La plateforme de prise de rendez-vous, recommandée par le gouvernement français, a reconnu utiliser des cookies transmettant notamment les mots-clés recherchés des utilisateurs allemands pour mesurer l’efficacité d’une campagne marketing. Elle assure qu’aucune donnée de santé n’a été concernée.

La société Doctolib, société de droit français, est soumise au RGPD comme toutes entreprises européennes. Elle se doit de respecter le Règlement Européen des utilisateurs dont elle traite les données.

Doctolib nous dit ne pas avoir transmis de données de santé à Facebook et Oubrain. Le paragraphe relevé dans l’article des échos nous dit l’inverse.

« Ces informations, transmises sous forme d’URL, contenaient notamment la retranscription des recherches effectuées par les utilisateurs allemands sur la plateforme. Pouvaient apparaître la spécialité médicale recherchée (neurologue, psychologue, etc.), mais aussi l’adresse IP – le numéro d’identification unique – de l’appareil utilisé. »

On y retrouve les détails suivants : spécialité médicale et adresse IP. Le croisement de ces deux données permet d’en déduire pour une personne une pathologie potentielle en fonction de la spécialité du praticien. (Une adresse IP est une donnée à caractère personne)

La direction de Doctolib nous fait remarquer :´

« Il s’agissait de cookies génériques ne collectant que des informations standards […] et en aucun cas des données de santé », précise-t-elle, les mots-clés recherchés par les utilisateurs n’étant pas considérés légalement comme des données de santé. »

Ce qui est en contradiction avec les informations venues d’Allemagne.  (Cf : premier paragraphe). Contrairement à la communication de Doctolib. Malheureusement Doctolib, semble ne pas avoir bien intégré que la définition d’une donnée de santé est très large et que la réalité du terrain démontre que les données transmises par les cookies sont belles et bien des données sensibles au titre de l’article 9 du RGPD.

Concernant le dépôt de cookies, là encore la plateforme précise dans son communiqué :

«Avoir agi en totale conformité avec le RGPD », puisque l’accord était demandé à l’utilisateur, mais reconnaît qu’il est complexe pour les utilisateurs de comprendre clairement l’impact de leur consentement à un cookie. Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Pourquoi avoir décidé de stopper suite à cette diffusion en Allemagne et ne pas avoir mis de cookie en France ?

Doctolib assure « Nous n’utilisons aucun cookie externe sur note site en Français comme sur nos applications mobiles et n’en utiliserons jamais ».

Sans doute par ce qu’en France les exigences de la CNIL en matière de cookie font que cela serait bel et bien jugé comme non conforme. Sans doute est-il bon de rappeler à Doctolib qu’ en tant qu’Autorité chef de file, suite à des plaintes déposées en Allemagne, c’est la CNIL qui sera chargée d’effectuer les contrôles nécessaires.

Au final Doctolib a décidé de ne plus déposer de cookie en Allemagne, pour nos beaux yeux sans doute ?

« Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Nous rappelons également à Doctolib que c’est au responsable de traitement de prouver que toutes les mesures techniques et organisationnelles ont été mises en œuvre afin de sécuriser et transférer les données. Le simple fait de dire s’être assuré n’est pas en soi une preuve de la réelle destruction des données. Mais plus grave encore, transmettre des données santé ou pas à Facebook n’est pas conforme depuis l’arrêt Shrems 2 du 16 juillet 2020, quand bien même ces données seraient stockées en Europe. La loi FISA américaine permettant aux agences fédérales américaines (donc à l’État américain) de réclamer toutes les données qu’ils veulent et en exigeant de la part des sociétés le silence absolu sur la demande faite.

Nous terminerons en rappelant que les données de prise de RDV de vaccination Covid 19 sont traitées en partie par Doctolib. Je vous laisse évaluer le bien-fondé de passer par une société qui réalise son chiffre d’affaires avec vos données y compris de santé.

Votez pour moi qu’il disait, votez pour moi !

 

Votre entourage ou vous-même avez peut-être reçu ce type de SMS ou de message, et vous êtes loin d’être les seuls.

Un seul objectif, être élu et ils utilisent tous les moyens possibles sans toujours (rarement) se poser la question de la légalité et de la conformité, un comble pour un élu censé respecter les lois votées au parlement et au Sénat !

 

Vous en revanche, vous vous posez les questions :

 

  • A-t-il le droit
  • D’où proviennent les informations (téléphone, mail, …) qu’il a sur moi
  • Que puis-je faire

 

Nous allons tenter de vous répondre sur ces 3 questions,

 

En réponse à la première question, si celle-ci est oui, il a le droit, en revanche, il ne peut pas le faire n’importe comment et, la CNIL, nous rappelle les éléments suivants dans le cadre de la communication politique.

 

  • Les fichiers qui peuvent être utilisés À des fins de communication politique doivent respecter les règles de la protection des données (notamment le respect de la ou les finalité(s) du fichier concerné, la pertinence des informations collectées, une durée de conservation limitée des données et la confidentialité et la sécurité de celles-ci).

Bien entendu, ces fichiers, ne peuvent contenir votre orientation politique sans que vous en ayez été informés et avez donné votre accord à la collecte de cette information classée “sensible” au sens du RGPD.

 

Il doit également s’assurer de la conformité de la collecte des données qui lui ont été vendues ou fournies par son prestataire (si tel est le cas) et plus particulièrement le fait que ces données ont été collectées avec comme finalité ou sous-finalité l’utilisation à des fins de communications politiques et que vous avez été informés préalablement de cette possible destination de vos données et que vous avez consenti à l’utilisation des données pour ces finalités.

 

À la deuxième question, à savoir la provenance des données vous concernant, là encore la CNIL précise :

  • Les candidats sont tenus d’informer correctement les destinataires de leurs messages de prospection politique. Ainsi, l’origine des données utilisées pour démarcher un électeur doit notamment lui être précisée lorsque les données ne sont pas collectées directement auprès de lui.
  • Et plus particulièrement, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (les listes électorales par exemple).

Cette information devra intervenir dans un délai raisonnable après avoir obtenu les données personnelles et au plus tard au moment de la première communication à la personne concernée. Si le responsable de traitement (un parti politique par exemple) envisage de communiquer les informations à un autre destinataire (les candidats à des primaires internes au parti par exemple), il doit alors informer les personnes concernées au plus tard lorsque les données sont transmises au destinataire pour la première fois.

Enfin en ce qui concerne la troisième question, l’autorité de contrôle, la CNIL, précise :

 

  • Quel que soit le moyen de communication utilisé, les personnes contactées doivent pouvoir exercer leurs droits (notamment d’opposition) aussi simplement que possible : ces demandes doivent être traitées dans les meilleurs délais, et au plus tard sous un mois pour le droit d’accès.

Il ne faut donc pas hésiter, bien au contraire, à vous manifester auprès du candidat pour exercer à minima, en vertu de l’article 15 du RGPD, votre droit d’accès, mais également vos autres droits.

 

Il vous faut pour cela, contacter le candidat par n’importe quel moyen, courrier, mail, téléphone et demander conformément à cet article 15, communication de l’ensemble des informations en sa possession, avec copies éventuelles des documents que vous auriez rempli, la preuve que vous avez été informés du fait que ces données pourraient être utilisées à des fins de communication politiques, les coordonnées de l’origine des données, la base légale utilisée dans le cadre de cette collecte et votre consentement à l’utilisation de vos données dans ce cadre si la base légale évoquée est le consentement. Si une autre base légale est évoquée notamment l’intérêt légitime charge alors à lui de prouver cet intérêt.

 

N’hésitez pas non plus à exercer votre droit d’opposition à l’utilisation de vos données et qu’il lui est demandé également de transférer cette demande également à son fournisseur mais également au parti qu’il représente si les informations sont communes à plusieurs candidats du parti.

 

Pensez si besoin, à utiliser le lien de la CNIL pour signaler un manquement à leurs obligations légales en matière de respect des droits https://demarche.services.cnil.fr/signalement-elections/

 

Et enfin si rien de tout cela n’aboutit ou cela ne correspond pas à vos demandes, n’hésitez pas à saisir la CNIL et à déposer plainte à la CNIL. Certes une plainte ne suffira sans doute pas à diligenter un contrôle mais force reste aux nombres et dites-vous que vous n’êtes certainement pas le seul.

 

Pour terminer, et cela est valable pour toutes les collectes de vos données

 

  • Lisez ce que vous allez signer et notamment les clauses particulières, même si elles sont écrites en tout petit (il y a certainement une raison pour écrire en tout petit).
  • Ne consentez qu’en toute connaissance de cause les demandes faites de collecte de données que ce soit par internet ou sur un document.
  • Fuyez comme la peste tous documents sans la présence des mentions légales obligatoires et tous formulaires internet similaires.
  • Vérifiez les mentions légales sur les sites internet ainsi que la politique de confidentialité si les mentions légales ne contiennent pas cette politique. Vous devez au moins retrouver les finalités des collectes, les durées de conservation, les droits que vous avez sur les données que vous confiez, les bases légales utilisées par traitement.
  • Si vous trouvez sur ces mentions des informations comme celles-ci
    • Allusion aux articles 34 en ce qui concerne les droits qui ne sont plus en vigueur depuis 2004 !!!
    • Allusion aux articles 38 à 40 toujours en ce qui concerne les droits qui ne sont plus en vigueur depuis 2018.
    • L’information disant que la liste, le fichier, le site a été déclaré à la CNIL, ces demandes ont disparu depuis 2004.
    • Que vous ayez un droit de suppression (celui-ci n’a jamais existé)
    • Que ce site ne collecte aucune donnée (ha bon et l’adresse IP alors) et que donc il n’a pas à être déclaré à la CNIL (cf. point au-dessus).

 

Eh bien fuyez celui-ci et ne lui communiquez aucune information réelle. Cela montre au mieux que les mentions ne sont jamais relues et modifiées en conséquence, et donc que le responsable de l’organisme se fout du sort réservé à vos données. Au pire que malgré tout ce qui sera ensuite dit sur sa conformité au regard du RGPD risque de n’être que de l’apparence. Ceci est encore plus vrai si un DPO est mentionné dans les mentions, politique ou autres, vous pouvez alors vous poser la question de savoir s’il vient juste d’arriver (OK il lui faut un peu de temps pour modifier ou faire modifier toutes ces erreurs), s’il s’agit juste d’un nom pour répondre à une obligation légale ou encore pire, s’il connaît vraiment le RGPD ou s’il le pratique réellement.

 

Deux liens supplémentaires pour vous aider dans cette situation de sollicitation non demandée.

 

https://www.cnil.fr/fr/elections-departementales-regionales-regles-plan-action

 

https://www.cnil.fr/fr/elections-municipales-la-cnil-rappelle-les-regles-respecter-avant-le-second-tour

 

La Cnil déconseille certaines applications comme Teams et Zoom pour les cours en visio

Invitée par les établissements d’enseignement supérieurs à se prononcer sur la sécurité des outils de visioconférence américains utilisés pour les cours, la Cnil a préconisé des « évolutions dans l’emploi de ces outils “gratuits”». La commission a mis en avant la nécessité de se protéger contre le transfert non souhaité de données sensibles vers les États-Unis.

La Cnil a recommandé la plus grande vigilance aux enseignants et élèves utilisant des outils de visioconférence dont le siège est aux Etats-Unis (les lois d’extraterritorialité telles que FISA ou le Cloud Act ne permettent pas non plus de stocker les données en Europe, de ce fait le critère retenu est bien le siège de la société). Ce qui est le cas de Zoom (comme expliqué dans sud-ouest) ou Teams, très populaires depuis la mise en place des confinements et du télétravail.

Dans son avis publié dimanche 27 mai, la commission a évoqué un « risque d’accès illégal aux données » personnelles des utilisateurs. Cette situation fait suite à l’invalidation le 16 juillet 2020 par la Cour de justice de l’Union européenne (UE) du « privacy shield ». Il s’agit du dispositif encadrant les échanges de données entre les États-Unis et l’UE.

La Conférence des présidents d’université et la Conférence des grandes écoles avaient saisi la Cnil au sujet de la sécurité des « suites collaboratives pour l’éducation ». L’autorité administrative a indiqué avoir eu connaissance de « transferts de données personnelles vers les États-Unis » via les outils de visioconférence. Elle s’est dit d’autant plus préoccupée que les informations échangées sont pour certaines « sensibles » et « particulières ».

Cette situation ne touche malheureusement pas seulement les universités et les grandes écoles, les entreprises sont également touchées par ces risques, de même que l’utilisation des cookies basés aux États-Unis comme Google Analytics à qui il faut préférer un outil tel que Matomo ou un autre.

Il existe un grand nombre de solution alternative aux applications Etats-Uniennes, ce sujet fera l’objet d’une autre publication spécifique le temps de regrouper suffisamment d’information.

Le Comité de Protection des données vient de publier la version adoptée de ses lignes directrices en matière de ciblage des utilisateurs de réseaux sociaux.

RGPD-Experts vous propose d’en prendre connaissance dans la langue de Molière.

Edpb Lignes Directrices 082020 Ciblage des utilisateurs des réseaux sociaux fr

Merci à nos clients participant à nos formations RGPD / DPO

Toute l’équipe de RGPD-Experts est heureuse de vous informer de la qualification par Bureau Veritas Certification de ces formations RGPD / DPO.

Bureau Veritas Certification reconnait par cette qualification, le travail accompli par notre équipe, la qualité de nos supports et de nos animations sur site ou à distance.

Former des futurs DPO oui, mais bien les former c’est mieux.

Notre exigence envers nous mêmes concernant la qualité de nos formations est récompensée par Bureau Veritas Certification, ce sont les apprenants qui bénéficient déjà de cette qualité et exigence. Le choix de faire appel à cette certification est motivé par la qualité et le sérieux dans le suivi annuel par audit de notre formation par les équipes de Bureau Veritas Certification.

Pour devenir un bon DPO, les sensibilisations délivrées par les mooc ne suffisent pas, il est nécessaire de pouvoir appliquer les textes à l’activité des entreprises. Nos formations sont constituées de théorie et sont complétées par des cas pratiques, des mises en situation des articles et sont vérifiées par des QCM eux aussi validés par Bureau Veritas Certification. Ces formations sont assurées par des formateurs eux-même qualifiés par Bureau Veritas, gage de leurs compétences tant en matière de connaissance du RGPD mais également de leur capacité à former et à diffuser ce savoir.

Notre engagement envers nos clients ne s’arrête pas là, vous bénéficiez en vous inscrivant à notre formation DPO d’un tarif privilégié pour la certification.

Après votre formation, vous bénéficiez automatiquement et sans surcoût, d’un accès à notre FAQ métier pendant 2 mois. Cette plateforme vous permet de trouver les réponses à vos questions, mais aussi, de rentrer en contact avec votre tuteur de formation.

Cette qualification apporte également à votre formation une reconnaissance internationale quand à sa qualité.

En suivant cette formation, vous allez bénéficier du savoir, du savoir-faire et du savoir-être des formateurs le tout validé par un organisme certificateur reconnu par la CNIL et connu à l’international.

Notre équipe prépare également d’autres qualification sur lesquelles nous communiqueront plus tard.

En attendant vous pouvez retrouver nos dates des formations RGPD / DPO ici

Merci à tous nos apprenants pour leur confiance et leurs retours .

 

 

La CNIL sanctionne la société SPARTOO pour non respect du RGPD

La CNIL, autorité de contrôle, a dans le cadre de la coopération avec les autorités de contrôle européennes, sanctionné la société SPARTOO. Les manquements sont nombreux. Au quotidien, nous n’avons de cesse de rappeler les fondamentaux du RGPD.

SPARTOO, n’a visiblement pas encore bien intégré les règles et est sanctionnée sur les points suivants:

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

  1. Collecte de tous les enregistrements audio lors des conversations téléphoniques
  2. Conservation des informations bancaires lors desdits enregistrements (finalité formation !)
  3. Collecte de la carte de santé en Italie

Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

  1. Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).
  2. Conservation des données prospects 5 ans alors que la société ne relance plus les prospects après la deuxième année sans réponse de leurs parts. La CNIL a donc estimé cette durée excessive.
  3. En rappel la seule ouverture d’un courriel de prospection est insuffisant pour pour démontrer son intérêt pour un service ou un produit de la société.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

  1. l’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.
  2. Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

  1. S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.
  2. Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Au Final la formation restreinte de la CNIL a prononcé une amende de 250 000 euros avec publication de ladite sanction complété par une mise en demeure de mise en conformité de ses traitements d’ici 3 mois.

RGPD-Experts est là pour vous accompagner dans votre mise en conformité au RGPD, nos formations vous permettrons également de mieux comprendre vos obligations au regard de la règlementation. Une étape primordiale dans votre mise en conformité. Nous vous proposons également de simuler un contrôle de l’autorité pour tester votre structure.

 

 

Mot de passe robuste ou pas !

Si vous doutez encore de l’utilité d’un mot de passe robuste, consultez ce tableau, il vous indique combien de temps il faut aux hackers pour “casser” votre mot de passe.

Alors bien entendu vous pouvez leur faciliter la tâche en mettant directement le mot de passe sur un post-it et sur l’écran. Vous pouvez également leur proposer vous même un mot de passe, certaines entreprises donnent comme mot de passe la date de naissance et pas la possibilité de la changer. Si si et plus grave encore ce sont des laboratoires médicaux qui traitent de la données de santé par exemple.

Alors que faire ?

Hé bien déjà respecter les préconisations de l’ANSSI et de la CNIL, dans un deuxième temps vous pouvez aussi utiliser des coffres-fort de mot de passe qui vont gérer tout les mots de passe créés aléatoirement sans que vous ayez à vous en souvenir. Vous ne devrez vous souvenir que du mot de passe principal qui lui devra être robuste.

Regardez donc sur ce tableau le temps nécessaire pour le trouver,

57 jours pour trouver votre mot de passe qui respecte les consignes à savoir majuscule, minuscule, chiffre et caractère spécial dans le cas d’un mot de passe à 8 caractères

contre

928 années dans le cas d’un mot de passe à 10 caractères. L’évolution des combinaisons se fait de manière exponentielle et pas en multipliant par deux.

Vous pouvez encore trouver dans des entreprises et même des grandes entreprises l’utilisation par l’administrateur d’un couple identifiant mot de passe de ce type Admin, Admin. Au delà d’être risible, il est surtout dangereux de laisser ainsi la porte ouverte à tous les risques d’une cyber attaque.

N’oubliez pas que vous pouvez être mis en cause dans la violation des données de votre entreprise ou de votre entourage si vous ne mettez pas en place les moyens adaptés à  la sécurisations des données qui vous sont confiées.

Alors au final pas d’hésitation si vous en doutiez encore utilisez un mot de passe robuste !