11, Mar 2019 | Protection des Données
L’entrée en vigueur du RGPD provoque son lot de tentatives « d’escroquerie » basées sur la crainte légitime de la sanction que peuvent avoir les entreprises dès lors qu’elles ne connaissent pas ou ne sont pas totalement en conformité avec les exigences relatives à la Protection de Données Personnelles.
J’ai moi-même reçu pour ma société un courrier de ce type (cliquez ici pour voir le document), posté de Strasbourg.
Ce courrier, avec le drapeau européen, émanant d’un pseudo « Département de la Réglementation générale à la protection des données« , veut se donner l’apparence d’un document officiel dans le but, soit de récupérer des données sur la société destinataire, mais aussi plus certainement, de tenter d’obtenir des fonds pour une pseudo-déclaration qui me permettrait d’être en conformité.
Bien entendu, à la lecture du courrier, il y a urgence !
La date limite de déclaration annoncée par ce courrier est le 22 mars 2019. Or, dans la réalité, il n’y a aucune déclaration à réaliser, le seul objectif de cette date butoir est donc de donner un caractère d’urgence à la demande afin de provoquer une réaction immédiate du destinataire.
Cette démarche, pour le moins malhonnête, ressemble étrangement à celle des officines qui, lorsque vous créez une société, vous adresse des courriers semblant émaner d’organismes officiels et vous demandant de payer un enregistrement dans un annuaire afin de vous mettre en conformité.
Malheureusement, bien que ces pratiques soient connues des services de police et de la DGCCRF, elles semblent difficiles à endiguer (sachant de plus qu’une grande partie des entreprises à l’origine de ces pratiques ne sont pas basées en France).
Les autorités sont informées de ces pratiques et vous invitent à la plus grande vigilance si vous recevez ce type de communication.
La CNIL et la DGCCRF ont d’ailleurs publié une alerte sur ce point dès le 7 novembre dernier.
22, Mai 2018 | Protection des Données
A quelques jours de l’entrée en vigueur du Règlement Général de Protection des Données, vous trouverez ci-dessous une « check-list » de 12 actions à mener pour vous mettre en conformité, quelque soit la taille de votre cabinet. La CNIL met à votre disposition en ligne sur son site internet cnil.fr de nombreux modèles qui vous aideront pour réaliser cette adaptation.
☐ Prendre connaissance des nouveaux droits (
droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) et obligations nés de cette nouvelle réglementation (
Cnil : Comprendre le Règlement Européen).
☐ Désigner une personne (de préférence à l’aise avec les « problématiques » informatiques) en charge de ce chantier au sein du cabinet.
☐ Cartographier vos traitements de données personnelles internes (
les fichiers de vos clients/prospects, mais aussi ceux qui concernent vos salariés) et les consigner dans votre registre des traitements (
voir un exemple de registre proposé par la CNIL).
☐ Nommer un Délégué à la Protection des Données
(interne ou externalisé). Pour en savoir plus sur cette mission, vous pouvez consulter
cet article de la CNIL.
☐ Si vous avez un logiciel de « workflow », de gestion de vos données client, qui stocke ces données « dans le cloud », vérifier que l’éditeur respecte les exigences du RGPD
.
☐ Vérifier et mettre à jour la politique de confidentialité de votre site internet
.
☐ Contrôler votre politique d’archivage et de conservation des données personnelles
.
☐ Former vos collaborateurs à la réglementation RGPD et à l’utilisation des données personnelles.
☐ Prévoir une note interne présentant les principes du RGPD (les règles à appliquer à la collecte, la conservation, la sécurisation et la diffusion des données personnelles), et éventuellement, modifier votre règlement intérieur et/ou vos contrats de travail pour y intégrer les obligations de vos collaborateurs sur l’accès et le traitement des données personnelles.
25, Fév 2018 | Protection des Données
Dans la continuité de son aide à la mise en oeuvre du RGPD (Règlement Général de Protection des Données), la CNIL a publié, le 19 février dernier, un nouvel article sur son site :
Elle y rappelle les outils d’ores et déjà mis à disposition, et ceux à venir, pour vous accompagner dans la mise en application du RGPD.
A cette occasion, elle apporte aussi des précisions sur la manière dont elle contrôlera le respect du RGPD à compter du 25 mai. On y apprend que la CNIL distinguera :
- Les principes fondamentaux de la protection des données, d’ores et déjà en vigueur, et pour lesquels le contrôle demeurera identique à celui aujourd’hui existant.
- Les nouvelles obligations ou les nouveaux droits issus du RGPD (droit à la portabilité, analyses d’impact, etc.) pour lesquels dans un premier temps, les contrôles n’auront pas vocation à aboutir à des sanctions en présence d’organisme de bonne foi engagés dans une démarche de mise en conformité.
Vous pouvez accéder à l’article correspondant de la CNIL sur son site ou en cliquant ici.
9, Oct 2017 | Protection des Données
La protection des données est un enjeu important pour toutes les entreprises. En 2018, cet enjeu sera encore renforcé par l’entrée en vigueur prévue ou prévisible de nombreux nouveaux textes :
Dans tous les cas, les aspects relatifs à la cybersécurité sont déterminants pour garantir cette protection des données.
Pour vous informer sur ce thème, vous pouvez participer aux événements prévus en octobre 2017 pour la 5ème édition du mois européen de la Cybersécurité (avec le concours notamment de l’Agence Européenne chargée de la sécurité des réseaux et de l’information ENISA et, de l’Agence Nationale de la Sécurité des Systèmes d’Information ANSSI).
Durant cette période, de nombreux événements (conférences, vidéos, campagnes de communication …) seront organisés par des acteurs publics et associatifs afin de sensibiliser les professionnels, les particuliers et les étudiants à la cybersécurité.
Ces événements abordent les 4 principaux thèmes suivants (cliquez sur les liens ci-dessous pour accéder au calendrier des événements correspondants):
D’autre part, le 17 octobre prochain, aura lieu le lancement national de la Plateforme « Cybermalveillance.gouv.fr », dont les buts sont ; la sensibilisation ; la prévention et, le soutien en matière de sécurité du numérique auprès des entreprises et des particuliers, en proposant des outils de diagnostic, des publications, et la mise en relation avec les spécialistes et organismes compétents.
Bonne sensibilisation !
21, Sep 2017 | Protection des Données
Le 20 septembre dernier, il a été publié au Journal Officiel deux délibérations de la CNIL du 13 juillet 2017 qui modifient les référentiels pour la délivrance de labels en matière de :
- Procédures de gouvernance tendant à assurer la protection des données.
- Formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
Ces modifications sont apportées notamment afin d’adapter ces référentiels à l’entrée en application du règlement européen (2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, communément dénommé sous l’acronyme « RGPD »).
I – Le label en matière de procédures de gouvernance « informatique & libertés »
Les labels actuels sont valables jusqu’au 25 mai 2018. Ensuite, il faudra obtenir un nouveau label dont la validité sera de trois ans.
Pour l’obtention de ces nouveaux labels, il faudra respecter les conditions suivantes :
- Avoir un délégué à la protection des données
- Présenter sa politique en matière de protection des données, au-regard des principes énoncés par le « RGPD », notamment sur :
- La mise en œuvre de traitement licite ;
- Le respect des droits des personnes ;
- Les destinataires des données collectées ;
- Les mesures de sécurité des données.
- Porter à la connaissance des personnes concernées sa politique en la matière, et notamment, les informations ci-dessus dans un format concis, transparent, compréhensible et facilement accessible.
- Garantir que le délégué à la protection des données contrôle cette politique, et, quelle sera revue et actualisée si nécessaire « a minima » tous les trois ans.
Il est précisé ensuite dans le référentiel concerné les exigences relatives :
- Au délégué à la protection des données
- A l’analyse de la conformité
- Au contrôle de cette conformité dans le temps
- A l’évaluation de la gestion des réclamations et incidents
Vous pouvez consulter la délibération concernée ici.
II – Les labels en matière de formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel
L’entrée en application du « RGPD », le 25 mai 2018, oblige à la modification du référentiel de labellisation, afin de le mettre en conformité avec cette nouvelle réglementation.
Les labels actuels en matière de formation demeurent valides jusqu’à la date d’entrée en vigueur du « RGPD ». Les organismes qui souhaitent se mettre en conformité avec ce nouveau référentiel doivent présenter une nouvelle demande de label. Ces nouveaux labels seront délivrés pour une durée de trois ans.
Ce référentiel précise, notamment, les notions qui doivent être abordées dans la formation.
Consultez la délibération concernée ici.