Mise en conformité RGPD : Accompagnement personnalisé par des Experts

Intervenant sur des missions RGPD depuis 2012, après avoir identifié différents types d’attentes, nous avons adapté nos offres pour qu’elles correspondent au mieux à vos besoins.

Ainsi, nous pouvons vous accompagner dans la mise en conformité de votre structure de plusieurs manières :

1. Vous recherchez l’autonomie ?
   Nous pouvons vous accompagner pour apprendre l’essentiel de la réglementation Européenne relative à la Protection des Données à Caractère Personnel et le nécessaire pour comprendre et démarrer une mise en conformité. Une fois la formation achevée, vous êtes autonome mais pourrez toujours compter sur notre soutien soit sous forme de formation personnalisée, soit sous forme d’accompagnement personnalisés ;
   A l’issue de cette formation, nous vous remettons une attestation prouvant la mise en place d’une démarche de mise en conformité de votre établissement avec le RGPD (Règlement Général sur la Protection des Données). Pour information, nous sommes référencés auprès de la CNIL.
2. Vous souhaitez être accompagné pour la mise en place de la mise en conformité ?
   Nous réalisons pour vous l’audit qui mettra en exergue les points à améliorer. Au terme de cette étape vous pourrez, si vous le souhaitez, réaliser la mise en conformité ou nous laisser procéder aux améliorations que vous aurez validées ;
   A l’issue de cet audit, nous vous remettons un compte rendu prouvant la mise en place de corrections dans le cadre de votre démarche de mise en conformité de votre établissement avec le RGPD (Règlement Général sur la Protection des Données).
3. Vous souhaitez confier la totalité de votre mise en conformité ?
   De manière parfaitement complémentaire avec votre prestataire informatique et éventuellement avec votre service juridique, nous pouvons nous charger de la totalité de la démarche de mise en conformité de votre établissement avec le RGPD (Règlement Général sur la Protection des Données) et les différentes réglementations relatives à la protection des Données à Caractère Personnel.
   De l’audit au suivi, vous pourrez compter sur notre expertise à la fois technique et pédagogique pour que votre établissement soit accompagné de manière externalisée.

Afin de vous envoyer une proposition personnalisée adaptée à la fois aux besoins de votre structure, conforme à votre stratégie et à vos priorités, nous souhaiterions que vous répondiez à ces quelques questions :

Denis JACOPINI est notre Expert qui vous accompagnera dans votre mise en conformité avec le RGPD

Je me présente : Denis JACOPINI. Je suis Expert en informatique assermenté et spécialisé en RGPD (protection des Données à Caractère Personnel) et en cybercriminalité. Consultant depuis 1996 et formateur depuis 1998, j’ai une expérience depuis 2012 dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données (DPO n°15845), en tant que praticien de la mise en conformité et formateur, je vous accompagne dans toutes vos démarches de mise en conformité avec le RGPD.

« Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD. »

RGPD : Qu’est-ce qu’une donnée à caractère personnel ?

Le règlement (article 4) les défini comme étant toute information se rapportant à une personne physique identifiée ou identifiable.

Le règlement précise également ce qu’est une personne physique identifiable : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En pratique, il faut comprendre de cette définition que, toute donnée se rapportant à votre personne et permettant, même indirectement de vous identifier est une donnée personnelle.

Ainsi, votre nom, prénom, âge, date et lieu de naissance, une photo de vous, un pseudonyme, un numéro de téléphone ou de sécurité sociale, une adresse IP, etc. constituent des données à caractère personnel.

…[lire la suite]

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment démarrer une mise en conformité avec le RGPD ? Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….

PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

Mise en conformité avec le RGPD. Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….
 
 
PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.
 
 

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

la CNIL et la CADA publient un guide pratique

Ce guide est composé d’une présentation du cadre juridique et d’une fiche pratique sur l’anonymisation. Ce document fait suite à une consultation publique qui s’est tenue au printemps 2019, afin « de confronter les travaux engagés pour la présentation du cadre juridique de l’open data aux attentes concrètes des acteurs concernés ». 220 contributions ont été enregistrées. « Son succès témoigne tant de l’intérêt du public porté à la question de l’open data que du besoin d’accompagnement des administrations diffusant en ligne des données publiques ainsi que des réutilisateurs de ces données », se félicitent les partenaires….[lire la suite]

Téléchargez le guide.

Collectivités territoriales : Contrôles et sanctions de la CNIL

La Commission nationale informatique et libertés (Cnil) souligne que deux axes structurent ses actions : l’accompagnement, via un plan d’action dédié aux collectivités territoriales, et la réalisation de contrôles pouvant, en cas de manquements graves, être suivis de sanctions. Comme toute personne morale manipulant les données personnelles, les collectivités peuvent faire l’objet de lourdes sanctions….[lire la suite]

GDPR toolkit (could concern all companies in the world)

Record of processing activities

Read more

Privacy Impact assessment (pia)

Read more

General Data Protection Regulation: a guide to assist processors

DU en Investigation Numérique Pénale – Denis JACOPINI témoigne

Contenu de la formation :

• Acquisition des bases et des fondamentaux en matière informatique dans le cadre d’une expertise pénale ;
• Connaissance de la Procédure pénale ;
• Connaissance des missions, de l’organisation professionnelle et des bonnes pratiques d’un enquêteur numérique ;
• Acquisition des méthodes et pratiques d’extraction de données post mortem :
• Extraction de données à partir de supports physiques
• Extraction de données à partir de terminaux mobiles
• Extraction de traces internet
• Manipulation d’objets multimédia
• Acquisition des méthodes de fouille de données

2019 06 14 Plaquette INPA5 v12

Cette formation est réalisée en partenariat avec  :

• UFIN (Union Française de l’Investigation Numérique)
• CNEJITA (Compagnie Nationale des Experts de Justice en Informatique et Techniques Associées)
• AFSIN (Association Francophone des Spécialistes de l’Investigation Numérique)
• Gendarmerie nationale

Denis JACOPINI, Expert de Justice en Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles (RGPD) témoigne :

C’est avec grand plaisir que je vous témoigne ma grande satisfaction à l’issue de cette formation. Même si j’avais déjà une expérience en tant qu’Expert de Justice en Informatique, étalée sur 8 mois, le contenu de cette formation m’a permis d’être désormais mieux équipé (mentalement, organisationnellement et techniquement) et en plus grade confiance pour les futures expertises pénales qui me seront confiées.

Un avocat obtient la relaxe pour un homme qui avait refusé de communiquer son code PIN en garde à vue

Une relaxe qui satisfait pleinement les défenseurs des libertés individuelles.

Actuellement, le code pénal dispose qu’« est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale..[lire la suite]

Denis JACOPINI : Cet avocat à bien joué en arguant le fait que, dans le cas de ces téléphones, leur protection par un code PIN n’est pas un dispositif de protection répondant à cette infraction. Brillant !