RGPD – Attention aux tentatives d’escroquerie

L’entrée en vigueur du RGPD provoque son lot de tentatives “d’escroquerie” basées sur la crainte légitime de la sanction que peuvent avoir les entreprises dès lors qu’elles ne connaissent pas ou ne sont pas totalement en conformité avec les exigences relatives à la Protection de Données Personnelles.

J’ai moi-même reçu pour ma société un courrier de ce type (cliquez ici pour voir le document), posté de Strasbourg.

Ce courrier, avec le drapeau européen, émanant d’un pseudo “Département de la Réglementation générale à la protection des données“, veut se donner l’apparence d’un document officiel dans le but, soit de récupérer des données sur la société destinataire, mais aussi plus certainement, de tenter d’obtenir des fonds pour une pseudo-déclaration qui me permettrait d’être en conformité.

Bien entendu, à la lecture du courrier, il y a urgence !

La date limite de déclaration annoncée par ce courrier est le 22 mars 2019. Or, dans la réalité, il n’y a aucune déclaration à réaliser, le seul objectif de cette date butoir est donc de donner un caractère d’urgence à la demande afin de provoquer une réaction immédiate du destinataire.

Cette démarche, pour le moins malhonnête, ressemble étrangement à celle des officines qui, lorsque vous créez une société, vous adresse des courriers semblant émaner d’organismes officiels et vous demandant de payer un enregistrement dans un annuaire afin de vous mettre en conformité.

Malheureusement, bien que ces pratiques soient connues des services de police et de la DGCCRF, elles semblent difficiles à endiguer (sachant de plus qu’une grande partie des entreprises à l’origine de ces pratiques ne sont pas basées en France).

Les autorités sont informées de ces pratiques et vous invitent à la plus grande vigilance si vous recevez ce type de communication.

La CNIL et la DGCCRF ont d’ailleurs publié une alerte sur ce point dès le 7 novembre dernier.

Sécurité des sites web : Analyse des sanctions de la CNIL à fin juin 2018

L’analyse des sanctions prononcées par la CNIL entre juillet 2017 et fin juin 2018 fait apparaître une prépondérance de décisions sanctionnant l’absence de sécurisation des données ou documents mis en ligne par des clients ou des prospects via les sites internet des entreprises considérées (6 sanctions sur 9).

Si vous stockez des données en ligne, il est donc essentiel de vérifier la fiabilité des sécurités mises en oeuvre pour éviter des négligences qui vous exposeraient à des sanctions qui peuvent être importantes, en terme financier mais aussi en terme d’image.

Afin de vous sensibiliser sur ce sujet, la CNIL met à votre disposition sur son site, un article qui fait le point sur les principaux risques concernés: Sécurité des sites web : les 5 problèmes les plus souvent constatés

Intermédiaires en assurance : Etes-vous prêts pour l’entrée en vigueur du RGPD ?

Intermédiaires en assurance : Etes-vous prêts pour l’entrée en vigueur du RGPD ?

A quelques jours de l’entrée en vigueur du Règlement Général de Protection des Données, vous trouverez ci-dessous une “check-list” de 12 actions à mener pour vous mettre en conformité, quelque soit la taille de votre cabinet. La CNIL met à votre disposition en ligne sur son site internet cnil.fr de nombreux modèles qui vous aideront pour réaliser cette adaptation.

☐ Prendre connaissance des nouveaux droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) et obligations nés de cette nouvelle réglementation (Cnil : Comprendre le Règlement Européen).

☐ Désigner une personne  (de préférence à l’aise avec les “problématiques” informatiques) en charge de ce chantier au sein du cabinet.

☐ Cartographier vos traitements de données personnelles internes  (les fichiers de vos clients/prospects, mais aussi ceux qui concernent  vos salariés) et les consigner dans votre registre des traitements (voir un exemple de registre proposé par la CNIL).

☐ Etablir la liste de vos prestataires et/ou partenaires (co-courtage) utilisant des données personnelles (de vos clients, prospects, salariés, …)  et vérifier leur engagement RGPD ( CNIL : un exemple de clause à régulariser avec vos sous-traitants).

☐ Nommer un Délégué à la Protection des Données (interne ou externalisé). Pour en savoir plus sur cette mission, vous pouvez consulter cet article de la CNIL.

☐ Si vous avez un logiciel de “workflow”, de gestion de vos données client, qui stocke ces données “dans le cloud”, vérifier que l’éditeur respecte les exigences du RGPD.

☐ Modifier les clauses “informatiques et libertés” de votre fiche d’information, de vos documents contractuels, … en incluant les mentions RGPD requises (CNIL : Comment informer les personnes et assurer la transparence ?).

☐ Vérifier et mettre à jour la politique de confidentialité de votre site internet.

☐ Contrôler votre politique d’archivage et de conservation des données personnelles.

☐ Former vos collaborateurs à la réglementation RGPD et à l’utilisation des données personnelles.

☐ Prévoir  la procédure à suivre en cas de fuite de données personnelles (cf.  formulaire de notification de violations de données personnelles de la CNIL.

☐ Prévoir une note interne présentant les principes du RGPD (les règles à appliquer à la collecte, la conservation, la sécurisation et la diffusion des données personnelles), et éventuellement, modifier votre règlement intérieur et/ou vos contrats de travail pour y intégrer les obligations de vos collaborateurs sur l’accès et le traitement des données personnelles.

 

 

 

 

CNIL – RGPD mesures  d’accompagnement  et politique de contrôle

CNIL – RGPD mesures d’accompagnement et politique de contrôle

Dans la continuité de son aide à la mise en oeuvre du RGPD (Règlement Général de Protection des Données), la CNIL a publié, le 19 février dernier,  un nouvel article sur son site :

Elle y rappelle les outils d’ores et déjà mis à disposition, et ceux à venir, pour vous accompagner dans la mise en application du RGPD.

A cette occasion, elle apporte aussi des précisions sur la manière dont elle contrôlera le respect du RGPD à compter du 25 mai. On y apprend que la CNIL distinguera :

  • Les principes fondamentaux de la protection des données, d’ores et déjà en vigueur, et pour lesquels  le contrôle demeurera   identique à celui aujourd’hui existant.
  • Les nouvelles obligations ou les nouveaux droits issus du RGPD (droit à la portabilité, analyses d’impact, etc.) pour lesquels dans un premier temps, les contrôles n’auront pas vocation à aboutir à des sanctions en présence d’organisme de bonne foi engagés dans une démarche de mise en conformité.

Vous pouvez accéder à l’article correspondant de la CNIL sur son site ou en cliquant ici.

CNIL : Un logiciel pour faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le RGPD.

CNIL : Un logiciel pour faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le RGPD.

Dans le cadre de la future mise en oeuvre du RGPD, la CNIL met à disposition sur son site un logiciel open source destiné aux responsables des traitements, afin de faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données (démarche qui deviendra obligatoire pour certains traitements à partir de Mai 2018)  telles que prévues par le RGPD.

 

 

Pour qui ?

Pour les “responsables de traitement” de données à caractère personnel , c’est à dire, (sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement), la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Qu’est-ce que l’outil PIA (Privacy Impact Assessment) ?

C’est un outil qui s’articule autour de 3 axes :

  • Un ’outil ergonomique permettant de gérer l’ensemble de vos analyses d’impact, de manière visuel, et de les suivre étape par étape. .
  • Un outil modulaire pour faciliter la démarche d’analyse préconisée par la CNIL. Il peut facilement s’adapter à vos besoins spécifiques.
  • Une base de connaissances juridiques et techniques sur le sujet.

Un outil en cours de développement :

Cet outil est en version “bêta”, il sera amélioré dans le temps, mais il est opérationnel et peut déjà être déployé sur la majeure partie des systèmes d’exploitation (Windows, Linux et Mac Os) et aussi en version web pour les serveurs.

Pour en savoir plus et découvrir cet outil : cliquez ici !

 

 

OCTOBRE 2017 – MOIS EUROPÉEN DE LA CYBERSÉCURITÉ

OCTOBRE 2017 – MOIS EUROPÉEN DE LA CYBERSÉCURITÉ

La protection des données est un enjeu important pour toutes les entreprises. En 2018, cet enjeu sera encore renforcé par l’entrée en vigueur prévue ou prévisible de nombreux nouveaux textes :

Dans tous les cas, les aspects relatifs à la cybersécurité sont déterminants pour garantir cette protection des données.

Pour vous informer sur ce thème, vous pouvez  participer aux événements prévus en octobre 2017 pour la 5ème édition du mois européen de la Cybersécurité (avec le concours notamment de l’Agence Européenne chargée de la sécurité des réseaux et de l’information ENISA et, de l’Agence Nationale de la Sécurité des Systèmes d’Information ANSSI).

Durant cette période, de nombreux événements (conférences, vidéos, campagnes de communication …) seront organisés par des acteurs publics et associatifs afin de sensibiliser les professionnels, les particuliers et les étudiants à la cybersécurité.

Ces événements abordent les 4 principaux thèmes suivants (cliquez sur les liens ci-dessous pour accéder au calendrier des événements correspondants):

 

D’autre part, le 17 octobre prochain, aura lieu le lancement national de la Plateforme “Cybermalveillance.gouv.fr”, dont les buts sont ; la sensibilisation ; la prévention et, le soutien en matière de sécurité du numérique auprès des entreprises et des particuliers, en proposant des outils de diagnostic, des publications, et la mise en relation avec les spécialistes et organismes compétents.

Bonne sensibilisation !