Sanction RGPD à l’encontre de SPARTOO

dans

La CNIL sanctionne la société SPARTOO pour non respect du RGPD

La CNIL, autorité de contrôle, a dans le cadre de la coopération avec les autorités de contrôle européennes, sanctionné la société SPARTOO. Les manquements sont nombreux. Au quotidien, nous n’avons de cesse de rappeler les fondamentaux du RGPD.

SPARTOO, n’a visiblement pas encore bien intégré les règles et est sanctionnée sur les points suivants:

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

  1. Collecte de tous les enregistrements audio lors des conversations téléphoniques
  2. Conservation des informations bancaires lors desdits enregistrements (finalité formation !)
  3. Collecte de la carte de santé en Italie

Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

  1. Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).
  2. Conservation des données prospects 5 ans alors que la société ne relance plus les prospects après la deuxième année sans réponse de leurs parts. La CNIL a donc estimé cette durée excessive.
  3. En rappel la seule ouverture d’un courriel de prospection est insuffisant pour pour démontrer son intérêt pour un service ou un produit de la société.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

  1. l’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.
  2. Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

  1. S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.
  2. Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Au Final la formation restreinte de la CNIL a prononcé une amende de 250 000 euros avec publication de ladite sanction complété par une mise en demeure de mise en conformité de ses traitements d’ici 3 mois.

RGPD-Experts est là pour vous accompagner dans votre mise en conformité au RGPD, nos formations vous permettrons également de mieux comprendre vos obligations au regard de la règlementation. Une étape primordiale dans votre mise en conformité. Nous vous proposons également de simuler un contrôle de l’autorité pour tester votre structure.

 

 

Mot de passe robuste utile ou pas

dans

Mot de passe robuste ou pas !

Si vous doutez encore de l’utilité d’un mot de passe robuste, consultez ce tableau, il vous indique combien de temps il faut aux hackers pour « casser » votre mot de passe.

Alors bien entendu vous pouvez leur faciliter la tâche en mettant directement le mot de passe sur un post-it et sur l’écran. Vous pouvez également leur proposer vous même un mot de passe, certaines entreprises donnent comme mot de passe la date de naissance et pas la possibilité de la changer. Si si et plus grave encore ce sont des laboratoires médicaux qui traitent de la données de santé par exemple.

Alors que faire ?

Hé bien déjà respecter les préconisations de l’ANSSI et de la CNIL, dans un deuxième temps vous pouvez aussi utiliser des coffres-fort de mot de passe qui vont gérer tout les mots de passe créés aléatoirement sans que vous ayez à vous en souvenir. Vous ne devrez vous souvenir que du mot de passe principal qui lui devra être robuste.

Regardez donc sur ce tableau le temps nécessaire pour le trouver,

57 jours pour trouver votre mot de passe qui respecte les consignes à savoir majuscule, minuscule, chiffre et caractère spécial dans le cas d’un mot de passe à 8 caractères

contre

928 années dans le cas d’un mot de passe à 10 caractères. L’évolution des combinaisons se fait de manière exponentielle et pas en multipliant par deux.

Vous pouvez encore trouver dans des entreprises et même des grandes entreprises l’utilisation par l’administrateur d’un couple identifiant mot de passe de ce type Admin, Admin. Au delà d’être risible, il est surtout dangereux de laisser ainsi la porte ouverte à tous les risques d’une cyber attaque.

N’oubliez pas que vous pouvez être mis en cause dans la violation des données de votre entreprise ou de votre entourage si vous ne mettez pas en place les moyens adaptés à  la sécurisations des données qui vous sont confiées.

Alors au final pas d’hésitation si vous en doutiez encore utilisez un mot de passe robuste !

 

CLOUD ACT danger

dans

Une entreprise sur 3 ne connait pas les implications liées au CLOUD Act.

Une récente étude démontre que les enjeux règlementaires liés au CLOUD Act ne sont pas maitrisés par les entreprises. C’est évidemment un gros problème quand elles confient l’hébergement de leurs données aux grands services Cloud.

Quels sont les impacts liés au RGPD quand vous ignorez ce qu’implique le CLOUD Act ?

Depuis peu, les entreprises pensent respecter le RGPD en exigeant des prestataires d’hébergement le stockage en Europe. Mais trop peu d’entreprises ont parfaitement intégré les risques en matière de confidentialité quand les services d’hébergements sont soumis au CLOUD Act.

Le CLOUD Act c’est quoi ?

L’acronyme Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, que nous pourrions traduire dans la langue de Voltaire par « Clarifier la loi sur l’utilisation légale des données à l’étranger ou la loi CLOUD » est contraignant pour  les prestataires d’hébergement Américains. Un simple mandat ou une assignation les obligent à transmettre les données stockées sur les serveurs. Que les serveurs soient aux USA ou sur d’autres continents, la justice américaine s’octroie les droits.

Donc toutes les données y compris les données à caractères personnels mais aussi brevets, savoir-faire, sont accessibles sur simple demande aux forces de l’ordre fédérales ou locales. Le CLOUD Act crée un cadre juridique qui permet de prendre connaissance du contenu de n’importe quelle donnée sur n’importe quel  serveur n’importe où. Aucune information du Responsable de traitement, pas plus que les juridictions étatiques des états hébergeant les données.

En ayant recours à une entreprise soumise au Cloud Act, les responsables de traitement abandonnent tacitement la confidentialité des données.

Et si les données sont chiffrées ?

Le chiffrement est naturellement un moyen d’assurer la sécurité des données. Néanmoins, le chiffrement de l’ensemble des données est rarement possible notamment car il ralentit considérablement l’exécution des tâches. Si vraiment la justice s’intéresse à vos données, elle se donnera les moyens de contourner le chiffrement, elle a déjà été en mesure de déchiffrer des données d’iphone.

Transparence auprès de vos clients.

Rappeler dans sa politique de protection des données qu’elle est la seule à pouvoir prendre connaissance de vos données est un mensonge. En utilisant l’un des prestataires Américains le responsable de traitement s’expose à une perte de confidentialité.

Le dire c’est bien… Le faire c’est mieux !

Si votre entreprise met réellement tous les moyens en œuvre concernant la protection des données, elle doit s’interdit de stocker les données de ses clients et les siennes chez un hébergeur soumis au CLOUD Act. C’est la moindre des choses en matière de transparence.

En d’autres mots, il est inutile de porter son attention sur localisation du stockage de données dans le Cloud si votre hébergeur est soumis au CLOUD Act. Cette condition n’est pas suffisante pour s’opposer à justice Américaine.

Bien que cette législation soit controversée, Le CLOUD Act a reçu l’appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. L’administration Trump a fait plier Microsoft en l’obligeant à transmettre les données d’une messagerie Outlook d’un trafiquant de drogue.

Quelles sont les solutions ?

Préférer des acteurs Français ou Européens. La France regorge d’hébergeurs qui sont largement à la hauteur de grandes entreprises Américaines ;
Le prix ne fait pas tout, lisez bien les contrats des différents prestataires ;
Imposez une clause qui interdit le recours à un prestataire soumis au CLOUD Act et au Patriot Act ;

Et pour mes sous-traitants ?

Il est préférable d’inclure une clause interdisant le recours aux prestataires soumis au CLOUD Act. Si c’est une clause particulièrement restrictive, elle est la preuve de votre engagement assurément un avantage concurrentiel.

 

Les formations RGPD – DPO de RGPD-Experts passent en mode distanciel

dans , ,

RGPD-Experts est proche de vous, toutes nos formations présentielles sont suspendues jusqu’à nouvelles instructions.

Pour vous permettre de profiter au mieux de vos instants en télétravail, nous avons mis au point nos formations en mode distanciel.

Avec des groupes Maximum de 6, nous vous assurons les 35 heures de formation avec la même qualité de formation et les mêmes supports, cas pratiques et QCM.

Nos formateurs seront présents afin de vous présenter à distance les 5 journées et de répondre simultanément à vos questions sur le Chat de la formation.

Ces formations sont prévues dès lundi 23 Mars et continuerons une semaine sur deux ou plus si besoin.

Réservation par le formulaire de contact du site.

Portez vous bien et bon courage à toutes et à tous.

 

Les prochaine Formations RGPD-Experts

dans ,

Nos formations pour futurs DPO préparant à la certification et pour les DPO qui veulent se perfectionner.

Toutes nos Formations passent en mode distanciel pour s’adapter à la situation et au télétravail.

Vous être en chômage partiel ? Profitez de la prise en charge du financement des formations par l’état en préparer votre certification de délégué à la protection des données à caractère personnel.

Des formations adaptées et une et TARIFICATION très attractive !

5 jours et 35 heures vous permettant de vous former sur la totalité du RGPD et de vous présenter à l’examen de certification pour la formation DPO.

D’autres formations sont également disponibles alors si vous voulez profiter de ce temps pour une:

  • La sensibilisation aux principes du RGPD et de la loi Informatique et Libertés;
  • Formation RGPD spécifique au métier des ressources humaines et au marketing;

Cas pratiques et QCM pour toutes les sessions sans oublier des exemples concrets.

Toutes nos formations sont tutorées et animées par des experts du métier.

Alors rien de plus simple qu’un appel au  09 72 22 16 18 (appel gratuit) ou un une demande avec notre formulaire.

 

 

Mentions légales et conformité

dans

Mentions légales

Les mentions légales et la conformité des sites sont encore loin d’être à jour.

Nous arrivons aux deux ans de l’applicabilité du RGP et 4 ans de l’entrée en vigueur du règlement.

Nous trouvons toujours des mentions légales sur des sites traitant des données sensibles identique à celles-ci ! pour un organisme qui a désigné un DPO !

Traitement automatisé d’informations nominatives

Ce site ne collecte sur les visiteurs du site aucune autre information nominative ou personnelle que celles qui lui sont ouvertement et volontairement fournies en particulier par l’intermédiaire des adresses électroniques de ses correspondants.

Nous vous rappelons que vous disposez d’un droit d’accès, de modification, de rectification et de suppression des données vous concernant (article 34 de la loi « Informatique et Libertés » du 6 janvier 1978). Pour exercer ce droit, contactez-nous.

Pour reprendre et paraphraser le rédacteur de ces mentions légales, nous vous rappelons que vous devez mettre vos sites en conformité avec la règlementation ! et que ces mentions légales ne sont plus valables depuis 2004 !!!!!

Conformité

Nous trouvons et lisons actuellement un grand nombre d’article de journaliste dans des journaux plus ou moins spécialisés nous informant que selon la dernière étude, près de la moitié des entreprises se « pensent » ou « sont » conformes au RGPD.
A la lecture de ces mentions reprises en l’occurence sur un site (que je ne nommerai pas), mais que nous retrouvons sur de nombreux sites, il est facile de se poser de véritables questions.

Notre quotidien de consultant nous montre que bon nombre desdites sociétés « conformes » n’ont en réalité que survolé le sujet ou au mieux regardé la conformité informatique avec leur DSI.

Faire appel à des consultants SERIEUX doit devenir un réflexe. La conformité est une pratique longue et sans fin qui demande une vigilance constante et une veille permanente.

Faites en sorte que votre conformité devienne un fabuleux atout concurrentiel et non une contrainte.

Nos mentions légales se trouvent ici https://www.rgpd-experts.com/mentions-legales-du-site/

N’hésitez pas et prenez le temps d’une formation sur le sujet, nous sommes à votre disposition pour vous aider.

Dashcam, Assurance et RGPD

dans

La Dashcam,

Obtenez une remise de 10% sur votre assurance chez certains assureurs ! Prenez également un risque conséquent en terme de conformité.

Vos risques ?

  • Le non respect de l’article 9 du code civil et le droit au respect de la vie privé
  • Le non respect du RGPD collecte illégale (quel fondement juridique évoquer ?)
  • Le non respect des codes de la sécurité intérieure (Demande d’autorisation ?)

Les conséquences amendes et prison !

Pour vous et pour votre assureur également.

Alors avant de souscrire une sérieuse vérification s’impose et je ne serais pas étonné que la CNIL intervienne sur le sujet. Devant les doutes que nous soulevons, il est très important de ne pas succomber à ce genre de publicité (mensongère) puisque les données ne pourraient être exploitées.

Pour avoir une vision plus précise des risques liés à ces dispositifs, nous vous conseillons de prendre connaissance des éclairages de Maitre Charlotte Galichet, Avocat

https://www.village-justice.com/articles/dashcam-cameras-embarquees-reglementation-sur-protection-des-donnees,33195.html

Droit à l’oubli les premiers retours du conseil d’état

dans

Droit à l’oubli les premiers retours du conseil d’état

LE conseil d’Etat Français vient de fixer les conditions de déréférencement sur internet prévu par le RGPD.

Ces informations vont commencer à permettre de mieux comprendre comment les gérer, en voici la teneur principale.

Extrait du texte à retrouver sur le site du conseil d’Etat en suivant ce lien

https://www.conseil-etat.fr/actualites/actualites/droit-a-l-oubli-le-conseil-d-etat-donne-le-mode-d-emploi

Les grands principes de ce cadre sont :

  • Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue.
  • Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit.
  • Le droit à l’oubli n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public.
  • L’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles.

Trois catégories de données personnelles sont concernées :

  • des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …),
  • des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale),
  • et des données touchant à la vie privée sans être sensibles.

La protection dont bénéficient les deux premières catégories est la plus élevée : il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public. Pour la troisième catégorie, il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause.

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles.

Les 13 décisions du 6 décembre 2019

13 particuliers ont saisi Google de demandes de déréférencement de liens vers des pages web contenant des données à caractère personnel les concernant. A la suite du refus de Google, ils ont saisi la CNIL d’une plainte afin qu’elle mette Google en demeure de procéder à ces déréférencements. La CNIL ayant rejeté leurs plaintes, ces personnes ont directement saisi le Conseil d’État afin qu’il annule ces décisions de refus.
Sur ces 13 recours, le Conseil d’État a été amené à statuer sur 18 cas de figure différents : il a constaté 8 non-lieu à statuer, rejeté 5 demandes et prononcé 5 annulations.
Dans un certain nombre d’affaires, Google avait pris les devants, en procédant aux déréférencements demandés. Dans d’autres cas, le contenu des pages web avait été modifié depuis l’introduction des requêtes. Le Conseil d’État a alors constaté le non-lieu à statuer, les requérants ayant déjà obtenu satisfaction.

 

Fuite de données chez AccorHôtels

dans
Fuite de données chez AccorHôtels

Le groupe hôtelier Accor victime d’une fuite de données par une de ses filiales, quelles conséquences pour le groupe ?

https://www.usine-digitale.fr/article/fuite-massive-de-donnees-a-accorhotels-que-risque-l-entreprise.N906279