliards de personnes posséderont un smartphone en 2015.

Les entreprises doivent se familiariser avec ce nouveau paysage multicanal, veiller à soigner leur présence sur les canaux les plus stratégiques et apprendre à lisser leur image de marque et la cohérence de l’expérience qu’elles proposent, du PC fixe au terminal mobile au point de vente. Dans cette démarche d’engagement des clients sur les différents canaux, la compagnie aérienne KLM Royal Dutch Airlines a développé le programme Meet & Seat auquel les voyageurs acceptent de se connecter pour partager les infos de leurs profils Facebook ou LinkedIn avec les autres passagers.

Tous ceux qui le souhaitent ont ainsi accès aux profils sociaux des autres utilisateurs du service et peuvent choisir à côté de qui ils veulent voyager.

Simplicité, le confort pratique avant tout
Dès que vous invitez des utilisateurs à s’identifier, il faut que la procédure soit pratique et transparente. Notre étude montre que 59,4 % des adultes britanniques se connectent à leurs sites préférés via leur profil sur des réseaux sociaux pour gagner du temps et éviter d’en perdre à devoir remplir des formulaires.

Et plus ces consommateurs utiliseront des terminaux mobiles, plus ils chercheront à éviter les processus d’authentification longs et alambiqués pour s’inscrire et se connecter à des sites Web et à des applications. Ceux d’entre vous qui se sont arraché les cheveux à se remémorer leur mot de passe d’accès à un site se reconnaissent probablement dans les 62 % de consommateurs qui ont quitté un site Web faute d’avoir pu retrouver leur identifiant et/ou mot de passe.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.journaldunet.com/ebusiness/expert/59273/utilisation-des-donnees-en-ligne—les-consommateurs-reclament-transparence–pertinence-et-simplicite.shtml

par Patrick Sayler – Directeur Général, GIGYA

Sites e-commerce: Le contrôle commence

Le gendarme de l’e-commerce a commencé ses opérations de contrôle. La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), la CNIL au Maroc, a passé sous la loupe plusieurs catégories de sites web.

Des sites d’annonces, voyage et hôtellerie, cabinets de recrutement et emploi, vente en  ligne, deals, marketing, organismes publics, organismes de prévoyance sociale, jusqu’aux concessionnaires de services publics, en passant par l’immobilier, les banques et les sociétés de financement, les assurances, le transport et logistique, la santé, les télécoms et même la location de voitures. Cette opération de contrôle a montré que seulement 22% des sites web au Maroc affichent une mention relative à la  protection des données personnelles conforme aux exigences de la loi. «La mention est présente, mais incomplète dans 28% des cas», a indiqué la CNDP qui a mené cette première campagne de contrôle, précisant que 50% des sites contrôlés n’affichent pas de mention relative à la protection  des données à caractère personnel.

Les résultats du contrôle, publiés en septembre dernier, démontrent que «très peu de sites web au Maroc, à peine 1%, se soucient de recueillir le consentement des internautes à collecter et traiter leurs données personnelles. Dans 80% des cas, le site web n’évoque nulle part la demande de  consentement, et dans 19% des cas, la présence de la demande est aléatoire,  puisqu’elle ne figure pas sur la totalité des formulaires de collecte des  données», selon la CNDP.

L’opération de contrôle de la CNDP montre que l’obligation d’informer les  personnes concernées au moment de la collecte de leurs données personnelles  dans les termes prévus par la loi est très rarement respectée avec 1%.

Une lettre, accompagnée de la fiche de synthèse et du document, a été adressée aux responsables de traitement, afin de les inviter à procéder à la mise en conformité de leur site web, selon la CNDP. Et à l’expiration du délai fixé par la Commission, les sites web seront à nouveau contrôlés afin de permettre à la CNDP de prendre les mesures légales qui s’imposent. Il s’agit notamment de la relance du responsable du traitement, la mise en demeure et, en l’absence d’une réponse positive, l’ouverture d’une procédure disciplinaire qui pourrait déboucher sur un avertissement, un avertissement public, un blâme, ou même le transfert du dossier à la justice.

Créée par la loi n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, la CNDP est chargée de vérifier que les traitements des données personnelles sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux de l’Homme. Cette loi a pour objectif de doter l’arsenal juridique marocain d’un instrument juridique de protection des particuliers contre les abus d’utilisation des données de nature à porter atteinte à leur vie privée, et d’harmoniser le système national de protection des données personnelles à celles de ses partenaires, tel que défini par les instances européennes.

Pour mieux protéger les internautes, la loi n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel a prévu des sanctions. Ainsi, et sans préjudice de la responsabilité civile des personnes ayant subi des dommages du fait de l’infraction, est puni d’une amende de 10.000 à 100.000 dirhams quiconque aura mis en œuvre un fichier de données à caractère personnel sans la déclaration ou l’autorisation exigée ou aura continué son activité de traitement de données à caractère personnel malgré le retrait du récépissé de la déclaration ou de l’autorisation.

Aussi, est puni d’une amende de 20.000 à 200.000 dirhams par infraction, tout responsable de traitement de données à caractère personnel refusant les droits d’accès, de rectification ou d’opposition. La loi n° 09-08 a également prévu une peine d’emprisonnement de trois mois à un an et d’une amende de 20.000 à 200.000 dirhams ou de l’une de ces deux peines seulement, quiconque effectue un transfert de données à caractère personnel vers un Etat étranger.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.aujourdhui.ma/geeks/nouvelles-technologies/sites-e-commerce-le-controle-commence-114695#.VHxhLNKG8t4

Par Atika Haimoud

Droit à l’oubli : les 13 critères dégagés par la CNIL

Le 13 mai 2014, la Cour de Justice de l’Union Européenne (CJUE) a rendu son déjà célèbre arrêt Google Spain qui oblige Google à donner satisfaction aux internautes qui demandent la censure de résultats qui les concernent, consacrant ainsi l’existence d’un « droit à l’oubli » sur Internet. Toutefois la CJUE avait aussitôt nuancé cette obligation en prévenant Google qu’il fallait étudier les demandes au cas par cas, pour refuser les requêtes d’un individu lorsqu’il « il existe des raisons particulières, telles que le rôle joué par cette personne dans la vie publique, justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations ».

La CJUE demandait que l’appréciation soit réalisée par Google lui-même, au regard de « la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à recevoir cette information ». La cour confiait ainsi à une entreprise privée le soin d’interpréter et appliquer le droit, à la place d’un juge dont c’est le métier et la fonction.

Or en signant cet arrêt inattendu qui contredisait l’avis de son avocat général, la cour de Luxembourg a fait naître un conflit inédit d’influence entre le secteur privé et des autorités publiques. D’un côté, Google a sauté sur l’occasion pour prendre un bout de souveraineté aux Etats et affirmer sa capacité autonome à déterminer ses propres critères jurisprudentiels, en mettant sur pieds un comité consultatif privé. De l’autre côté, les CNIL européennes qui se croyaient investies du pouvoir de faire respecter le droit à l’oubli avaient immédiatement annoncé leur intention de fixer elles-mêmes des critères, qu’elles appliqueraient en dernier recours si un internaute se plaint de ne pas avoir eu satisfaction. Elles ont ainsi boudé les réunions publiques de Google, n’acceptant pas d’être doublées.

C’est donc dans cet esprit que le G29, qui réunit la CNIL et tous ses homologues européens, a publié ce jeudi une première liste de critères généraux à prendre en compte dans l’acceptation ou le refus d’une demande de droit à l’oubli. Le document (.pdf) détaille chacun des critères à l’aune de l’arrêt de la CJUE. Les voici résumés (nos commentaires en italique) :

1. Les résultats de recherche sont-ils relatifs à une personne physique ?  Le résultat apparaît-il à la suite d’une recherche effectuée à partir du  nom de la personne concernée ?
   Seules les recherches du nom ou du pseudonyme d’un particulier entrent dans le champ de l’arrêt Google Spain.
2. S’agit-il d’une personne publique ? Le plaignant joue-t-il un rôle dans la vie publique ?
   Outre la détermination de ce qu’est un « rôle dans la vie publique », La CNIL ajoute un critère supplémentaire qui est de distinguer selon que l’information elle-même est une information pertinente au regard de cette vie publique, ou s’il s’agit d’une information d’ordre purement privé.
3.  Le plaignant est-il mineur ?
   Par principe si la réponse est oui le droit à l’oubli doit être respecté, au nom de ‘l’intérêt supérieur de l’enfant » consacré par la Charte des droits fondamentaux de l’Union européenne.
4. Les données sont-elles exactes ?
   En cas d’inexactitude, le droit à l’oubli joue le rôle d’un droit brutal de rectification. C’est toutefois à l’internaute d’apporter la preuve de l’inexactitude.
5. Les données sont-elles pertinentes et/ou excessives ?
   Plusieurs sous critères sont ici ajoutés :
   
   – Les données sont-elles relatives à la vie professionnelle du plaignant ?
   une réponse positive joue en défaveur du droit à l’oubli, qui doit être utilisé pour la protection de la vie privée)

   – L’information est-elle potentiellement constitutive de diffamation, d’injure, de calomnie ou  d’infractions similaires à l’encontre du plaignant ?
   la réponse positive doit reposer en priorité sur une décision judiciaire qualifiant les accusations, mais un critère de « contenu excessif » peut aussi s’appliquer par la CNIL

   – L’information reflète-t-elle une opinion personnelle ou s’agit-il d’un fait vérifié ?
   La CNIL vise ici le déréférencement de « campagnes de dénigrement » qui pourrait être accordé, ce qui semble flirter très dangereusement avec la ligne rouge de la censure pure et simple d’une opposition politique.

6. L’information est-elle sensible au sens de l’article 8 de la  Directive 95/46/CE ?
   Le fait que la page web dont la censure est demandée contient des informations sur l’origine raciale, la religion, les opinions politiques, l’orientation sexuelle, etc., doit jouer en faveur du droit à l’oubli.
7. L’information est-elle à jour ? L’information a-t-elle été rendue disponible plus longtemps que nécessaire pour le traitement ?
   La CNIL est ici favorable à ce qu’une information devenue obsolète puisse être supprimée, y compris (c’est un cas explicité) s’il s’agit par exemple d’une condamnation en première instance annulée en appel.
8. Le traitement de l’information cause-t-il un préjudice au plaignant ? Les données ont-elles un impact négatif disproportionné sur la vie  privée du plaignant ?
   Il s’agit d’un critère de proportionnalité. La CNIL est par exemple favorable au déréférencement de pages qui relateraient une « infraction mineure » et qui posent problème pour la recherche d’un emploi, ou celui de photos intimes.
9. Les informations issues du moteur de recherche créent-elles un  risque pour le plaignant ?
   Sont visées ici les informations telles que des coordonnées bancaires, n° de passeport, adresse personnelle, etc., qui pourraient être utilisées par des tiers à mauvais escient.
10. Dans quel contexte l’information a-t-elle été publiée ?
    A nouveau plusieurs sous-critères :

    – Le contenu a-t-il volontairement été rendu public par le plaignant ?
    Contrairement à ce que l’on pourrait croire, la CNIL estime que la réponse positive joue en faveur du droit à l’oubli, car il faut respecter le fait que la personne ne souhaite plus voir référencé un contenu qu’elle avait mis en ligne. Mais l’on doute que la réponse négative puisse jouer en sa défaveur. Dès lors, est-ce vraiment un critère ?

    – Le contenu devait-il être public ? Le plaignant pouvait-il raisonnablement savoir que le  contenu serait rendu public ?
    La mise en ligne à l’insu de la personne joue en faveur du déréférencement (ce qui rejoint notre point précédent)

11. Le contenu a-t-il été rendu public à des fins journalistiques ?
    La CNIL refuse d’en faire véritablement un critère. Tout en reconnaissant qu’il faut « prendre en considération » le caractère journalistique de l’information dont la censure est demandée, la CNIL minimise au maximum sa portée par rapport aux autres critères.
12. La publication de l’information répond-elle à une obligation légale ? L’auteur de la publication avait-il l’obligation de rendre cette donnée personnelle publique ?
    Si oui, le droit à l’oubli sera en principe refusé, sauf si d’autres critères priment (tels que le préjudice subi)
13. L’information est-elle relative à une infraction pénale ?
    Si la condamnation a été effacée par l’amnistie prévue par la loi, le droit doit être systématiquement accordé. Sinon, c’est la gravité et la date de l’infraction qui entrent en considération.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.numerama.com/magazine/31424-droit-a-l-oubli-les-13-criteres-degages-par-la-cnil.html

par Guillaume Champeau

Registre National du Commerce et des Sociétés gratuitement ouvert et partagé : ce que le projet de loi a visiblement négligé

Pour ce faire le gouvernement fait l’exercice d’une attaque en règle des professions réglementées, qualifiées de tous les maux de la terre et qui méritent toutes la guillotine législative propre à les assainir! Les greffiers des Tribunaux de Commerce, qualifiés notamment de rentiers ne sont pas épargnés!

L’une des propositions pour atteindre les objectifs envisagés s’inscrit dans la vague, très trendy, de l’open data. Dans cet esprit le gouvernement envisage de permettre l’ouverture et le partage gratuit des données du Registre National du Commerce et des Sociétés.

Pour les non initiés il est bon de rappeler le rôle de ce Registre tenu par l’Institut National de la Propriété Intellectuelle.

L’INPI est en charge de la centralisation au niveau national, sous forme de documents originaux, des informations et actes provenant des Registres du Commerce et des Sociétés (RCS) tenus localement par chacun des greffes de Tribunaux de commerce et des greffes des Tribunaux civils à compétence commerciale. L’ensemble de ces informations et actes forme le Registre National du Commerce et des Sociétés (RNCS).

A l’origine, un des objectifs de cette mission de centralisation par l’INPI du RNCS était la sécurisation de l’information légale sur les entreprises. La centralisation d’un second original de chaque acte et pièce déposés dans les différents RCS permettait de parer au risque de déperdition physique de cette information en cas par exemple d’incendie entraînant la destruction des archives papier d’un greffe.

14 millions d’euros versés à l’INPI
A l’heure de la dématérialisation et de la tenue électronique des registres légaux, la nécessité de cette sécurisation physique s’est significativement estompée. Aujourd’hui le rôle de l’INPI dans la tenue du RNCS se résume à archiver l’ensemble des actes et pièces transmis et à distribuer, de manière payante, 2 licences de données (IMR et bilans) pour les sociétés de renseignements commerciaux, ces licences étant constituées par le GIE Infogreffe pour le compte de l’INPI…

Pour être complet sur le sujet il convient de rappeler que les entreprises acquittent à chaque formalité une taxe de 5.90€ reversée à l’INPI par les greffiers. En 2013 le montant collecté s’est élevé à 14 M€ d’euros. Pour faire quoi? On peut encore s’interroger… Dans la mesure où la base de données de l’INPI et les licences ne sont autres que celles fournies par le GIE Infogreffe.

Il est important, alors que le texte du projet de loi est dans les mains de juristes éminents au Conseil d’Etat, de faire un peu de droit. Alors tentons d’expliquer, sans passion ni dogme, les difficultés auxquelles se heurtent le texte actuel.

La volonté de vouloir mettre en données ouvertes les données des entreprises afin de faciliter leur réutilisation dans le but de favoriser le développement économique ne ressort pas du simple postulat. Si aucun pays européen ne l’a encore mis en œuvre c’est que à cette liberté s’oppose des règles de droit dont l’essentiel ont pour but de protéger les individus.

Les données personnelles des dirigeants sont protégées
Ainsi le sujet de la propriété des données personnelles issues du RCS et du RNCS est le premier écueil qui doit être analysé pour déterminer les conditions de distribution de ces données.

L’article 2 de la loi informatique et libertés et la directive 95/46/CE définissent les données personnelles comme les données permettant d’identifier ou de rendre identifiable une personne physique. Cette définition concerne l’intégralité des informations des dirigeants des sociétés immatriculées au Registre du Commerce et des Sociétés. La nationalité, la date et lieu de naissance et bien sûr les noms, prénoms et adresses sont mentionnés.

La généralisation des transactions sur les données personnelles dont la collecte est la contre partie obligée de l’accès à un très grand nombre de services a répandu cette croyance infondée.

Ces données personnelles ne sont pas susceptibles d’appropriation, ce principe a été rappelé par le Conseil d’Etat dans son rapport: le numérique et les droits fondamentaux: « 50 propositions du Conseil d’Etat pour mettre le numérique au service des droits individuels et de l’intérêt général « .

Dans ce rapport le Conseil d’Etat promeut un droit à: « l’autodétermination informationnelle » décrit comme un « objectif » qui donne sens à tous les droits préexistants.

Les données personnelles peuvent être cédées après accord explicite
Mais le projet de loi gouvernemental soulève un autre problème de légalité. L’article 6 de la directive 95/46/CE dispose que « de telles informations ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ».

Or, les données personnelles des personnes physiques n’ont été collectées que pour une seule raison: celle de figurer au RCS et au RNCS et pour les seules finalités induites par ces mêmes registres. Ces données n’ont jamais été collectées pour qu’elles puissent ultérieurement figurer dans « une licence ouverte » à tous sur internet notamment pour être « googliser ». Les commerçants de base de données, les opérateurs de ces nouveaux marchés ne peuvent pas en principe réutiliser ces données personnelles.

L’article 7 de la Directive 95/46/CE dispose que « Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ».

Le même principe est posé par l’article 7 de la loi dite Informatique et Libertés.
Si le RCS et le RNCS sont légalement « dispensés » du recueil de ce consentement, il n’en va nullement de même si les données sont ensuite sorties du RCS ou du RNCS pour être communiquées au public en vue de leur réutilisation.

Les données doivent être rendues anonymes
L’article 13 de la loi n°78-753 du 17 juillet 1978 dite CADA dispose que « Les informations publiques comportant des données à caractère personnel peuvent faire l’objet d’une réutilisation soit lorsque la personne intéressée y a consenti, soit si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut d’anonymisation, si une disposition législative ou réglementaire le permet ».

La CNIL exige également, au visa de la loi Informatique et Libertés, une anonymisation des données à caractère personnel figurant dans les documents administratifs.

En clair, chaque dirigeant, administrateur de société, chaque commerçant délivre son identité, son adresse et son âge. Ce sont autant de données personnelles. Si comme le prévoit le projet de loi gouvernemental, ces données devaient être exploitées à des fins commerciales, ce ne serait possible qu’avec l’accord de l’intéressé.

Gageons que le Conseil d’Etat relèvera ces obstacles qui, a priori, ont échappé au rédacteur du projet de loi et démontrent la non conformité des licences, aujourd’hui payantes, délivrées par l’INPi aux réutilisateurs professionnels.

Et la propriété intellectuelle des fichiers?
Tout comme il pourra constater qu’il n’est pas juridiquement possible de demander aux greffiers et à leur GIE Infogreffe d’abandonner leur droit de propriété intellectuelle issu de leur qualité de producteur de bases de données (Directive 96/9/CE du 11 mars 1996 – Article L 341-1 du Code de la propriété intellectuelle – Article L 112-3 du Code de la propriété intellectuelle).

En clair, selon la loi, seuls les Greffiers sont en droit d’autoriser une extraction de leurs bases de données et une diffusion de leurs données. Le projet de loi, en ce qu’il ne recueille pas l’accord des Greffiers sur la réutilisation de leurs droits, constituerait une spoliation.

Au plan du droit, une telle situation de fait exige un dispositif indemnitaire. Or, la loi impose une protection des producteurs de bases de données pendant 15 ans à compter du dernier investissement. Ce point n’a pas échappé au Rapporteur, Richard Ferrand, qui l’a clairement évoqué dans son rapport sur le projet de loi. Enfin il serait cocasse de voir l’Etat contraint, par les règles de droit, de payer une indemnité pour assurer une diffusion gratuite des données du RNCS!

L’ensemble des obstacles relevés démontre, à l’évidence, que le projet ne peut être maintenu en l’état.
La raison voudrait qu’une solution viable pour tous soit envisagée. C’est pourquoi nous proposons de diffuser en licence ouverte les données par exemple sur le site d’ETALAB. Ce choix d’un projet phare du gouvernement éviterait le doublon que représente la solution INPI. Qui de mieux placé que les greffiers dont la mission est de recevoir, contrôler, saisir et valider les informations, actes et documents déposés par les entreprises lors de l’accomplissement de leurs formalités légales pour en assurer une diffusion en données ouvertes respectueuses du droit.

Nous y sommes prêts.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.huffingtonpost.fr/bernard-bailet/ouverture-et-partage-gratuit-des-donnees-du-registre-national-du-commerce-et-des-societes-ce-que-le-projet-de-loi-a-visiblement-neglige_b_6232202.html?utm_hp_ref=france

par Bernard Bailet Président du G.I.E. Infogreffe

Les CNIL européennes veulent imposer leur droit à l’oubli au monde entier

L’Europe milite pour un droit à l’oubli sans frontières. Le G29, le groupe européen des autorités de protection des données personnelles, a adopté mecredi un ensemble de recommandations pour encadrer cette mesure. Parmi leurs griefs, les CNIL européennes réclament l’extension du droit à l’oubli à tous les noms de domaine des moteurs de recherche, y compris en .com. Le premier site visé est Google, qui représente près de 90% du marché de la recherche en Europe.

135.000 demandes en quatre mois
Le droit à l’oubli est apparu en Europe en mai, à la suite d’une décision de la Cour de justice européenne. Cette dernière avait alors estimé que les moteurs de recherche, dont Google, étaient responsables du traitement des données à caractère personnel. En conséquence, les citoyens européens peuvent désormais obtenir, sous certaines conditions, le déréférencement de pages Internet qui contiennent des informations «inappropriées, hors de propos ou qui n’apparaissent plus pertinentes.»

Même si tous les moteurs de recherche en Europe sont touchés par la mesure, Google est le premier concerné. En quatre mois, le groupe américain a reçu plus de 135.000 demandes de droit à l’oubli, via un formulaire mis en ligne pour l’occasion. En cas de refus de la part de Google, les internautes peuvent s’adresser à leur CNIL nationale, qui pourra juger leur cas grâce aux critères adoptés mercredi. «Il s’agit d’avoir une mise en oeuvre harmonisée et une interprétation commune de l’arrêt de la Cour», explique Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL.

Pour le G29, Google n’en fait pas assez
Les règles proposées par le G29 risquent de relancer un débat que Google tente vainement d’apaiser. Actuellement, lorsqu’un internaute obtient le déréférencement d’un contenu en ligne portant sur sa vie privée, il est retiré des résultats de recherche de la version du moteur de son pays d’origine. Une protection jusqu’alors jugée adéquate par Google, qui géolocalise l’adresse IP de ses utilisateurs. Les internautes français sont par exemple automatiquement redirigés vers les résultats de Google.fr, même s’ils tapent Google.com sur leur barre de navigation. Il est tout de même possible d’accéder au résultats de recherche de Google.com, en cliquant sur un bouton prévu à cet effet sur l’écran d’accueil, ou en remplaçant simplement le «.fr» par «.com» dans la barre de navigation. Google est donc sommé d’étendre le droit à l’oubli «sur tous les noms de domaine en .com».

Les CNIL européennes ne sont pas tendres avec le groupe américain et considèrent qu’il n’en fait pas assez pour assurer le respect du droit des citoyens. «La loi européenne ne doit pas être contournée», prévient le groupe. «Les actions de Google sont sujettes aux décisions des autorités de protection des données personnelles et des juges», ajoute Gwendal Le Grand. Si Google n’adapte pas ses pratiques, les CNIL seront désormais en droit de lui réclamer le respect de ses nouvelles règles.

Contacté par le Figaro, Google a indiqué qu’il analyserait «attentivement» ces recommandations dès leur publication officielle.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.lefigaro.fr/secteur/high-tech/2014/11/27/01007-20141127ARTFIG00320-les-cnil-europeennes-veulent-imposer-leur-droit-a-l-oubli-au-monde-entier.php#xtor=AL-201

Par Lucie Ronfaut

Du « Privacy by Design » aux Privacy Rules : accompagner et encadrer le développement des usages autour de la biométrie

Cette utilisation de la biométrie s’inscrit dans une logique d’authentification permettant de vérifier que le possesseur du support personnel est « bien le bon titulaire  ». Celle-ci se retrouve dans les recommandations émises dans le rapport sur l’avenir des moyens de paiement en France, et la nécessité d’«identifier les évolutions nécessaires des moyens de paiement existants et les innovations qui permettraient d’en créer de nouveaux afin de mieux satisfaire les besoins des consommateurs et des entreprises toutes en améliorant la sécurité et en réduisant les coûts pour l’ensemble des parties prenantes, et ce de manière équitable ».Il s’agit en effet de répondre aux besoins croissants d’une méthode d’authentification simple, universelle et sécurisée, qu’entrainent la dématérialisation croissante des transactions et la multiplication des canaux de distribution (automates bancaires, téléphones et tablettes…).

La frontière devient de plus en plus ténue entre moyen de paiement et moyen d’acceptation
Mais au-delà de la finalité, c’est l’implémentation qui permet de définir un certain niveau de sécurité, d’instaurer la confiance et donc l’appropriation de la technologie. Ainsi une implémentation à des fins de sécurité doit prendre en compte différents paramètres comme l’utilisation d’au moins 2 facteurs, dont un support personnel permettant à l’utilisateur « la maîtrise de sa donnée biométrique  ». Ce support assurera le stockage sécurisé des données biométriques et l’exécution des applications (dont l’algorithme de comparaison et les applications reposant sur l’authentification).

Une implémentation appropriée de la biométrie permet d’en garantir l’intégrité et la sécurité et donc la protection de ses données personnelles. Natural Security qui a été distingué en 2013 « Privacy by Design ambassador », a inscrit les problématiques de protection des données personnelles et de la vie privée dés le commencement de ses travaux en 2008. Le PbD, sans être une norme, vise à instaurer un état d’esprit en s’appuyant sur un certain nombre de grands principes . Cette démarche est en parfaite cohérence avec une démarche de type Privacy Impact Assessment qui apparaît à ce regard plus formelle et va tendre à se généraliser en Europe.

La  démarche de Privacy By Design trouve un écho tout particulier en Europe où, dés 2005, « les données biométriques qui sont uniquement utilisées à des fins de vérification devraient être stockées de préférence sur un support individuel sécurisé, par exemple, une carte à puce par exemple, que détiendrait la personne concernée ». Le standard définit par Natural Security repose sur des spécifications ouvertes à tous les industriels. Ce choix d’ouverture permet la mise en place d’un schéma d’évaluation et de certification permettant de vérifier que les implémentations ont été effectuées dans le respect des règles et des valeurs qui structurent ce standard. S’il s’agit de vérifier l’interopérabilité entre les différentes implémentations effectuées par les industriels, la démarche de certification vérifie quant à elle que les règles de sécurité et de protection des données personnelles ont bien été implantées.

Dans ce prolongement, des règles de conformité, les « Privacy Rules » viennent compléter le dispositif en engageant le responsable de traitement à une utilisation respectueuse de la protection des données personnelles, afin d’éviter, par exemple, la constitution de base de données biométriques.

D’autres dimensions de l’utilisation de la biométrie restent à discuter. Leur évaluation reste un point clé. On peut souligner le projet de la Biometrics Alliance Initiative , financé par des fonds européens, qui vise à développer un référentiel d’évaluation des technologies biométrique, dans le champ non-régalien afin de définir ce qu’on est en droit d’attendre en termes de performances, d’interopérabilité et de sécurité.

L’utilisation de la biométrie dans un contexte d’authentification constitue un des enjeux d’aujourd’hui pour l’accès aux services et la réalisation de transactions. La démarche de Privacy by Design est une invitation à intégrer la dimension sociale dans la conception d’une technologie. Elle devient dés lors une caractéristique à part entière « Not just good business, but good for business  ».

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.journaldunet.com/ebusiness/expert/59177/du—privacy-by-design—aux-privacy-rules—accompagner-et-encadrer-le-developpement-des-usages-autour-de-la-biometrie.shtml

Chronique de André Delaforge

Utilisation abusive de la messagerie électronique : licenciement sans cause réelle et sérieuse en l’absence de déclaration préalable à la CNIL

En l’espèce, une salariée avait envoyé et reçu un peu plus de 1 200 mails personnels via sa messagerie professionnelle sur une période de deux mois.

L’employeur avait licenciée ladite salariée pour faute, au motif d’une utilisation excessive de sa messagerie professionnelle à des fins personnelles .

La jurisprudence bien établie de la Chambre Sociale de la Cour de Cassation considérait déjà qu’à défaut de déclaration à la CNIL d’un traitement automatisé d’information nominative en place dans l’entreprise, le licenciement fondé sur un tel grief est sans cause réelle et sérieuse.

Tel est le cas notamment du licenciement d’un salarié qui refuse d’utiliser le système de badge ou de pointeuse à l’ entrée et sortie de l’entreprise: faute de déclaration préalable à la CNIL du système mis en place dans l’entreprise, l’employeur ne peut valablement sanctionner le salarié sur ce motif (Cass. Soc 6 avr. 2014 n° 01-45227)

Dans la présente espèce, l’employeur avait précisément réalisé cette déclaration à la CNIL.
Il avait toutefois déclaré le système de surveillance de la messagerie, non pas dès sa mise en service mais près de deux mois et demi après .

Or, ce dispositif avait servi, dès son installation, à mettre en lumière l’utilisation excessive par la salariée concernée de sa messagerie professionnelle à des fins professionnelles.

La Cour de Cassation a trouvé, dans cette espèce, l’occasion de durcir encore davantage sa jurisprudence en invalidant le licenciement de la salariée fondé sur une utilisation abusive de la messagerie électronique durant les deux mois ayant précédé la déclaration du dispositif de surveillance à la CNIL.

La Cour considérant que le système de surveillance étant antérieur à la déclaration à la CNIL, le moyen de preuve de l’employeur quant à la matérialité du motif de licenciement était donc illicite.

La Cour de Cassation indiquant précisément que :
« Constitue un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL ».

Cet arrêt ne fait qu’ajouter à l’arsenal existant de protection des droits des salariés dans l’entreprise à commencer par l’art L1222-4 du Code du travail qui dispose qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance ou encore le fondamental art L1121-1 du Code du travail.

La Cour de Cassation s’estimant garante, en droit du travail, de la protection des droits fondamentaux des salariés poursuit sa jurisprudence protectrice des droits individuels du salarié qui ne s’arrêtent pas une fois la porte de l’entreprise franchie.

Par Me Sandrine PARIS-FEY
Avocat au Barreau de NANTES

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.juritravail.com/Actualite/motifs-personnels-de-licenciement/Id/172011

Tout savoir sur votre identité numérique…

Cet été, vous aurez sûrement suivi le feuilleton du Celebgate, cette fuite de données personnelles appartenant à des célébrités anglo-saxonnes. Ces photos, souvent intimes, provenaient des comptes iCloud des personnes visées, et pour mener à bien son vol de données, le hacker a utilisé deux méthodes : l’attaque par force brute, qui consiste à tester à la volée plusieurs milliers de mots de passe possibles, et l’ingénierie sociale, en cherchant sur le Web des informations lui servant à répondre aux « questions de sécurité » permettant ensuite d’obtenir un mot de passe « oublié ».

Bien souvent, nous choisissons par exemple le nom de notre chien, le nom de jeune fille de notre mère, ou encore le lieu où nous avons effectué nos études. Ces informations sont, dans de nombreux cas, facilement accessibles sur Internet. Il suffit de bien savoir chercher.

C’est le principe du « Stalking » : espionner l’autre (ses goûts, son parcours) sans être vu, en exploitant les traces (numériques) qu’il a laissées. En français, cela s’appelle la « traque furtive » – pas seulement le lot de certains déséquilibrés, « pervers » : beaucoup d’individus espionnent leur prochain, pour des raisons sentimentales ou professionnelles. Cette traque est possible parce que nous partageons des informations sur nous, sur les réseaux sociaux, sur des blogs, ou dans des forums de discussions, sans avoir conscience que nous ne nous adressons pas forcément qu’à un cercle restreint d’amis – mais aussi à des « amis d’amis », ou des « amis d’amis d’amis ».

Gare aux stalkers
L’ingénierie sociale, le stalking et le vol de données par les pirates informatiques, ont souvent des conséquences néfastes. Car vos données n’intéressent pas seulement la NSA, ou les entreprises, qui cherchent la plupart du temps à les revendre à des annonceurs publicitaires. Les méchants hackers – rappelons juste qu’à la base, les hackers sont des experts en sécurité, sans mauvaises intentions, et qu’il vaut mieux parler de pirates informatiques pour parler des méchants hackers – mais aussi les cybercriminels, et même votre ex et des personnes de votre entourage qui vous détestent, sont susceptibles de chercher à dénicher vos informations, en cherchant sur le Web, ou en essayant de vous pirater pour cela.

Des données qui vous échappent, et cela peut se traduire par la perte de grosses sommes d’argent, par la perte d’un emploi, par une réputation ternie, ou, pire, par l’usurpation de votre identité. Les cas d’hommes bien sous tous rapports qui, un jour, connaissent l’enfer parce que quelqu’un leur a volé leur identité, sont de plus en plus fréquents, et cela n’arrive pas qu’aux autres. Chaque année en France, plus de 200 000 personnes sont victimes d’usurpation d’identité. Pour les victimes, impossible de se marier, par exemple, parce que les usurpateurs se seront bien souvent déjà mariés sous leurs noms. L’usurpation n’est pas uniquement rendue possible par le fait de jeter à la poubelle des documents importants (factures, relevés bancaires…) : les informations que nous envoyons sur le Net sont aussi de véritables mines d’or.

Googlisez vous !
Pour éviter les mauvaises surprises, il suffit de prendre ses précautions, et de protéger ses données. D’abord, en trouvant les informations déjà en ligne qui pourraient vous compromettre, et les retirer. Gardez ainsi à l’esprit que quelqu’un désirant connaitre des informations personnelles sur vous a désormais toute une gamme d’outils à sa disposition. Et la plus grande aide vient de la personne qu’il veut pister elle même, car celle-ci laisse toute une série d’informations derrière elle, consciemment ou non. D’où l’importance de faire un check-up de votre vie privée online, afin de connaître l’importance des traces numériques que vous laissez derrière vous, puis d’agir en conséquence (en supprimant ces informations).

Vous pouvez (vous devez, même) faire le test : googlisez vous, autrement dit, cherchez votre nom sur Google. Vous trouverez des sites qui parlent de vous, ou des images de vous sur Google Images. Googlisez aussi votre numéro de téléphone, votre adresse de maison, votre numéro de sécurité sociale. Utilisez Google Reverse Image (effectuer une recherche Google à partir d’une photo), en envoyant sur Google des photos récentes de vous, que vous avez partagées sur le web. Cherchez aussi votre nom sur des agrégateurs de réseaux sociaux et de données tels que PeekYou ou Yasni, qui compilent toutes les informations partagées publiquement sur Facebook, Twitter, LinkedIn et autres.

Données sécurisées
Ce check-up, qui devrait être réalisé tous les trois mois pour être efficace, inclut donc votre numéro de téléphone, votre nom, votre adresse, vos comptes Facebook (car les paramètres de confidentialités changent souvent), Twitter et Google, vos comptes sur les sites marchands (Ebay, Amazon, Fnac), et vos comptes bancaires en ligne (afin de vérifier qu’il n’y a aucune transaction suspecte). Pour compléter ce check-up, vous pouvez aussi créer une Google Alerte : ainsi, vous recevrez une notification chaque fois que votre nom, votre adresse e-mail ou votre numéro de téléphone sera ajouté aux résultats de recherche de Google.

A moins que vous ne fassiez déjà attention aux traces que vous laissez derrière vous sur le Web, vous trouverez probablement des informations sur vous-même suite à ce check-up – des informations que vous ne pensiez peut-être pas avoir partagées. Pas de panique : ces informations sont simplement des données que vous avez confiées, un jour, à certains sites, blogs, forums ou réseaux sociaux, et elles peuvent être supprimées. Sans forcément faire appel à des sociétés spécialisées dans la suppression de traces numériques.

Faites le ménage
Une fois le check-up de votre vie privée effectué, place au ménage de printemps. Rendez-vous d’abord sur les réseaux sociaux. Sur Facebook, partez dans les options (cadenas en haut à droite), et rendez inaccessibles les informations que vous partagiez jusque là avec le public, ou avec les amis de vos amis. Créez ensuite des listes, afin de ne partager vos prochaines photos, vos prochains statuts et toutes vos prochaines informations, qu’avec vos amis proches.

Vous devez impérativement considérer le web comme un espace public. Où les informations que vous partagez, où vos communications, où tout ce que vous faites est potentiellement accessible par quelqu’un d’autre – parce que vous n’aurez pas suffisamment sécurisé vos données, le plus souvent. Souvenez-vous que tout ce que vous mettez en ligne peut potentiellement devenir public, quel que soit votre contrôle sur ces données. Dans cette situation, pas question pour vous de vous auto-censurer, car la vie privée est un droit (fondamental) : plutôt que de restreindre votre activité, mieux vaut agir en internaute averti, et apprendre à se protéger.

Sur les réseaux sociaux, à l’avenir, ne fournissez pas d’informations trop personnelles. Si vos amis ne se souviennent pas de votre date de naissance, tant pis pour eux : mieux vaut indiquer une fausse date. Mieux vaut aussi éviter de noter votre lieu de naissance, ainsi que votre lieu de domiciliation. Ensuite, évitez d’accepter comme « amis » d’illustres inconnus, ou des « amis d’amis » : il pourrait s’agir de personnes malintentionnées, guettant par exemple le moment où vous annoncerez votre départ en vacances, et le moment où votre maison sera disposée à être cambriolée.

Sur un réseau social, qu’il s’agisse de Facebook, Google + ou de Twitter, lorsque vous vous apprêtez à partager une photo ou autre chose, posez vous la question : ce que je partage donne-t-il des détails personnels sur moi, sur le lieu où je vis, sur mon travail, ou encore sur mon lieu de vie ? Des informations comme votre âge, votre lieu de naissance ou les lieux où vous avez étudié semblent anodines de prime abord, mais peuvent permettre à des personnes malintentionnées de créer un profil, leur permettant d’usurper votre identité.

Webcam
En ce qui concerne la visibilité de vos informations, vous pouvez vérifier, sur Facebook, comment les internautes qui ne sont pas vos amis voient votre profil, et ce qui est accessible publiquement (option aperçu du profil en tant que). Ensuite, l’on ne saurait vous conseiller que d’ajuster vos paramètres de confidentialité, même si cela peut prendre du temps. Choisissez donc avec qui vous voulez partager des infos, désactivez l’option qui permet à vos amis de vous taguer (identifier) sur une photo, sans votre accord, et privilégiez l’option « visible par moi uniquement » pour la plupart des informations que vous partagerez, afin de changer la visibilité plus tard.

C’est le même principe avec Google + : vérifiez ce qui est disponible sur votre profil public, car vos commentaires sur une vidéo YouTube peuvent par exemple figurer sur votre profil Google +, et cela, même si vous n’utilisez pas Google +, il vous suffit d’utiliser les services de Google pour avoir un compte… En haut de la page, il y a ainsi l’option « profil vu par », puis « moi » ou « tout le monde ». Choisissez « tout le monde », et vérifiez… Rendez-vous ensuite dans les paramètres de confidentialité, en cliquant sur votre compte Google, puis sur « paramètres » et paramètres Google+.

Pour ce qui est des informations sur vous qui ne sont pas sur les réseaux sociaux, vous devrez lister les adresses URL des sites, blogs ou forums qui en possèdent. Puis vous devrez contacter les responsables de ces sites (via la rubrique contact, ou via les mentions légales), et leur demander de supprimer ce qui vous porte préjudice. En cas de refus, vous pourrez adresser une plainte à la CNIL. Concernant les informations scannées et conservées par le moteur de recherche de Google (en cache, pendant plusieurs mois), vous pouvez remplir ce formulaire, mis en place récemment par l’entreprise.

Une fois que vous aurez fait le ménage, et supprimé vos traces, la clé sera d’adopter une certaine hygiène numérique, une attitude sur Internet qui permettra d’empêcher les stalkers et les pirates de vous atteindre. D’abord, utilisez des mots de passe complexes (que vous changerez souvent), en prenant garde à ne pas utiliser le même pour tous vos comptes. Un bon mot de passe est long, et se compose de chiffres, de majuscules et de minuscules.

Prudence est mère de sûreté
Ensuite, évitez d’envoyer par mail des informations sensibles (sauf si vous utilisez des moyens sûrs, comme le chiffrement de vos e-mails) : n’envoyez jamais le scan de votre carte d’identité par e-mail, par exemple. Si vous devez le faire, supprimez immédiatement le mail envoyé, et demandez au destinataire de supprimer votre message une fois le document récupéré, et mis en lieu sûr (dites-lui bien que garder votre scan de carte d’identité sur son bureau d’ordinateur, c’est un peu risqué).

En outre, apprenez à sécuriser vos appareils : utilisez des mots de passe pour votre ordinateur portable, votre tablette ou votre smartphone. En cas de vol, cela permet de rendre vos informations difficilement atteignables, sauf pour quelqu’un s’y connaissant en récupération de données. Ensuite, chiffrez vos données, pour les rendre inutilisables par quelqu’un d’autre que vous et vos destinataires, en utilisant des outils tels que RealCrypt, NCrypt, AxCrypt, ou AESCrypt pour le chiffrement de documents sur un ordinateur et GnuPG pour le chiffrement de vos mails (ce logiciel repose sur l’échange de clés publiques et privées). Enfin, logique, mais utilisez un antivirus, un pare-feu (firewall), mettez ensuite à jour régulièrement ces logiciels, et mettez aussi à jour votre système d’exploitation : quand des failles sont détectées, celles-ci ne sont corrigées que lorsque vous mettez à jour le service en question.

Pour surfer sur le Web sans que les entreprises ne collectent des informations sur vous et votre navigation (via les fichiers « cookies », qui permettent de retracer vos allées et venues sur le Web), utilisez aussi la « navigation privée » des navigateurs Web (Chrome, Firefox, Safari, Internet Explorer, Opera…) – cela se passe, pour tous les navigateurs, dans les options, en cliquant sur « fichier » puis « nouvelle fenêtre de navigation privée ».

Vol de données numériques
Enfin, un dernier conseil, qui vous paraîtra peut être un tantinet parano, mais qui prend tout son sens : mettez du scotch sur votre webcam, si vous possédez un ordinateur portable avec caméra intégrée. Car cette caméra est susceptible d’être hackée, et donc de servir d’instrument d’espionnage. Ce n’est pas une blague. Un hacker piratant votre ordinateur peut fort bien accéder aux images de votre webcam, même si vous ne l’avez pas activée.

Ce fut le cas il y a deux ans aux Etats-Unis, quand des loueurs d’ordinateurs utilisaient des logiciels espions pour espionner leurs clients, et l’année dernière, toujours aux USA, quand une ancienne Miss américaine, Cassidy Wolf, a découvert qu’un hacker avait piraté la webcam de son ordinateur portable, afin de la prendre en photo pendant une année entière, puis de la faire chanter. Le pirate informatique a depuis été arrêté par la police, et condamné à 18 mois de prison ferme, mais le mal a été fait.

Cette série de conseils qui vous permettront de vérifier les traces numériques laissées derrière vous, de les supprimer, et de ne plus en disséminer d’autres du même type, sont à suivre encore, et encore, et encore. Car la sécurité et la vie privée sont bel et bien une lutte constante.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.clubic.com/mag/trendy/actualite-740209-vie-privee-faites-check-up-complet.html?estat_svc=s%3D223023201608%26crmID%3D639453874_754265034

par Fabien Soyez

La protection des données personnelles largement ignorée par les professionnels européens de l’informatique

Enquête en ligne menée par Ipswitch
sur un échantillon de 316 professionnels
de l’informatique. © Ipswitch

Selon une enquête d’Ipswitch, un éditeur américain de logiciels pour réseaux d’entreprise, une majorité de professionnels de l’informatique en Europe ne savent pas à quelle sauce ils vont être mangés en matière de gestion des données personnelles. En effet, les résultats semblent indiquer que les questions de réglementation et de conformité dans ce domaine sont largement méconnues. Un diagnostic qui s’applique tout particulièrement au Règlement général sur la protection des données (GDPR : General Data Protection Regulation), un texte qui devrait entrer en vigueur dans 28 pays de l’Union européenne entre la fin 2014 et le début de l’année 2015. Réalisée en ligne, en octobre 2014, l’enquête a recueilli la réponse de 316 internautes (104 du Royaume-Uni, 101 de France et 111 d’Allemagne).

Concrètement, plus de la moitié des personnes interrogées (56 %) n’ont pas pu identifier la signification du terme  »GDPR ». De plus, 52 % d’entre elles ont admis qu’elles n’étaient pas préparées. Par ailleurs, plus d’un tiers (35 %) des sondés ignorent si les stratégies et processus informatiques mis en place au sein de leurs entreprises sont conformes à la nouvelle réglementation. À l’inverse, 13 % des personnes interrogées placent le GDPR dans leur liste des priorités et 12% seulement seraient prêtes au changement. L’enjeu est pourtant de taille alors que le GDPR prévoit de fortes amendes (jusqu’à 100 millions d’euros ou 5 % du chiffre d’affaires mondial) pour les organisations qui enfreindront les règles !

La France en milieu de podium
Par rapport à leurs homologues allemands et britanniques, les Français se placent dans la moyenne. Ils ne sont ni particulièrement en retard ni particulièrement en avance. D’un coté, les Britanniques se révèlent être les plus préoccupés par la sécurité des « images de nature personnelle » (7% contre seulement 3 % des Français et 2 % des Allemands). De l’autre, nos voisins germaniques semblent les mieux au courant de la problématique GDPR. En effet, près de la moitié d’entre eux (49 %) ont été capables de préciser la signification de l’acronyme. À l’inverse, seul 36 % des professionnels français a su l’indiquer contre un quart (26 %) des professionnels britanniques.

Les résultats de cette enquête doivent pourtant être utilisés avec précaution. En effet, Ipswitch passe sous silence bon nombre d’informations. Par exemple, la nature exacte des métiers exercés par les sondés n’a pas été précisée. Rappelons-le, la problématique des données personnelles touche en priorité les Directeurs et les Responsables de la sécurité des systèmes d’information (DSI et RSSI) des entreprises. Mais également les Centres de supervision urbains (CSU) qui opèrent les caméras de vidéosurveillance déployées en ville. Citons encore les entreprises qui sécurisent des accès physiques avec, par exemple, des équipements biométriques. Ainsi que toute organisation qui doit gérer de près ou de loin des informations d’identification (voir encadré :  »Qu’est-ce-qu’une donnée personnelle? »). Avec l’explosion de l’informatique dans le nuage (Cloud Computing), nul doute que cette liste non exhaustive se rallongera de manière exponentielle dans les années à venir.

Qu’est-ce-qu’une donnée personnelle ?
En France, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » (Loi du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel).

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.expoprotection.com/site/FR/L_actu_des_risques_malveillance__feu/Zoom_article,I1602,Zoom-e2460ddaaa1c99bf0e47ce05b66a4a7e.htm

par Guillaume Pierre

La reconnaissance juridique du vol de données

Le vol de données, une notion mal définie. On entend régulièrement parler dans la presse aussi bien de « vols de données personnelles » de clients, commis au détriment d’opérateurs ou de grandes entreprises, que de « vols de données confidentielles » qui s’apparentent plutôt à de l’espionnage industriel. Dans ces dossiers, le terme de « vol » est utilisé par commodité de langage, mais il n’est pas toujours la qualification retenue juridiquement. En effet, pour qu’il y ait vol, selon la définition du Code pénal (article 311-1), il faut constater la « soustraction frauduleuse de la chose d’autrui ». Or dans un vol de données, celles-ci ne sont pas « soustraites », mais recopiées ; elles demeurent à la disposition de leur légitime propriétaire qui ne peut donc pas déposer plainte pour « vol ».

Cette définition du vol par la « soustraction » date du Code Napoléon (1804). Remarquons que le droit romain était peut-être paradoxalement mieux adapté au vol de données, car les Institutes de l’empereur Justinien, publiées en 529, définissaient plus largement le vol (furtum) comme « contractatio rei fraudulosa » : la manipulation frauduleuse d’une chose (livre IV, titre I, 1). Et de préciser « furtum autem fit, non solum cum quis intercipiendi causa rem alienam amovet, sed generaliter cum quis alienam rem invito domino contractat » : il y a vol, non seulement quand on déplace la chose d’autrui pour la dérober, mais de manière générale quand on en dispose sans la volonté du propriétaire (IV, I, 6).

Mais notre Code pénal moderne lie le vol à la disparition matérielle. Ainsi en avait jugé récemment le tribunal de grande instance de Créteil (23 avril 2013), qui rappelait que « en l’absence de toute soustraction matérielle de documents (…), le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques (du légitime propriétaire) qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ».

Toutefois, la Cour d’appel de Paris a infirmé ce jugement (5 février 2014), et a considéré au contraire que le vol de données était bien caractérisé par le fait de réaliser « des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ». Suite à ces appréciations divergentes de l’applicabilité de l’incrimination de vol, ce dossier se retrouve désormais devant la Cour de cassation, dont la mission est justement de dire comment on doit appliquer le droit.

Il est à noter que la même Cour de cassation avait validé le 9 septembre 2003 une condamnation pour vol, basée sur le fait « d’avoir en sa possession, à son domicile, après avoir démissionné de son emploi pour rejoindre une entreprise concurrente, le contenu informationnel d’une disquette support du logiciel Self Card, sans pouvoir justifier d’une autorisation de reproduction et d’usage du légitime propriétaire ». Elle a de nouveau validé le 4 mars 2008 une condamnation pour vol de données informatiques. Mais dans ces deux dossiers, la Cour n’a pas explicité comment l’incrimination de vol de données devait s’appliquer.

D’autres solutions juridiques
Lorsque l’on est victime d’un vol de données, d’autres solutions juridiques existent pour déposer plainte. Si les données copiées sont des données personnelles (relatives à des personnes identifiées ou identifiables), le recours à l’article 226-18 du code pénal (collecte frauduleuse de données personnelles) est possible.

Si le vol a été effectué via un accès frauduleux au système informatique (cas du hacking, du vol de mot de passe, du phishing…), l’article 323-1 du code pénal trouvera à s’appliquer.

Si c’est une base de données qui a été recopiée, son propriétaire peut réclamer la protection accordée par l’article L341-1 du code de la propriété intellectuelle, mais seulement si la constitution de la base a nécessité un investissement substantiel. La Cour de cassation a ainsi confirmé le 19 juin 2013 un arrêt refusant la protection d’une base de données en raison du caractère non substantiel des investissements réalisés.

Nouveaux éléments. L’arsenal juridique vient récemment de s’enrichir de deux nouveautés. Le 22 octobre 2014, dans une affaire de détournement de fichiers par un salarié, la Cour de cassation a validé la condamnation pour abus de confiance. Or l’article 314-1 du code pénal définit l’abus de confiance comme « le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé ». N’étant pas des fonds ou des valeurs, on en déduit que pour la Cour de cassation les données sont des biens. Ce qui nous ramène à l’idée de vol : si les données sont des biens, la notion de vol de données devient plus naturelle.

Mais le législateur vient peut-être de rendre ces discussions inutiles. En effet, la loi antiterroriste du 13 novembre 2014 modifie l’article 323-3 du code pénal. Cet article, créé par la loi Godfrain de 1988, réprimait jusqu’ici l’introduction frauduleuse de données dans un système informatique, leur modification ou leur suppression. Désormais, sont également interdits les faits « d’extraire, de détenir, de reproduire ou de transmettre » frauduleusement des données. La sanction encourue est de cinq ans de prison et 75.000 euros d’amende, et est portée à sept ans et 100.000 euros s’il s’agit de données personnelles volées dans un système d’information de l’Etat.

La nouvelle rédaction de l’article 323-3 permet donc de réprimer efficacement à l’avenir les vols de données. Elle rend inutile le recours à l’article 311-1 et les débats sur son applicabilité, d’autant plus que la sanction du vol « traditionnel » n’est que de trois ans de prison et 45.000 euros d’amende (article 311-3), soit moins que ce qui est prévu par le nouvel article 323-3 consacré aux données.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://pro.01net.com/editorial/633857/vers-la-reconnaissance-juridique-du-vol-de-donnees/

par Fabrice Mattatia