Billets libellés General Data Protection Regulation

RGPD : Les changements apportés sur les noms de domaines

RGPD : Les changements apportés sur les noms de domaines Le RGPD comporte de nombreuses mesures servant de référence pour les années à venir. C’est pourquoi il est très long. Il nous est alors impossible de vous détailler chaque condition une par une. Toutefois, nous pouvons vous évoquer quelques points principaux auxquels les entreprises devront se conformer. Parmi les changements importants apportés par le RGPD, le nom des domaines constitue l’élément le plus concerné. Quand une entreprise possède de nombreux noms de domaine, elle est répertoriée dans l’annuaire des noms de domaine très connu sous le terme « Whois ». Ce registre a pour but d’informer les personnes susceptibles d’être intéressées par un nom de domaine, de connaitre sa disponibilité et l’identité de la personne à qui il peut appartenir. Alors, au moment de l’enregistrement de votre nom de domaine, certaines de vos données privées seront diffusées en libre accès sur l’annuaire Whois. Auparavant, les hébergeurs proposaient une option Whois Anonyme. Mais cette alternative n’est plus optionnelle depuis la mise en application du RGPD. Elle devient obligatoire. En effet, le RGPD mise sur l’anonymisation des données personnelles du représentant légal de l’entreprise afin de limiter tout désagrément y afférent. Alors, il est impératif d’utiliser une pseudonymisation qui va permettre de camoufler les données confidentielles. Le principe de ce camouflage consiste à remplacer la valeur donnée par une valeur fictive mais compréhensible…[lire la suite] Source : Les changements apportés par la nouvelle loi RGPD sur les noms de domaines

RGPD : Des conseils pour les employeurs

RGPD : Des conseils pour les employeurs Depuis le 25 mai 2018, toute organisation qui traite des données personnelles doit se conformer au règlement UE 2016/679 en date du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD. Ce règlement vient rafraîchir l’ancienne directive 95/46/CE du 24 octobre 1995 qui reposait sur un système déclaratif préalable. Le RGPD supprime ce système déclaratif et crée une série de mesures que doivent respecter les chefs d’entreprises en leur qualité d’employeurs (mais pas seulement), dans la mesure où ils ont à traiter un certain nombre de données personnelles, voire très personnelles, concernant leurs salariés. Le champ d’application du RGPD Le RGPD vise les données collectées par l’employeur à l’occasion de l’embauche (curriculum vitae) et tout au long de l’exécution du contrat de travail (numéro de sécurité sociale, arrêts maladies, déclarations fiscales etc…). Ces données sont en effet susceptibles d’identifier la personne que ce soit directement (nom, prénom…) ou indirectement (adresse, téléphone, numéro de sécurité sociale…). D’autres données apportent des renseignements personnels sur les salariés comme l’orientation sexuelle, l’orientation politique ou religieuse, l’état de santé… Il est important de préciser que seules les données nécessaires à l’objectif poursuivi peuvent être collectées et que ces données ne peuvent être conservées que pour la durée nécessaire à l’exécution du contrat de travail ou au respect d’obligations légales, ou encore à l’accomplissement de l’objectif poursuivi lors de leur collecte. Le RGPD s’applique dans toute l’Union Européenne. Ainsi, dès lors qu’un seul salarié de l’entreprise réside dans un état européen, l’employeur, quelle que soit la nationalité de son entreprise, devra appliquer les règles édictées par ce règlement. Les 5 mesures phares du RGPD L’établissement d’un registre des traitements des données personnelles La désignation d’un délégué à la protection des données L’information des salariés Le droit des salariés La sécurisation des données [la suite] Source : L’impact du RGPD sur l’employeur

Linky, Gazpar : quelles données sont collectées et transmises par les compteurs communicants ?

Linky, Gazpar : quelles données sont collectées et transmises par les compteurs communicants ? Une nouvelle génération de compteurs d’électricité et de gaz est en cours de déploiement. Ils peuvent collecter des données plus détaillées sur votre consommation énergétique que les compteurs traditionnels. Quelles sont les mesures prévues pour garantir la maîtrise de vos données ? Linky est le compteur communicant d’électricité, installé par le gestionnaire du réseau de distribution Enedis (ex ERDF). Gazpar est le compteur communicant de gaz, installé par le gestionnaire du réseau de distribution GRDF. Ces compteurs communicants sont capables de relever à distance des données de consommation plus fines que les compteurs traditionnels (données de consommation quotidiennes, horaires, voire à la demi-heure pour l’électricité). Il s’agit des données de consommation globales du foyer, sans le détail des consommations de chaque appareil (Tv, four, appareils électroménagers). Parmi les apports régulièrement mis en avant par les opérateurs, ces technologies permettent : une relève du compteur à distance, sans l’intervention d’un technicien au domicile de l’abonné ; le suivi et la comparaison de ses consommations, notamment via un espace sécurisé sur le site du gestionnaire de réseau ; une facturation basée sur les consommations réelles et non plus sur des estimations. Les compteurs communicants sont-ils obligatoires ? La généralisation des compteurs résulte d’une obligation légale de modernisation des réseaux qui répond à des directives européennes. Vous n’avez donc pas le droit de vous opposer au changement du compteur d’énergie de votre logement. Pour en savoir plus, consulter le site energie.info Quelles nouvelles données ces compteurs transmettent-ils ? Les traitements effectués sur les données utilisées et produites par les compteurs communicants sont encadrés par le code de l’énergie. Certaines fonctionnalités de paramétrage sont offertes aux abonnés. Certaines données sont collectées par défaut. D’autres le sont après accord de l’abonné. Par défaut, les données de consommation journalières Le gestionnaire du réseau de distribution collecte par défaut les données de consommation journalières (consommation globale du foyer sur une journée) pour permettre à l’usager de consulter gratuitement l’historique de ses consommations, conformément au code de l’énergie. Les données de consommation fines La collecte de ces données de consommation fines (horaires et/ou à la demi-heure)  par le gestionnaire du réseau de distribution (Enedis ou GRDF) n’est pas automatique. Ainsi, le gestionnaire du réseau de distribution ne collecte pas par défaut les données de consommation détaillées de l’ensemble des foyers français. En effet, ces données de consommation fines (horaires et/ou à la demi-heure) ne sont collectées qu’avec l’accord de l’usager ou, de manière ponctuelle, lorsqu’elles sont nécessaires à l’accomplissement des missions de service public assignées au gestionnaire du réseau par le code de l’énergie (par exemple, pour l’entretien et la maintenance du réseau ou l’intégration de énergies renouvelables). La transmission des données de consommation détaillée (horaires et/ou à la demi-heure) à des sociétés tierces, notamment à des fins commerciales, (par exemple, des fournisseurs d’énergie) ne peut intervenir qu’avec l’accord de l’abonné…[lire la suite] Source : Linky, Gazpar : quelles données sont collectées et transmises par les compteurs communicants ? | CNIL

RGPD : Êtes-vous concerné par la mise en place d’un registre ? Téléchargez le modèle de registre officiel

RGPD :Êtes-vous concerné par la mise en place d’un registre ? Téléchargez le modèle de registre officiel La fin des déclarations à la CNIL pour la plupart des traitements (ceux qui ne concernent pas des données dites “sensibles”) a entraîné une nouvelle obligation pour les établissements, organismes, administrations, associations concernés : le principe d’accountability. Ce principe entraîne la mise en place d’un registre des traitements. Êtes vous concerné par la mise en place d’un registre ? Si oui, téléchargez un modèle de registre officiel.     Le principe d’accountability est la responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (= documenter la conformité). Tout au long du processus de traitement des données, le responsable du traitement devra non seulement garantir mais aussi être en mesure de démontrer qu’il respecte les droits des personnes au regard des finalités du traitement et des risques inhérents au traitement. Même si, selon l’article 30 du RGPD, seules les organisations comptant au moins 250 salariés doivent mettre en place un registre (document regroupant l’ensemble des traitements, leurs caractéristiques et leur suivi), puisque cette obligation de documentation de conformité (accountability) concerne l’ensemble des établissements professionnels, administratifs et associatifs, même si votre organisme est unipersonnel et ne compte pas plus de 249 salariés, je vous conseille fortement d’utiliser les modèles de registre de la CNIL afin de documenter les traitements réalises par votre établissement. Vous pouvez le modèle de registre officiel fourni par la  CNIL ci-dessous : Modèle de registre règlement européen (Excel) – Cnil   Vous devrez compléter ce registre en tenant compte des principes essentiels de la protection des données à caractère personnel selon le RGPD et en particulier son article 5, car les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence); b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités); c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique […]

RGPD : Le nombre de plaintes auprès de la Cnil explose

RGPD : Le nombre de plaintes auprès de la Cnil explose Depuis l’entrée en vigueur du Règlement européen sur la protection des données le 25 mai dernier, la Cnil a reçu près de 1 000 plaintes soit un doublement par rapport à l’année dernière. Les internautes n’ont pas attendu longtemps pour s’emparer du RGPD ! Moins de deux mois après l’entrée en vigueur du nouveau Règlement européen sur la protection des données, la Cnil a enregistré près de 1 000 plaintes soit un quasi doublement par rapport à la même période l’année dernière. “Manifestement il y a un pic sans doute dû à une sensibilisation plus grande” du public explique la porte-parole de la Cnil dans un entretien accordé à l’Agence France Presse. Il est encore trop tôt pour connaître précisément les motifs de ces plaintes mais il semblerait qu’elles concernent “principalement internet et le commerce”…[lire la suite] Source : RGPD : explosion des plaintes auprès de la Cnil | Archimag

Formation pour DPO externe mutualisé et Délégués à la protection des données externalisé

Depuis 2012, nous accompagnons des établissement dans leur mise en conformité avec la réglementation sur les Données à Caractère Personnel. Formation RGPD pour DPO externe mutualisé et Délégués à la protection des données externalisé Depuis le 25 mai 2018, le RGPD (Règlement européen sur la Protection des Données) est applicable. De nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes est renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.   Formation pour DPO externe ou Délégué à la ptotection des données externalisé : « J’accompagne mes clients dans leur mise en conformité avec le RGPD » : 3 jours + 1 jour dans votre établissement (C’est le moment ou jamais de vendre des services « RGPD ») Si votre objectif est avant tout de développer l’activité de mise en conformité avec le RGPD afin de vendre cette prestation auprès de vos clients, cette formation est faite sur-mesure pour vous en vous apportant l’ensemble des mesures et des cas qu’il est nécessaire de maîtriser pour que vos clients soient mis sur le chemin de la mise en conformité. Vous êtes une société d’Informatique, un cabinet d’avocat, un cabinet d’expertise comptable, un consultant et souhaitez accompagner vos clients dans leur mise en conformité avec le RGPD,  cette formation se passe sur 3 jours en groupe plus une journée supplémentaire en individuel pour superviser la mise en place du RGPD dans votre établissement ou chez un de vos clients (frais liés au déplacement dans cet établissement en sus). Suivez LA formation qui vous apportera la plus grande autonomie dans la mise en conformité de tout notre catalogue. Consultez les prochaines dates d’animation autour de chez vous ? Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il m’est ainsi aisé d’expliquer le coté pragmatique de la démarche de mise en conformité avec le RGPD. « Mon objectif est de vous transmettre mon savoir, vous dévoiler mes techniques mes outils car c’est bien ce que les personnes qui souhaitent s’inscrire à une formation RGPD attendent. »         Nos formations s’organisent en groupe. Le lieu de la formation sera facilement accessible à Métro à Paris, facilement accessible en tramway à Lyon et à proximité d’une gare TGV et disposera d’un parking à Marseille. Votre place ne sera réservée qu’à la réception de votre acompte. Si la formation était annulée (nombre de participants insuffisants ou en cas de force majeure), votre acompte sera remboursé en intégralité dans les 5 jours (les chèques seront encaissés à partir du jour de la formation). En cas d’annulation […]

Pendant les vacances continuez à protéger vos données personnelles

Pendant les vacances continuez à protéger vos données personnelles Le sutilisateurs sont de plus en plus concernés par le sort de leurs données. Potentiellement victimes, ils doivent prendre plus de temps pour consulter les pages de politique de confidentialité. Qu’en est-il de ces utilisateurs finaux ? Sont-ils acteurs de la sécurité en ligne de leurs données ? Il n’est pas inutile de rappeler certains points. Les dangers du Wi-fi public Lorsque vous rejoignez un réseau Wi-Fi public ouvert à votre café préféré, vous pouvez obtenir plus qu’un expresso. Vous pourriez potentiellement être victime d’un vol d’informations. En outre, un pirate peut avoir créé un faux réseau Wi-Fi qui semble réel (avec un nom similaire par exemple). L’utilisation d’un VPN est donc fortement recommandée.     Les dangers des applications Les applications sur votre smartphone peuvent vous espionner. Soyez très prudent lorsque vous sélectionnez des applications. Jetez un œil aux fonctionnalités dictées par le développeur. Maximisez les paramètres de confidentialité autant que possible.     Les dangers des médias sociaux Évitez les quiz Facebook qui peuvent relever toutes vos données (Cambridge Analytica). Minimisez les informations que vous partagez sur les réseaux sociaux. N’acceptez pas les demandes de personnes que vous ne connaissez pas. Tout le monde peut prétendre être quelqu’un d’autre en ligne – prenez des mesures supplémentaires pour assurer votre sécurité et celle de votre famille. En conclusion, n’hésitez pas à vous référer à des conseils, guides, vidéos de la part des professionnels du secteur et autres associations, sans oublier le site de la CNIL et ses guides qui fournissent de bons conseils et recommandations. [Lire l’article complet sur LaTrinune.fr] Source : Vous attendez tout du RGPD pour protéger vos données en ligne. Pas si vite !

Alerte Arnaque au RGPD : Faux fax, faux courriers… de « Mise en conformité RGPD »

Alerte Arnaque au RGPD : Faux fax, faux courriers… de « Mise en conformité RGPD » Quelques jours après l’entrée en application du règlement européen, la CNIL appelle une nouvelle fois à la vigilance et rappelle que des démarchages peu scrupuleux proposant une mise en conformité « clé en main » ne se font pas à son initiative ou avec son soutien. Voici quelques exemples de faux courriers ou de faux fax que certains utilisateurs ont publiquement partagé pour nous signaler les arnaques. Merci à eux. Vous avez un doute n’hésitez pas à contacter la CNIL au +33 (0)1 53 73 22 22. ou à nous les signaler directement par e-mail à signalements[a rob ase]lenetexpert.fr ou à nous contacter directement avec notre formulaire. Nous étudierons tous vos document.   FAUX COURRIER https://pbs.twimg.com/media/DhKqMScXcAACNho.jpg partagé sur Twitter par Elisabeth Marrache     FAUX FAX Christophe Binot/ LinkedIn – Un fax non signé invitant à une mise en conformité avec le RGPD. https://www.bfmtv.com/tech/rgpd-les-petites-entreprises-exposees-aux-escroqueries-1473333.html     Vous avez un doute n’hésitez pas à contacter la CNIL au +33 (0)1 53 73 22 22. ou à nous les signaler directement par e-mail à signalements[a rob ase]lenetexpert.fr ou à nous contacter directement avec notre formulaire. Nous étudierons tous vos document.

RGPD : protégez les données de vos collaborateurs

RGPD : Protégez les données de vos collaborateurs Protéger les données personnelles de vos collaborateurs sur leur lieu et pendant leur temps de travail c’est aussi un moyen de renforcer le lien de confiance nécessaire au bon fonctionnement de votre entreprise. Le développement de l’utilisation des nouvelles technologies au travail peut faire craindre surveillance systématique. La transparence sera alors le meilleur moyen de s’en prémunir. La gestion de vos collaborateurs De très nombreuses données personnelles relatives aux employés sont nécessaires pour la gestion de leur carrière au sein de votre entreprise. Par exemple, vous avez besoin de beaucoup d’informations pour assurer : la rémunération et les déclarations sociales obligatoires ; la tenue du registre unique du personnel ; la gestion administrative du personnel (exemple : type de permis de conduire détenu ou coordonnées de personnes à prévenir en cas d’urgence) ; l’organisation du travail (exemple : photographie facultative de l’employé pour les annuaires internes et organigrammes) ; l’action sociale prise en charge par l’employeur (exemple : les informations concernant les ayants-droit de l’employé).   Ne demandez à vos employés que les informations utiles pour accomplir leurs missions, et évitez de traiter des données dites « sensibles » (activité syndicale, opinions politiques, religion, origine ethnique, santé). Si vous devez en traiter, des obligations particulières sont applicables. Vous disposez forcément d’informations particulières (et donc à risque) sur vos employés (coordonnées bancaires pour la paie, numéro de sécurité sociale pour les déclarations sociales, etc.). Assurez-vous d’en garantir la confidentialité et la sécurité. Ainsi, seules les personnes habilitées doivent en prendre connaissance. Les actions sur les données effectuées par les personnes habilitées doivent être enregistrées (savoir qui se connecte à quoi, quand et pour faire quoi).   Informez vos collaborateurs à chaque fois que vous leur demandez des informations (exemple : mise à jour des données administratives, demande de formation, formulaire d’entretien d’évaluation, etc.). Enfin, souvenez-vous toujours que vos salariés peuvent vous demander une copie de toutes les données les concernant que vous détenez : copie d’un bulletin de paie, état d’un compte épargne-temps, mais aussi les enregistrements téléphoniques, relevés des badgeuses, ou encore des messages envoyés via le mail professionnel – y compris lorsqu’un employé n’est plus en poste ou est en litige avec vous. Le recrutement d’un nouveau collaborateur Lorsque vous recrutez un nouveau collaborateur, vous ne pouvez pas demander tout et n’importe quoi aux candidats. Seules les informations utiles au regard du poste à pourvoir peuvent être collectées. Exemple : des informations sur l’emploi occupé par les membres de sa famille n’ont pas de lien avec les compétences du candidat à occuper l’emploi proposé. Il est par ailleurs inutile, à ce stade, de demander aux candidats leur numéro de sécurité sociale.   Informez les candidats sur ce que vous allez faire des données qu’ils vous communiquent, qui va y avoir accès (service RH, un prestataire ?), combien de temps vous allez les conserver, comment ils peuvent exercer leurs droits sur leurs données. Les candidats doivent notamment pouvoir accéder à leurs données, les faire rectifier ou supprimer. Une fois le choix de votre nouvel employé effectué, supprimez les informations sur les candidats non retenus, sauf s’ils acceptent de rester dans votre « vivier » pour une durée limitée (2 ans). […]

RGPD : Modification de l’article 11 la loi Informatique et Libertés. Version en vigueur au 20 juin 2018

RGPD : Modification de l’article 11 la loi Informatique et Libertés. Version en vigueur au 20 juin 2018 Depuis la mise en application du RGPD (Règlement Général sur la Protection des Données) en 2018, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dite « Loi Informatique et Libertés » devait être modifiée. Le 20 juin 2018, sa nouvelle version, la « LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles » a été votée et portée au Journal Officiel le 21 juin 2018 et modifie de nombreux articles de la loi Informatique et Liberté initiale dont l’article 11 définissant les missions de la Commission nationale de l’informatique et des libertés.. Voici sa nouvelle version.   I. – La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes : 1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;     2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France. A ce titre : a) Elle donne un avis sur les traitements mentionnés aux articles 26 et 27 ; a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires […]

image_pdfimage_print

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance