Mot de passe robuste ou pas !

Si vous doutez encore de l’utilité d’un mot de passe robuste, consultez ce tableau, il vous indique combien de temps il faut aux hackers pour “casser” votre mot de passe.

Alors bien entendu vous pouvez leur faciliter la tâche en mettant directement le mot de passe sur un post-it et sur l’écran. Vous pouvez également leur proposer vous même un mot de passe, certaines entreprises donnent comme mot de passe la date de naissance et pas la possibilité de la changer. Si si et plus grave encore ce sont des laboratoires médicaux qui traitent de la données de santé par exemple.

Alors que faire ?

Hé bien déjà respecter les préconisations de l’ANSSI et de la CNIL, dans un deuxième temps vous pouvez aussi utiliser des coffres-fort de mot de passe qui vont gérer tout les mots de passe créés aléatoirement sans que vous ayez à vous en souvenir. Vous ne devrez vous souvenir que du mot de passe principal qui lui devra être robuste.

Regardez donc sur ce tableau le temps nécessaire pour le trouver,

57 jours pour trouver votre mot de passe qui respecte les consignes à savoir majuscule, minuscule, chiffre et caractère spécial dans le cas d’un mot de passe à 8 caractères

contre

928 années dans le cas d’un mot de passe à 10 caractères. L’évolution des combinaisons se fait de manière exponentielle et pas en multipliant par deux.

Vous pouvez encore trouver dans des entreprises et même des grandes entreprises l’utilisation par l’administrateur d’un couple identifiant mot de passe de ce type Admin, Admin. Au delà d’être risible, il est surtout dangereux de laisser ainsi la porte ouverte à tous les risques d’une cyber attaque.

N’oubliez pas que vous pouvez être mis en cause dans la violation des données de votre entreprise ou de votre entourage si vous ne mettez pas en place les moyens adaptés à  la sécurisations des données qui vous sont confiées.

Alors au final pas d’hésitation si vous en doutiez encore utilisez un mot de passe robuste !

 

Une entreprise sur 3 ne connait pas les implications liées au CLOUD Act.

Une récente étude démontre que les enjeux règlementaires liés au CLOUD Act ne sont pas maitrisés par les entreprises. C’est évidemment un gros problème quand elles confient l’hébergement de leurs données aux grands services Cloud.

Quels sont les impacts liés au RGPD quand vous ignorez ce qu’implique le CLOUD Act ?

Depuis peu, les entreprises pensent respecter le RGPD en exigeant des prestataires d’hébergement le stockage en Europe. Mais trop peu d’entreprises ont parfaitement intégré les risques en matière de confidentialité quand les services d’hébergements sont soumis au CLOUD Act.

Le CLOUD Act c’est quoi ?

L’acronyme Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, que nous pourrions traduire dans la langue de Voltaire par « Clarifier la loi sur l’utilisation légale des données à l’étranger ou la loi CLOUD » est contraignant pour  les prestataires d’hébergement Américains. Un simple mandat ou une assignation les obligent à transmettre les données stockées sur les serveurs. Que les serveurs soient aux USA ou sur d’autres continents, la justice américaine s’octroie les droits.

Donc toutes les données y compris les données à caractères personnels mais aussi brevets, savoir-faire, sont accessibles sur simple demande aux forces de l’ordre fédérales ou locales. Le CLOUD Act crée un cadre juridique qui permet de prendre connaissance du contenu de n’importe quelle donnée sur n’importe quel  serveur n’importe où. Aucune information du Responsable de traitement, pas plus que les juridictions étatiques des états hébergeant les données.

En ayant recours à une entreprise soumise au Cloud Act, les responsables de traitement abandonnent tacitement la confidentialité des données.

Et si les données sont chiffrées ?

Le chiffrement est naturellement un moyen d’assurer la sécurité des données. Néanmoins, le chiffrement de l’ensemble des données est rarement possible notamment car il ralentit considérablement l’exécution des tâches. Si vraiment la justice s’intéresse à vos données, elle se donnera les moyens de contourner le chiffrement, elle a déjà été en mesure de déchiffrer des données d’iphone.

Transparence auprès de vos clients.

Rappeler dans sa politique de protection des données qu’elle est la seule à pouvoir prendre connaissance de vos données est un mensonge. En utilisant l’un des prestataires Américains le responsable de traitement s’expose à une perte de confidentialité.

Le dire c’est bien… Le faire c’est mieux !

Si votre entreprise met réellement tous les moyens en œuvre concernant la protection des données, elle doit s’interdit de stocker les données de ses clients et les siennes chez un hébergeur soumis au CLOUD Act. C’est la moindre des choses en matière de transparence.

En d’autres mots, il est inutile de porter son attention sur localisation du stockage de données dans le Cloud si votre hébergeur est soumis au CLOUD Act. Cette condition n’est pas suffisante pour s’opposer à justice Américaine.

Bien que cette législation soit controversée, Le CLOUD Act a reçu l’appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. L’administration Trump a fait plier Microsoft en l’obligeant à transmettre les données d’une messagerie Outlook d’un trafiquant de drogue.

Quelles sont les solutions ?

Préférer des acteurs Français ou Européens. La France regorge d’hébergeurs qui sont largement à la hauteur de grandes entreprises Américaines ;
Le prix ne fait pas tout, lisez bien les contrats des différents prestataires ;
Imposez une clause qui interdit le recours à un prestataire soumis au CLOUD Act et au Patriot Act ;

Et pour mes sous-traitants ?

Il est préférable d’inclure une clause interdisant le recours aux prestataires soumis au CLOUD Act. Si c’est une clause particulièrement restrictive, elle est la preuve de votre engagement assurément un avantage concurrentiel.

 

RGPD-Experts est proche de vous, toutes nos formations présentielles sont suspendues jusqu’à nouvelles instructions.

Pour vous permettre de profiter au mieux de vos instants en télétravail, nous avons mis au point nos formations en mode distanciel.

Avec des groupes Maximum de 6, nous vous assurons les 35 heures de formation avec la même qualité de formation et les mêmes supports, cas pratiques et QCM.

Nos formateurs seront présents afin de vous présenter à distance les 5 journées et de répondre simultanément à vos questions sur le Chat de la formation.

Ces formations sont prévues dès lundi 23 Mars et continuerons une semaine sur deux ou plus si besoin.

Réservation par le formulaire de contact du site.

Portez vous bien et bon courage à toutes et à tous.

 

Nos formations pour futurs DPO préparant à la certification et pour les DPO qui veulent se perfectionner.

Toutes nos Formations passent en mode distanciel pour s’adapter à la situation et au télétravail.

Vous être en chômage partiel ? Profitez de la prise en charge du financement des formations par l’état en préparer votre certification de délégué à la protection des données à caractère personnel.

Des formations adaptées et une et TARIFICATION très attractive !

5 jours et 35 heures vous permettant de vous former sur la totalité du RGPD et de vous présenter à l’examen de certification pour la formation DPO.

D’autres formations sont également disponibles alors si vous voulez profiter de ce temps pour une:

  • La sensibilisation aux principes du RGPD et de la loi Informatique et Libertés;
  • Formation RGPD spécifique au métier des ressources humaines et au marketing;

Cas pratiques et QCM pour toutes les sessions sans oublier des exemples concrets.

Toutes nos formations sont tutorées et animées par des experts du métier.

Alors rien de plus simple qu’un appel au  09 72 22 16 18 (appel gratuit) ou un une demande avec notre formulaire.

 

 

Mentions légales

Les mentions légales et la conformité des sites sont encore loin d’être à jour.

Nous arrivons aux deux ans de l’applicabilité du RGP et 4 ans de l’entrée en vigueur du règlement.

Nous trouvons toujours des mentions légales sur des sites traitant des données sensibles identique à celles-ci ! pour un organisme qui a désigné un DPO !

Traitement automatisé d’informations nominatives

Ce site ne collecte sur les visiteurs du site aucune autre information nominative ou personnelle que celles qui lui sont ouvertement et volontairement fournies en particulier par l’intermédiaire des adresses électroniques de ses correspondants.

Nous vous rappelons que vous disposez d’un droit d’accès, de modification, de rectification et de suppression des données vous concernant (article 34 de la loi « Informatique et Libertés » du 6 janvier 1978). Pour exercer ce droit, contactez-nous.

Pour reprendre et paraphraser le rédacteur de ces mentions légales, nous vous rappelons que vous devez mettre vos sites en conformité avec la règlementation ! et que ces mentions légales ne sont plus valables depuis 2004 !!!!!

Conformité

Nous trouvons et lisons actuellement un grand nombre d’article de journaliste dans des journaux plus ou moins spécialisés nous informant que selon la dernière étude, près de la moitié des entreprises se “pensent” ou “sont” conformes au RGPD.
A la lecture de ces mentions reprises en l’occurence sur un site (que je ne nommerai pas), mais que nous retrouvons sur de nombreux sites, il est facile de se poser de véritables questions.

Notre quotidien de consultant nous montre que bon nombre desdites sociétés “conformes” n’ont en réalité que survolé le sujet ou au mieux regardé la conformité informatique avec leur DSI.

Faire appel à des consultants SERIEUX doit devenir un réflexe. La conformité est une pratique longue et sans fin qui demande une vigilance constante et une veille permanente.

Faites en sorte que votre conformité devienne un fabuleux atout concurrentiel et non une contrainte.

Nos mentions légales se trouvent ici https://www.rgpd-experts.com/mentions-legales-du-site/

N’hésitez pas et prenez le temps d’une formation sur le sujet, nous sommes à votre disposition pour vous aider.

La Dashcam,

Obtenez une remise de 10% sur votre assurance chez certains assureurs ! Prenez également un risque conséquent en terme de conformité.

Vos risques ?

  • Le non respect de l’article 9 du code civil et le droit au respect de la vie privé
  • Le non respect du RGPD collecte illégale (quel fondement juridique évoquer ?)
  • Le non respect des codes de la sécurité intérieure (Demande d’autorisation ?)

Les conséquences amendes et prison !

Pour vous et pour votre assureur également.

Alors avant de souscrire une sérieuse vérification s’impose et je ne serais pas étonné que la CNIL intervienne sur le sujet. Devant les doutes que nous soulevons, il est très important de ne pas succomber à ce genre de publicité (mensongère) puisque les données ne pourraient être exploitées.

Pour avoir une vision plus précise des risques liés à ces dispositifs, nous vous conseillons de prendre connaissance des éclairages de Maitre Charlotte Galichet, Avocat

https://www.village-justice.com/articles/dashcam-cameras-embarquees-reglementation-sur-protection-des-donnees,33195.html

Droit à l’oubli les premiers retours du conseil d’état

LE conseil d’Etat Français vient de fixer les conditions de déréférencement sur internet prévu par le RGPD.

Ces informations vont commencer à permettre de mieux comprendre comment les gérer, en voici la teneur principale.

Extrait du texte à retrouver sur le site du conseil d’Etat en suivant ce lien

https://www.conseil-etat.fr/actualites/actualites/droit-a-l-oubli-le-conseil-d-etat-donne-le-mode-d-emploi

Les grands principes de ce cadre sont :

  • Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue.
  • Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit.
  • Le droit à l’oubli n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public.
  • L’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles.

Trois catégories de données personnelles sont concernées :

  • des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …),
  • des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale),
  • et des données touchant à la vie privée sans être sensibles.

La protection dont bénéficient les deux premières catégories est la plus élevée : il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public. Pour la troisième catégorie, il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause.

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles.

Les 13 décisions du 6 décembre 2019

13 particuliers ont saisi Google de demandes de déréférencement de liens vers des pages web contenant des données à caractère personnel les concernant. A la suite du refus de Google, ils ont saisi la CNIL d’une plainte afin qu’elle mette Google en demeure de procéder à ces déréférencements. La CNIL ayant rejeté leurs plaintes, ces personnes ont directement saisi le Conseil d’État afin qu’il annule ces décisions de refus.
Sur ces 13 recours, le Conseil d’État a été amené à statuer sur 18 cas de figure différents : il a constaté 8 non-lieu à statuer, rejeté 5 demandes et prononcé 5 annulations.
Dans un certain nombre d’affaires, Google avait pris les devants, en procédant aux déréférencements demandés. Dans d’autres cas, le contenu des pages web avait été modifié depuis l’introduction des requêtes. Le Conseil d’État a alors constaté le non-lieu à statuer, les requérants ayant déjà obtenu satisfaction.

 

Fuite de données chez AccorHôtels

Le groupe hôtelier Accor victime d’une fuite de données par une de ses filiales, quelles conséquences pour le groupe ?

https://www.usine-digitale.fr/article/fuite-massive-de-donnees-a-accorhotels-que-risque-l-entreprise.N906279

 

La vidéosurveillance autorisée pour filmer secrètement ses salariés, attention, il faut bien lire l’ensemble du communiqué de presse et en tirer les éléments importants.

il s’agit d’une situation particulière

En 2009, les requérantes occupaient toutes un emploi de caissière ou d’assistante de vente chez M., une chaîne de supermarchés. Ayant constaté des disparités entre les stocks du magasin et ses ventes, ainsi que des pertes pendant plus de cinq mois, le directeur du supermarché installa des caméras de vidéosurveillance visibles ou cachées au mois de juin cette année-là.

La notion de durée est importante, il n’est pas autorisée de laisser les caméras en permanence sur un lieu sans en informer les personnes et respecter les règles existantes. Le nombre de personne pouvant accéder aux enregistrements est également très limité.

Relevant par ailleurs que les requérantes travaillaient dans une zone ouverte au public, la Cour opère une distinction entre le degré d’intimité qu’un employé peut attendre selon le lieu …..

La surveillance n’ayant duré que dix jours et les enregistrements n’ayant été vus que par un nombre réduit de personnes, la Cour considère que l’intrusion dans la vie privée des requérantes ne revêtait pas un degré de gravité élevé.

Il n’y a pas eu non plus de détournement de finalité et d’expliquer qu’étant donné l’ampleur des personnes impliquées il n’y avait pas d’autres mesures permettant d’atteindre l’objectif

De plus, si les conséquences de la surveillance pour les requérantes ont été importantes puisque celles-ci ont été licenciées, les enregistrements n’ont pas été utilisés par l’employeur à d’autres fins que celle de trouver les responsables des pertes de produits constatées et aucune mesure n’aurait permis d’atteindre le but légitime poursuivi.

La cour a également estimé que la mesure n’avait pas été excessive, se limitant à filmer les caisses

Ils se sont également penchés sur l’ampleur de la mesure, constatant qu’elle se limitait aux caisses et n’avait pas excédé ce qui était nécessaire.

Il n’est donc toujours pas autorisé à filmer tout et n’importe quoi et encore moins à utiliser des caméras zoomant à tour de bras d’autres compléments sont présents dans le communiqué de presse de la cour européenne des droits de l’homme vous trouverez le communiqué de presse sur ce lien à télécharger au format pdf.

En conclusion

  1. Oui la vidéosurveillance pour limiter les vols a été validée par la CEDH dans ce cas précis !
  2. Non la vidéosurveillance n’est pas autorisée sans information préalable et de manière systématique, voir notre article https://www.rgpd-experts.com/le-risque-cnil-touche-toutes-les-entreprises-meme-les-tpe/

La Garantie de passif dans le cadre des fusions acquisitions et du RGPD

Ce principe de garantie de passif est devenu habituel, régulièrement évoqué et pris en compte dans le cadre d’une fusion acquisition.

L’arrivée du RGPD (Règlement Général sur la Protection des Données) va faire évoluer la donne.

Aujourd’hui, les exigences de « compliance » au RGPD commencent à se manifester lors des opérations de rachat ou de vente et doivent être prises en compte par tous les acteurs concernés : investisseurs, actionnaires et dirigeants soucieux de préserver et valoriser les données personnelles traitées par les organismes.

En termes de valorisation de la cible, différents facteurs liés à la conformité sont susceptibles d’impacter le prix que les acheteurs sont en définitive prêts à payer, voire d’influencer leur décision d’investir ou non.

Si la conformité au RGPD n’est pas prise en compte en premier lieu, la non-conformité au RGPD représente aujourd’hui un risque important pour les entreprises et leurs dirigeants. La notion de responsabilisation, selon laquelle le « responsable du traitement » doit être en mesure, à tout moment, de démontrer sa conformité aux exigences du règlement peut impacter lourdement la décision. En cas de violation de celles-ci, ce « responsable » peut se trouver exposé à des sanctions administratives très lourdes, ainsi qu’à des actions civiles et pénales les dernières sanctions en France 50 millions pour Google, 400 000 euros pour une société n’ayant pas respecté les principes de sécurisation de son système d’information mais également à l’étranger en Angleterre British Airways sous le coup d’une amende de plus de 200 millions.

Le patrimoine immatériel devient également une source de valorisation de l’entreprise et doit être pris en compte. Le cas Bout-Chard et la décision de la cour de cassation dans sa décision en 2013, nous démontre l’importance de la constitution du registre des traitements.

Les questions à se poser avant d’acheter, d’utiliser les données acquises par l’intermédiaire du fichier du vendeur sont de l’ordre :

·      Conformité de la collecte

·      Sécurisation de ces données

·      Stockage et durée de conservation

·      Transfert Hors UE (USA par exemple et bientôt GB)

·      Réalisation des EIVP

Il sera également nécessaire d’assurer la transparence auprès des personnes concernées, clients mais également salariés et toutes personnes concernées par les traitements de données.