Mise en conformité RGPD : Ça veut dire quoi ?

Imaginez qu’un jour des inconnus puissent connaître les problèmes médicaux que vous avez eu par le passé et ceux qui hantent votre vie actuellement ?

Imaginez qu’un jour, pour la nième, fois vous deviez bloquer votre actuelle carte bancaire et en commander une autre car votre compte bancaire s’est à nouveau fait pirater ?

Imaginez qu’un jour vous soyez obligé(e) de changer d’adresse e-mail privée car vous recevez chaque jour des centaines de spams (emails non désirés) ?

Imaginez qu’un jour vous découvrez que vos identifiants et mots de passe se retrouvent en clair sur Internet ?

Imaginez qu’un jour vous receviez sans cesse des sollicitations publicitaires sur le téléphone perso dont seuls vos amis et quelques professionnels essentiels ont le numéro ?

Imaginez qu’un jour on puisse découvrir au grand jour vos listes de courses, vos déplacements, vos choix politiques, votre religion, vos empreintes digitales, la liste de vos éventuelles condamnations…

Face à l’explosion du nombre de cas de piratages informatiques ces dernières années, les cas de vols de données devraient eux aussi considérablement augmenter.

VOUS TROUVERIEZ ÇA NORMAL ?

Si vous avez répondu OUI, c’est que certainement vous n’avez pas vécu ces situations.

Si vous avez répondu NON, vous comprenez alors l’intérêt d’obliger les professionnels à protéger vos données personnelles.

14 MILLIONS DE FRANÇAIS VICTIMES DE HACKERS EN 2016

57% DES ENTREPRISES VICTIMES D’UNE CYBERATTAQUE EN 2016

SEULEMENT 102629 DOSSIERS DE MISE EN CONFORMITÉ AVEC LA CNIL REÇUS EN 2016 (sur 4,4 millions d’entreprises)

Vous commencez à comprendre l’intérêt d’obliger les professionnels à protéger les données qu’ils détiennent ?

Depuis 1978 une loi, la Loi Informatique et Libertés, oblige tout professionnel, association et administration qui détient des données personnelles (données appartenant à des personnes permettant de les identifier à l’échelle de la population nationale). Presque 40 ans plus tard, le résultat est catastrophique. Seulement, ces 2 dernières années, les millions de victimes de a cybercriminalité s’enchaînent à un rythme effréné sans que tous ces « fraudeurs » de la données personnelles, responsables de toute la nourriture numérique que l’on peut donner aux pirates informatique ne soient inquiétés.

C’est pour remettre tous ces organismes sur le droit chemin que les membres de la communauté Européenne on souhaité s’unir pour établir un règlement qui entrera en vigueur le 25 mai 2018. Ces règles Européennes consisteront à définir le cadre juridique selon lesquelles tous les organismes concerné seront tenus de protéger les toutes les données que nous leur avons communiquées en toute confiance.

A quoi ça sert de restreindre l’accès aux informations et aux photos du compte de votre réseau social préféré si par ailleurs, tous les dépositaires de vos données personnelles n’appliquent pas les mêmes précautions que vous !

CHERS PROFESSIONNELS

Le Règlement Général sur la Protection de Données (RGPD) entre en application le 25 mai 2018 et les entreprises ne s’y sont pas préparées. Or, elles sont toutes concernées, de l’indépendant aux plus grosses entreprises, et risqueront, en cas de manquement, des sanctions pouvant aller jusqu’à 4% de leur chiffre d’affaires et des conséquences sur leur réputation. Un point indispensable sur cette mise en conformité obligatoire.

Au delà des amendes pouvant attendre plusieurs millions d’euros, c’est maintenant la réputation des entreprises qui est en jeu. Quelle valeur lui donnez vous ? Serez-vous prêt à la perdre pour ne pas avoir fais les démarches dans les temps ?

Les étapes d’une mise en conformité :

1. Établir une cartographie de l’ensemble des traitements de données de l’entreprise ou de l’entité publique ;
2. Vérifier les spécificités et dispenses propres à l’activité ou au statut de l’établissement ;
3. Analyser chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement ;
4. Tenir un registre dans lequel seront référencés les différents traitements des données à caractère personnel conformes et à modifier ;
5. Tenir compte de l’évolution de l’entreprise et s’assurer que la conformité est maintenue.

Devis pour la mise en conformité avec le RGPD de votre établissement

Vous souhaitez faire appel à un expert informatique qui vous accompagne dans la mise en conformité avec le RGPD de votre établissement ?

Je me présente : Denis JACOPINI. Je suis Expert en informatique assermenté et spécialisé en RGPD (protection des Données à Caractère Personnel) et en cybercriminalité. Consultant depuis 1996 et formateur depuis 1998, j’ai une expérience depuis 2012 dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données (DPO n°15845), en tant que praticien de la mise en conformité et formateur, je vous accompagne dans toutes vos démarches de mise en conformité avec le RGPD20.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

Pour cela, j’ai créé des services sur mesure :

Vous souhaitez vous mettre en conformité avec le Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 (dit RGPD) et vous souhaitez vous faire accompagner. Au fil des années et depuis les mises en conformité avec la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, nous avons constaté que les mises en conformité devaient se dérouler (et encore à ce jour avec le RGPD)  selon 3 phases principales  :

1. « Analyse du contexte » en vue d’établir la liste des traitements et les mesures correctives à adopter ;
2. « Mise en place de la conformité RGPD » avec amélioration des traitements en vue de les rendre acceptables ou conformes. Ceci inclue dans bien des cas l’analyse de risque ;
3. « Suivi de l’évolution des traitements » en fonction de l’évolution du contexte juridique relatif à la protection des Données à Caractère Personnel et des risques Cyber. Ce suivi a pour principal intérêt de maintenir votre conformité avec le RGPD dans le temps.

Pour chacune des phases, nous vous laissons une totale liberté et vous choisissez si vous souhaitez :

• « Apprendre à faire » (nous vous apprenons pour une totale autonomie) ;
• « Faire » (nous vous apprenons et vous poursuivez le maintien de la mise en conformité tout en ayant la sécurité de nous avoir à vos cotés si vous en exprimez le besoin) ;
• ou « Nous laisser faire » (nous réalisons les démarches de mise en conformité de votre établissement en totale autonomie et vous établissons régulièrement un rapport des actions réalisées opposable à un contrôle de la CNIL).

contactez-nous avec le formulaire ci-dessous

Pour ceux qui veulent apprendre à faire, nous proposons 3 niveaux de formation

1. Une formation d’une journée pour vous sensibiliser au RGPD : « Comprendre le RGPD et ce qu’il faut savoir pour bien démarrer » ;
2. Une formation de deux jours pour les futurs ou actuels DPO : « Je veux devenir le Délégué à la Protection des Données de mon établissement » ;
3. Une formation sur 4 jours pour les structures qui veulent apprendre à mettre en conformité leurs clients : « J’accompagne mes clients dans leur mise en conformité avec le RGPD ».

Afin de vous communiquer une indication du coût d’un tel accompagnement, nous aurons besoin d’éléments sur votre structure : Durée dépendant de la taille, de l’activité et des ressources de votre établissement.

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

Mise en conformité avec le RGPD. Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….
 
 
PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.
 
 

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

la CNIL et la CADA publient un guide pratique

Ce guide est composé d’une présentation du cadre juridique et d’une fiche pratique sur l’anonymisation. Ce document fait suite à une consultation publique qui s’est tenue au printemps 2019, afin « de confronter les travaux engagés pour la présentation du cadre juridique de l’open data aux attentes concrètes des acteurs concernés ». 220 contributions ont été enregistrées. « Son succès témoigne tant de l’intérêt du public porté à la question de l’open data que du besoin d’accompagnement des administrations diffusant en ligne des données publiques ainsi que des réutilisateurs de ces données », se félicitent les partenaires….[lire la suite]

Téléchargez le guide.

Collectivités territoriales : Contrôles et sanctions de la CNIL

La Commission nationale informatique et libertés (Cnil) souligne que deux axes structurent ses actions : l’accompagnement, via un plan d’action dédié aux collectivités territoriales, et la réalisation de contrôles pouvant, en cas de manquements graves, être suivis de sanctions. Comme toute personne morale manipulant les données personnelles, les collectivités peuvent faire l’objet de lourdes sanctions….[lire la suite]

GDPR toolkit (could concern all companies in the world)

Record of processing activities

Read more

Privacy Impact assessment (pia)

Read more

General Data Protection Regulation: a guide to assist processors

DU en Investigation Numérique Pénale – Denis JACOPINI témoigne

Contenu de la formation :

• Acquisition des bases et des fondamentaux en matière informatique dans le cadre d’une expertise pénale ;
• Connaissance de la Procédure pénale ;
• Connaissance des missions, de l’organisation professionnelle et des bonnes pratiques d’un enquêteur numérique ;
• Acquisition des méthodes et pratiques d’extraction de données post mortem :
• Extraction de données à partir de supports physiques
• Extraction de données à partir de terminaux mobiles
• Extraction de traces internet
• Manipulation d’objets multimédia
• Acquisition des méthodes de fouille de données

2019 06 14 Plaquette INPA5 v12

Cette formation est réalisée en partenariat avec  :

• UFIN (Union Française de l’Investigation Numérique)
• CNEJITA (Compagnie Nationale des Experts de Justice en Informatique et Techniques Associées)
• AFSIN (Association Francophone des Spécialistes de l’Investigation Numérique)
• Gendarmerie nationale

Denis JACOPINI, Expert de Justice en Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles (RGPD) témoigne :

C’est avec grand plaisir que je vous témoigne ma grande satisfaction à l’issue de cette formation. Même si j’avais déjà une expérience en tant qu’Expert de Justice en Informatique, étalée sur 8 mois, le contenu de cette formation m’a permis d’être désormais mieux équipé (mentalement, organisationnellement et techniquement) et en plus grade confiance pour les futures expertises pénales qui me seront confiées.

Un avocat obtient la relaxe pour un homme qui avait refusé de communiquer son code PIN en garde à vue

Une relaxe qui satisfait pleinement les défenseurs des libertés individuelles.

Actuellement, le code pénal dispose qu’« est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale..[lire la suite]

Denis JACOPINI : Cet avocat à bien joué en arguant le fait que, dans le cas de ces téléphones, leur protection par un code PIN n’est pas un dispositif de protection répondant à cette infraction. Brillant !