La Cnil déconseille certaines applications comme Teams et Zoom pour les cours en visio

Invitée par les établissements d’enseignement supérieurs à se prononcer sur la sécurité des outils de visioconférence américains utilisés pour les cours, la Cnil a préconisé des « évolutions dans l’emploi de ces outils “gratuits”». La commission a mis en avant la nécessité de se protéger contre le transfert non souhaité de données sensibles vers les États-Unis.

La Cnil a recommandé la plus grande vigilance aux enseignants et élèves utilisant des outils de visioconférence dont le siège est aux Etats-Unis (les lois d’extraterritorialité telles que FISA ou le Cloud Act ne permettent pas non plus de stocker les données en Europe, de ce fait le critère retenu est bien le siège de la société). Ce qui est le cas de Zoom (comme expliqué dans sud-ouest) ou Teams, très populaires depuis la mise en place des confinements et du télétravail.

Dans son avis publié dimanche 27 mai, la commission a évoqué un « risque d’accès illégal aux données » personnelles des utilisateurs. Cette situation fait suite à l’invalidation le 16 juillet 2020 par la Cour de justice de l’Union européenne (UE) du « privacy shield ». Il s’agit du dispositif encadrant les échanges de données entre les États-Unis et l’UE.

La Conférence des présidents d’université et la Conférence des grandes écoles avaient saisi la Cnil au sujet de la sécurité des « suites collaboratives pour l’éducation ». L’autorité administrative a indiqué avoir eu connaissance de « transferts de données personnelles vers les États-Unis » via les outils de visioconférence. Elle s’est dit d’autant plus préoccupée que les informations échangées sont pour certaines « sensibles » et « particulières ».

Cette situation ne touche malheureusement pas seulement les universités et les grandes écoles, les entreprises sont également touchées par ces risques, de même que l’utilisation des cookies basés aux États-Unis comme Google Analytics à qui il faut préférer un outil tel que Matomo ou un autre.

Il existe un grand nombre de solution alternative aux applications Etats-Uniennes, ce sujet fera l’objet d’une autre publication spécifique le temps de regrouper suffisamment d’information.

Le Comité de Protection des données vient de publier la version adoptée de ses lignes directrices en matière de ciblage des utilisateurs de réseaux sociaux.

RGPD-Experts vous propose d’en prendre connaissance dans la langue de Molière.

Edpb Lignes Directrices 082020 Ciblage des utilisateurs des réseaux sociaux fr

Merci à nos clients participant à nos formations RGPD / DPO

Toute l’équipe de RGPD-Experts est heureuse de vous informer de la qualification par Bureau Veritas Certification de ces formations RGPD / DPO.

Bureau Veritas Certification reconnait par cette qualification, le travail accompli par notre équipe, la qualité de nos supports et de nos animations sur site ou à distance.

Former des futurs DPO oui, mais bien les former c’est mieux.

Notre exigence envers nous mêmes concernant la qualité de nos formations est récompensée par Bureau Veritas Certification, ce sont les apprenants qui bénéficient déjà de cette qualité et exigence. Le choix de faire appel à cette certification est motivé par la qualité et le sérieux dans le suivi annuel par audit de notre formation par les équipes de Bureau Veritas Certification.

Pour devenir un bon DPO, les sensibilisations délivrées par les mooc ne suffisent pas, il est nécessaire de pouvoir appliquer les textes à l’activité des entreprises. Nos formations sont constituées de théorie et sont complétées par des cas pratiques, des mises en situation des articles et sont vérifiées par des QCM eux aussi validés par Bureau Veritas Certification. Ces formations sont assurées par des formateurs eux-même qualifiés par Bureau Veritas, gage de leurs compétences tant en matière de connaissance du RGPD mais également de leur capacité à former et à diffuser ce savoir.

Notre engagement envers nos clients ne s’arrête pas là, vous bénéficiez en vous inscrivant à notre formation DPO d’un tarif privilégié pour la certification.

Après votre formation, vous bénéficiez automatiquement et sans surcoût, d’un accès à notre FAQ métier pendant 2 mois. Cette plateforme vous permet de trouver les réponses à vos questions, mais aussi, de rentrer en contact avec votre tuteur de formation.

Cette qualification apporte également à votre formation une reconnaissance internationale quand à sa qualité.

En suivant cette formation, vous allez bénéficier du savoir, du savoir-faire et du savoir-être des formateurs le tout validé par un organisme certificateur reconnu par la CNIL et connu à l’international.

Notre équipe prépare également d’autres qualification sur lesquelles nous communiqueront plus tard.

En attendant vous pouvez retrouver nos dates des formations RGPD / DPO ici

Merci à tous nos apprenants pour leur confiance et leurs retours .

 

 

La CNIL sanctionne la société SPARTOO pour non respect du RGPD

La CNIL, autorité de contrôle, a dans le cadre de la coopération avec les autorités de contrôle européennes, sanctionné la société SPARTOO. Les manquements sont nombreux. Au quotidien, nous n’avons de cesse de rappeler les fondamentaux du RGPD.

SPARTOO, n’a visiblement pas encore bien intégré les règles et est sanctionnée sur les points suivants:

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

  1. Collecte de tous les enregistrements audio lors des conversations téléphoniques
  2. Conservation des informations bancaires lors desdits enregistrements (finalité formation !)
  3. Collecte de la carte de santé en Italie

Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

  1. Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).
  2. Conservation des données prospects 5 ans alors que la société ne relance plus les prospects après la deuxième année sans réponse de leurs parts. La CNIL a donc estimé cette durée excessive.
  3. En rappel la seule ouverture d’un courriel de prospection est insuffisant pour pour démontrer son intérêt pour un service ou un produit de la société.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

  1. l’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.
  2. Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

  1. S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.
  2. Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Au Final la formation restreinte de la CNIL a prononcé une amende de 250 000 euros avec publication de ladite sanction complété par une mise en demeure de mise en conformité de ses traitements d’ici 3 mois.

RGPD-Experts est là pour vous accompagner dans votre mise en conformité au RGPD, nos formations vous permettrons également de mieux comprendre vos obligations au regard de la règlementation. Une étape primordiale dans votre mise en conformité. Nous vous proposons également de simuler un contrôle de l’autorité pour tester votre structure.

 

 

Mot de passe robuste ou pas !

Si vous doutez encore de l’utilité d’un mot de passe robuste, consultez ce tableau, il vous indique combien de temps il faut aux hackers pour “casser” votre mot de passe.

Alors bien entendu vous pouvez leur faciliter la tâche en mettant directement le mot de passe sur un post-it et sur l’écran. Vous pouvez également leur proposer vous même un mot de passe, certaines entreprises donnent comme mot de passe la date de naissance et pas la possibilité de la changer. Si si et plus grave encore ce sont des laboratoires médicaux qui traitent de la données de santé par exemple.

Alors que faire ?

Hé bien déjà respecter les préconisations de l’ANSSI et de la CNIL, dans un deuxième temps vous pouvez aussi utiliser des coffres-fort de mot de passe qui vont gérer tout les mots de passe créés aléatoirement sans que vous ayez à vous en souvenir. Vous ne devrez vous souvenir que du mot de passe principal qui lui devra être robuste.

Regardez donc sur ce tableau le temps nécessaire pour le trouver,

57 jours pour trouver votre mot de passe qui respecte les consignes à savoir majuscule, minuscule, chiffre et caractère spécial dans le cas d’un mot de passe à 8 caractères

contre

928 années dans le cas d’un mot de passe à 10 caractères. L’évolution des combinaisons se fait de manière exponentielle et pas en multipliant par deux.

Vous pouvez encore trouver dans des entreprises et même des grandes entreprises l’utilisation par l’administrateur d’un couple identifiant mot de passe de ce type Admin, Admin. Au delà d’être risible, il est surtout dangereux de laisser ainsi la porte ouverte à tous les risques d’une cyber attaque.

N’oubliez pas que vous pouvez être mis en cause dans la violation des données de votre entreprise ou de votre entourage si vous ne mettez pas en place les moyens adaptés à  la sécurisations des données qui vous sont confiées.

Alors au final pas d’hésitation si vous en doutiez encore utilisez un mot de passe robuste !

 

Une entreprise sur 3 ne connait pas les implications liées au CLOUD Act.

Une récente étude démontre que les enjeux règlementaires liés au CLOUD Act ne sont pas maitrisés par les entreprises. C’est évidemment un gros problème quand elles confient l’hébergement de leurs données aux grands services Cloud.

Quels sont les impacts liés au RGPD quand vous ignorez ce qu’implique le CLOUD Act ?

Depuis peu, les entreprises pensent respecter le RGPD en exigeant des prestataires d’hébergement le stockage en Europe. Mais trop peu d’entreprises ont parfaitement intégré les risques en matière de confidentialité quand les services d’hébergements sont soumis au CLOUD Act.

Le CLOUD Act c’est quoi ?

L’acronyme Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, que nous pourrions traduire dans la langue de Voltaire par « Clarifier la loi sur l’utilisation légale des données à l’étranger ou la loi CLOUD » est contraignant pour  les prestataires d’hébergement Américains. Un simple mandat ou une assignation les obligent à transmettre les données stockées sur les serveurs. Que les serveurs soient aux USA ou sur d’autres continents, la justice américaine s’octroie les droits.

Donc toutes les données y compris les données à caractères personnels mais aussi brevets, savoir-faire, sont accessibles sur simple demande aux forces de l’ordre fédérales ou locales. Le CLOUD Act crée un cadre juridique qui permet de prendre connaissance du contenu de n’importe quelle donnée sur n’importe quel  serveur n’importe où. Aucune information du Responsable de traitement, pas plus que les juridictions étatiques des états hébergeant les données.

En ayant recours à une entreprise soumise au Cloud Act, les responsables de traitement abandonnent tacitement la confidentialité des données.

Et si les données sont chiffrées ?

Le chiffrement est naturellement un moyen d’assurer la sécurité des données. Néanmoins, le chiffrement de l’ensemble des données est rarement possible notamment car il ralentit considérablement l’exécution des tâches. Si vraiment la justice s’intéresse à vos données, elle se donnera les moyens de contourner le chiffrement, elle a déjà été en mesure de déchiffrer des données d’iphone.

Transparence auprès de vos clients.

Rappeler dans sa politique de protection des données qu’elle est la seule à pouvoir prendre connaissance de vos données est un mensonge. En utilisant l’un des prestataires Américains le responsable de traitement s’expose à une perte de confidentialité.

Le dire c’est bien… Le faire c’est mieux !

Si votre entreprise met réellement tous les moyens en œuvre concernant la protection des données, elle doit s’interdit de stocker les données de ses clients et les siennes chez un hébergeur soumis au CLOUD Act. C’est la moindre des choses en matière de transparence.

En d’autres mots, il est inutile de porter son attention sur localisation du stockage de données dans le Cloud si votre hébergeur est soumis au CLOUD Act. Cette condition n’est pas suffisante pour s’opposer à justice Américaine.

Bien que cette législation soit controversée, Le CLOUD Act a reçu l’appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. L’administration Trump a fait plier Microsoft en l’obligeant à transmettre les données d’une messagerie Outlook d’un trafiquant de drogue.

Quelles sont les solutions ?

Préférer des acteurs Français ou Européens. La France regorge d’hébergeurs qui sont largement à la hauteur de grandes entreprises Américaines ;
Le prix ne fait pas tout, lisez bien les contrats des différents prestataires ;
Imposez une clause qui interdit le recours à un prestataire soumis au CLOUD Act et au Patriot Act ;

Et pour mes sous-traitants ?

Il est préférable d’inclure une clause interdisant le recours aux prestataires soumis au CLOUD Act. Si c’est une clause particulièrement restrictive, elle est la preuve de votre engagement assurément un avantage concurrentiel.

 

RGPD-Experts est proche de vous, toutes nos formations présentielles sont suspendues jusqu’à nouvelles instructions.

Pour vous permettre de profiter au mieux de vos instants en télétravail, nous avons mis au point nos formations en mode distanciel.

Avec des groupes Maximum de 6, nous vous assurons les 35 heures de formation avec la même qualité de formation et les mêmes supports, cas pratiques et QCM.

Nos formateurs seront présents afin de vous présenter à distance les 5 journées et de répondre simultanément à vos questions sur le Chat de la formation.

Ces formations sont prévues dès lundi 23 Mars et continuerons une semaine sur deux ou plus si besoin.

Réservation par le formulaire de contact du site.

Portez vous bien et bon courage à toutes et à tous.

 

Nos formations pour futurs DPO préparant à la certification et pour les DPO qui veulent se perfectionner.

Toutes nos Formations passent en mode distanciel pour s’adapter à la situation et au télétravail.

Vous être en chômage partiel ? Profitez de la prise en charge du financement des formations par l’état en préparer votre certification de délégué à la protection des données à caractère personnel.

Des formations adaptées et une et TARIFICATION très attractive !

5 jours et 35 heures vous permettant de vous former sur la totalité du RGPD et de vous présenter à l’examen de certification pour la formation DPO.

D’autres formations sont également disponibles alors si vous voulez profiter de ce temps pour une:

  • La sensibilisation aux principes du RGPD et de la loi Informatique et Libertés;
  • Formation RGPD spécifique au métier des ressources humaines et au marketing;

Cas pratiques et QCM pour toutes les sessions sans oublier des exemples concrets.

Toutes nos formations sont tutorées et animées par des experts du métier.

Alors rien de plus simple qu’un appel au  09 72 22 16 18 (appel gratuit) ou un une demande avec notre formulaire.